[By Brett Walkenhorst, Ph.D., CTO, Bastille]
Sıfır Güven, modern dünyada riski en aza indirmeyi amaçlayan çok katmanlı bir yaklaşıma doğru çevre tabanlı kontrolün ötesine geçen ilkeleri birleştirerek neredeyse 15 yıldır ağ güvenliğini geliştirmek için önemli bir paradigma olmuştur. Her ne kadar paradigma karmaşık olsa da Sıfır Güven’in ardındaki temel fikir, zihniyetimizi çevremizi savunmaktan, bir saldırganın zaten oraya girdiğini varsaymaya dönüştürmektir. Bu, ağımıza görünürlük kazandırmamızı, ağ kaynaklarına erişimi sınırlamamızı ve analitik yardımıyla olaylara müdahaleyi otomatikleştirmemizi gerektirir.
Bir güvenlik topluluğu olarak bu paradigma değişimini uygulayarak ilerleme kaydediyoruz, ancak genellikle gözden kaçırılan önemli alanlardan biri ağlarımızın kablosuz saldırı yüzeyidir. Kablosuz sorununu çözmeden Sıfır Güven duruşumuz eksik kalır.
Kablosuz Sorunu
Kablosuz cihazların sayısı dünya çapında on milyarlarcadır ve varlıkları büyümeye devam etmektedir. Arayüzler Wi-Fi, hücresel, Bluetooth, IoT ve diğerlerini içerir. Bu kablosuz alanın büyük bir kısmı güvenlik araçlarımız tarafından izlenmiyor ve hatta görülemiyor. Bu hesaba katılmayan cihazlar arasında gölge BT ekipmanı, endüstriyel kontrol sistemleri (ICS), kişisel/kurumsal akıllı telefonlar, çevre birimleri, giyilebilir cihazlar ve çok daha fazlası bulunabilir. Bu cihazların tümü bir şekilde ağlarımıza bağlanma potansiyeline sahip ancak kablosuz arayüzleri büyük ölçüde izlenmiyor. Sıfır Güven zihniyetine geçiş çabalarımızda, ağlarımızın kablolu bileşenlerinin yanı sıra bu kablosuz teknolojilere de görünürlük kazandırmamız kritik önem taşıyor.
Kablosuz cihazlar her yerde bulunur. Birbirleriyle ve ağ altyapısıyla iletişim kurmak için elektromanyetik dalgaları kullanırlar. Bu dalgalar ışık hızında hareket eder; fiziksel güvenlik çevremizi aşarak duvarları ve diğer fiziksel engelleri aşıyorlar; ve gözle görülmezler. Kritik 1’ler ve 0’lar bu görünmez dalgaları modüle ettiğinden, bu kablosuz protokollerde bulunan birçok güvenlik açığına karşı savunma sağlamak için onları daha görünür hale getirmenin yollarını bulmalıyız. Yalnızca son 10 yılda 2.000’den fazla kablosuz CVE yayımlandı. Ve bu yalnızca keşfedilen şeydir. Bu keşiflerin eğilimi katlanarak büyüme yönündedir. Açıkçası, kablosuz saldırı yüzeyi giderek artan bir endişe alanıdır.
Kablosuz tabanlı saldırıların biçimleri büyük farklılıklar göstermektedir. Kimlik bilgilerini kırmak ve/veya istemcileri/çevre birimlerini tehlikeye atmak için ortadaki makine (MitM) saldırılarını içerirler; hizmet reddi (DoS), gizlice dinleme, kötü amaçlı yazılım yerleştirme, veri hırsızlığı ve çok daha fazlası. İnsanların bu tür saldırılar gerçekleştirmesine yönelik giriş engelini azaltan birçok uygun fiyatlı araç (hem donanım hem de yazılım) mevcuttur. Saldırı cihazları arasında Wi-Fi ananasları (Evil Twin saldırı cihazları), O.MG ve USB Ninja kabloları ve Wi-Fi Rubber Duckies (kablosuz kontrollü tuş vuruşu enjeksiyonu ve sızıntı kabloları/donanım kilitleri), kablosuz ağ arayüz denetleyicisi (NIC) donanım kilitleri, Bluetooth bulunur. geliştirme kitleri/donanım kilitleri, yazılım tanımlı radyo kitleri/donanım kilitleri ve daha fazlası. Daha gelişmiş cihazlar genellikle 100 ABD Doları civarındadır, ancak çok yetenekli cihazların çoğu 10 ABD Doları veya daha düşük bir fiyata satın alınabilir.
