Birleştirildiğinde, doğru araştırmacıları çekmek için bir hata ödül programının planlanmasını destekleyen üç temel unsur vardır. Bu üç bileşen saldırı yüzeyi, güvenlik olgunluğu ve varlık karmaşıklığıdır. Bu makalede, bu unsurların her birini, birbirlerini nasıl etkilediklerini ve hata ödül programları üzerindeki etkilerini araştırıyoruz.
. saldırı yüzeyi Yetkisiz erişim elde etmek için kullanılabilecek bir sistem, ağ veya kuruluş içindeki potansiyel giriş noktalarının toplamını ifade eder. Özünde, hedeflenebileceklerin çevresidir. Genellikle, saldırı yüzeyi ne kadar büyük olursa, o kadar çok varyasyon, bir böcek ödül avcının avlanması o kadar çok olur.
Dijital ayak izine sahip her şirket, ayrıntılı ve izlenmesi gereken varlıklara sahiptir. Bunlar mobil ve web uygulamalarından, API’lerden, kaynak kodu depolarından, üçüncü taraf hizmetlerine, bulut altyapısına ve çok daha fazlasına kadar her şeyi içerir. Her varlık için, entegrasyon noktaları, veri hassasiyet seviyeleri, pozlama seviyeleri, teknoloji yığınları ve eşlenmesi ve analiz edilmesi gereken kimlik doğrulama yöntemleri gibi özellikler vardır. Bu, siber saldırı riskini etkili bir şekilde yönetmek için saldırı yüzeyinin iyi anlaşılmasını sağlamaktır.
Varlık Güvenlik Olgunluğu Güvenlik tehditlerini ve güvenlik açıklarını yönetme ve bunlara yanıt verme yeteneğini ifade eder. Tipik olarak, güvenlik olgunluk seviyesi ne kadar yüksek olursa, daha fazla savunma, hacklemek o kadar zor olur. Sonuç olarak, başarılı böcek ödül avcılarının daha yetenekli olması ve daha fazla zaman yatırım yapması gerekir, ancak daha yüksek ödüller kazanabilir.
Varlık Karmaşıklığı Bir varlığın ne kadar güvenli veya karmaşık olduğunu ifade eder. Varlık güvenliği olgunluğu düşük olsa bile, bazı varlıkların hacklenmesi zordur ve yetenekli araştırmacıların meşgul olmasını sağlamak için çekici ödüller ve iyi yapılandırılmış programlar gerektirir. Örneğin, bir web uygulaması daha erişilebilir ve yaygın olarak anlaşılabilirken, daha derin teknoloji anlayışı gerektiren daha karmaşık bir mesajlaşma platformu veya ekosistem, bir güvenlik incelemesi yapmak için daha fazla zaman, çaba ve beceriyi gerektirecektir.
Her varlığın değerlendirilmesi, uç noktaları ve alt alanları içerebilen yüzey alanının analiz edilmesi anlamına gelir. Ayrıca, bir varlığın kimlik doğrulama akışlarına, çerçevelerine, dillerine ve platformlarına daha derinlemesine bakmak ve kod dağıtımları veya yeni özellik sunumları gibi özellik itici güçleri de dahil olmak üzere değişim oranını izlemek anlamına gelir. Varlık karmaşıklığının net bir şekilde görülmesi için tarihsel olaylar ve önceki güvenlik açıkları da eşlenmelidir.
Bug Bounty söz konusu olduğundaprogram sahipleri Varlık karmaşıklığının ve olgunluğun anlaşılması, risk seviyeleri, kapsam ve bütçe tahsisi hakkında bilgi verir.
Güvenlik araştırmacıları içinvarlık karmaşıklığını ve olgunluğunu anlamak, potansiyel olarak doğrudan ilişkili olabilir. Ayrıca, risklerin önceliklendirilmesi ve triyajın yürütülmesi konusunda bilinçli kararlar alındığı anlamına gelir.
Varlık yayılması, kuruluşlar varlıkları üzerinde görünürlük ve kontrolü kaybettiklerinde meydana gelir ve bu da değişiklikleri etkili bir şekilde yönetmeyi zorlaştırır. Şirketler geliştikçe, karmaşık sistemler de büyür ve birbirine bağlı yapılar ve hibrid ortamlar genişlediğinde, sürekli olarak ölçekte performans sergilemek zor olabilir.
İzineğsiz varlıklar genellikle kararsız kalır, bu da tehdit aktörlerinin aradığı şeydir. En az önemli görünen sistemler en değerli verilerinize gizli yollara dönüşebilir. Ön kapı yerine eski bir garaj penceresinden kayan bir davetsiz misafir gibi. Daha az dikkat çeker, ancak sonuçlar aynıdır.
İşleri zorlaştıran şey, varlık keşfi gibi güvenlik önlemlerinin genellikle sonradan düşünülmesidir. Bunun önemli yansımaları vardır. Karmaşık sistemler ve süreçler yanal hareket ve kalıcılık teknikleri gibi unsurları gizleyebilir. Varlıklar izlenmediğinden, bu görünürlük eksikliği uzlaşma göstergelerinin (IOC’ler) kaçırılabileceği anlamına gelebilir.
Varlık listenizin eksik olduğuna dair bilgileriniz varsa, daha kapsayıcı kapsamlar (joker karakterler vb. Gibi) ayarlamak, bilinmeyen varlıkları keşfetmenize izin verir. Tam görünürlüğünüz yoksa, bilmediğinizi keşfetmeye yardımcı olmak için kalabalığın gücünü kullanabilirsiniz, ancak programınızın bunu destekleyecek şekilde yapılandırılması gerekir.
