Hikayeler hem rezil hem de efsanevi. Açık artırmada satın alınan fazla bilgi işlem ekipmanı, çalışan sağlık kayıtları, bankacılık bilgileri ve çok sayıda eyalet ve yerel gizlilik ve veri kanunları tarafından kapsanan diğer veriler dahil olmak üzere özel bilgiler içeren binlerce dosya içerir. Gizli verilere sahip uzun süredir unutulan sanal makinelerin (VM’ler) güvenliği ihlal ediliyor — ve kimse bilmiyor. Kurumsal ağlarla ilgili topoloji verilerine sahip kurumsal sınıf yönlendiriciler eBay’de satılmaktadır. Günlük olarak halka sunulan bu kadar çok gizli veri varken, şirketler potansiyel saldırganlara başka neleri açığa çıkarıyor?
Gerçek şu ki, birçok veri düzenli olarak açığa çıkıyor. Örneğin geçen ay, siber güvenlik satıcısı ESET, ikincil pazarda satılan devre dışı bırakılan yönlendiricilerin %56’sının hassas kurumsal malzeme içerdiğini bildirdi. Bu, yönlendiriciden yönlendiriciye kimlik doğrulama anahtarları, IPsec ve VPN kimlik bilgileri ve/veya karma parolalar, üçüncü taraf ağlara bağlantılar için kimlik bilgileri ve bazı belirli uygulamalar için bağlantı ayrıntıları gibi yapılandırma verilerini içerir.
Ulusal Güvenlik Teşkilatında eski bir eğitmen ve şimdi saldırgan siber operasyonlarda uzmanlaşmış bir siber güvenlik danışmanlığı şirketi olan White Knight Labs’ın CEO’su ve kurucu ortağı olan Greg Hatcher, veri sızıntılarına neden olan bulut tabanlı güvenlik açıklarının genellikle yanlış yapılandırmalardan kaynaklandığını söylüyor. Bazen, son Samsung ihlalinde özel kodun ChatGPT’ye girmesi gibi, verilerin kasıtlı olarak ancak safça riske atıldığını belirtiyor.
Hatcher, kimlik bilgileri ve şirket sırları gibi gizli verilerin genellikle GitHub’da ve diğer yazılım havuzlarında saklandığını söylüyor. Saldırganlar, çok faktörlü kimlik doğrulamayı aramak veya geçerli kimlik bilgilerini atlamak için, MFA’nın etkin olup olmadığını belirlemeye çalışan, sağlanan bir kimlik bilgileri kümesini kullanarak çeşitli Microsoft hizmetlerinde oturum açmaya çalışan bir PowerShell betiği olan MFASweep’i kullanabilir; Oturum tanımlama bilgileriyle birlikte kimlik avı oturum açma kimlik bilgileri için kullanılan bir ortadaki adam saldırı çerçevesi olan Evilginx; ve diğer araçlar. Bu araçlar, mevcut güvenlik yapılandırmalarını atlayarak çeşitli sistem ve uygulamalardaki erişim açıklarını bulabilir.
Hatcher, hem donanım hem de yazılım varlık envanterine sahip olmanın çok önemli olduğunu söylüyor. Güvenlik ekibinin bakım ve uyumluluk nedenleriyle ağda tam olarak hangi donanımın olduğunu bilmesi gerektiğinden, donanım envanteri tüm cihazları içermelidir. Güvenlik ekipleri, çoğu bulut tabanlı donanıma erişemedikleri için bulut ortamlarını korumak için bir yazılım varlık envanteri kullanabilirler. (İstisna, hizmet sağlayıcının veri merkezinde şirkete ait donanım bulunan ve aynı zamanda donanım varlık envanteri kapsamına giren özel bir buluttur.)
Hatcher, kullanımdan kaldırılan sabit disklerden uygulamalar silindiğinde bile, diskteki Windows işletim sistemindeki unattend.xml dosyasının hala ihlallere yol açabilecek gizli verileri tuttuğunu söylüyor.
“Bunu ele alırsam ve bu yerel yönetici parolası işletme ortamında yeniden kullanılırsa, artık bir ilk dayanak noktası elde edebilirim,” diye açıklıyor. “Zaten çevre boyunca yanal olarak hareket edebiliyorum.”
