Bu Help Net Security röportajında, Onyphe CTO’su Patrice Auffret, geleneksel çevre tabanlı güvenlik görüşünün nasıl geçerliliğini yitirdiğini açıklıyor. Kuruluşların saldırı yüzeyi konseptlerini yeniden tanımlamaları gerektiğini öne sürüyor ve saldırı yüzeyi yönetimi (ASM) çözümlerini güçlendirmek için alabilecekleri proaktif önlemleri tartışıyor.
ASM, bir kuruluşun saldırı yüzeyinin doğası ve güvenlik açıkları hakkındaki temel soruların yanıtlanmasına nasıl yardımcı olur? Kuruluşların sorması gereken temel sorulara ilişkin bazı bilgiler verebilir misiniz?
Öncelikle ASM’yi tanımlayalım. Terim 2020’de Gartner tarafından icat edildi. Kuruluşların savunma amaçlı siber güvenlik cephaneliğinde yeni bir araçtır. ASM, kuruluşların internete açık varlıkları hakkında daha iyi bir görüşe sahip olmalarına ve aynı zamanda bilinmeyenleri tespit etmelerine yardımcı olmalıdır. O zamandan bu yana ASM kategorisi altında pek çok çözüm ortaya çıktı, ancak bunların hepsi eşit hale getirilmedi. İyi bir ASM çözümü, bilinmeyen varlıkları bulma yeteneği olan Saldırı Yüzey Keşfi’ni (ASD) içermelidir. Hem ASD hem de ASM kategorilerinde, bu terimler henüz ortadayken 6 yıldır faaliyet gösteriyoruz.
2023’te kuruluşlar her şeye hızlı bir şekilde yama uygulayamayacak. ASM, BT ekiplerinin en önemli tehditlere, yani siber suçluların ağlara sızmak ve fidye yazılımı dağıtmak için kullandıkları tehditlere odaklanmasına izin vermelidir. Tehdit istihbaratı raporları sayesinde izinsiz girişlerin büyük çoğunluğunun İnternet’e açık Uzak Masaüstü Protokolü (RDP) hizmetleri, VPN cihazları ve kritik güvenlik açıkları (CVE’ler) nedeniyle gerçekleştiğini biliyoruz. 2022 tarihli bir Palo Alto Unit 42 raporu, bu üç başlangıç erişim vektörünün İnternet tabanlı ağ izinsiz girişlerinin %46’sını oluşturduğunu vurguluyor.
Dışarıdan saldırı yüzeyi yönetimi açısından bakıldığında, şirketlerin en azından bu 3 vektöre odaklanması gerekir.
Geleneksel çevre tabanlı güvenlik görüşünün geçerliliğini yitirdiği göz önüne alındığında, günümüzün bulut merkezli dünyasında kuruluşlar saldırı yüzeyi kavramlarını nasıl yeniden tanımlamalıdır?
Bir kuruluşun saldırı yüzeyi, dış kaynaklı altyapı ve uygulamalar da dahil olmak üzere iş süreçlerini ve verilerini destekleyen tüm teknolojiyi içerebilir. Bu nedenle ASD çok önemlidir ve etkili ASM için bir ön koşuldur. Ayrıca, birçok kuruluş için ASM’nin işin kolay kısmı olduğunu ve asıl zorluğun, açığa çıkan varlıkların tam bir envanterine sahip olmak olduğunu savunuyoruz. ASD çözümünün devreye girdiği yer burasıdır.
ASD’nin bir diğer önemli avantajı, ASM çözümlerini tamamlayıcı olarak geleneksel bir güvenlik açığı tarayıcısını IP adresleri veya Tam Nitelikli Etki Alanı Adları (FQDN’ler) listesiyle besleyebilmesidir.
