Makale Siber Vakfı Uzmanı Yuriy Tsibere tarafından yazılmıştır.
Siber güvenliğin aşk böceği gibi can sıkıcı virüsleri durdurmak anlamına geldiği günler geride kaldı. Bugün, büyük, finansal olarak motive olmuş bir siber suç endüstrisi ile mücadele etmekle ilgili. Saldırılar daha akıllı, daha hızlı ve daha zararlıdır ve bu da ürün ekipleri için her şeyi değiştirir.
Ürün Yöneticileri (PMS) için bu, saldırganların sürekli olarak aynı zayıf noktaları kullandıklarını anlamak anlamına gelir: çalıntı yönetici kimlik bilgileri, VPN’lerde eksik çok faktör kimlik doğrulaması (MFA), uzaktan şifreleme ve “arazide yaşamak” (LOTL) hileleri PowerShell’i başlatmak için ofis kullanmak gibi.
Satılmamış bir güvenlik duvarı veya haydut bir USB sürücüsü kadar basit bir şey bile bir ihlalin kapısını açabilir.
Yeni güvenlik açıkları ve sıfır günler her zaman ortaya çıkıyor ve ürün ekipleri ayak parmaklarında kalmalı. Birkaç örnek:
- WannaCry (2017): Fidye yazılımı hızlı yaymak için SMBV1’deki Ebedalblue kusurunu kullandı. Şirketleri SMBV1’i tamamen devre dışı bırakmaya zorladı.
- Bazı Exchange Server hataları: Saldırganların kötü niyetli komut dosyaları çalıştırmasına izin verin, bazen fidye yazılımlarına yol açar.
- Log4J Güvenlik Açığı: Popüler bir Java günlüğü çerçevesinde, keyfi kod yürütülmesini sağlayan bir güvenlik açığı. Hala modası geçmiş güvenlik duvarlarında ve VPN’lerde ortaya çıkıyor.
- Follina (MSDT): Office uygulamalarının herhangi bir kullanıcı etkileşimi olmadan PowerShell’i başlatmasına izin verin.
Zamanında yama yardımcı olur, ancak yeterli değildir. Her zaman bir kusur keşfetmek ve düzeltmek arasında bir boşluk vardır. Bu yüzden ekiplerin katmanlı savunmalara ve olaylara gerçekleştikçe yanıt vermeye hazır bir zihniyete ihtiyacı var.
İhlal Raporları Nasıl Gerçek Zamanlı Ürün Değişimlerini Yönlendirir?
Gerçek dünya ihlalleri genellikle doğrudan yeni ürün özelliklerine veya politika değişikliklerine yol açar. İşte nasıl:
- Kilitli Makineler: Bir tehdit oyuncusu bir zamanlar açık bırakılan ve Powershell’i yöneten bir hastane bilgisayara erişti. Şimdi, şifre korumalı ekran koruyucular bir zorunluluktur.
- USB veri hırsızlığı: USB sürücüleri hala veri çalmak için bir go-go. Ürünler artık ince taneli USB kontrolleri sunuyor-şifrelenmemiş sürücüleri engellemek, dosya türlerini sınırlamak veya kaç dosyanın kopyalanabileceğini kapatıyor.
- Yanal hareket: Fidye yazılımı genellikle eski yönetici hesaplarını kullanarak yayılır. Araçlar şimdi incelemeden sonra bunları algılayıp kaldırın.
- LOTL Saldırıları: Follina, yasal araçların nasıl kötüye kullanılabileceğini gösterdi. RingFencing ™, uygulamaların yapmaması gereken şeyleri başlatmasını durdurmaya yardımcı olur.
- Giden Trafik İstismarı: Solarwinds gibi saldırılar giden bağlantılar kullandı. Şimdi, sunucu trafiği için varsayılan deny politikaları standart hale geliyor.
- Çalıntı kimlik bilgileri: MFA, bulut hesapları, uzaktan erişim ve etki alanı denetleyicileri için pazarlık edilemez.
- Savunmasız VPN’ler: Patched VPN’ler büyük bir risktir. Artık özellikler IP tabanlı erişim kontrolleri veya hatta kullanılmayan VPN’leri devre dışı bırakma.
PM’nin yanıtı: Danışmanlıktan eyleme geçirilebilir özelliğe
Siber güvenlik PM’leri için, tehditlere tepki vermek sadece tavsiye yazmaktan daha fazlası anlamına gelir. Daha akıllı, daha güvenli ürünler inşa etmekle ilgilidir. İşte nasıl:
- Tam görünürlük elde edin
Çevrenizde neyin koştuğunu anlayarak başlayın. Dosya etkinliğini, ayrıcalık değişikliklerini, uygulama lansmanlarını ve ağ trafiğini izlemek için izleme aracılarını kullanın.
- Risklere öncelik vermek
Tam bir resimle PMS, yüksek riskli araçlara ve davranışlara odaklanabilir:
- TeamViewer veya Anydesk gibi uzaktan erişim araçları
- Çok fazla izinli yazılım (örn. 7-ZIP, NMAP)
- Riskli tarayıcı uzantıları
- Yüksek riskli bölgelerden yazılım
- Uyarlanabilir Politika Oluşturma
Güvenlik politikaları tehdit manzarasıyla gelişmelidir:
- Önce test: Yeni kurallar uygulamadan önce yalnızca monitör modunu ve test gruplarını kullanın.
- Kesin olun: Açma/kapama anahtarlarının ötesine geçin-dinamik ACL’leri, zilleri ve uygulamaya özgü yönetici haklarını kullanın.
- Bozulmayı en aza indirerek benimsemeyi teşvik edin
- Önceden onaylanmış uygulamalardan oluşan bir mağaza sunun
- Yeni yazılım talep etmeyi kolaylaştırın
- Kısıtlamaların neden var olduğunu açıklayın – güven oluşturur
- Sürekli İyileştirme ve İzleme:
- Yanlış yapılandırmaları tespit etmek için sağlık raporlarını kullanın
- Eşikler aşılırsa USB dosya kopyalarını engelleyin
- Eski politikaları ve kullanılmayan uygulamaları düzenli olarak temizleyin
- Yama yönetimini kucakla
İşletim sistemlerinden macun gibi taşınabilir uygulamalara kadar her şeyin güncel olduğundan emin olun. Eksik yamaları bulmak ve piyasaya sürmeden önce pilot kullanıcılarla test etmek için araçları kullanın.
- Yedeklemeleri koruyun
Yedeklemeler uzlaşmadan korunmalıdır. Bu, hangi uygulamaların bunlara erişebileceğini sınırlamayı ve yedekleme hizmetleri için MFA gerektirmeyi içerir. PMS ayrıca kurtarma hazırlığını doğrulamak için yedekleri düzenli olarak test etmelidir.
Siber güvenlik PM’leri, gerçek dünya tehditlerine karşı gerçek dünya korumalarını kullanmanın ön saflarında yer alıyor.
Bilgilendirilmiş olarak, doğru verileri toplayarak ve kullanıcıları göz önünde bulundurarak, ekibiniz için hayatı daha zorlaştırmadan riski azaltabilirsiniz.
Tehdit kilitleyici tarafından sponsorlu ve yazılmıştır.