Çoğu kuruluş yıllık bir ağ penetrasyon testi gerçekleştirir, ortaya çıkardığı sorunları giderir ve devam eder. Ancak saldırganlar, yaygın yanlış yapılandırmaları ve gözden kaçan güvenlik açıklarını kullanmak için halka açık araçları kullanarak her gün ağları araştırıyorlar.
Vonahi Security’nin en büyük SaaS platformuyla gerçekleştirilen 50.000’den fazla otomatik penetrasyon testine dayanan yeni bir rapor, yılda bir kez manuel testin neden yeterli olmadığını gösterdi.
Testler, birçok kuruluşta aynı önlenebilir boşlukları işaretledi. En sık, çok noktaya yayın DNS (MDNS) sahtekarlığına, netbios name service (NBNS) sahtekarlığına ve bağlantı-yerel çok noktaya yayın adı çözünürlük (LLMNR) sahtekarlığına izin verdiler. Bu ağ protokolleri yayın sorgularına dayandığından, ağdaki bunları alabilen herhangi bir cihaz yanıt verebilir. Bu, saldırganların makineleri haydut sistemlere bağlanmaya yönlendirmeleri için kapıyı açar.
Bu protokoller varsayılan olarak etkinleştirildiğinden, bu sorunlar tüm değerlendirmelerin yarısından fazlasında ortaya çıktı. Ve genellikle göz ardı edilmelerinin nedeni, her zaman acil görünmemeleridir.
Örneğin, tipik bir güvenlik açığı taraması LLMNR taklitini düşük öncelikli bir sorun olarak etiketleyebilir. Ancak gerçek bir saldırıda, bu kusur karma kimlik bilgilerini yakalamak ve ayrıcalıkları artırmak için kullanılabilir. Vpentest, saldırganların bundan nasıl yararlanacağını gösteriyor.
Kaçırılan yamalar ve varsayılan ayarlar devam ediyor
Raporda ayrıca yama yapmanın büyük bir zorluk olduğunu vurguladı. Eski Windows makineleri ve EternalBlue ve Blueeps gibi bilinen güvenlik açıkları ortaya çıkmaya devam ediyor.
Bu kusurlar yıllardır biliniyor ve sömürülüyor. Onların varlığı, birçok kuruluşun hala yama yönetimi, eski sistemler ve yazılım uyumluluk sorunları ile mücadele ettiğini göstermektedir.
Yanlış yapılandırmalar başka bir önemli sorundur. Active Directory Sertifika hizmetlerinde, saldırganların yüksek ayrıcalıklar kazanmasına izin veren varsayılan kimlik bilgileri ve zayıf yönleri olan Firebird sunucuları birçok kurumsal ağda mevcuttur ve büyük güvenlik başarısızlıklarına yol açabilir.
Ne yazık ki, birçok kuruluş bu sorunları yeterince erken tespit etmemektedir, çünkü geleneksel penetrasyon testleri kapsamı sınırlıdır, pahalıdır ve genellikle yılda sadece bir kez gerçekleştirilir. Bu testler arasında ağlar değişir, yeni sistemler eklenir ve yanlış yapılandırmalar fark edilmez.
Son olarak, veriler bu sorunların tek bir sektörle sınırlı olmadığını göstermektedir. Teknoloji, sağlık, finans ve üretim arasında eleştirel bulgular bulundu, bu da kök nedenlerin – zayıf görünürlük, konfigürasyon kayması ve tutarsız yama uygulamaları – yaygın olduğunu düşündürmektedir.
Neden sürekli test önemlidir?
Vpentest, gerçek dünyadaki saldırgan davranışını simüle eder. Tam gelişmiş bir ağ penetrasyon testi gerçekleştirir ve uyum odaklı değerlendirmelerde sıklıkla kaçırılan dahili yanlış yapılandırmaları, modası geçmiş protokolleri ve ayrıcalık artış yollarını tanımlar.
Bu problemlerin çözülmesi en son çözümler gerektirmez, ancak tutarlılık ve görünürlük gerektirir. Sık sık test, ekiplerin sorunları erken bulmasına ve düzeltmesine izin verir, genellikle saldırganların hareket etme şansı olmadan önce. Vpentest, kuruluşların ortamlarını ek personel veya dış kaynak kullanımı olmadan test etmek için isteğe bağlı veya bir programda çalıştırılabilir.