Ayrıca varlık envanterine yönelik modası geçmiş IP tabanlı yaklaşım da yasaklanmalıdır. Günümüzde varlık envanteri için alan bazlı bir yaklaşım benimsemeniz gerekiyor. Neden öyle? Bunun nedeni, geçici bulut tabanlı altyapıda IP adreslerinin değişebilmesi, buna karşın alan adlarının sürekli olarak eklenen yeni alan adları ile zaman içinde tutarlı kalması gerektiğidir. Değişiklikleri ve yeni alan adlarını nasıl takip edebiliriz? İyi bir ASD çözümünün DNS, Sertifika Şeffaflığı Günlükleri (CTL), İnternet çapında IP tabanlı tarama ve daha da önemlisi URL tabanlı tarama gibi birden fazla kaynaktan veri toplaması gerekir. Sonuncusu çok önemlidir çünkü giderek daha fazla şirket Web sitelerini Cloudflare gibi CDN çözümleriyle koruyor. Yalnızca Clouflare’in IP adreslerini tararsanız, gerçek web sunucularınızda görünürlük elde edemezsiniz, bu da gizli güvenlik sorunlarına sahip olabilir.
Bir kuruluş, tüm bu bilgi kaynaklarından yararlanarak tek bir alan adından başlayabilir, anahtar kelimelere ve bilinen hizmet sağlayıcılara odaklanabilir ve ardından açığa çıkan tüm varlıkların bir envanterini oluşturmak için yineleyebilir. Ardından, TLS sertifikalarındaki organizasyon alanı veya Web sitelerinde bulunan Google Analytics ve Meta Pikseller gibi HTTP izleyiciler gibi tüm alan adlarınıza ve diğer pivotlara bağlı IP adreslerini bulmak için doğru araçları kullanmalısınız. Bu kalıp listesi varlık envanteriniz haline gelir ve yeni ortaya çıkan varlıkları bulmak için onu düzenli olarak güncellemeniz gerekir.
İyi bir ASM çözümü, IP aralıklarına veya veri merkezlerine sahip kuruluşlar için ağ bloklarına göre arama yapabilmenin yanı sıra IP’den bağımsız olmalıdır.
İşletmelerin, özellikle de buluta geçiş yapanların dinamik doğası göz önüne alındığında, iç ve dış ASM’nin yaklaşımı ve önemi nasıl farklılık gösteriyor?
Dahili ASM daha basittir: IP adreslerinizin veya ağ bloklarınızın listesine zaten sahip olmalısınız. Aralıklarınızı taramak, onlarca yıldır yapılan düzenli olarak yapılmalıdır.
Harici ASM, daha önce açıkladığımız gibi varlıklarınızı tanımlamanız ve ardından artan pivotların listesini güncellemeniz gerektiğinden daha zordur. Ayrıca harici ASM için bulunan IP adresinin bir VPN cihazı, bir Kamera veya Biletleme sistemi olduğunu belirtmek isteriz. Hangi tür varlığın açığa çıktığını bilmek önemlidir. Açığa çıkan tüm VPN sunucularınızı biliyor musunuz? Size bu listeyi kolayca verebilecek bir çözümünüz var mı? ASM’nin hedeflerinden biri bu.
Bir varlığın bulutta veya başka bir yerde barındırılması sonuçta pek önemli değildir; suçlular, hedefleri ararken barındırma sağlayıcısından bağımsızdır. Aynı zamanda bir ASM çözümü, örneğin bir iç güvenlik politikasının uygulanmasına yardımcı olabileceğinden, bir IP adresinin hangi tür barındırma tesisine bağlı olduğunu belirtebilmelidir.
Kırmızı takım çalışmaları veya sızma testleri gibi geleneksel yöntemler varlık envanterleri oluşturmuştur. Bu yöntemler neden özellikle bulut ortamlarında daha az etkili hale geliyor?
Daha önce de tartışıldığı gibi IP adresleri değişebileceğinden ve bu güncellemeleri neredeyse her gün takip etmeniz gerektiğinden, bunların etkinliği giderek azalıyor. Geleneksel sızma testleri genellikle son müşteri tarafından sağlanan belirli bir kapsama (en yaygın senaryoda IP adresleri ve alan adları) sıkı sıkıya bağlıdır. Bu listeyi sağlayan kişi ilgili varlıkların tamamını bilmeyebilir. Siber suçluların çalışma şekli bu olduğundan, daha gerçekçi bir sızma testi “kapsamsız” tabanlı olacaktır. “Kapsamsız” tabanlı sızma testi, başlamadan önce bir ASD çözümü kullanmalıdır. Suçlular tarafından gerçekleştirilen gayri meşru “sızma testleri” neden böyle bir sınırlamaya tabi değilken, meşru sızma testleri başlangıçtan itibaren dar bir kapsamla sınırlandırılmalıdır?
