Ulusal Güvenlik Ajansı (NSA) ve Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA), bugün büyük kuruluşların ağlarında kırmızı ve mavi ekipleri tarafından keşfedilen en yaygın on siber güvenlik yanlış yapılandırmasını açıkladı.
Bugünkü tavsiye niteliğindeki belge ayrıca, tehdit aktörlerinin bu yanlış yapılandırmalardan, erişim kazanmak, yatay hareket etmek ve hassas bilgi veya sistemleri hedeflemek de dahil olmak üzere çeşitli amaçlarla başarılı bir şekilde yararlanmak için hangi taktikleri, teknikleri ve prosedürleri (TTP’ler) kullandığını da ayrıntılarıyla anlatıyor.
Raporda yer alan bilgiler, iki kurumun Kırmızı ve Mavi ekipleri tarafından değerlendirmeler ve olay müdahale faaliyetleri sırasında toplandı.
NSA, “Bu ekipler Savunma Bakanlığı (DoD), Federal Sivil Yürütme Organı (FCEB), eyalet, yerel, kabile ve bölgesel (SLTT) hükümetleri ve özel sektör genelindeki birçok ağın güvenlik durumunu değerlendirdi” dedi. .
Eric, “Bu değerlendirmeler, varsayılan kimlik bilgileri, hizmet izinleri ve yazılım ve uygulama yapılandırmaları gibi yaygın yanlış yapılandırmaların; kullanıcı / yönetim ayrıcalıklarının uygunsuz şekilde ayrılması; yetersiz dahili ağ izleme; zayıf yama yönetiminin her Amerikalıyı riske soktuğunu gösterdi” dedi. Goldstein, CISA Siber Güvenlikten Sorumlu Yönetici Asistanı.
Kırmızı ve Mavi ekip değerlendirmeleri sırasında ve NSA ile CISA Av ve Olay Müdahale ekipleri tarafından keşfedilen en yaygın 10 ağ yapılandırması şunları içerir:
- Yazılım ve uygulamaların varsayılan yapılandırmaları
- Kullanıcı/yönetici ayrıcalığının hatalı şekilde ayrılması
- Yetersiz dahili ağ izleme
- Ağ bölümleme eksikliği
- Kötü yama yönetimi
- Sistem erişim kontrollerinin atlanması
- Zayıf veya yanlış yapılandırılmış çok faktörlü kimlik doğrulama (MFA) yöntemleri
- Ağ paylaşımları ve hizmetlerinde yetersiz erişim kontrol listeleri (ACL’ler)
- Yetersiz kimlik hijyeni
- Sınırsız kod yürütme
Ortak danışma belgesinde belirtildiği gibi, bu yaygın yanlış yapılandırmalar, çok sayıda büyük kuruluşun ağlarındaki sistemik güvenlik açıklarını göstermektedir.
Bu, yazılım üreticilerinin tasarım gereği güvenlik ilkelerini benimsemeleri ve böylece uzlaşma riskini azaltmaları yönündeki kritik ihtiyacın altını çiziyor.
Goldstein, yazılım üreticilerini bu yanlış yapılandırmalarla etkili bir şekilde mücadele etmeyi ve ağ savunucularının karşılaştığı zorlukları hafifletmeyi amaçlayan bir dizi proaktif uygulamayı benimsemeye çağırdı.
Bunlar, güvenlik kontrollerinin, geliştirmenin ilk aşamalarından itibaren ve yazılım geliştirme yaşam döngüsü boyunca ürün mimarisine entegre edilmesini içerir.
Ayrıca üreticiler varsayılan şifreleri kullanmayı bırakmalı ve tek bir güvenlik kontrolünden ödün verilmesinin tüm sistemin bütünlüğünü tehlikeye atmayacağından emin olmalıdır. Bellek açısından güvenli kodlama dilleri kullanmak veya parametreli sorgular uygulamak gibi tüm güvenlik açıkları kategorilerini ortadan kaldırmak için proaktif önlemler almak da önemlidir.
Son olarak Goldstein, ayrıcalıklı kullanıcılar için çok faktörlü kimlik doğrulamayı (MFA) zorunlu hale getirmenin ve MFA’yı varsayılan bir özellik olarak belirlemenin zorunlu olduğunu ve bunun isteğe bağlı bir seçim yerine standart bir uygulama haline geldiğini söyledi.
NSA ve CISA ayrıca ağ savunucularını, saldırganların bu yaygın yanlış yapılandırmalardan yararlanma riskini azaltmak için önerilen hafifletme önlemlerini uygulamaya teşvik eder.
Bu etkiye sahip olabilecek azaltımlar şunları içerir:
- varsayılan kimlik bilgilerini ortadan kaldırmak ve yapılandırmaları güçlendirmek,
- kullanılmayan hizmetleri devre dışı bırakmak ve sıkı erişim kontrolleri uygulamak,
- Düzenli güncellemelerin sağlanması ve yama sürecinin otomatikleştirilmesi, istismar edilen bilinen güvenlik açıklarının kapatılmasına öncelik verilmesi,
- ve idari hesapların ve ayrıcalıkların azaltılması, kısıtlanması, denetlenmesi ve yakından izlenmesi.
NSA ve CISA, taslak hafifletme önlemlerinin uygulanmasının yanı sıra, bugünkü danışma belgesinde “Kurumsallar için MITRE ATT&CK çerçevesiyle eşlenen tehdit davranışlarına karşı kuruluşunuzun güvenlik programının uygulanmasını, test edilmesini ve doğrulanmasını” önermektedir.
İki federal kurum ayrıca, danışma belgesinde açıklanan ATT&CK tekniklerine göre performanslarını değerlendirmek için mevcut güvenlik kontrolleri envanterinin test edilmesini de tavsiye ediyor.