Baş Satış Mühendisi Marcos Lira tarafından
Yaklaşık 10 yıl önce, “Hızlı hareket et ve bir şeyleri kır.” Silikon Vadisi büyük ölçüde hala bu mantrayla yaşıyor. Rekabetçi baskılar, kuruluşları ürün ve hizmetleri daha hızlı ve müşterilerine daha yakın oluşturmaya ve sunmaya itmiştir.
Ancak çoğu zaman bu hızlı tempoyla ilişkili riskler, kuruluşları unutulmuş, yönetilmemiş veya yanlış yapılandırılmış çok fazla bağlantıya maruz bırakmıştır. Bu varlıklar sonunda test ve izleme için “kapsam dışı” olarak kabul edilen şeylere sürüklenir.
“Kapsam dışı” varlıklar, güvenlik ekiplerinin ihmal ettiği varlıklardır. Bunlar genellikle kritik olmayan olarak kabul edilir, ancak alt etki alanı devralma gibi sorunlardan kaynaklanan zincirleme saldırı riski, tüm saldırı yüzeyinin izlenmesini ve güvenliğini sağlamayı her zamankinden daha önemli hale getirir. Kuruluşların %69’u bilinmeyen, yönetilmeyen veya yanlış yapılandırılmış internete açık bir varlığın istismar edilmesiyle başlayan bir siber saldırıya maruz kaldı. Gördüğümüz bazı yaygın örnekler şunları içerir:
- Üçüncü taraf pazarlama ve destek platformları (HubSpot veya Zendesk gibi)
- Yardımcı ve eski ortamlar
- Geliştirme ve hazırlama ortamları
- Dahili ve iş ortağı araçları
- Gösterişli alanlar ve unutulmuş projeler
Bunlar genellikle en kritik varlıklar olmasa da, bunlar internete açıksa, tehdit aktörleri tarafından kolayca saldırıya uğrayabilirler.
Ne yazık ki bu, bir kuruluşun internete dönük saldırı yüzeyinin yalnızca karmaşıklık içinde büyüdüğü ve sürekli genişlediği anlamına gelir. Yeni varlıklar, yeni kitaplıklar, yeni kodlar var ve yeni güvenlik açıklarının olasılığı artıyor. Gerçekte, hedefinin ne kadar savunmasız olduğunu gören bir saldırgan için “kapsam içi” veya “kapsam dışı” diye bir şey yoktur.
Bu tür varlıklar, bir kuruluşun saldırı yüzeyini genişletir ve çatlaklardan sızan kritik güvenlik açıklarını ortaya çıkarabilir. Bazen bu farkındalık boşlukları, devam eden personel eksikliklerinden, yönetilmesi gereken çok sayıda güvenlik açığından veya uyarı yorgunluğundan kaynaklanır.
Neyi korumanız gerektiğini anlamak için, saldırganın oyun kitabına bakalım, gerçek saldırı yüzeyinizi ve onu korumak için neler yapılabileceğini belirleyelim.
Saldırganlar nasıl düşünür?
En büyük organizasyonları alaşağı etmeyi hedeflerken, kapüşonlu bir sweatshirt giyen bir dizüstü bilgisayarın arkasında oturan hain bir aktörün hazır görüntüsü, resmi doğru şekilde çizmiyor. Saldırganlar ayrımcılık yapmaz; bir hedefe sızmanın en kolay yolunu bulacak ve en değerli olanı bulana kadar etrafta zıplayacak eşit fırsatçılardır.
Çoğu zaman, en savunmasız olanlar “kapsam dışı” varlıklardır ve saldırganlar kuruluşunuza en kolay giriş için bunlara güvenirler. Bu saldırganlar eğlenmek için bilgisayar korsanlığı yapar, topluluklarından bir şeyler öğrenir ve içeri girmek için böcek ödül programlarındaki güvenlik açığı açıklamalarından yararlanır.
