[ This article was originally published here ]
Bu yılın başlarında, (ISC)² siber güvenliğin karşı karşıya olduğu yeni bir tür zorluğa ev sahipliği yaptı: makine kimlik yönetimi. Bu güvenlik bileşeni yalnızca son birkaç yılda oldukça dikkat çekmesine rağmen, Gartner onu ilk sekiz arasında sıraladı.
Web seminerinde Venafi Güvenlik Stratejisi ve Tehdit İstihbaratı Başkan Yardımcısı Kevin Bocek, makine kimlikleri başarısız olduğunda ortaya çıkan sorunları, kötü şöhretli makine kimliği saldırılarını ve kuruluşların alabileceği koruyucu önlemleri tartıştı.
Makine kimlikleri – TLS, SSH ve kod imzalama anahtarları ve sertifikaları – aşağıdakiler gibi yazılım tabanlı makineler için şifreleme, kimlik doğrulama ve kod yürütmeyi kontrol eder:
- Yük dengeleyiciler ve uygulama sunucuları
- Açık kaynaklı yazılım
- mikro hizmetler
- Servis ağları
- Kubernet’ler
- Buluttan buluta entegrasyonlar
- API’den API’ye entegrasyonlar
- Dağıtılmış defter teknolojisi
- Akıllı sözleşmeler
Ancak bu makinelerden binlercesi saniyeler içinde oluşturulabilir. Sonuç olarak, birçoğu “bilinmiyor” (yani, bildirilmemiş ve izlenmemiş).
Bilinmeyen tek bir makine kimliğinin süresinin dolması bile maliyetli ve güçten düşürücü kesintilere neden olabilir. Böyle bir olay, salgının zirvesinde Kaliforniya’da meydana geldi. Tek bir sertifikanın süresinin dolması, devleti neredeyse bir hafta boyunca engelledi. Sonuç olarak, on binlerce pozitif vaka yerel sağlık yetkililerine bildirilmedi ve enfekte kişilere bildirilmedi, bu da yayılmayı durdurma çabalarını engelledi.
Kesintilere neden olmanın yanı sıra, bilinmeyen makine kimlikleri, siber suçlular için başlıca saldırı vektörleri olarak hizmet eder. Son yılların en önemli saldırılarından biri, tehdit koruma sistemlerinde yüzlerce TLS sertifikasının güncellenmemesiydi. Saldırganlar, buldukları açıktan yararlanırken iki aydan fazla gizli kalmak için bu açıklanmayan makine kimlikleri tarafından oluşturulan şifreli “tünelleri” kullandılar.
Çevrimiçi failler, çevrimiçi koruma sağlamak için tasarlanmış araçları da saldırı araçlarına dönüştürüyor. Örneğin, kâr amacı gütmeyen kuruluş, ücretsiz TLS sertifikaları vererek kuruluşlara yardım etmeye çalışır. Ancak siber suçlular artık tamamen güvenilir kimlik avı siteleri oluşturmak için bu dijital sertifikaları kullanıyor. Ayrıca yazılımlara saldırmak için kod imzalama gibi teknikleri alt üst ederler ve arka kapılar oluşturmak için SSH anahtarlarını kullanırlar.
Güvenlik uzmanları, Venafi’nin . Ayrıca, tehdit koruma sistemlerinde, yeni nesil güvenlik duvarlarında vb. makine kimliklerinin güncellenmesinin sağlanması, tespit edilemeyen saldırı olasılığını azaltacaktır (Equifax, tehdit koruma sistemindeki bilgileri güncelledikten sonra siber suçlular görünür hale geldi).
Bir diğer önemli güvenlik sorunu, geliştirme ekiplerinin ve operasyon ekiplerinin makine kimlikleriyle farklı şekillerde çalışma (ve hatta elde etme) eğilimidir. Bu farklı yaklaşımlar, bilinmeyen kimlik riskini ve daha önce bahsedilen sorunları artırmaktadır. Gartner’da kıdemli bir araştırma direktörü olan Erik Wahlstrom’un belirttiği gibi, “Kuruluşlar, hibrit ve çoklu bulut ortamlarında makine kimliklerini yönetmek için kurumsal çapta bir stratejiye ihtiyaç duyarlar.”
Makine kimliklerinin kullanımındaki patlamalı büyüme göz önüne alındığında, etkin yönetim bir otomasyon aracı (Venafi’ninki gibi) gerektirecektir. Kullanılan kaynaklar ve taktikler ne olursa olsun, güvenlik ekiplerinin temel amacı, geliştiricilerin hızlı ama güvenli çalışmasına yardımcı olmak olmalıdır.
Canlı web seminerlerine katılmakla veya buna benzer en son kayıtları izlemekle ilgileniyorsanız, BrightTALK’a abone olduğunuzdan emin olun.
reklam