Herhangi bir kuruluş için sağlam bir temel oluşturmanın ilk adımı varlık keşfi.
“Bu, bir kuruluşun ağındaki donanım, yazılım ve bağlantılı cihazlar dahil olmak üzere tüm varlıkların tanımlanmasını içerir. Hangi varlıkların var olduğunu ve altyapı içindeki rollerini anlamak, etkili güvenlik açığı yönetimi için çok önemlidir.”- Güvenlik açığı yönetimi sürecinizi nasıl optimize edersiniz.
Modern ortamların dinamik doğası nedeniyle, yapılandırma yönetimi veritabanlarının (CMDB’ler) bakımı zorlaşıyor. Bulut örnekleri ve kaplar gibi unsurların hesaba katılması gerekir. Manuel güncellemeler zaman yoğundur ve zayıf entegrasyon ve araç eksikliği eksik girişlere yol açabilir. Bunun yanı sıra, yön eksikliği ve onunla birlikte sahiplik eksikliği, sorumlulukların net olmadığı bir suç kültürü aşılar.
Varlıklar kaydedilmediğinde veya doğru bir şekilde izlenmediğinde, programın tanımlanmış kapsamı dışında kalırlar, yani araştırmacılar bunları test edemezler. Bu sadece hata ödül programlarının etkinliğini sınırlamakla kalmaz, aynı zamanda uyumluluk riskleri de getirir, çünkü taklit edilmemiş varlıklar düzenleyici standartları karşılayamayabilir. Yama öncelikleri genellikle CMDB verilerine güvendiğinden, gözden kaçan sistemlerde kritik güvenlik açıkları, hem programın değerini baltalayarak hem de kuruluşun genel güvenlik duruşunu zayıflatarak açılmamış kalabilir.
Birden fazla departman veya ortamdaki parçalanmış varlık envanterleri Belirsiz veya yanlış bir kapsam oluşturarak hata ödül programlarının etkinliğini ciddi şekilde istikrarsızlaştırın. Bu, araştırmacıları hayal kırıklığına uğratabilir, zaman ve kaynakları boşa harcayabilir. Araştırmacıların odağı, yüksek riskli unsurların dokunulmadan geçerken, gönderme çoğaltmasına yol açabilecek düşük değerli unsurları analiz etmek için yanlış hizalanabilir.
Gölge IT, resmi BT veya güvenlik onayı olmadan oluşturulan varlıkları ifade eder. Bu, geliştirici ortamlarını, haydut API’leri ve kayıt dışı bulut örneklerini içerebilir. Bu öğeler envanter kontrollerini atlayabilir ve bu nedenle tarama veya hata ödül kapsamlarına dahil edilemez.
Recon olarak da bilinen keşif, tanımlamak, doğrulamak ve organize etmek için kullanılan yöntem veya işlem Varlık yayılmasını anlamak, yönetmek ve azaltmak amacıyla varlıklar. Süreç, yönetilmeyen ve hatta bilinmeyen varlıkların keşfedilmesini ve tanımlanmasını, kontrol kazanmak için organizasyonel yaklaşımları önermeyi ve altyapıyı hizalamayı içerir.
Finansta uzlaşma, kayıtları hizalamak ve çoğaltma ve dağınık izlemeyi önlemek için aynı yaklaşım için kullanılan terimdir. Her iki durumda da karmaşıklığı ve riski azaltmak önemlidir.
“Recon yapmak için zaman harcayan böcek avcıları, genellikle unutulmuş varlıklarla karşılaştıkları için çabaları için neredeyse her zaman iyi ödüllendirilir. Bu süreci atlamak, bazı kapsam içi uygulamaları veya işlevleri denenmemiş bir şekilde bırakabilir ve bu da güvenlik açığı bulma şansının azalmasına neden olabilir” – Blackbird-AB
Saldırı yüzeyi yönetimi, manuel ve otomatik etiketleme ve sınıflandırma, yeniden iş akışları ve varlık keşif araçlarının bir kombinasyonu, varlık yayılımı seviyesini haritalamaya ve azaltmaya yardımcı olabilir.
Karmaşıklık haritalaması, bir varlığın hipervizör veya standart bir web uygulaması olup olmadığını belirlemek gibi varlıkların karmaşıklığını ifade eder. Daha karmaşık uygulamalar için, sunulan ödüllerin çabalarla uyumlu olmasını sağlayarak doğru beceri ve kaynakları çekmenizi sağlamanız gerekir.
Hata ödül tabloları katmanlıdır, böylece karmaşıklık araştırmacı tarafından adanmış işin girdisiyle eşleşir. Örneğin, daha karmaşık uygulamalar, daha yüksek iş kritikliğine sahip unsurlar veya daha yüksek güvenlik olgunluğuna sahip uygulamalar, güvenlik açıkları için avlanmak için harcanan doğru becerileri ve zamanı çekmek için uygun ödüllere sahip olmalıdır. Hata Keşfi ve Ödeme hakkında daha fazla bilgiyi buradan edinin.
Bu makalede tartışılan herhangi bir unsurdan emin değilseniz, iç ekibinizin sınırlı kapsam, önyargı veya bütçe nedeniyle kaçırabileceği güvenlik açıklarını belirlemek için farklı araçlar, perspektifler ve yetenekler kullanan küresel bir araştırmacı havuzuyla nasıl çalışılacağını öğrenmek için ekibe başvurun.