90’ların ve erken dönemlerin daha iyi bir kısmı için, sysadmin el kitabı şöyle diyordu: “Gelen trafiğinizi filtreleyin, oradaki herkes iyi değil” (daha sonra Gandalf tarafından ” olarak icat edildi)Geçemezsiniz“). Böylece CIO’lar, gelen (diğer adıyla INGRESS) trafiğe karşı korumak için alabildikleri her cihazla ağ çitlerini güçlendirmeye başladılar.
2010’ların başındaki ilk kitlesel kimlik avı kampanyalarının ardından, birisinin çalışanlarla ve daha özel olarak da aldıkları her bağlantıyı tıklama konusundaki şaşırtıcı kapasiteleriyle ilgilenmesi gerektiği giderek daha açık hale geldi. Giden trafik filtreleme (aka EGRESS) bir saplantı haline geldi. Tarayıcı güvenliği, proxy’ler ve diğer yüceltilmiş antivirüsler, her danışmanlık firmasının müşterilerine bir an önce ellerine geçmelerini tavsiye edeceği olmazsa olmazlar haline geldi.
Risk gerçekti ve yanıt oldukça uyarlandı, ancak aynı zamanda ünlü “Süper askerBir orduya karşı yalnız mıyım? Öyle olsun, bir siper kazacağım, varlıklarımı içine, yazılım yığınlarının arkasına gömeceğim ve yerimi korumak için süper bir asker olacağım.
Ancak “yer” hareketli bir hedefti. SaaS, gölge BT, Genel Bulut, geçici iş yükleri ve evden çalışma bu duvarları yıktı. Bir zamanlar çok net olan çevre giderek bulanıklaştı. “İç” ve “dış” kavramları bulanıklaştı. Süper asker tüm alanları aynı anda savunamazdı. Aynı zamanda, iyi eğitimli ve yoğun bir şekilde finanse edilen siber suçlulardan oluşan ve büyüyen bir orduyla karşı karşıyaydı. Süpermen artık aynı anda her yerde olamaz.
Ve sonra, 2010’ların sonlarında ve 2020’lerin başlarında fidye yazılımı geldi. Teknik borçtan mümkün olan en yüksek fiyata para kazanmanın son derece zekice bir yolu. Aynı eski bilgisayar korsanlığı teknikleri, kripto para biriminin yükselişi sayesinde artık platin değerindeydi. Süper askerimiz birdenbire çok yalnız ve… oldukça işe yaramaz hale geldi.
Çıkış filtreleri uzlaşma sonrasında, Giriş filtreleri uzlaşmadan önce filtrelenir
Giriş trafiği yönetimi o zamana kadar daha az modaydı, bitmiş bir anlaşma olması gerekiyordu. Bir güvenlik duvarı ve düzgün bir izleme ile, gitmek için iyi olmalıyız. Ancak bir işletme veya devlet kurumundan taviz vermek, çoğunlukla üç ana stratejiden biri kullanılarak yapılabilir:
- Kullanıcıları cezbedin ve zayıf Çıkış filtrelemesine güvenin
- 0day, mantık güvenlik açığı, zayıf parolalar vb. gibi toplu istismar kullanın ve Bahis Girişi filtrelemesi o kadar akıllı değildi (43, 80, 443, 465, vb. bağlantı noktalarına erişimi beyaz listeye alan)
- Yukarıdakilere çok benzer, ancak tüm yüzeyinde yalnızca belirli bir varlığı hedefleyen hedefli saldırılar kullanın. Gatling silahıyla geniş çapta kimlik avı yapmak yerine, 123456 “korumalı” RDP’yi umarak. Burada yine bir Giriş yönetimi meselesi.
IBM X-force raporlarına göre, ilk güvenlik ihlallerinin kabaca %47’si güvenlik açığından yararlanmayla ilgiliyken, %40’ını kimlik avı oluşturuyor. Çalınan kimlik bilgilerinin %3’ünü ve kaba kuvvetin %3’ünü eklediğinizde, Giriş saldırılarınız, dışarıdan içeriye ihlal edilme olasılığı açısından %53’e çıkıyor. (Çıkarılabilir medyanın %7’sini saymıyorum çünkü, dürüst olmak gerekirse, kullanıcılarınız bilinmeyen bir USB takacak kadar aptalsa ve politikanız buna izin veriyorsa, bu benim Dijital Darwinizm dediğim farklı bir konudur.)
Bir kullanıcıya kötü amaçlı yazılım bulaştığında oyun, iş istasyonlarının siber suçlular için bir operasyon üssü haline gelmesini önlemek içindir. İşte burada Çıkış filtreleme devreye giriyor. Tamam, artık çok geç, ele geçirildiniz, ancak sonuçları azaltalım ve istasyonun duvarlar içinde 1/ daha fazla istismar edilmesini ve ayrıca Komuta ve Kontrole 2/geri bağlanmasını önleyelim suçluların merkezi.
Artık Giriş trafiği koruması gereklidir, çünkü yalnızca başlangıçta daha fazla taviz verir, aynı zamanda çevre her zamankinden daha büyük ve daha heterojendir. Kurumsal bir “çevre” artık genellikle HQ LAN ve DMZ’yi, veri merkezlerinde barındırılan bazı makineleri ve nihayetinde VPN’ler, uzak çalışanlar, Bulut iş yükleri, tedarik zinciri sağlayıcıları ve SaaS araçları olan birkaç ofisi içermektedir. Her şeyi izlemek, özellikle SIEM satıcıları depoladığınız her günlük için para kazanmak istediğinde, bir başarıdır. Yalnızca Egress CTI veya aracının sizi koruyacağını düşünmek gerçekçi değildir.
Reaktiviteden proaktifliğe
90’larda ele alınması gerektiği için, günümüzde Ingress trafik yönetimi daha az moda. Ancak, giriş saldırıları hakkındaki bilgilerinizi kitle kaynağından toplarsanız ve bu CTI verilerini cihazlarınızda kullanacak kadar derlenmiş hale getirirseniz, bu, genel güvenlik duruşunuz için net bir kazançtır. Bilin bakalım açık kaynaklı bir DevSecops aracına dayalı kitle kaynaklı güvenliği kim sağlıyor?
Bu doğru! Kalabalık Güvenliği! Giriş trafiğinizi nasıl koruyabileceğinizi buradan kontrol edin.
Not: Bu makale CrowdSec CEO’su Philippe Humeau tarafından uzmanlık ve özenle yazılmıştır.