Saldırı yüzeyleri güvenlik ekiplerinin devam edebileceğinden daha hızlı büyüyor – önde kalmak için neyin maruz kaldığını ve saldırganların grev yapma olasılığını bilmeniz gerekiyor.
Bulutun benimsenmesiyle, yeni sistemleri ve hizmetleri internete maruz bırakma kolaylığını önemli ölçüde artırarak, tehditlere öncelik vermek ve saldırganın bakış açısından saldırı yüzeyinizi yönetmek hiç bu kadar önemli olmamıştır.
Bu kılavuzda, saldırı yüzeylerinin neden büyüdüğüne ve davetsiz misafir gibi araçlarla bunların nasıl doğru izleneceğine ve nasıl yönetileceğine bakıyoruz. Hadi dalalım.
Saldırı yüzeyiniz nedir?
İlk olarak, bir saldırı yüzeyi hakkında konuştuğumuzda ne demek istediğimizi anlamak önemlidir. Saldırı yüzeyi, bir saldırgan tarafından ‘ulaşılabilir’ olan dijital varlıklarınızın toplamıdır – ister güvenli ister savunmasız, bilinen veya bilinmeyen, aktif kullanımda olmasalar da.
Ayrıca hem dahili hem de harici saldırı yüzeylerine de sahip olabilirsiniz – örneğin bir meslektaşının gelen kutusuna kötü niyetli bir e -posta eki inişini hayal edin, bu da yeni bir FTP sunucusunu çevrimiçi olarak konulur.
Dış saldırı yüzeyiniz zaman içinde sürekli değişir ve şirket içi, bulutta, iştirak ağlarında ve üçüncü taraf ortamlarda dijital varlıkları içerir. Kısacası, saldırı yüzeyiniz bir bilgisayar korsanının saldırabileceği bir şeydir.
Saldırı Yüzey Yönetimi nedir?
Saldırı Yüzey Yönetimi (ASM), bu varlıkları ve hizmetleri keşfetme ve bilgisayar korsanlarının yararlanmasını önlemek için maruz kalmalarını azaltma veya en aza indirme sürecidir.
Maruz kalma iki şey anlamına gelebilir: Eksik yamalar veya hizmetlerin veya varlıkların güvenliğini azaltan yanlış yapılandırmalar gibi mevcut güvenlik açıkları. Ancak bu aynı zamanda gelecekteki güvenlik açıklarına veya kararlı saldırılara maruz kalmak anlamına da gelebilir.
Örneğin, cpanel gibi bir yönetici arayüzü veya bir güvenlik duvarı yönetim sayfası alın – bunlar bugün bilinen tüm mevcut saldırılara karşı güvenli olabilir, ancak yarın yazılımda kolayca bir güvenlik açığı keşfedilebilir – bu durumda hemen önemli bir risk haline gelecektir. Dolayısıyla, geleneksel güvenlik açığı yönetimi süreçleri “bir güvenlik açığı algılanana kadar bekleyin ve daha sonra düzeltin” derse, saldırı yüzey yönetimi “Sorun olmadan önce bu güvenlik duvarı yönetici panelini internetten çıkarın!”
Bu, internete maruz kalan bir güvenlik duvarı yönetici paneline sahip olmanın, keşfedilen bir kırılganlığa bakılmaksızın onu diğer saldırılara açtığından bahsetmiyor. Örneğin, bir saldırgan başka bir yerde bazı yönetici kimlik bilgilerini keşfederse, bu kimlik bilgilerini bu yönetici arayüzüne karşı potansiyel olarak yeniden kullanabilirler ve saldırganların genellikle ağlar arasındaki erişimlerini nasıl genişletir. Aynı şekilde, radarın altına giren ancak sonunda sonuç veren sürekli “düşük ve yavaş” şifre tahmin egzersizini deneyebilirler.
Özellikle bu noktayı vurgulamak için, 2024 yılında internete maruz kalan VMware vSphere ortamlarını hedefleyen fidye yazılımı çeteleri bildirildi. Bu sunuculardaki bir güvenlik açığından yararlanarak, büyük fidye talep etmek için kritik altyapının sanal sabit disklerini erişim ve şifreleyebildiler. Hala maruz kalan iki binden fazla vsphere ortamı olduğu bildirildi.
