Günümüzün dijital manzarasında, kuruluşunuzun saldırı yüzeyini anlamak, sağlam siber güvenliği korumak için çok önemlidir. Modern saldırı yüzeylerinde saklanan siber riskleri etkili bir şekilde yönetmek ve azaltmak için, saldırgan merkezli bir yaklaşım benimsemek önemlidir.
Bu makalede, bir şirketin saldırı yüzeyine, günlük acele sırasında unutulabilecek ve göz ardı edilebilecekleri ve siber güvenlik profesyonellerinin harici saldırı yüzey yönetimi araçlarının yardımıyla nasıl ivme ve genel bakış açısına daha derinlemesine dalacağız.
Kuruluşlarınızın yüzeye saldırdığını ne oluşturur?
Güvenlik uzmanları genellikle saldırı yüzeyini, saldırıların başlatılabileceği bir sistem veya ağdaki tüm olası noktaların toplamı olarak tanımlar. Başka bir deyişle, tüm potansiyel saldırı vektörlerinin toplamı olarak tanımlanabilir. Öte yandan, şirketlerde güvenlikten sorumlu olanlar, ağlarını savunmalarına yardımcı olan bir kavrama ihtiyaç duyarlar.
Saldırganla başlayan bir yaklaşım öneririz (bilinen saldırı yöntemleri, bilinen veya sömürülen güvenlik açıkları vb.) Ve şirket için en yüksek riske sahip tehditlere öncelik veren. Tespiti daha kolay ve daha sistematik hale getirmek için, saldırı yüzeyinizin unsurlarını uygun kategorilere ayırabilirsiniz.
İlgili saldırı noktalarının – saldırganlar perspektifinden – yararlı bir başlangıç alt bölümü aşağıdaki gibi olacaktır:
- Çevrimiçi erişilebilir saldırı noktaları (örn. Zayıf veya tehlikeye atılmış şifreler, yazılım veya iletişim protokollerinde güvenlik açıkları, yapılandırma hataları, sömürülebilir sunucular)
- Sosyal Mühendislik için Saldırı Noktaları (özel ayrıcalıkları, izinleri veya bilgileri olan çalışanlar)
- Tedarik zinciri saldırıları için başlangıç noktaları (örn. Güncelleme işlemleri)
- Donanıma fiziksel erişim gerektiren saldırı noktaları (örneğin USB anahtarloger ve kötü amaçlı yazılımlarla yapışır, teminatsız konuk wi-fi ağlarına penetrasyon).
- Daha önce bilinmeyen potansiyel siber riskler veya şirketle ilişkili varlıklardan önce bile ortaya çıkan tehditler etkilenir.
İlk alan – çevrimiçi erişilebilir saldırı noktalarının bütünlüğü – dış saldırı yüzeyi olarak da adlandırılır. Dış saldırı yüzeyi en karmaşık kısımdır – bu, diğer unsurların daha az önemli olduğu anlamına gelmez – özellikle çalışanlar saldırı yüzeyi yönetiminde önemli bir faktördür. Bununla birlikte, dış saldırı yüzeyi, yönetiminin yapay zeka, tehdit istihbaratı ve verilerin yardımıyla büyük ölçüde otomatikleştirilebileceği gerçeği ile karakterizedir.
Şekil 1: Hangi alanların sizin tarafınızdan yönetilmesi ve hangileri potansiyel kimlik avı veya alan-squatting girişimleri olabilir?
Harici saldırı yüzeyini ortaya çıkarmak ve haritalamak
Artık bir şirketin (dış) tehdit manzarasını oluşturan en önemli unsurları tanımladığımıza göre, kendi tehdit manzaranızı nasıl belirleyebileceğinize ve hedeflenen bir şekilde nasıl azaltabileceğinize bakabiliriz.
Bununla birlikte, dış tehdit manzarasını ‘çevrimiçi saldırı noktalarının bütünlüğü’ olarak kavramak kolay değildir, çünkü dikkate alınması gereken çok sayıda alan vardır. Nihayetinde, bu, çalınan kimlik bilgilerinden e-posta, DNS, web siteniz veya veritabanlarınız için yanlış yapılandırılmış sunuculara kadar değişen tüm olası harici güvenlik tehditleri ile ilgilidir.
