CISA’nın VPN’lerden SSE ve SASE ürünlerine geçişe yönelik son rehberliği veri korumasını güçlendiriyor, ancak web tarayıcıları gibi erişim noktalarını güçlendirmek için daha sağlam, donanım tarafından uygulanan güvenlik kontrollerini savunma fırsatını kaçırıyor.
Bu yılın başında VPN ürünlerine karşı birkaç büyük güvenlik açığının ardından harekete geçen ABD Siber Güvenlik ve Altyapı Güvenlik Ajansı (CISA), Kanada ve Yeni Zelanda’daki benzerleriyle birlikte, VPN’lerden Güvenli Hizmet Kenarı (SSE) ve Güvenli Erişim Hizmet Kenarı (SASE) ürünleri gibi Sıfır Güven çözümlerine geçiş konusunda önerilerini yayınladı. Sıfır Güven Ağ Erişimi (ZTNA) ilkeleri etrafında mimariler oluşturarak, kuruluşlar hassas kaynaklara ve verilere erişimi korumak için ek kimlik ve risk tabanlı kontrollerin yerinde olduğundan emin olabilirler. Bu korumalar, saldırganların fidye için değerli veritabanlarını şifrelemesini, bu veritabanlarında bulunan bilgileri çalmasını veya her ikisini birden yapmasını önemli ölçüde zorlaştırabilir, özellikle de saldırgan ilk etapta onları dışarıda tutmak için tasarlanmış güvenlik yazılımlarından kaçtığında veya onları altüst ettiğinde.
Sonuçta, ZTNA platformlarının altta yatan yazılım mekanizmalarının VPN yazılımlarından daha az savunmasız olduğunu gösteren çok az kanıt var – 2024’te şimdiye kadar yapılan hızlı bir CVE taraması, sözde “Sıfır Güven” güvenlik hizmetlerinde en az 10 güvenlik açığı ortaya koyuyor ve bunların çoğu kod yürütme ve güvenlik atlama gibi önemli sonuçları oluyor. Bu tür güvenlik açıkları, “topraktan geçinmek” gibi düşük görünürlük teknikleri kullanan saldırganlara, kuruluşların sistemlerinde, güvenlik açıklarının kendisinden çok daha uzun süre hayatta kalabilen varlık noktaları sağlayabilir, hatta sıfır güven ortamında bir kuruluşun ağı içinde etki yaratmak için manevra yapmak önemli ölçüde daha zor olsa bile.
Bir ihlalin potansiyel etkisini en aza indirmek için CISA’nın rehberliğini uygularken bile, kuruluşlar daha temel bir soru sormalı: ilk etapta saldırganları ağlardan nasıl uzak tutabiliriz? Bir cevap CISA’nın rehberliğinde, ancak sadece yüzeysel bir şekilde bulunur: ağdaki en hassas sistemleri korumak için tek yönlü ağ geçitleri ve veri diyotları gibi donanımla uygulanan ağ segmentasyonunun kullanılması. Donanımla uygulanan segmentasyon teknolojileri, verilerin ve kodun riskli ortamlardan hassas sistemlere gitmesini fiziksel olarak imkansız hale getirdiğinden, bir saldırganın ağdaki mevcut varlığını kaldıraç olarak kullanabilmesi veya hatta bu hassas sistemlerden birini tehlikeye atmak için ağın dışından kod atabilmesi ihtimali neredeyse 0’dır.