Görünmez Kablosuz Saldırı Yüzeyine Görünürlük Getirmek
Kablosuz sinyaller iletişim kurmak için elektromanyetik (EM) dalgaları kullanır. EM dalgaları görünmez, ancak bunları hem oluşturacak hem de tespit edecek elektronik sistemler oluşturulabilir. Bu görünmez dalgaları görünür kılmak için uygun kapasiteye sahip bir dedektöre ihtiyacımız var. Radyo teknolojisi 19. yüzyılın sonlarından bu yana ortalıkta olsa da, daha yüksek frekanslar ve dijital modülasyon içeren modern gelişmeler, kablosuz iletişimi giderek daha verimli ve etkili hale getirerek, birçok farklı protokolü konuşan on milyarlarca cihazı desteklemek için EM spektrumunun farklı bantlarını kullanmamıza olanak tanıdı. . Bir kablosuz algılama sistemi, birçok protokolden gelen birçok kablosuz paketin dijital olarak demodüle edilmesi ve kodunun çözülmesi için yazılım tanımlı radyo teknolojisi ve yüksek kapasiteli işlemciler gibi modern araçları kullanarak eşit derecede yetenekli olmalıdır.
Bir kablosuz algılama sistemi, aynı anda birden fazla kablosuz sinyali algılamak için birden fazla geniş bantlı, çok kanallı, yazılım tanımlı radyo sensörünü içermelidir. Sensörler, bireysel kablosuz algılamalar için meta verileri çıkarmak amacıyla paralel olarak birçok kablosuz paketin başlıklarının kodunu dijital olarak çözmeli ve ardından uzaydaki emisyonların yerini belirlemek için verilerini merkezi bir sunucuya beslemelidir. Bu şekilde sistem, bir tesis içindeki tüm kablosuz emisyonları tespit edip bulabilir. Bu, kullanıcıya kablosuz sinyallerin zamansal, mekansal ve davranışsal özellikleri açısından görünürlüğünü sağlar. Ancak görünürlük yalnızca ilk adımdır. Sıfır Güveni etkinleştirmek için analitik eklememiz ve yanıtı otomatikleştirmemiz gerekiyor.
Analitik araçlar, verileri eyleme geçirilebilir içgörülere dönüştürür. Kablosuz verilere uygulandığında, kablosuz iletimlerdeki sağlıksız davranışları tespit etmemiz, bunların ciddiyetini sınıflandırmamız ve kullanıcılara harekete geçmeleri için araçlar sağlamamız gerekiyor. Kablosuz cihazları analiz edebileceğimiz boyutlar arasında zaman, mekan ve davranışın birçok boyutu yer alır. Kablosuz paket başlıklarından elde edilen meta veriler, bağlantı, cihaz bilgileri, veri aktarım hacmi ve çok daha fazlasını çıkarsamamız için kullanabileceğimiz zengin bir veri kümesi sunar. Belirli bir davranış tanımlandığında, bu davranışı uyarmamız ve uygunsa yanıtı otomatikleştirmemiz gerekir. Bu tür bir otomasyon, bir cihazın ağ erişimini kapatma, cihazın belirli işlevlerini devre dışı bırakma, bir güvenlik operasyon merkezinde (SOC) bir uyarı listesi oluşturma, bir olay müdahale uyarısı yayınlama, fiziksel güvenlik kameralarını belirli bir alana odaklama, flaş yapma gibi özellikleri içermelidir. bir ışık, bir kapıyı kilitlemek ve diğer birçok eylem. Bu tür yanıtları mümkün kılmak için kablosuz algılama sisteminin, güvenlik bilgileri ve olay yönetimi (SIEM) sistemleri, güvenlik düzenleme otomasyonu ve yanıtı (SOAR), ağ erişim kontrolü (NAC) dahil olmak üzere bir dizi başka güvenlik aracıyla kolayca entegre olabilmesi gerekir. sistemleri, birleşik uç nokta yönetimi (UEM) sistemleri, fiziksel erişim kontrol sistemleri vb.
Yukarıda anlatıldığı gibi bir kablosuz algılama sistemi oluşturmak önemsiz değildir. Donanım uzmanlaşmıştır ve son derece yeteneklidir, ancak yazılım/ürün yazılımı böyle bir sistemi uygulanabilir kılmanın gerçek anahtarıdır. Bazı zorluklar şunları içerir:
- 4G/5G hücresel cihazlar arasında ayrım yapma ve bunları ayrı ayrı konumlandırma
- Bu, rastgele erişim kanalı (RACH) paketi gibi belirli kontrol kanalı paketleri için yeterince basittir, ancak bunlar çok azdır ve bu nedenle ilgili verilerin çoğunu kaçırırız.
