Hadi gerçeği açıklayalım: Çoğu şirket için en büyük risk son dakika haberleri değildir. Yavaş yama uygulaması, zayıf bölümleme ve güvenlik hijyeni eksikliği nedeniyle giderilmeyen bilinen zayıflıklar vardır. Bunlar sözde “bir gün”dür ve modern saldırganların ekmeğini ve tereyağını oluştururlar.
Mükemmel bir dünyada bu sorunlar daha yüksek bütçelerle, ek güvenlik uzmanlarıyla ve gün içinde daha fazla saatle çözülebilirdi. Ancak içinde yaşadığımız dünya bu değil. Ortalıkta yeterli güvenlik uzmanlığı yok ve kimse karşılığında güvenilebilecek ölçülebilir bir yatırım getirisi olmadan daha büyük çekler yazmak istemiyor. Dolayısıyla paranın nereye gittiğini ve şu anda güvenebileceğimiz emeği nasıl destekleyeceğimizi yeniden düşünmemiz gerekiyor. Cevap: otomasyon.
Gerçek Riskin Yaşadığı Yeres
Kariyerimi çitin her iki tarafında da geçirdim. İlk başta beyaz şapkalı bir bilgisayar korsanı ve penetrasyon testçisiydim ve bugün, eskiden girdiğim ortamları korumak için araçlar geliştiriyorum. Bankalardan hastanelere kadar her konuda kalem testleri yaptım. O zaman gördüklerim şimdi hâlâ geçerli: Başarılı saldırıların büyük çoğunluğu, henüz düzeltilmemiş bilinen güvenlik açıklarından yararlanıyor.
Birçok modern saldırı, bir yamanın mevcut olduğu ancak uygulanmadığı bilinen güvenlik açıklarından yararlanır. Çoğu durumda, birkaç yıldır bilinmektedirler. Şirket içindeki hiç kimse teknik olarak bunları bilmese bile, bunlar temel güvenlik hijyeni ve en iyi uygulamalara bağlılıkla kolaylıkla önlenebilecek sorunlardır.
Sorun yalnızca ortalama yama süresinin (MTTP) çok uzun olması değil. Pek çok kuruluş, saldırganların avantaj elde etmesinden önce güvenlik açıklarını belirleyecek, önceliklendirecek ve düzeltecek güvenlik olgunluğuna hâlâ sahip değil. Zayıf segmentasyon, konfigürasyonun bozulması, yetersiz ağ hijyeni ve insan hatası, rakiplere kolay bir yol sağlayan kronik, iyi belgelenmiş zayıflıklar olmaya devam ediyor. Ne yapacağımızı bilmediğimiz için temeller başarısız olmuyor. Yeterince hızlı yapamadığımız için başarısız oluyorlar.
Düz S’deki istismarlartamam
Küçük, günlük güvenlik açıklarından yararlanmanın ne kadar kolay olduğuna ilk elden tanık oldum.
Yıllar önce bir hastanede kalem testi yapmıştım. Acil servisin bekleme odasında hasta kılığına girdim. Arkamda bir ağ yazıcısı vardı. Fişi çıkarıp dizüstü bilgisayarımı taktığımda kimse soru sormadı. Birkaç saniye içinde kurumsal ağın içindeydim; segmentasyon yok, erişim kontrolü yok. Çevreyi taradım ve hastanenin tüm telefon merkezini keşfettim. Hizmet reddi aracını test ederken, hastane katındaki her telefonun aynı anda çalmasını tetiklemeyi başardım. Kaotik bir durumdu. Bu akıllıca bir sıfır gün değildi. Bu, NIST ve CIS güvenlik çerçevelerinde yıllardır iyi bir şekilde belgelenen zayıf ağ bölümlemesi ve yazıcı yönetimi eksikliği ile ilgili ders kitabı niteliğindeki bir durumdu.
Şans eseri, iyi adamlar için çalışıyordum, ancak siyah şapkalı haydut bir hacker olsaydım, tek bir oturumda tam erişim elde etsem ve kötü niyetli bir veri yükleseydim, sonuçların ne olacağını hayal edin. Hastanelerin ulaşılabilir olması gerekiyor. Hayat buna bağlı. Ancak yine de bu ortamda, yönetilmeyen tek bir yazıcı bir saldırı vektörü haline geldi.
Bankalar pek iyi değildi. Bir kurum, bankadan yeni müşterileri katılmaya davet eden resmi e-postalar gönderen bir müşteri yönlendirme kampanyası başlattı. Bu e-postaları dahili olarak göndermek üzere nasıl çevireceğimizi bulduk ve çalışanları hedef alan bir kimlik avı saldırısı oluşturmak için metni değiştirdik. “Tatil hediyenizi seçin“E-postada şöyle yazıyordu. Bu, kimlik bilgilerini toplamak için tasarladığımız sahte bir SharePoint oturum açma sayfasına yönlendirdi. İçeri girdikten sonra dahili web portallarını dolaştık ve sonunda hassas müşteri verilerine eriştik.
Bir kez daha, bu bir segmentasyon ve konfigürasyon sorunuydu, manşetlere çıkan bir sıfır gün değil.
