HD Moore, kendini bildi bileli cihazlar arasındaki keşfedilmemiş bağlantıları keşfetmeyi seviyordu. Çocukken bile, sadece rastgele bir numara uzakta olan bir dünya dolusu telefon olduğu fikri onu büyülemişti; bir numara seçin, çevirin ve yeni bir kişiye bağlanın. Daha sonra işin internet kısmına girdikçe keşfetme dürtüsü daha da güçlendi.
Moore şöyle açıklıyor: “Herhangi bir rastgele 32 bitlik sayı oluşturuyorsunuz ve muhtemelen orada bir şeyler var ki bu gerçekten harika.” “Bütün dünya sadece bir sayı dizisinden ibarettir.”
Bu dürtü, elbette, onun ağ güvenliği alanındaki hikayeli erken kariyerine yön veren şeydi. Metasploit Projesi’nin kurucusu ve İnternet’in tozlu ve hatalı köşelerini keşfetme konusunda tanınmış bir araştırmacı olan Moore, halka açık internete bağlı cihazları dışarıdan tarama ve dürtme çalışmaları nedeniyle hem övüldü hem de bazen kötülendi.
Başlangıç koşusuZero aracılığıyla keşif yolculuğunda tam bir daire çizdi – ama bir değişiklikle -. Bundan önceki kariyerinin büyük bir kısmı harici ağ taramasının dışarıdan içeriye doğru araştırılmasına odaklanmışken, runZero’daki çalışma tamamen dahili kurumsal varlık keşfi ile ilgilidir.
Moore, “Daha önce harici tabanlı ağ keşfi için benimsediğim yaklaşımı alıp daha sonra bunu dahili tarafa uygulamak gerçekten çok güzel” diyor. “Bunu, güvenlik duvarının arkasındaki, iç ağlarındaki ve tüm bulut bağlantılarındaki, VPN’lerindeki ve çok siteli ve bölgesel bağlantılarındaki şirketler için yapabiliyoruz.”
Moore’un Kariyerinin Evrimi
Tüm bu erken harici ağ keşfi sayesinde Moore, kişisel olarak çok sayıda kritik güvenlik açığını ve sayısız açıkta kalan cihazı keşfetti. Metasploit, WarVOX ve AxMan gibi açık kaynak araçlar üzerindeki geliştirme çalışmaları sayesinde diğer güvenlik araştırmacılarının ve penetrasyon testçilerinin de aynısını yapmalarına olanak sağladı.
Yaklaşık on yıl önce, Rapid7’deki Kritik IO projesi, halka açık interneti taradı ve saldırılara açık 40 ila 50 milyon ağ cihazını tespit etti. IoT çağının başlangıcında açık ağ bağlantısının yaygın ve güvensiz doğasına ışık tuttu. Bu aynı zamanda, özellikle halka arz sonrası Rapid’in7 inşa edilmesinden kaynaklanan tükenmişlik ile birlikte, Moore’un araştırma kariyerinin kamusal doğası üzerinde bir süre için caydırıcı bir etkiye sahip olan, federal kolluk kuvvetlerinin ağır tehditlerini de ortadan kaldırdı. Daha fazla Metasploit ve Rapid7 geliştirme çalışmasıyla başını eğdi, sonunda Rapid7’den geri adım attı ve herhangi bir kamu görevine ara verdi. 2017 yılında Moore’un tanımladığı gibi bir “butik kalem testi firması” olan Atredis Partners’ta güvenlik değerlendirme uygulamasında araştırma ve geliştirme rolüne geçti. Pozisyon ona keşfetmeye devam etme fırsatı verdi—sadece daha sıkı kapsamlı anlaşmalarda.
O dönemi şöyle açıklıyor: “Altı yıldır aralıksız çabalıyordum, sürekli olarak yazılım göndermeye çalışıyordum ve sahaya geri dönmek, müşterilerle konuşmak ve gerçek ağları görmek istiyordum.” “Ürün alanında çok fazla zaman harcıyorsunuz ve bazen dünyanın ilerlediği ve artık bir dinozor olduğunuzdan endişeleniyorsunuz. ‘Artık dünyanın neye benzediğini biliyor muyum?’ gibi. Bu yüzden sahaya geri dönmek ve her iki haftada bir yepyeni bir ticaret bankasına ya da büyük bir perakendeciye ya da her neyse, gidip her şeyi hacklemek güzeldi.”
İlerledikçe fark ettiği trendlerden biri, butik bir güvenlik değerlendirme firmasına gücü yeten şirketlerin, bildikleri varlıkları kilitleme konusunda gerçekten harika bir iş çıkarma eğiliminde olmalarıydı. Ancak ekibi, devasa bütçelere ve çok sayıda kaynağa rağmen kaçınılmaz olarak bu kuruluşların üç ayda bir yaptıkları kalem testlerinde hakkında bilgi sahibi olmadığı savunmasız varlıklar buldu.
“Köşedeki bir teyp yedekleme kitaplığı ya da unuttukları bir ATM modemi olabilir. Köşedeki tüm o tuhaf, berbat şeyler, EDR ya da SCCM’lerinin bir parçası olmadığı için bu müşterilerin bunları savunamayacağı bir yer.” diyor. “Ve runZero’ya başladığımız fikir de buydu. ‘Bütün bu şeyleri hızlı bir şekilde nasıl buluruz?'”