Donanım tarafından uygulanan çözümlerin sağladığı yüksek güvenlik seviyesi sonucunda, CISA bunları kamu hizmeti ağlarının omurgasını oluşturanlar gibi hassas operasyonel teknoloji (OT) sistemleri için bir kontrol olarak öneriyor. Ancak 2021’de Colonial Pipeline’a yapılan fidye yazılımı saldırısının gösterdiği gibi, saldırganların bir kamu hizmeti üzerinde büyük bir etki yaratmak için OT sistemlerine girmeleri gerekmiyor; operasyonları sekteye uğratmak veya kabul edilemez bir güvenlik riski oluşturmak için BT ağlarında yeterli varlık göstermeleri yeterli. Bu etkiyi en aza indirmek, donanım tarafından uygulanan izolasyon mekanizmalarını kullanma konusunda farklı düşünmek ve bunları yalnızca kuruluşun en hassas sistemlerini güvence altına almak için değil, aynı zamanda kuruluşları en riskli ağlardan ve uygulamalardan korumak için kullanmak anlamına gelir; örneğin, büyük ölçüde değerlendirilmemiş koddan oluşan 1 milyardan fazla web sitesi ve çevik ve özellik açısından zengin ancak güvenli olmayan web tarayıcıları, yalnızca geçen yıl toplamda 19 sıfır günlük güvenlik açığı olan uygulamalar.
İş öncelikleri, kullanıcıların büyük çoğunluğunun açık İnternet’te barındırılan bilgilere az çok sınırsız erişiminin olmasını gerektirir. Örneğin enerji sektöründe, tüccarlar dünya çapında jeopolitik, hava durumu ve lojistik koşullar hakkında İnternet araştırması yapmak zorunda kalabilir; finans sektöründe, analistler birleşme ve satın almaları desteklemek için hassas inceleme operasyonları yürütmek zorunda kalabilir. Bu faaliyetlerin hızı o kadar hızlıdır ki siber güvenlik ekipleri her siteyi ayrı ayrı değerlendirmek için zamana veya kaynağa sahip değildir, bu nedenle bunun yerine üçüncü taraflarca oluşturulan “bilinen kötü” sitelerin listelerine güvenir ve bunları engeller veya en iyi durumda, ağa girmesine izin vermek için kötü amaçlı kod barındırmayan “bilinen iyi” sitelerin üçüncü taraflarca oluşturulan listelerine güvenirler. Yine de hem “bilinen kötü” hem de “bilinen iyi” listeler “kötü”nün neye benzediğini bilmeye dayanır ve 2023’te tarayıcılara karşı yaklaşık 20 sıfır günlük saldırının da kanıtladığı gibi, “kötü” tanımı sürekli olarak değişmektedir.
Büyük kuruluşların sistemlerini etkilemeden önce “kötü”yü belirleme konusunda kedi fare oyunu oynamak yerine, donanım tarafından uygulanan tarayıcı izolasyon çözümleri, en açıkça güvenilen etkinlikler hariç olmak üzere tüm etkinlikleri bir kuruluşun sistemlerinden uzak tutar. Bunun yerine, riskli tarama bulutta barındırılan işlemcilerde yürütülür ve etkileşimli bir video akışına dönüştürülür ve tuş vuruşlarını ve fare hareketlerini OT ağlarını korumak için kullanılan aynı tür tek yönlü, sabit işlevli donanım aracılığıyla geri gönderir. Bu tür teknolojiyi web taramasına uygulayarak, kuruluşlar kötü amaçlı kod için en az güvenli erişim noktalarından birini ve çalınan veriler için güvenliği en zor çıkış noktalarından birini tek seferde kaldırabilir.
CISA, kurumsal ağlar içindeki veri erişimine daha ayrıntılı bir yaklaşım benimsemek için SSE ve SASE çözümleri gibi kontrollere geçişi tavsiye etmekte haklıdır ve CISA, en hassas ağlar için donanım tarafından uygulanan segmentasyon gibi daha sağlam kontroller çağrısında bulunmakta haklıdır. Ancak gezegendeki en büyük, en yüksek tehditli ağa -açık İnternet’e- karşı korumayı, altüst edilebilecek yazılım tabanlı çözümlere bırakmak, o yazılımın da tehlikeye atılıp atılmayacağı değil, ne zaman atılacağı sorusunu gündeme getirir. Ağın hem en yüksek riskli hem de en yüksek hassasiyetli kısımlarında donanım kullanarak güvenliği uygulamak daha güvenli bir seçenek sunar.
Reklam