Günümüzde uyum kutuları kontrol etmekten daha fazlası
Rapor, eski sistemler, varsayılan ayarlar ve eski protokoller gibi önlenebilir boşlukların hala yaygın olduğunu açıkça ortaya koymaktadır.
Bu zayıflıklar sadece saldırganlar tarafından sömürülmekle kalmaz, aynı zamanda organizasyonları düzenleyici standartların altında kalma riski taşır. GDPR, HIPAA, PCI DSS, ISO 27001 ve SOC 2 gibi modern çerçevelerin tümü güvenlik açıklarının düzenli olarak test edilmesini gerektirir. Burada vurgulandığı gibi, 2024’te bildirilen olayların yaklaşık yüzde 70’i kuruluşların tanımlayamadığı veya öncelik vermediği yüksek etkili güvenlik açıklarına bağlıydı.
Günümüzde uyumu karşılamak, yıllık bir denetimden daha fazlası anlamına gelir: Güvenlik kontrollerinin gerçek dünya koşullarında etkili olduğunu ve güvenlik açıklarının tutarlı bir şekilde ele alındığını kanıtlamak gerekir. Vpentest, kuruluşların her ikisini de yapmasına yardımcı olur. Penetrasyon testini otomatikleştirerek, ekip denetimini hazır tutan ve aynı zamanda günlük savunmaları da güçlendiren tutarlı, tekrarlanabilir sonuçlar sağlar.
Riskler gerçek
Çoğu siber suçlu karmaşık veya yeni yöntemlerden hoşlanırlar – temel yanlış yapılandırmalar ve eksik yamalar aramak için genel araçlara güvenirler. Bir dayanak kazandıktan sonra, ağdan sessizce hareket edebilirler.
Ağlar her zaman akışta ve saldırganların sizinkini nasıl gördüğünü anlamanız gerekir. Bu, zaman içinde değerlendirmelerden çok ihtiyaç duyulan güvenlik kontrolü olan düzenli, gerçekçi simülasyonlara kaymak anlamına gelir.
Vonahi güvenliği, yardım net güvenliği, “Sağlık sektöründeki müşterilerimizin iç ağlarını değerlendirmek için vpentest kullandı ve Active Directory Sertifika Hizmetleri’nin (AD CS) yanlış yapılandırılmasını sağlayarak yanlış yapılandırıldığını keşfetti. Bu güvenlik açığı önceki elle değerlendirmelerde fark edilmedi.
“Vpentest’in ayrıntılı teknik raporunda belirtilen öneriler sayesinde, kuruluş, yükseltme yolunu ortadan kaldırmak ve yaygın veri maruziyeti ve uyumluluk ihlallerine yol açabilecek potansiyel alan uzlaşmasını önlemek için AD CS izinlerini ve şablonlarını yeniden yapılandırabildi.”
Bu durum, otomatik ağ pentestlemesinin, özellikle saldırganların güven ilişkilerini ve yanlış yakınlaştırmalarını kullanabileceği karmaşık ortamlarda, geleneksel yöntemlerin sıklıkla kaçırdığı derin, sistemik sorunları nasıl ortaya çıkarabileceğini vurgulamaktadır.
Ayrıca, ciddi tehditler olmak için küçük kusurların nasıl birleştirilebileceğini ve – daha da önemlisi – ekibinize gerçek hasar meydana gelmeden önce bu boşlukları kapatmak için ihtiyaç duydukları görünürlük ve bilgiyi vereceğini de gösterebilir.
Johnson, “Bu yılki rapordan en acil paket, kuruluşları ciddi bir riske maruz bırakmaya devam eden miras güvenlik açıklarının ve yanlış yapılandırmaların yaygınlığıdır” dedi.
“CISOS, güvenlik duruşlarının sürekli validasyonuna öncelik vermelidir. Bu, yıllık değerlendirmelerin ötesine geçmek ve ortaya çıktıkça güvenlik açıklarını yakalamak için otomatik, sık testleri benimsemek anlamına gelir. Odak noktası, vahşice veya maviye gibi istismarlara karşı savunmasız sistemlerin zamanında yamalanmasını sağlayan ve iç hizmetleri denetleyen sistemlerin yamalamasını sağlayan ve varsayılan veya zayıf kimlikler için durumları denetleyecek olan miras protokollerine odaklanmalıdır.
İlişkili riski azaltmak için diğer sık ağ zayıflıklarını ve önerilerini ortaya çıkarmak için ilk 10 Critical Pentest Bulguları 2025 raporunu indirin.