Dolayısıyla, birçok nedenden dolayı, bugün saldırı yüzeyinizi azaltmak yarın saldırmanızı zorlaştırıyor.
Saldırı Yüzey Yönetimi İhtiyacı
Varlık yönetiminin zorlukları
Dolayısıyla, saldırı yüzeyi yönetiminin önemli bir kısmı, gereksiz hizmetleri ve varlıkları internetten kaldırarak gelecekteki olası güvenlik açıklarına maruz kalmayı azaltmaksa, ilk adım neye sahip olduğunuzu bilmektir.
Genellikle güvenlik açığı yönetiminin kötü ilişkisi olarak kabul edilen varlık yönetimi, geleneksel olarak BT ekipleri için emek yoğun, zaman alıcı bir görev olmuştur. Kuruluşları ve ağ çevresindeki donanım varlıklarının kontrolünü kontrol etseler bile, hala sorunlarla doluydu. Varlık envanterinden sadece bir varlık kaçırılırsa, tüm güvenlik açığı yönetimi sürecinden kaçabilir ve varlığın hassasiyetine bağlı olarak, iş için çok fazla etkiye sahip olabilir. Bu, 2016 yılında Deloitte Breach’inde, gözden kaçan bir yönetici hesabının kullanıldığı ve hassas müşteri verilerini ortaya çıkaran durum böyleydi.
Şirketler de birleşme ve devralmalar yoluyla genişlediklerinde, genellikle farkında olmadıkları sistemleri ele geçirirler – 2015’te ihlal edilen telco talktalk örneğini alın ve 4 milyona kadar şifrelenmemiş kayıtlar bir sistemden çalındı. var olduğunu biliyordu.
Buluta geçiş
Bugün, daha da karmaşık. İşletmeler, geliştirme ekiplerinin gerektiğinde hızlı hareket etmesine ve ölçeklendirilmesine izin veren Google Cloud, Microsoft Azure ve AWS gibi bulut platformlarına geçiyor. Ancak bu, güvenliğin sorumluluğunu doğrudan geliştirme ekiplerinin eline geçiriyor – geleneksel, merkezi BT ekiplerinden değişim kontrol süreçlerine sahip.
Bu gelişme hızı için harika olsa da, bir görünürlük boşluğu yaratır ve bu nedenle siber güvenlik ekiplerinin hıza ayak uydurması için yollara ihtiyaç duyar.
Modern bir çözüm
Saldırı Yüzey Yönetimi Bir şey varsa, varlık yönetimi ve güvenlik açığı yönetiminin el ele gitmesi gerektiğinin farkındadır, ancak şirketlerin bunun etkili bir şekilde çalışmasını sağlamak için araçlara ihtiyaçları vardır.
İyi bir örnek: Bir davetsiz misafir müşteri bir zamanlar bize bulut konektörlerimizde bir hatamız olduğunu söyledi – hangi bulut sistemlerinin internete maruz kaldığını gösteren entegrasyonlarımız. Sahip olduğunu düşünmediği bir IP adresi gösteriyorduk. Ancak araştırdığımızda, konnektörümüz iyi çalışıyordu – IP adresi, AWS konsolunda bir şekilde gözden uzak olduğunu bilmediği bir AWS bölgesindeydi.
Bu, saldırı yüzey yönetiminin güvenlik açığı yönetimi kadar görünürlükle nasıl olabileceğini gösterir.
Saldırı yüzeyi nerede duruyor?
HubSpot gibi bir SaaS aracı kullanırsanız, hassas müşteri verilerinizin çoğunu tutacaklar, ancak bunları güvenlik açıkları için taramayı beklemezsiniz-bu, üçüncü taraf bir risk platformunun geldiği yerdir. Hubspot’un sahip olmasını beklersiniz. Birçok siber güvenlik güvencesi var – ve bunları bunlara karşı değerlendireceksiniz.
Çizgilerin bulanıklaştığı yer dış ajanslarla. Belki bir web sitesi oluşturmak için bir tasarım ajansı kullanırsınız, ancak uzun vadeli bir yönetim sözleşmeniz yoktur. Bir güvenlik açığı keşfedilip ihlal edilene kadar bu web sitesi canlı kalırsa ne olur?