Saldırganlar, NFL’nin geri koşması kadar çeviktir; savunmaları kesebilir, döndürebilir, yan adım atabilir ve hatta gediklerini açmak için duyulabilir. Kötü niyetli saldırganların, hedefledikleri çok çeşitli ağlar ve yazılımlar nedeniyle güvenlik açığı algılama konusunda artan bir beceriye sahip olduğu bulundu. Oyun kitapları, bir alt alan adı devralmasıyla başlayabilir ve nihayetinde birincil hedefi tehlikeye atabilir.
Saldırı yüzeyiniz gerçekte nasıl görünüyor?
JPMorgan Chase davasında, ele geçirilmiş bir yan kuruluşa ait ifşa edilmiş bir veri tabanı, nihayetinde hesaplar ifşa ediliyor. Bu, kuruluşlar için ortak bir acı noktasıdır. Saldırı yüzeyinizi anlamak için görünürlüğe ihtiyacınız var ve çoğu kuruluşta bu yeterli değil.
Göre , BT güvenliği karar alıcılarının %62’si güvenlik duruşlarını zayıflatan kör noktalara sahip olduklarını kabul ediyor ve %73’ü dijital saldırı yüzeylerinin boyutundan endişe duyuyor. Şirket içinde oluşturmadığınız daha fazla varlık eklendikçe hantallaşabilir. Bu üçüncü taraf bağlantıların çoğu, alan adı sistemi (DNS) standart adı (CNAME) kayıtları veya uygulama programlama arabirimi (API) çağrıları yoluyla gelir.
Birçok güvenlik ekibi, hizmet olarak yazılım (SaaS) veya hizmet olarak altyapı (IaaS) gibi bir üçüncü taraf varlığı kullanarak risk aktardıklarını düşünür. Onlar sadece değiller. Kullanıyorsan sorumlusu sensin. , şirket sorumluluğu AWS altyapısındaki bir zayıflığa devretmeye çalıştı. Ne yazık ki Capital One için mahkemeler, müşteri verilerini korumanın nihai olarak bankanın sorumluluğunda olduğu konusunda AWS’nin yanında yer aldı. Genel bulut sağlayıcıları, ortak sorumluluğa sahip benzer bir politikaya sahiptir. Bulut sağlayıcı, sunduklarının altyapısından sorumlu olmakla birlikte, eklediğiniz tüm veriler veya yaptığınız yapılandırmalar size aittir.
Riskle ilgili yaygın yanılgı, genellikle hata ödül programları tarafından açıkça ortaya konur. Güvenlik ekipleri, “kapsam dışı” olduğuna inandıkları diğer kişileri göz ardı ederek, etik korsanları yalnızca belirli bir alanda çözüm aramaya yönlendirebilir. Saldırganlar, genellikle yaptıkları gibi, bu hata ödüllerini okuduklarında, güvenlik ekiplerinin tam olarak nerede olduğunu bilirler. değil bakıyor ve nereye saldıracağını biliyor.
Ne yapılabilir
Kuruluşlar, internete maruz kalan altyapılarının tamamını dikkatli bir şekilde değerlendirmeli ve her bir varlığı güvenlik açıkları açısından düzenli olarak değerlendirmelidir. “Kritik olmayan” ve “kritik” varlıkların birbirine bağlılığından kaçınmak zordur, bu nedenle artık “kritik olmayan” veya “kapsam dışı” varlıkları göz ardı edemeyiz.
Bu, saldırı yüzeyinizin daha kapsamlı bir değerlendirmesi anlamına gelebilir, ancak bu değerli bir yatırımdır. Saldırganlar daha yaratıcı hale geliyor ve en değerli varlıklarınıza ulaşmak için yeni yollar buluyor. Belirli verilerin, uygulamaların veya havuzların “kapsam dışı” olduğunu düşünseniz bile, hızlı hareket ettikçe kırılmaktan çok daha kötü olan unutulmuş kaynaklar olabilir; bir saldırı için kapıyı açık tutuyor olabilirler.
reklam