- Genel trafik kanalı paketleriyle bunu yapmak son derece zordur
- Başka cihazlara bağlıyken Bluetooth cihazlarını algılama ve bulma
- Bluetooth sinyalleri, bağlı durumdayken frekansta atlar, dolayısıyla birçok tek kanallı algılayıcı bunları göremez
- Bir Bluetooth ağında ayrı ayrı cihazları ayırt etmek ve konumlandırmak, tüm spektrumun incelenmesini ve hangi paketlerin hangi cihaza ait olduğunu belirlemeyi gerektirir
- İç mekan sinyallerinin doğru lokalizasyonu
- İç mekan ortamlarında çok fazla gürültü ve çok yol bulunur (çeşitli fiziksel malzemelerden yansıyan EM dalgaları)
- 10 m’lik yerelleştirme doğruluğuna ulaşmak makuldür ancak uygulamaya pek uygun değildir
- 1-3 m’lik doğruluklar çok zorlu ama çok daha kullanışlı
Böyle bir tespit ve lokalizasyon sistemi oluşturmak elbette zordur, ancak çabalar çok fazla değer sağlar. Sıfır Güven mimarisinin uygulanması açısından bu önemlidir, ancak bazı örnekler değeri motive etmeye yardımcı olabilir. Aşağıda böyle bir sistem tarafından tespit edilen ve yeri tespit edilen şeylerden sadece birkaç örnek verilmiştir:
- Fortune 10 şirketlerinden birinin yönetici katında bir USB Ninja kablosu
- Bu kablo, standart bir USB kablosu gibi görünen ve davranan bir bilgisayar korsanlığı aracıdır
- Bir saldırganın tuş vuruşlarını enjekte etmesini ve hedef sistemden veri sızdırmasını sağlamak için kablosuz olarak bir denetleyiciye bağlanabilir.
- Güvenli bir veri merkezindeki sunucuya bağlı, Wi-Fi ve Bluetooth paketlerini işaret eden bir dizüstü bilgisayar
- Bir veri merkezi içindeki çekirdek ağa kablolu erişimi olan, endüstriyel soğutuculardaki aktif, şifrelenmemiş bir Zigbee alıcı-vericisi
- Yanlış yapılandırmayı ve/veya olası bir DoS durumunu belirten cihazlardan gelen aşırı RTS ve bağlantı isteği paketleri
- WPA2 şifrelemesini kullanan bir erişim noktasından gelen işaretler aracılığıyla aralıklı WEP şifrelemesinin duyurulması
- WEP, 2001’de kırılan çok eski bir Wi-Fi şifreleme şemasıdır.
- Hiçbir erişim noktası bunu kullanmamalı
- Tesise fiziksel erişimi kapatabilecek kablosuz DoS saldırısına karşı hassas olan Bluetooth özellikli RFID okuyucular
- Fitbit’ler, telefonlar, akıllı saatler ve diğer pek çok cihaz, güvenlik endişeleri nedeniyle bu tür cihazların varlığının yasak olduğu çeşitli hükümet ve güvenli ticari tesislerde günlük olarak tespit ediliyor
Bu tür tehditleri tespit etme yeteneği, operatörlerin potansiyel sorunları olaya dönüşmeden önce tespit etmesine ve düzeltici önlem almasına olanak tanır. Yukarıdaki örneklerin çoğu için, fiziksel güvenlik yasağı uygun yanıttır ve kablosuz algılama sisteminin kablosuz cihazları mekansal olarak bulma yeteneği kritik öneme sahiptir. Diğerleri için, cihazın yanlış yapılandırılmasını düzeltmek veya belirli bir kablosuz modu kapatmak için bazı eylemler yeterlidir. Bu gibi durumlarda, sorunun tanımlanması ve düzeltilmesi için sistemin MAC adresi, cihaz adı, üretici vb. gibi cihaz ayrıntılarını tanımlama ve bir UEM/NAC sistemiyle entegre olma yeteneği yeterlidir. Durum ne olursa olsun, kablosuz algılama çözümü yalnızca kablosuz saldırı yüzeyinin gerçek zamanlı izlenmesini sağlayarak olayları meydana geldikçe tespit etmekle kalmaz, aynı zamanda saldırıların meydana gelmesini önlemek için bir kuruluşun güvenlik duruşunu güçlendirmeye de hizmet edebilir.
Kablosuz Sorununu Çözme
Kablosuz cihazlar her yerde bulunur, saldırılara karşı savunmasızdır ve çoğu güvenlik aracı tarafından görünmez. Artan varlığı ve güvenlik açığı ile birlikte RF korsanlık araçlarını ve yeteneklerini demokratikleştirme eğilimi, ağ yöneticilerinin ve tüm güvenlik sektörünün daha dikkatli olmasını gerektirmektedir. Bu kablosuz sinyalleri izleyebilecek sistemler oluşturmak zor olsa da, bu tür araçlar sürekli gelişen yeteneklerle giderek daha fazla kullanılabilir hale geliyor.
Kablosuz tehditleri tespit etme, yerelleştirme, analiz etme ve bunlara yanıt verme yeteneği, Sıfır Güven uygulamasının bir sonraki aşamasıdır. Ağ güvenliği duruşumuzdaki giderek tehlikeli hale gelen bu boşluğu doldurmanın zamanı geldi.
Reklam