Bu durumlarda, üçüncü taraf ve tedarikçi risk yönetimi yazılımı ve sigorta, işletmeleri veri ihlalleri veya uyumlu olma gibi konulardan korumaya yardımcı olur.
Saldırı yüzeyinizi davetsiz misafirle güvence altına almanın 6 yolu
Şimdiye kadar, saldırı yüzey yönetiminin neden bu kadar önemli olduğunu gördük. Bir sonraki adım, bu içgörüleri somut, etkili eylemlere dönüştürmektir. Bir ASM stratejisi oluşturmak, bilinmeyenlerinizi bulmak, sürekli değişen bir tehdit manzarasına uyum sağlamak ve işiniz üzerinde en büyük etkiye sahip olacak risklere odaklanmak için bilinen varlıkların ötesine geçmek anlamına gelir.
Intruder’ın bunu harekete geçirmenize yardımcı olmasının altı yolu:
1. Bilinmeyen varlıkları keşfedin
Davetsiz misafir, kaybedilmesi kolay, ancak saldırı yüzeyinizde alt alanlar, ilgili alanlar, API’lar ve giriş sayfaları gibi sömürülebilir boşluklar oluşturabilen varlıklar için sürekli olarak izler. Intruder’ın saldırı yüzeyi keşif yöntemleri hakkında daha fazla bilgi edinin.
2. Maruz kalan bağlantı noktası ve hizmetleri arayın
İnternete maruz kalanları bulmak için Intruder’ın saldırı yüzey görünümünü (aşağıda gösterilmiştir) kullanın. Hızlı bir arama ile, internetten erişilebilir olması ve daha da önemlisi erişilebilir olması gereken bağlantı noktaları ve hizmetler için çevrenizi kontrol edebilirsiniz.
3. Exposures’ı bulun (diğerlerinin kaçırdığı)
Intruder, birden fazla tarama motorunun çıkışını özelleştirerek diğer ASM çözümlerinden daha fazla kapsam sağlar. Maruz kalan yönetici panelleri, halka açık veritabanları, yanlış yapılandırmalar ve daha fazlası dahil olmak üzere binden fazla saldırı yüzeyine özgü sorunu kontrol edin.
4. Saldırı yüzeyinizi değiştiğinde tarayın
Intruder, yeni hizmetler algılandığında değişiklikler için saldırı yüzeyinizi sürekli olarak izler ve taramalar başlatır. Davetsiz misafiri bulut hesaplarınızla entegre ederek, kör noktaları azaltmak ve maruz kalan tüm bulut varlıklarının güvenlik açığı yönetim programınızda ele alındığından emin olmak için yeni hizmetleri otomatik olarak algılayabilir ve tarayabilirsiniz.
5. Ortaya çıkan tehditlerin önünde kalın
Yeni bir kritik güvenlik açığı keşfedildiğinde, davetsiz misafir, tehdit manzarası geliştikçe saldırı yüzeyinizi güvence altına almak için proaktif olarak taramalar başlatır. Hızlı yanıtla, güvenlik ekibimiz, en son sorunların otomatik tarayıcılardan daha hızlı sömürülmesi için sistemlerinizi kontrol eder ve kuruluşunuz risk altındaysa hemen sizi uyarır.
6. En önemli sorunlara öncelik verin
Intruder, işletmeniz için en büyük riski oluşturan güvenlik açıklarına odaklanmanıza yardımcı olur. Örneğin, güvenlik açıklarınızın önümüzdeki 30 gün içinde sömürülme olasılığını görebilir ve ele alınan en önemli risklerin eyleme geçirilebilir bir listesini oluşturmak için “bilinen” ve “büyük olasılıkla” filtreleyebilirsiniz.
Saldırı Yüzey Yönetimi ile Başlayın
Intruder’ın EASM platformu, siber güvenlikteki en temel sorunlardan birini çözüyor: saldırganların kuruluşunuzu nasıl gördüklerini, nereye gireceklerini ve riski nasıl tanımlayabileceğinizi, önceliklendirebileceğinizi ve ortadan kaldırabileceğinizi anlama ihtiyacı. Davetsiz davetiyenin saldırı yüzeyinizi korumaya nasıl yardımcı olabileceğini öğrenmek için ekibimizle biraz zaman ayırın.