YORUM
Ivanti’nin varlık yönetim yazılımına yapılan saldırının ardından, Siber Güvenlik ve Altyapı Güvenlik Ajansı’ndan kararlı bir eylem talep edildi (CISA), ne öğrenebiliriz? Bu olay, istismar teknikleri, güvenlik ihlallerine kurumsal yanıt ve kesinti süresinin hızla artan maliyeti hakkında yeni sorular ortaya çıkarıyor.
Öncelikle, neler olduğunu parçalayalım. Açıklananlara göre, Ivanti’nin sistemindeki güvenlik açıkları, özellikle de VPN ağ geçiditehdit aktörlerinin kimlik doğrulamasını atlatıp yetkisiz erişim elde etmesini sağladı. Kötü amaçlı olarak hazırlanmış paketleri VPN ağ geçidine göndererek saldırganlar, kimlik bilgilerini çalmaya gerek kalmadan sisteme sızmak için serbest geçişe sahip oldu. İçeri girdikten sonra, etki alanı yöneticisi kimlik bilgileri de dahil olmak üzere kullanıcı kimlik bilgilerini dışa aktarabilirlerdi.
Saldırganlar ayrıca, kötü amaçlı kodu Ivanti cihazına enjekte etmek için ikinci bir güvenlik açığından yararlandı ve bu da onlara VPN’e sürekli erişim sağladı (örneğin, yeniden başlatma veya yamaya rağmen kötü amaçlı kontrolü sürdürme). Bir saldırganın bir VPN ağ geçidine sürekli erişimi özellikle tehlikelidir çünkü saldırgan artık VPN içinde yanal olarak hareket edebilir ve ağ geçidinin güvenilir konumunu kullanarak kritik kimlik bilgilerine ve verilere erişebilir. Sonuç: VPN’i tehlikeye atan bir saldırı kötüdür, ancak burada saldırı, çok daha kötü olan depolanmış ayrıcalıklı yönetici hesabı kimlik bilgilerinin ele geçirilmesini sağladı.
Buna karşılık, CISA, ihlalin doğası göz önüne alındığında, kuruluşlara kritik kimlik bilgilerinin çalındığını varsaymaları gerektiğini bildirmek için müdahale etti. Daha büyük endişe, Ivanti’nin ihlali tespit edememesiydi; bu da saldırganların güvenilir bir bölgede serbestçe çalışmasına, sıfır güven ilkelerini atlatmasına ve hassas veriler için daha yüksek riskler oluşturmasına neden oldu.
Güvenlik açıklarının ciddiyeti ve yaygın bir şekilde istismar edilme potansiyeli nedeniyle, CISA, Ivanti’nin iki sistemini çevrimdışı bırakarak daha ileri bir adım attıBu, hasar ve riskin dikkatli bir şekilde değerlendirilmesi sonucunda alınan alışılmadık bir güvenlik önlemidir.
CISA, güvenilir bölgelerde saklanan ayrıcalıklı idari kimlik bilgilerinin çalınma riskinin, tamamen kapanmanın dezavantajından çok daha büyük olduğu sonucuna doğru bir şekilde vardı. Hesaplama, sistemin en değerli varlıkları olan en güçlü kimlik bilgilerini korumak için, ihlalin patlama yarıçapını en aza indirmek için derhal harekete geçilmesi gerektiğiydi, çünkü sistemi güvenli bir şekilde çalıştırabileceklerinden emin olamazlardı.
Görünen o ki, Ivanti daha sonra yamaların gizlice dağıtılabileceğini ve bunun da tüm sistemin durmasına gerek kalmayacağını açıkladı. Bu yanlış iletişim, bir kriz sırasında açık kanalların olmasının önemini vurgular. Karma mesajlar gereksiz kaosa neden olur.
Sert ve Yumuşak Maliyetin Ölçülmesi
Tüm sistem düzeyinde kesintiler maliyetlidir. Kapatma ve kurtarmayı güvenli ve sorunsuz bir şekilde yönetmek için gereken BT kaynakları, genellikle hizmetlerin tamamen kesintiye uğraması, kullanıcı kesintisi ve aşağı yönlü etkiler (hizmet kesintileri yaşayan müşteriler veya bağımlı kuruluşlar gibi) nedeniyle oluşan kayıplarla daha da artar. İtibar ve hizmet düzeyi sözleşmesi hususlarından bahsetmiyorum bile.
Ivanti’nin durumunda, tam maliyeti asla bilemeyiz. Üst uçta, bir VPN’in işgücünün bir kısmı için kritik bir görev olduğunu varsayarsak, kesinti süresi o kullanıcı topluluğu için bir iş durdurma senaryosudur ve bu nedenle çok pahalıdır. Alt akış müşterileri, işletmeler ve kullanıcılar da etkilenir. Bu, kesinti maliyetlerine yol açması muhtemel “uyanma” riskini tartma açısından bir saldırının sonrasını ele alan bizler için bir uyarı olmalıdır.
CISA’nın risk hesaplamasına ilişkin kesinti süresi, saldırının “patlama yarıçapı”nın değerlendirilmesine dayanıyordu. Bu durumda, VPN ağ geçidinden yanal hareket, ağ geçidinin doğal olarak güvenilir konumu ve saldırganın depolanan kimlik bilgilerini (ayrıcalıklı hesaplar dahil) dışa aktarma yeteneği nedeniyle nispeten daha kolaydı.
Bu ihlalin patlama yarıçapı özellikle büyüktü çünkü saldırganlar depolanan kimlik bilgilerini çalabiliyor ve bunları yanal olarak hareket etmek için kullanabiliyordu. Saldırıların patlama yarıçapını en aza indirmek, en az ayrıcalık ilkesini (örneğin, sıfır güven) kullanan sistemler inşa ederek elde edilir. Ancak, kimlik bilgilerini depolayan bir hizmet, doğası gereği, değilse bile, , — herhangi bir sistemdeki en güvenilir hizmet. Bu nedenle CISA’nın daha fazla tehlikeye girme riskinden ziyade onu kapatma çağrısı yapması şaşırtıcı değildir.
Peki, çıkarım ne? Ivanti’nin yazılımındaki güvenlik açıklarının istismar edilmesi, dijital çağda kuruluşların karşı karşıya olduğu tehdidin bir hatırlatıcısıdır. Riskleri azaltmak ve kritik varlıkları korumak için sağlam siber güvenlik önlemlerine ve proaktif altyapı tasarımına ve yanıt stratejilerine olan ihtiyacın altını çizer. BT altyapısındaki yüksek değerli hedeflerin sayısını azaltmak, saldırıların patlama yarıçapını en aza indiren ve dolayısıyla saldırılar gerçekleştiğinde geniş çaplı kapatmalara olan ihtiyacı azaltabilen önemli bir adımdır. Ayrıcalıklı hesap kimlik bilgileri ve saklanan anahtarlar en yüksek değerli hedefler arasındadır ve BT liderleri bu tür hedefleri en aza indiren veya ortadan kaldıran stratejilerin ve teknolojilerin benimsenmesini hızlandırmalıdır. Kuruluşlar bu olayın sonrasında yol alırken, gelecekteki tehditlere karşı korunmada iş birliği, net iletişim ve sürekli dikkat esastır.