Yeni dağıtımlar, hizmet dışı bırakılan varlıklar ve bulut sağlayıcılarına devam eden geçişler nedeniyle varlıkların sürekli değiştiği günümüz saldırı yüzeyi yönetimi (ASM), çoğu kuruluş için göz korkutucu bir görev olabilir. Varlıklar yaratılabilir ve unutulabilir, ancak yıllar sonra ofis masasının altındaki gizemli web sunucusu araştırılırken bulunabilir.
Sektörümüzde, halka açık uygulamaların riske atılması veya bilinen güvenlik açıklarından yararlanılması nedeniyle gerçekleşen izinsiz girişlerin sayısı çok yüksektir.
Var olduğunu bilmediğiniz bir şeyi nasıl yamayabilir ve güçlendirebilirsiniz?
Ortalama bir kuruluşun tesisleri, bulutu ve üçüncü taraf barındırmayı kapsayan geniş bir alanı vardır. Kuruluşun büyüklüğüne bağlı olarak etki alanlarının, alt etki alanlarının ve tahsis edilen IP aralıklarının analizi genellikle binlerce, yüz binlerce ve hatta milyonlarca varlığı içerir.
Herhangi bir zamanda geçici bir yanlış yapılandırma veya açığa çıkma meydana gelebilir ve bunlar çok hızlı bir şekilde düzeltilebilse de, bu sorunları tespit etme fırsat penceremiz küçüktür. Bu nedenlerden dolayı, saldırı yüzeyi yönetimi araçlarının son derece ölçeklenebilir ve hızlı olması, varlıkları bulma ve geçici riskleri tespit etme toplam süresini azaltmak için kabul edilebilir doğruluk kaybı seviyelerini dengelemesi gerekir. Milyonlarca varlığa sahip bir saldırı yüzeyinde geleneksel bir yavaş tarama tamamlandığında, sonuçlar çoktan güncelliğini kaybetmiş olabilir.
ASM’nin arzu edilen bir sektör nişi olarak hızlı yükselişi, onu gerçekten çoğu kuruluşun güvenlik stratejilerinin önemli bir parçası haline getirdi. Endüstrinin gösterdiği ilgi, saldırı yüzeylerini belirlemeye yönelik yeni yöntem ve tekniklere yönelik yenilikleri ve araştırmaları teşvik etti. SaaS platformu teklifleri veya çevre öngörüleri kazanmak isteyen kişiler tarafından yönlendirilen ASM çabalarına yardımcı olmak için geniş açık kaynaklı araç paketleri geliştirildi.
Çoğunlukla ASM, giderek daha fazla varlığı ve organizasyonel bağlamı tanımlamak için sürekli olarak yeni bilgilerden yararlanan yinelemeli bir keşif çalışmasıdır. Başlamak için genellikle gereken tek şey bir başlangıç alan adı veya “çekirdek veri noktası”dır.
Varlıkların keşfedilmesinde kullanılan birçok veri kaynağı tamamen pasif olarak çalışabilir ve hedef kuruluşun altyapısıyla etkileşime girmeden yapılabilir.
Temel keşfi gerçekleştirirken, başlangıçtaki birkaç soruyu yanıtlamayı hedefliyorsunuz:
- Kuruluşum dışarıdan bir saldırgana nasıl görünüyor? Tarihsel satın almalar, sektör dikeyleri, tarihi olaylar.
- Kuruluşum kaç alanı kontrol ediyor?
- Kuruluşumun kaç alt alanı var?
- Kuruluşumun kaç ağ aralığı var?
- Varlıklar hangi bulut sağlayıcılara dağıtılıyor?
- Keşfedilen varlıklardan kaçının aktif DNS kaydı var?
- Keşfedilen varlıklardan kaç tanesinin açık bağlantı noktası/hedeflenebilir hizmeti var?
- Bu varlıklardan kaç tanesi halihazırda varlık kayıtlarımızda yer alıyor?
Bir kuruluşla ilgili ek bilgi edinmek için izlenebilecek sonsuz yol vardır, ancak bunlar iyi bir başlangıç noktasıdır.
Kuruluşlar, çevre değişikliklerini tanımlamaya yardımcı olabilecek kolay, tekrarlanabilir ve ölçeklenebilir iş akışlarına olanak tanıyan bağımsız komut satırı araçlarını kullanarak, saldırı yüzeylerinin çeşitli bölümlerine ilişkin hızlı bir şekilde içgörü elde edebilir.
Ticari bir ASM satıcısının desteğini almak bir seçenek değilse, bu iş akışlarını oluşturmak birçok güvenlik kullanım senaryosuna yardımcı olabilir ve bazı ücretli araç teklifleriyle karşılaştırıldığında rekabetçi sonuçlar sağlayabilir.
