Eskiden insanlar en büyük siber güvenlik açığıydı, ancak bu artık doğru değil.
İnternetin yükselişi insanları her zamankinden daha fazla birbirine bağlı hale getirdi. Saldırganlar bu olgudan yararlandı ve bir kuruluşa erişim elde etmek için doğrudan çalışanları hedef aldı. Saldırganlar, yüksek düzeyde otomatikleştirilmiş yöntemlerden (kullanıcıları güvenliği ihlal edilmiş web sitelerine yönlendiren kimlik avı gibi) yararlanarak, tüm kuruluşa karşı feci bir saldırı başlatmak için yalnızca bir çalışanı kandırmalıdır. Mütevazı teknik yetenekler gerektirdiklerinden, bu yöntemler son derece etkili ve düşük maliyetlidir. Böylece, çalışanlar bizim en zayıf halkamızdır mantrası, hem savunucular hem de saldırganlar tarafından benimsenen, sorgulanmayan bir endüstri özdeyişi haline geldi.
Ancak son 10 yılda, çalışanlara yönelik savunmalar önemli ölçüde iyileşerek bu tür saldırıların maliyetini yükseltti ve etkinliğini azalttı. Aynı zamanda, internet üzerinden doğrudan erişilebilen kurumsal BT sistemlerinin hacmi ve çeşitliliği patladı.
Kuruluşlar sıklıkla İnternet’e dönük BT sistemlerini, yama uygulanmamış ve herhangi bir güvenlik izleme çerçevesine entegre edilmemiş eski yazılımlarla çalıştırır. Bu açığa çıkan sistemler, veritabanı sunucuları, temel iş uygulamaları ve iş istasyonlarından kameralar, IoT cihazları ve hatta bina kontrol sistemleri gibi gömülü sistemlere kadar her şey dahil olmak üzere oldukça heterojendir; hepsi, şirketin varlığının olduğu her yere dünyanın dört bir yanına dağılmış durumda.
İnternetten erişilebilen BT sistemlerinin sayısı ve çeşitliliği, hem güvenlik ekiplerinin hem de güvenlik teknolojilerinin bu varlıkları tam olarak izleme ve koruma becerisini geride bıraktı. Saldırganlar, bu tür izlenmeyen sistemlerin, çalışanlara bir zamanlar sunduğu erişim fırsatının aynısını, yani yüksek oranda otomatikleştirilmiş, düşük maliyetli yöntemler kullanılarak bulunabilen ve istismar edilebilen bir saldırı yüzeyi sunduğunu fark ettiler. Böylece halka açık İnternet’te açığa çıkan şirket BT varlıkları, yeni en zayıf halka haline geldi.
Birkaç yıl önce Log4j kitaplığında keşfedilene benzer bir güvenlik açığı yarın yaygın olarak kullanılan başka bir kitaplıkta yeniden bulunursa, kuruluşunuzun tüm savunmasız sistemlerinizi tanımlaması ne kadar sürer? Hepsini bulduğunuzdan emin misiniz? Saldırganlar sistemleriniz hakkında sizden daha fazlasını mı bilecekler?
Kuruluşlar, bu yeni tehdidi ele almak için saldırı yüzeyi yönetimine öncelik vermelidir çünkü bunu yapmazlarsa, saldırganlar bu zayıflıkları onlardan önce bileceklerdir.
Kimlik avı kolay olmaktan çıktı
Bir zamanlar, tehdit aktörlerine erişim sağlayabilecek bağlantıları tıklamaları veya mesajları açmaları için insanları kandırmak basit ve etkili bir saldırı taktiğiydi. Ancak siber güvenlik şirketleri bu sorunu çözmek için çok çalıştıklarından, kimlik avı dolandırıcılıkları eskisi kadar etkili değil. Hâlâ oluyorlar, ancak başarıları, saldırganların birçok savunmayı atlayabilmesine bağlı ve modern teknoloji, bu saldırıların çoğunun hedeflenen alıcıya ulaşmadan önce durdurulmasına olanak tanıyor. Bir kimlik avı mesajı bir çalışanın gelen kutusuna ulaşmayı başarırsa, kimlik avına karşı koruma ve güvenlik farkındalığı eğitimi, riski azaltmaya yardımcı olur.
Teknoloji, gelen kimlik avı saldırılarını engellemeye yardımcı olurken, bu savunmaları aşan bir tehdit aktörünü tespit edip yakalamaya da yardımcı olabilir. Tehdit aktörü kendini gizlemek için büyük özen ve çaba göstermediği sürece e-postalar ve bağlantılar bir bireye bağlanabilir. Bu olasılık, birçok kötü oyuncunun yakalanmamak için bu taktikten çekinmesine neden oldu. Bunun yerine, yakalanma ihtimalinin daha düşük olduğu BT varlıklarından taviz vermeye bakıyorlar. Bunu bir banka soygunu gibi düşünün: Saldırganlar, kameralar ve güvenlik görevlileri tarafından sıkı bir şekilde izlenen ön kapıdan geçmeyi neden seçsinler ki, keşfettikleri bir yan girişte çok az izleme var veya hiç yok?
Trend olan hedef: İnternetteki BT varlıkları
Çalıştığım her STK’ya sordum: İnternette kaç tane sunucunuz var ve bu sayıya neden güveniyorsunuz? Kariyerimde bir STK’nın gerçek sayıyı bilmeye yakın olduğu yalnızca bir örnek oldu.
Günümüzün dijital dünyasında, internette bir kuruluşu savunmasız bırakan binlerce varlık var ve bunların çoğu BT tarafından oluşturulmadı. Gartner, 2026 yılına kadar şirketlerin yalnızca %20’sinin tüm varlıklarının %95’inden fazla görünürlüğe sahip olacağını öngörüyor. 2022’de şirketlerin %1’inden daha az olduğu için bu umut verici görünse de, bu hala çok uzak.
Yapbozun bir sonraki parçası, son sistem sahiplerini belirlemek ve ardından varlıkların standart güvenlik temel çizgisinin bir parçası haline gelmesini sağlamaktır. Çoğu zaman bu BT varlıkları güvenli değildir çünkü sorumluluk güvenlik ekibine değil BT ekibine aittir. Güvenlik ekibi varlıkların varlığından bile haberdar olmadıkları için çoğu zaman varlıkların tanımlanmasına ve güvence altına alınmasına yardımcı olamaz.
Saldırı yüzeyinizi güvence altına almak
BT varlıkları artan bir saldırı riski sunarken, kuruluşunuzu korumak için saldırı yüzeyi yönetiminizi iyileştirmenin yolları vardır.
İlk olarak, temel bilgilere geri dönün. Tüm IP adreslerinizin ve etki alanlarınızın bir listesini derleyin. Bu zaten elinizde varsa, doğru ve güncel olduğuna ne kadar güveniyorsunuz? Eksiksiz bir liste derlediğinizden emin olmak için gerekli adımları atın ve listenin düzenli olarak güncellenmesi için bir süreç oluşturun. Bu size saldırı yüzeyinize daha fazla ve sürekli görünürlük sağlayacaktır.
Ayrıca varlık envanteri de yapmalısınız. Tüm savunmasız sistemlerin bilindiğinden ve korunduğundan emin misiniz? Bunlar zor sorular ama kendinizi korumak ve milyonlarca dolarlık kayıplardan kaçınmak için cevaplamanız çok önemli.