Birkaç hafta önce, dünyanın en büyük siber güvenlik konferanslarından biri olan RSA’nın 32. baskısı San Francisco’da tamamlandı. Öne çıkanlar arasında, Google Cloud’da Mandiant CEO’su Kevin Mandia, siber güvenliğin durumu hakkında bir retrospektif sundu. Açılış konuşmasında Mandia şunları söyledi:
“Kuruluşların, savunmalarını güçlendirmek ve saldırıları tespit etme, engelleme veya en aza indirme şanslarını artırmak için ortak önlemlerin ve güvenlik araçlarının ötesinde atabilecekleri net adımlar var. […] bal küpleriveya yetkili kullanıcılar tarafından kasıtlı olarak dokunulmamış sahte hesaplar, kuruluşların güvenlik ürünlerinin durduramadığı izinsiz girişleri veya kötü amaçlı etkinlikleri tespit etmelerine yardımcı olmada etkilidir“.
Kuruluşların Mandiant veya diğer olay müdahale firmaları ile işbirliği gerektirebilecek bazı saldırılardan kaçınmasına yardımcı olmak için verdiği yedi tavsiyeden biri “bal küpleri oluşturun” idi.
Bir hatırlatma olarak, bal küpleri yem sistemleri Saldırganları cezbetmek ve dikkatlerini gerçek hedeflerden uzaklaştırmak için kurulmuşlardır. Genellikle saldırganların bir ağa yetkisiz erişim elde etme girişimlerini tespit etmek, saptırmak veya incelemek için bir güvenlik mekanizması olarak kullanılırlar. Saldırganlar bir bal küpüyle etkileşime geçtiğinde, sistem saldırı ve saldırganın taktikleri, teknikleri ve prosedürleri (TTP’ler) hakkında bilgi toplayabilir.
Her yıl güvenliğe ayrılan artan bütçelere rağmen veri ihlallerinin giderek yaygınlaştığı bir dijital çağda Mandia, veri ihlallerinin etkisini sınırlamak için proaktif bir yaklaşım benimsemenin çok önemli olduğuna işaret etti. Bu nedenle, saldırganların durumunu tersine çevirme ihtiyacı ve bal küplerine olan ilginin yeniden canlanması.
Balık Yemleri Balık Ağları İçin Nedir?
Bal küpleri, saldırganları izlemek ve veri hırsızlığını önlemek için etkili bir çözüm olsa da, kurulum ve bakım zorlukları nedeniyle henüz yaygın olarak benimsenmemiştir. Saldırganları çekmek için bir bal küpünün meşru ve gerçek üretim ağından yalıtılmış görünmesi gerekir; bu da saldırı tespit yetenekleri geliştirmek isteyen mavi bir ekip için kurulum ve ölçeklendirmeyi zorlaştırır.
Ama hepsi bu kadar değil. Günümüz dünyasında, yazılım tedarik zinciri oldukça karmaşıktır ve genellikle farklı satıcılardan ve tedarikçilerden alınan SaaS araçları, API’ler ve kitaplıklar gibi birçok üçüncü taraf bileşenden oluşur. Bileşenler, yazılım oluşturma yığınının her seviyesine eklenir ve savunulması gereken “güvenli” bir çevre kavramına meydan okur. Dahili olarak kontrol edilen ile edilmeyen arasındaki bu hareketli çizgi, bal küplerinin amacını ortadan kaldırabilir: DevOps liderliğindeki bu dünyada, kaynak kodu yönetim sistemleri ve sürekli entegrasyon boru hatları, bilgisayar korsanları için geleneksel bal küplerinin taklit edemediği gerçek yemdir.
Yazılım tedarik zincirlerinin güvenliğini ve bütünlüğünü sağlamak için kuruluşlar, bal küpleri için balık yemleri balık ağları için ne ise, bal jetonları gibi yeni yaklaşımlara ihtiyaç duyarlar: minimum kaynağa ihtiyaç duyarlar ancak saldırıları tespit etmede oldukça etkilidirler.
Bal Jetonu Tuzakları
Bal küplerinin bir alt kümesi olan bal jetonları, meşru bir kimlik bilgisi veya sır gibi görünecek şekilde tasarlanmıştır. Saldırgan bir honeytoken kullandığında hemen bir uyarı tetiklenir. Bu, savunucuların IP adresi (dahili ve harici kaynakları ayırt etmek için), zaman damgası, kullanıcı aracıları, kaynak ve Honeytoken ve bitişik sistemlerde gerçekleştirilen tüm eylemlerin günlükleri gibi uzlaşma göstergelerine dayalı olarak hızlı eylemde bulunmasına olanak tanır.