İnsan Darboğazı
Güvenlik ekipleri yama yapmanın acısını biliyor. Ben de oradaydım. Bir zamanlar 20.000 makineli bir emeklilik fonunun güvenliğini yönetiyordum. Güncellemeleri koordine etmek, uyumluluğu doğrulamak, kesinti sürelerini önlemek; özellikle çeşitli işletim sistemleri ve uç noktalara sahip hibrit ortamlarda lojistik bir kabustur.
Ancak siber güvenlik bir bahane işi değildir; bu bir sonuç işidir. Saldırganlar, ellerinin üstüne oturup savunmacıların saldırmadan önce ördeklerini sıraya koymasını beklemezler. Her gecikme, her yanlış yapılandırma, her bölümlere ayrılmamış yazıcı sudaki kandır.
En iyi niyetle bile çoğu kuruluş çok yavaş hareket eder. Araştırma, yüksek öncelikli kritik güvenlik açıkları için çoğu ekibin düzeltme süresini ortalama 60 ila 150 güne kadar kısaltabildiğini gösteriyor. Birçok sektörde bu iyi bir şey olarak kabul edilir. Bazı aşırı başarılı ekipler, iki haftalık Hizmet Düzeyi Anlaşmalarını (SLA’lar) bir kazanç olarak öne sürüyor; ancak bu yine de 14 günlük bir süre anlamına geliyor. Saldırganın zamanında bu sonsuzluktur.
Sonraki Sınırı Otomatikleştirme
Savunmacılar her zaman haklı olmak zorundadır. Saldırganların yalnızca bir kez haklı olmaları gerekir. Onlara küçük bir fırsat verin, bunu değerlendireceklerdir.
Saldırganlar ve savunucular arasındaki asimetri, insan liderliğindeki iyileştirmelerin artık bu sorunu çözememesinin nedenidir. İnsan faktörü çok önemli olsa da bir darboğaz haline geliyor. En yetenekli mühendisler bile modern saldırı yüzeylerinin ölçeğine ayak uyduramaz. Geriye düşmek çok kolaydır.
Güvenlik planımızda otomasyonun rolüne ilişkin beklentilerimizi ayarlamalıyız. Güvenlik iş akışlarının tersine çevrilmesi gerekiyor: İnsan ekipleri uç durumları doğrularken, otomasyon kararların ve eylemlerin çoğunu yönetecek. Bu şekilde ölçeklendiriyoruz.
Güvenliğin geleceği, düzeltme süresinin haftalardan saatlere, hatta dakikalara indirilmesini gerektirecektir. Bu, önceliklendirmenin içgüdüye dayalı değil, algoritmik olması gerektiği anlamına gelir. İyileştirmenin bilet bazlı değil, otomatik olması gerekir.
Modern iyileştirme sistemlerinin yalnızca güvenlik açıklarını tespit edip önceliklendirmesi değil, aynı zamanda genellikle bir bildirim oluşturulmadan önce hafifletici önlemleri bağımsız olarak dağıtması gerekir.
Hız Hayatta Kalmaktır
İhlaller yaşanacak. O kısım kaçınılmaz. Ancak fırsat penceresini aylardan dakikalara indirebilirseniz patlama yarıçapını büyük ölçüde azaltacaksınız. CISO’nuzla yaptığınız bir toplantıdaki madde işareti ile Bloomberg manşeti arasındaki fark budur.
Eskiden içeri giren biri olarak bana güvenin: Kazanan savunmacılar en hızlı hareket edenlerdir. Ve bugün bu, ilk önce otomasyonu gerçekleştirenler anlamına geliyor.
Yazar Hakkında
Roi Cohen, Vicarius’un CEO’su ve Kurucu Ortağıdır. Vicarius’un CEO’su ve Kurucu Ortağı olarak, işletmelere risk yönetimi çözümleri sunan bir siber güvenlik şirketinin satış, pazarlama ve müşteri başarısı ekiplerine liderlik ediyor. Siber güvenlik sektöründe yirmi yılı aşkın deneyime sahip olan Roi, yüksek performanslı ekipler oluşturma ve yönetme, yenilikçi ürünler sunma ve gelir hedeflerini aşma konusunda güçlü bir geçmişe sahiptir.
Roi’nin siber güvenlik konusundaki uzmanlığı, CyberArk ve CYBERTINEL’de kötü amaçlı yazılım araştırma ekibi lideri olarak önceki rollerinden kaynaklanmaktadır; burada birden fazla güvenlik açığı araştırma projesi başlatıp yürütmüş, siber güvenlik değerlendirme araçları geliştirmiş ve siber güvenlik alanında patentler yazıp sunmuştur. Ayrıca Tel Aviv Üniversitesi’nden Teknoloji, İnovasyon ve Girişimcilik Yönetimi alanında MBA derecesine sahiptir ve bu, onu teknoloji sektöründe etkili iş stratejileri oluşturma ve yürütme konusunda gerekli bilgi ve becerilerle donatmıştır. Karmaşık siber güvenlik sorunlarını çözme ve müşterilerimize en son çözümleri sunma konusunda tutkuludur.
Roi’ye çevrimiçi olarak https://www.linkedin.com/in/roicohen/ veya https://www.vicarius.io/ adresinden ulaşılabilir.