Hassas Veriler Gizli Kalmayabilir
Diskleri fiziksel olarak yok etmek dışında, bir sonraki en iyi seçenek tüm diskin üzerine yazmaktır – ancak bu seçeneğin de bazen üstesinden gelinebilir.
Tel Aviv merkezli Veriti.ai’nin kurucu ortağı ve baş gizlilik sorumlusu Oren Koren, hizmet hesaplarının, saldırganların hem üretim sunucularında hem de kullanımdan kaldırılan sunuculardaki veritabanları açıkta bırakıldığında yararlanabilecekleri, genellikle göz ardı edilen bir veri kaynağı olduğunu söylüyor. Örneğin, güvenliği ihlal edilmiş posta aktarım aracıları, üretim sunucularından gönderilirken basit posta aktarım protokolü (SMTP) verilerinin şifresini çözerek ortadaki adam saldırısı gibi davranabilir.
Benzer şekilde, saldırgan, hesabın birincil işlevini belirleyebilir ve bu amaca ulaşmak için hangi güvenlik bileşenlerinin kapatıldığını bulabilirse, diğer hizmet hesaplarının güvenliği ihlal edilebilir. Çok düşük gecikme gerektiğinde veri analizini kapatmak buna bir örnek olabilir.
Hizmet hesaplarının gözetimsiz bırakıldığında güvenliği ihlal edilebileceği gibi, yetim sanal makineler de tehlikeye girebilir. Hatcher, popüler bulut ortamlarında sanal makinelerin genellikle kullanımdan kaldırılmadığını söylüyor.
“Kırmızı bir takım üyesi ve bir penetrasyon testçisi olarak, bu tür şeyleri seviyoruz çünkü bunlara erişirsek, devreye girerek bulut ortamında kalıcılık yaratabiliriz. [and] Bizimle konuşabilen kutulardan birinin üzerine bir işaret ışığı atmak [command-and-control] sunucusu” diyor. “O zaman bu erişimi süresiz olarak elimizde tutabiliriz.”
Genellikle kısa sürede kaybolan bir dosya türü, yapılandırılmamış verilerdir. Kurallar genellikle yapılandırılmış veriler (çevrimiçi formlar, ağ günlükleri, Web sunucusu günlükleri veya ilişkisel veritabanlarından alınan diğer nicel veriler) için yürürlükte olsa da, yapılandırılmamış veriler sorunlu olabilir, diyor Securiti.ai yönetişim ürünleri kıdemli direktörü Mark Shainman. Bu, ilişkisel olmayan veritabanlarından, veri göllerinden, e-postadan, çağrı günlüklerinden, Web günlüklerinden, ses ve video iletişimlerinden, akış ortamlarından ve genellikle elektronik tablolar, belgeler ve grafikler için kullanılan çok sayıda genel veri biçiminden gelen verilerdir.
Shainman, “Hassas verilerinizin nerede olduğunu anladığınızda, bu verileri koruyan özel politikalar uygulayabilirsiniz” diyor.
Erişim Politikaları Güvenlik Açıklarını Düzeltebilir
Veri paylaşımının ardındaki düşünce süreci genellikle olası güvenlik açıklarını tanımlar.
Shainman şöyle diyor: “Verileri üçüncü bir tarafla paylaşıyorsam, belirli şifreleme veya maskeleme politikaları uyguluyor muyum? bu ortam açıkta değil mi?”
Erişim zekası, belirli kişilerin bir platformda var olan verilere erişmesine izin veren bir ilkeler grubudur. Bu politikalar, örneğin bir elektronik tabloda hücre bazında değil, belgenin izin düzeyinde verileri görüntüleme ve işleme yeteneğini denetler. Yaklaşım, iş ortaklarının tüketimleri için onaylanan verilere erişmesine izin vererek üçüncü taraf risk yönetimini (TPRM) destekler; bu iznin dışındaki veriler erişilse bile görüntülenemez ve işlenemez.
NIST’in Ortam Temizliği için Özel Yayını 800-80 Yönergeleri ve Kurumsal Veri Yönetimi (EDM) Konseyi’nin güvenlik çerçeveleri gibi belgeler, güvenlik uzmanlarının donanımın kullanımdan kaldırılması ve verilerin korunmasıyla ilgili güvenlik açıklarının belirlenmesi ve düzeltilmesine yönelik kontrolleri tanımlamasına yardımcı olabilir.