Ayrıca kuruluşların onlarca yıldır kullandığı geleneksel güvenlik açığı tarayıcılarıyla ilgili olarak, amaçları, iyileştirme ekiplerine büyük bir yük getirebilecek, kritik veya kritik olmayan tüm güvenlik açıklarını içeren bir rapor oluşturmaktır. Ayrıca, güvenlik açığı tarayıcılarının, saldırganın bakış açısından yararlanılabilir veya yararsız olmasa bile bir şeyler bulması gerekir. Bu “her şeyi bulma” yaklaşımının geçerliliğini yitirdiğini düşünüyoruz çünkü ekipler bunun yarattığı iş yüküne yeterince öncelik veremiyor ve bu da iyileştirme yorgunluğuna yol açıyor. Son olarak, düzeltmeye başlamak için bir güvenlik açığı tarayıcısının bir sorunu bulmasını beklememek gerekir; zaten çok geç olabilir.
Geleneksel güvenlik açığı tarayıcıları yönetim için KPI’lar oluşturmak için mükemmeldir; ASD/ASM çözümleri ise her gün ateş altında olan operasyonel güvenlik ekipleri için kullanışlıdır. Uzun raporlara ve renkli gösterge tablolarına değil, günümüzün kritik tehditlerine odaklanmak için etkili çözümlere ihtiyaçları var.
Pek çok kuruluş bilinmeyen veya yönetilmeyen bir varlığa yönelik siber saldırı yaşadığına göre, bu riski en aza indirmek için hangi proaktif önlemler alınabilir?
İlk proaktif önlem, daha önce açıkladığımız gibi birden fazla bilgi kaynağı arasındaki korelasyona dayalı olarak güncel bir varlık envanteri tutmaktır: DNS, CTL, IP tarama ve URL tarama. Bu yaklaşım, kuruluşların temel ASM çözümlerinin neyi yapamayacağını belirlemesine olanak tanır.
İkinci olarak ASM, siber suçluların aradıklarına güçlü bir şekilde odaklanmak için Siber Tehdit İstihbaratından (CTI) yararlanmalıdır. Önemli olanı tespit etmeye odaklanabilmek için kurum içi tehdit istihbaratı yapıyoruz. Dolayısıyla ASM’nin şu anda suçluların hedef aldığı sistem ve hizmetleri tespit edebilmesi gerekiyor.
Üçüncü olarak, kritik güvenlik açıkları (CVE’ler) ile ilgili olarak kuruluşların, yama uygulamaya öncelik vermek için mevcut CVSS puanlama sistemini kullanmanın hatalı olduğunu anlamaları gerekir. Güvenlik ekiplerinin ikili bir puanlama sistemi tanımlaması gerektiğini savunuyoruz: CVE ağlara sızmak için kullanılır veya kullanılmaz. CISA Bilinen Suistimal Edilen Güvenlik Açığı (KEV) kataloğunun benimsediği yaklaşım budur ve biz de bu mükemmel girişimle tamamen uyumluyuz. Onlarca yıl süren denemelerden sonra büyük kuruluşlar bile tüm yazılım ve donanımlarına yama uygulayamıyor. Kritik güvenlik açıklarına ve RDP/VPN sunucularına odaklanmak, çoğu BT ortamının güvenlik durumunu kesinlikle iyileştirecektir. Aynı zamanda operasyonel güvenlik ekiplerinin en önemli konulara odaklanmasına yardımcı olun.
Son olarak, ASD & ASM gerçekleştirirken göz önünde bulundurulması gereken son ve kritik nokta, tedarikçilerinizi ve iştiraklerinizi belirlemektir. Verilerinizi kullanıyorlar mı? Eğer öyleyse, varlık envanterinin bir parçası olmalı ve ASM programınıza entegre edilmelidirler. Bir tedarikçi veya yan kuruluş nedeniyle şirketlerin riske girdiğine dair raporları sıklıkla gördük. Kuruluşunuzun bir parçası olarak düşünülmelidirler.