Nispeten yeni bir güvenlik kategorisi olarak tanıştığım birçok güvenlik operatörü ve yöneticisi bize “Bu Otomatik Güvenlik Doğrulama (ASV) araçları nelerdir?” Geçmişte bunu oldukça kapsamlı bir şekilde ele aldık, bu yüzden bugün “ASV nedir?” ” konusuna değinmek istedimNeden ASV?” soru. Bu makalede, insanların ASV araçlarını her gün nasıl yanlış kullandıklarına ve yanlış anladıklarına ilişkin bazı yaygın kullanım örneklerini ve yanlış anlamaları ele alacağız (çünkü bu çok daha eğlenceli). İşleri başlatmak için başlangıç gibi başlayacak bir yer yok.
Otomatik güvenlik doğrulama araçları, bir kuruluşun siber güvenlik savunmasının sürekli, gerçek zamanlı değerlendirmesini sağlamak üzere tasarlanmıştır. Bu araçlar süreklidir ve EDR, NDR ve WAF’ler gibi savunmaları doğrulamak için istismardan yararlanır. Güvenlik açığı tarayıcılarından daha derinlemesinedirler çünkü manuel sızma testlerinde göreceğiniz taktik ve teknikleri kullanırlar. Güvenlik açığı tarayıcıları, hash’leri aktarmaz veya güvenlik açıklarını daha sonraki saldırılar için birleştirmez; ASV’lerin parladığı nokta da budur. Amaçları isimdedir: savunmaları “doğrulamak”. Sorunlar veya boşluklar ele alındığında, bunların gerçekten düzeltildiğini doğrulamamız gerekir.
ASV’ye neden ihtiyaç duyulur?
Bu da bizi şu noktaya getiriyor: gösteriliyor bunun bir parçası ve bunun için öğretmenimiz M.Ö. 600 civarında yaşayan Yunan hikaye anlatıcısı Ezop’tur. Daha önce duyduğunuzu bildiğim Kurt Ağlayan Çocuk adında bir hikaye yazdı ama tazelemeye ihtiyaç duyarsanız tekrar paylaşacağım:
Masal, köyü bir kurt gördüğüne inandırmaya çalışan bir çoban çocuğunun hikayesini anlatır. İlgiden mi, korkudan mı, yoksa görme yeteneğinin kötü olmasından mı motive olmuştu? Bilmiyorum. Mesele şu ki, ellerini defalarca havada sallıyor ve “Kurt!” görünürde kurt olmadığında. Bunu o kadar sık yapıyor ki kasaba halkını onun çağrılarına karşı duyarsızlaştırıyor, böylece gerçekten bir kurt olduğunda kasaba ona inanmıyor ve çoban çocuğu yiyor. Çoğu Yunan masalında olduğu gibi bu da çok yürek ısıtan bir hikaye.
Ağlayan Sistem Yöneticisi Düzeltildi
Modern siber güvenlikte yanlış pozitif, “ağlayan kurt” ile eşdeğerdir. Kötüye kullanılma şansı olmamasına rağmen tehditlerin uyarıldığı yaygın bir uygulama sorunu. Ancak bu hikayenin kapsamını yeniden ele alalım çünkü yanlış pozitiften daha kötü olan tek şey yanlış negatiftir.
Çocuğun, kurt olmadığında “kurt ağlamak” yerine “her şey yolunda” dediğini ve kurdun koyunların arasında saklandığını asla fark etmediğini hayal edin. Bu yanlış bir negatiftir, bir tehdit yaygınlaştığında uyarı almamaktadır. Çocuk tuzakları kurduktan sonra artık bir tehdit olmadığına ikna oldu, ancak tuzakların aslında kurdu engellemek için çalıştığını doğrulamadı. Yani Ağlayan Kurt’un yeniden kapsamı değiştirilmiş versiyonu şöyle bir şeye dönüştü:
“Ah, etrafta gizlenen bir kurt olduğunu düşündüm. Onunla ben ilgileneceğim” diyor çocuk.
Böylece çoban talimatları takip eder: Kurt tuzakları kurar, kurtları öldüren bir güvenlik aracı satın alır, hatta kurdu kendi alanından çıkarmak için bir Grup İlkesi Nesnesi (GPO) bile koyar. Daha sonra yaptığı işten gurur duyarak şehre gider.
Yerel meyhanede bira içerken çoban arkadaşlarına “Bana bir kurt olduğunu söylediler, ben de hallettim” diyor.