Honeytokens ile yem, kimlik bilgisidir. Bir sistem ihlal edildiğinde, bilgisayar korsanları genellikle yanal hareket etmek, ayrıcalıkları yükseltmek veya veri çalmak için kolay hedefler ararlar. Bu bağlamda, bulut API anahtarları gibi programatik kimlik bilgileri, tanınabilir bir modele sahip oldukları ve genellikle saldırgan için yararlı bilgiler içerdikleri için tarama için ideal bir hedeftir. Bu nedenle, saldırganların bir ihlal sırasında araması ve istismar etmesi için birincil hedefi temsil ederler. Sonuç olarak, savunucuların yayması için en kolay yemdirler: bulut varlıklarında, dahili sunucularda, üçüncü taraf SaaS araçlarında ve ayrıca iş istasyonlarında veya dosyalarda barındırılabilirler.
Ortalama olarak, bir veri ihlalinin tespit edilmesi 327 gün sürer. Honeytoken’ları birden fazla konuma yayarak, güvenlik ekipleri ihlalleri dakikalar içinde tespit edebilir ve olası izinsiz girişlere karşı yazılım dağıtım hattının güvenliğini artırabilir. bu basitlik Honeytokens önemli bir avantajdır tüm bir aldatma sisteminin geliştirilmesi ihtiyacını ortadan kaldırmak. Kuruluşlar, aynı anda binlerce kod deposunun güvenliğini sağlayarak kurumsal ölçekte honeytoken’ları kolayca oluşturabilir, dağıtabilir ve yönetebilir.
Saldırı Tespitinin Geleceği
İzinsiz giriş tespiti alanı, DevOps dünyasında çok uzun süredir radarın altında kaldı. Sahadaki gerçek şu ki, yazılım tedarik zincirleri, geliştirme ve oluşturma ortamlarının üretim ortamlarına göre çok daha az korunduğunu fark eden saldırganlar için yeni öncelikli hedef. Bal küpü teknolojisini daha erişilebilir hale getirmek kadar, otomasyon kullanarak geniş ölçekte kullanıma sunmayı kolaylaştırmak da çok önemlidir.
Bir kod güvenlik platformu olan GitGuardian, bu görevi yerine getirmek için yakın zamanda Honeytoken özelliğini başlattı. Sırları tespit etme ve düzeltmede lider olan şirket, bir sorunu, yani sırların yayılmasını savunma avantajına dönüştürmek için benzersiz bir konuma sahiptir. Platform, güvenlik sorumluluğunu geliştiriciler ve AppSec analistleri arasında paylaşmanın önemini uzun süredir vurgulamaktadır. Şimdi amaç, çok daha fazlasının sahte kimlik bilgileri oluşturmasını ve bunları yazılım geliştirme yığınında stratejik yerlere yerleştirmesini sağlayarak izinsiz giriş tespitinde “sola kaydırmak”. Bu, geliştiricilere bal jetonları oluşturmalarına ve bunları kod havuzlarına ve yazılım tedarik zincirine yerleştirmelerine izin veren bir araç sağlayarak mümkün olacaktır.
Honeytoken modülü ayrıca GitHub’daki kod sızıntılarını otomatik olarak algılar: Kullanıcılar kodlarına bal belirteçleri yerleştirdiğinde, GitGuardian bunların genel GitHub’da sızdırılıp sızdırılmadığını ve nerede sızdırıldığını belirleyerek Twitter, LastPass tarafından ifşa edilenler gibi ihlallerin etkisini önemli ölçüde azaltır. Okta, Slack ve diğerleri.
Çözüm
Yazılım endüstrisi büyümeye devam ettikçe, güvenliği kitleler için daha erişilebilir hale getirmek çok önemlidir. Honeytokens, yazılım tedarik zincirindeki izinsiz girişleri mümkün olan en kısa sürede tespit etmek için proaktif ve basit bir çözüm sunar. Yığınlarının karmaşıklığı veya kullandıkları araçlar ne olursa olsun, her büyüklükteki şirketin sistemlerini güvence altına almasına yardımcı olabilirler: Kaynak Kontrol Yönetimi (SCM) sistemleri, Sürekli Entegrasyon Sürekli Dağıtım (CI/CD) boru hatları ve yazılım yapay kayıtları diğerleri.
Sıfır kurulum ve kullanımı kolay yaklaşımıyla GitGuardian, bu teknolojiyi kuruluşların daha büyük bir işletme ölçeğinde Honeytoken oluşturmasına, dağıtmasına ve yönetmesine yardımcı olmak için entegre ediyor ve potansiyel veri ihlallerinin etkisini önemli ölçüde azaltıyor.
Honeytoken’ların geleceği parlak görünüyor ve bu nedenle Kevin Mandia’nın bu yıl RSA’daki en büyük siber güvenlik şirketlerine bal küplerinin faydalarını övdüğünü görmek pek şaşırtıcı olmadı.