ABD Siber Güvenlik ve Altyapı Güvenlik Ajansı (CISA), federal bir sivil yürütme organı (FCEB) kuruluşunun siber güvenlik hazırlığını değerlendirmek için SILENTSHIELD olarak bilinen önemli bir kırmızı takım çalışması yürüttü. Bu çalışma, ulus-devlet düşmanları tarafından düzenlenenlere benzer karmaşık siber saldırıları simüle ederek kuruluş içindeki güvenlik açıklarını belirlemeyi ve savunma yeteneklerini değerlendirmeyi amaçladı.
CISA’nın kırmızı takımı, gelişmiş tehdit aktörlerinin taktiklerini taklit eden taktikler kullandı ve kuruluşun Solaris bölgesindeki yamalanmamış bir web sunucusundaki bilinen bir güvenlik açığının istismarıyla başladı. Bu ilk ihlal, yetkisiz erişimi, ayrıcalık yükseltmeyi ve ağ genelinde yanal hareketi kolaylaştırdı.
Ele geçirilen kimlik bilgileri ve zayıf parolaların hassas ağ alanlarına derinlemesine sızmak için nasıl kullanılabileceğini göstererek, erişim kontrolü ve kimlik bilgisi yönetimindeki eksiklikleri vurguladılar.
CISA’nın Kırmızı Takımına İlişkin Görüşler SILENTSHIELD
CISA’ya göre, SSH tünelleri ve uzaktan erişim araçlarını kullanan kırmızı takım (SILENTSHIELD), kuruluşun altyapısında gezinerek yüksek değerli varlıklara erişti ve cron işleri ve benzeri mekanizmalar aracılığıyla kalıcılık sağladı. Bu, kuruluşun siber saldırganlar tarafından kullanılan yetkisiz yanal hareket ve kalıcılık taktiklerini tespit etme ve azaltma konusundaki zayıflıklarını gösterdi.
Kırmızı takım ayrıca Windows etki alanını ihlal etmek için kimlik avı vektörlerini kullandı ve etki alanı yönetimi ve parola güvenliğindeki kusurları açığa çıkardı. Bu uzlaşma, hassas verilere erişmelerine ve etki alanı denetleyicilerini tehlikeye atmalarına olanak tanıdı ve güven ilişkileriyle ilişkili riskleri ve sağlam etki alanı yönetimi uygulamalarının önemini vurguladı.
Tatbikat, kuruluşun karşılaştığı sistemsel siber güvenlik zorluklarını vurguladı. Bilinen güvenlik açıklarının gecikmeli olarak yamalanması, kritik sistemleri açığa çıkardı ve proaktif yama yönetimi protokollerine olan ihtiyacı vurguladı. Yetersiz parola politikaları ve zayıf kimlik doğrulama mekanizmaları, yetkisiz erişimi ve ayrıcalık yükseltmesini kolaylaştırdı. Ek olarak, yetersiz günlük kaydı ve izleme yetenekleri, kırmızı ekibin tespit edilmeden çalışmasına izin vererek kuruluşun tüm ağ altyapısını tehlikeye attı.
Red Team SILENTSHIELD ile Siber Tehditlere Karşı Azaltma
Bu raporlara yanıt olarak CISA, kuruluşun siber güvenlik duruşunu güçlendirmek için hedefli iyileştirmeler önerdi. Riskleri azaltmak ve çeşitli aşamalarda izinsiz girişleri tespit etmek için birden fazla güvenlik kontrolü katmanının uygulanmasını önerdiler. Ağlar arasında yanal hareketi kısıtlamak ve erişim kontrollerini geliştirmek için ağ segmentasyonunun güçlendirilmesi kritik olarak belirlendi.
Tehdit tespit yeteneklerini geliştirmek için geleneksel yöntemler yerine davranışa dayalı göstergelerin vurgulanması, güçlü parola politikalarının uygulanması, varsayılan parolaların ortadan kaldırılması ve kimlik bilgisi güvenliğini güçlendirmek için çok faktörlü kimlik doğrulamanın (MFA) uygulanması da önerildi.
Tatbikat boyunca CISA, kuruluşun teknik ekipleri ve liderliğiyle yakın bir şekilde iş birliği yaptı. Güvenlik açıklarını derhal ele almak için gerçek zamanlı geri bildirim ve eyleme dönüştürülebilir içgörüler sağlandı ve kuruluş içinde proaktif bir siber güvenlik kültürü oluşturuldu. Bu iş birlikçi yaklaşım, saldırgan ve savunmacı siber güvenlik operasyonları arasındaki boşluğu kapatmayı ve karmaşık siber tehditlere karşı kapsamlı koruma sağlamayı amaçlıyordu.
CISA’nın SILENTSHIELD kırmızı takım çalışması, hassas hükümet ağlarını korumada sağlam siber güvenlik uygulamalarının kritik önemini vurguladı. Yama yönetimi, kimlik bilgisi temizliği ve tespit yeteneklerindeki güvenlik açıklarını ele alarak kuruluşlar çevrimiçi tehditlere karşı dayanıklılıklarını artırabilir.