2019’da firmanın ilk versiyonunu Rumble olarak başlattı ve beta müşterileriyle yakın çalışmaya odaklanan tabandan bir yaklaşımla ve ürünün daha da geliştirilmesini sağlayan çok sayıda geri bildirim sağlayan ücretsiz bir katmanla ön yükleme yaptı. Firma, 2021 yılına gelindiğinde girişim fonları toplamaya başladı – 2021’de 5 milyon dolar başlangıç fonu ve 2022’de Seri A’da 15 milyon dolar daha – ve geçen yıl runZero adı altında yeniden markalaştı.
RunZero’daki Yenilikler
runZero’nun teknoloji cephesindeki ilk çabaları, aktif tarama yoluyla varlık keşfine odaklanmıştı. Moore, amacın aynı eski, aynı eski nmap taramasının ötesinde keşif alanlarına genişlemek olduğunu söyledi.
“2018’de, hatta biraz önce, ürününde tarayıcı kelimesi bulunan herkes ya nmap kullanıyordu ya da bir güvenlik açığı tarayıcısına sahipti ve bu kadar, arada bir şey yok” diyor. “Nmap harika olsa da (üç şirkette üç kez lisansladım), herkes aynı araçları kullanıyorsa ağ keşfine yaklaşımınızı değiştiriyor.”
Yani yaklaşım sıfırdan inşa etmek ve işleri farklı yapmaktı.
“20 yıl önce ilk tarama araçlarını geliştirenlerin çoğu, bunu aslında güvenlik açığı taraması için geliştiriyorlardı. Onlara yama uygulayabilmeniz veya yararlanabilmeniz için açığa çıkmayı istiyorlar. Biz bunu pek umursamıyoruz” dedi. açıklıyor. “Aslında ilk etapta bir varlığı tanımlamayı önemsiyoruz ve duvarda fiziksel olarak bir kutu görüp görmediğinizi tespit etme konusunda gerçekten iyi bir iş çıkarıyoruz. Size bu kutunun neye benzediğini düşündüğünüzü söyleyebilir miyiz?—Linux 2.416 değil ama bir Roku medya oynatıcısı mı? Yazıcı mı?”
Aktif tarama cephesinde parmak izi varlığı keşfini geliştirme sürecinde runZero, aktif taramanın yapabileceklerinin sınırlarıyla karşılaşıyordu.
“Ancak bulduğumuz şey, aktif taramanın yapamadığı pek çok şeyin olduğudur. Paketi yönlendiremediğiniz bir cihaz için aktif tarama yapamazsınız. Yani sizin için bir yol yoksa, o IP adresiyle konuşsanız bile ondan herhangi bir yanıt alamazsınız.Yani aktif tarama ve özellikle aktif tarayıcımız muhtemelen bilgiyi almanın en iyi yollarından biridir, ancak eğer buna sahip değilseniz, ne olur? Sonraki adım?” diyor.
Bugün şirket, pasif keşfi de ekleyen platformunun yeni sürümüyle bir sonraki adımı atıyor. Yalnızca belirli cihazların keşfedilebilirliğini artırmaya yardımcı olmakla kalmaz, aynı zamanda aktif taramanın çalışma süresini kesintiye uğratma riskinin belirli varlıklar hakkında bilgi sahibi olmama riskinden çok daha ağır basabileceği enerji santralleri gibi operasyonel teknoloji (OT) ortamlarında daha hafif davranır.
“Temel olarak tarayıcıyı aldık ve sonra tersine çevirdik. Dolayısıyla, aktif tarama yapmak için kullandığımız paket ayrıştırma motorunun aynısını aldık ve şimdi bunu temel olarak içinden geçen pasif trafiğe uyguladık ve bu size temel olarak bir taramanın çıktısını verecek, ancak Pasif bir ağ akışından” diye açıklıyor Moore.
Bu arada, platformu yalnızca daha işlevsel değil aynı zamanda daha erişilebilir hale getirmek için keşif amaçlı güvenlik yazılımı geliştirme konusundaki uzun kariyerinden edindiği derslere güvenmeye devam etmeyi umuyor. En büyük sorunlardan biri takımlamanın demokratikleşmesidir. Bugünkü lansmanın bir parçası olarak şirket, platformun 100 veya daha az varlığa sahip küçük işletmeler, bireyler ve güvenlik araştırmacıları için tasarlanmış yeni bir ücretsiz sürümünü tanıttı. Ücretsiz sürüm bu kullanım durumları için tamamen işlevseldir.
“Bu alandaki insanların demolar ve ücretsiz denemeler sunma konusunda gerçekten cimri olduklarını düşünüyoruz çünkü bunu işletmek onlar için çok pahalı. Herkesin bunu kullanmasını gerçekten istediğimiz ve daha fazla insanın kullanmasını istediğimiz farklı bir yaklaşım izledik. Moore, “Buna dahil olun” diyor. “Bu yalnızca büyük kuruluşunuzun kullanabileceği bir şey değil. Ev laboratuvarınızdan KOBİ’nize kadar herkesin yararlanabilmesi gerektiğini düşünüyoruz.”