Bu arada gerçek şu ki, kurt tuzaklardan kaçabiliyor, yanlış yapılandırılmış kurt öldürme aracını geçebiliyor ve GPO’yu umursamayacak şekilde uygulama düzeyinde yeni politikalar belirleyebiliyor. Kasabanın Etki Alanı Yöneticisi (DA) kimlik bilgilerini ele geçiriyor, bunları aktarıyor, kendisini belediye başkanı ilan ediyor ve ardından kasabayı bir fidye yazılımı saldırısına karşı tutuyor. Kasabanın bir kurda 2 Bitcoin borcu var, yoksa koyunlarını ve bir kamyon dolusu kişisel bilgileri kaybedecekler.
Çoban çocuğun yaptığı şeye yanlış negatif denir. Tehdit hiçbir zaman tamamen etkisiz hale getirilmediğinde sahte bir güvenlik duygusu içinde yaşayan bir kurdun olmadığını düşünüyordu. Ve şimdi tamamen yanlış sebeplerden dolayı Twitter’da trend oluyor.
Gerçek hayattan senaryo zamanı!
Kurtlar nadiren bilgi güvenliğine yönelik bir tehdit oluşturur, ancak kim olduğunu biliyor musunuz? Arka kapısı olan, ağınızda bir dayanak noktası olan, kimlik bilgilerini dinleyen o kötü aktör. Bunların hepsi çok iyi arkadaşları olan eski isim çözümleme protokolleri sayesinde mümkün oluyor.
İsim çözümlemesi zehirlenmesi saldırıları, iyileştirme söz konusu olduğunda ortadan kaldırılması zor bir hatadır. DNS’niz yanlış yapılandırılmışsa (ki bu şaşırtıcı derecede yaygındır) ve GPO, başlangıç komut dosyaları veya kendi programınız aracılığıyla ortadaki adam saldırılarında kullanılan iyi LLMNR, NetBIOS NS ve mDNS protokollerini devre dışı bırakmadıysanız özel sos, o zaman başınız belaya girebilir. Ve kurdun kendisine bir bardak süt vermiş olabileceği yerde, saldırganınız da hassas verilere ulaşmış olacak.
Bir saldırgan kimlik bilgilerini ele geçirirse ve SMB imzalamayı etkinleştirmediyseniz Ve etki alanına katılan tüm makinelerinizde gerekliyse (bunu yapıp yapmadığınızı merak ediyorsanız muhtemelen bilmiyorsunuzdur), o zaman saldırgan hash’i aktarabilir. Bu, yakalanan karma değeri bile kırmadan etki alanına katılan makineye erişim sağlayacaktır.
Ahh!
Artık dost canlısı köy pentester’ınız bu sorunu buluyor ve sistem yöneticisine yani çobanımıza, tüm bu saldırı dizisini önlemek için yukarıda belirtilen düzeltmelerden birini yapmasını söylüyor. Bunu elinden geldiğince düzeltir. GPO’ları yerleştiriyorlar, süslü araçları alıyorlar, TÜM şeyleri yapıyorlar. Peki ölü kurt görüldü mü? Tehdidin düzeltildiğini biliyor muyuz?
Saldırgan, montaja değer bir dizi köşe kasası aracılığıyla yine de içeri girebilir, çünkü neredeyse her zaman köşe kasaları olacaktır. Etki alanına katılmamış bir Linux sunucunuz, GPO’yu yok sayan ve yine de kimlik bilgilerini yayınlayan bir uygulamanız olacak. Daha da kötüsü (*ürperiyor*), kimliği doğrulanmış numaralandırmayı kullanan, genel olarak ağa güvenen ve DA kimlik bilgilerini herkese gönderen bir varlık keşif aracı.
Yanlış Alarmlar Düzeltildi
Siber tanrıların bize ASV’yi vermesinin nedeni budur, çünkü ASV, kurt hayaleti gibi yan işleri olan, yırtık kasabanın oduncusu. Kurt gibi davranacak. Kimlik bilgilerini koklayacak, karmayı yakalayacak ve bunu etki alanına katılmış makineye iletecek, böylece sistem yöneticisi etki alanına katılmamış ve GPO’yu dinlemeyen sinir bozucu tek sunucuyu bulabilir.
Hepsini eve getirelim. Sadece mantıklı olan bazı şeyler var. Bir kurdu görmeden ölü olarak adlandıramazsınız ve şüphesiz, onu gerçekten doğrulamadan bir şeyin düzeltilmiş olduğunu söyleyemezsiniz. Bu yüzden ‘Ağlayan Sistem Yöneticisi Düzeltildi’ olmayın.
Bu makale Pentera’nın Saha CISO’su Jason Mar-Tang tarafından yazılmıştır.
Daha fazlasını öğrenmek için pentera.io adresini ziyaret edin.