Kuruluşların popüler açık kaynak araçlarını kullanarak kolayca yeniden oluşturabilecekleri bazı yaygın güvenlik kullanım durumları şunlardır:
- Kuruluşunuzun birincil alanıyla ilişkili alt alan adlarını keşfedin: Aşağıdaki gibi açık kaynaklı araçları kullanma alt bulucu Project Discovery’den, bir etki alanıyla ilişkili geçmiş ve güncel alt etki alanlarını tanımlamak için sertifika şeffaflığı gibi çeşitli pasif veri kaynaklarından bilgi alabilirsiniz.
- Etkin DNS kayıtlarıyla kuruluşunuz genelindeki varlıkları tanımlayın: Aşağıdaki gibi açık kaynaklı araçları kullanma dnsx Project Discovery’den veya zdn’ler ZMap Projesi’nden, çeşitli sorgu türlerinde mevcut DNS kayıtlarına sahip varlıklar hakkında bilgi edinmenize olanak sağlayabilir. Ek olarak, mevcut A/AAAA/CNAME kayıtlarına sahip varlıkların belirlenmesi, kuruluşların ek inceleme ve daha fazla zenginleştirme için varlıklara öncelik vermesine olanak tanıyabilir.
- Kuruluşunuzdaki etkin web uygulamalarını belirleyin: gibi açık kaynaklı araçları kullanma httpx Project Discovery’den veya kapmak2 ZMap Projesi, web uygulamalarını ve bunlarla ilişkili web çerçevelerini tanımlamanıza ve parmak izini almanıza olanak tanır. Ayrıca, HTTP sunucusu, HTTP başlığı, favicon karması gibi ortak başlık bilgilerini içeren okunması kolay CSV/JSON dosyaları oluşturmak ve web uygulaması yanıtlarını depolamak, yeni yayımlanan güvenlik açıklarına yanıt olarak belirli teknolojilerin kolayca tanımlanmasına olanak sağlayabilir.
- Yaygın dosya açıklarını ve yanlış yapılandırmaları belirleyin: gibi açık kaynaklı araçları kullanma çekirdekler Project Discovery sayesinde bir kuruluş, genel kullanıma açık web uygulamalarını yaygın yanlış yapılandırmalara ve yapılandırma dosyaları gibi yüksek riskli dosya açıklarına karşı hızla değerlendirebilir. Kabul edilebilir risk seviyelerinize göre güvenlik açığı şablonlarını uygun şekilde incelediğinizden emin olun. Bazıları müdahalecidir ve geride eserler bırakabilir.
Yukarıdaki kullanım örnekleri hiçbir şekilde kapsamlı değildir veya belirli varlık türlerini tanımlamak için en etkili metodoloji değildir. Yine de, çevreniz hakkında ne kadar bilgi sahibi olmadığınızı belirlemek için kolayca tekrarlanabilir bir başlangıç mekanizması sağlayabilirler ve buradan geliştirilebilecek kolay alanları belirleyebilirsiniz.
Son olarak, çoğu kuruluşun üçüncü taraf işbirliği sitelerinde ve kod barındırma platformlarında sıklıkla önemli bir çevrimiçi varlığı vardır ve bu, hassas bilgilerin yanlışlıkla kamuya açık bir şekilde ifşa edilmesine neden olabilir. Sızan kimlik bilgilerinin ve hassas bilgilerin belirlenmesi, eğer gizli tarayıcılar tarafından hemen işaretlenmezse, genellikle önemli bir bekleme süresine sahip olur ve ifşaatın uzun süre kamuya açık hale gelmesine neden olabilir.
Kuruluşlar, GitHub Etkinlik API’sine abone olan açık kaynaklı araçları kullanarak birincil alan adlarıyla ilişkilendirilebilen genel GitHub taahhütlerini neredeyse gerçek zamanlı olarak izleyerek bir adım önde kalabilirler. Kuruluşunuzla ilgili sırların ne zaman yayınlandığını tespit etmek için kapsamlı bir yöntem olmasa da, GitHub ön işleme kancası ve daha geniş bir güvenlik stratejisiyle birleştirildiğinde, sırların daha erken düzeltilmesi için gereken süreyi önemli ölçüde artırabilir ve genel güvenlik durumunu iyileştirebilir.
Genellikle kuruluşunuzla ilgili geniş bir veri kümesi toplamak yalnızca bir başlangıç noktasıdır ve ek zenginleştirme, kurumsal bağlam ve içgörülerle zaman içinde olgunlaşıp geliştirilebilecek bir şeydir.