Bununla birlikte, asıl sorun, pek çok alanın etkilendiği veya çok fazla potansiyel saldırı noktasının olması değil. Hayır, asıl sorun şirketlerdeki birçok BT güvenlik açıkının güvenlik ekibi tarafından bilinmemesidir. Sunucu yapılandırmaları belgelenmez, artık kullanılmayan yetim hesaplar veya web siteleri ve hizmetler unutulmuştur veya dahili BT süreçlerine uyulmaz. Genellikle, işletim sistemlerinin ve uygulamalarının en son sürümlerinin gerçekten her yerde çalışıp çalışmadığı ve ilgili güvenlik güncellemelerinin düzgün bir şekilde yüklenip yüklenmediği de bilinmemektedir. Ayrıca, her gün yeni yazılım güvenlik açıkları keşfedilir ve kullanılır; Araçlar olmadan, olası saldırganların güncel ve önünde kalmak neredeyse imkansızdır!
Şekil 2: Saldırı yüzeyine genel bir bakış!
Gölge olarak adlandırılan bu da akılda tutulması gereken bir şeydir. Bu, BT departmanının bilgi veya gözetimi olmadan şirket ağına temin edilen ve bağlı olan yazılım, SaaS hizmetleri, sunucular veya donanımları ifade eder. Bunlar daha sonra şirket ağına ve verilerine güvenli olmayan ve işlenmemiş erişim puanları sunabilir.
Son olarak, tedarikçilerin veya iştiraklerinki gibi bağlı dış sistemler, bugünlerde de saldırı yüzeyinin bir parçası olarak düşünülmelidir – ve neredeyse hiçbir güvenlik yöneticisi bunlara tam bir genel bakışa sahip değildir.
Kısacası – bilmediklerinizi koruyamazsınız!
Saldırı yüzeyinin EASM araçlarıyla eşleştirilmesi ve analiz edilmesi
Saldırı yüzeyi yönetiminin ilk görevi, BT manzaranız, içerdiği BT varlıkları ve bunlara bağlı potansiyel güvenlik açıkları hakkında tam bir genel bakış elde etmektir. Günümüzde, böyle bir değerlendirme sadece Outpost24 EASM platformu gibi özel araçların yardımıyla gerçekleştirilebilir.
Bu EASM araçları, işletmenizle ilgili tüm varlıkları ve güvenlik açıklarını tanımlamanıza ve değerlendirmenize yardımcı olur. Bunu yapmak için, Outpost24 EASM platformu, örneğin, şirketinizin İnternet’e bağlı tüm BT varlıklarını sürekli olarak tarar. BT varlıkları donanım ve yazılım sistemleri, veri ve hizmetleri (web siteleri, dosya paylaşımları, erişim noktaları, API’ler, oturum açma sayfaları, vb.) Ve bunlar hakkında sizin veya saldırganlar (IP adreslerinden, güvenlik başlıklarından ve DNS kayıtlarından) dahildir.
Bu varlıkları toplarken, çoğu platform ‘sıfır bilgi yaklaşımı’ olarak adlandırılır. Bu, IP adresi veya etki alanı gibi bir başlangıç noktası dışında herhangi bir bilgi vermeniz gerekmediği anlamına gelir. Platform daha sonra tarar ve bağlı ve muhtemelen ilgili varlıkları pasif olarak tarar.
Yukarıda belirtilen ‘sıfır bilgi yaklaşımı’ nedeniyle, EASM-Tools, onları klasik güvenlik açığı yönetimi çözümlerinden ayıran doğru bir CMDB veya diğer envanterlere sahip olmanıza güvenmez. Bu nedenle Outpost24 EASM, saldırı yüzeyinizi sürekli olarak izler, değişiklikleri ve yeni alanları otomatik olarak algılar, böylece merkezi varlık envanterini ve güvenlik ekibinizi olası saldırganlardan bir adım önde tutar.
Şekil 3: Şirketinize bağlı tüm varlıkları ve bunların birbirlerine nasıl bağlı olduklarını biliyor musunuz?
Saldırı yüzeyinin güvenlik analizi
Bir sonraki EASM aşaması ayrıca bilgisayar korsanlarının nasıl işlediğine de benziyor: Bugünün bilgisayar korsanları, potansiyel bir kurbanın ağı hakkında toplanan verilere dayanarak olası güvenlik açıklarını ve saldırı noktalarını tanımlamak için bir saldırının ilk aşamasında (keşif aşaması) kullandıkları güçlü araçlara sahiptir.
Outpost24 EASM Benzer şekilde, potansiyel güvenlik açıkları için varlık envanter verilerinin otomatik bir güvenlik analizini gerçekleştirir:
- Algılanan sürüm bilgilerine dayanan yazılım güvenlik açıkları
- Eksik veya yanlış SPF, DMARC ve DKIM ayarları gibi güvenli olmayan e -posta yapılandırma ayarları
- Şifre hırsızlığına izin veren şifrelenmemiş giriş sayfaları
- Çalıntı Giriş Kimlik Bilgileri
- Eski ve güvensiz SSL/TLS şifreleme protokollerini kullanma gibi zayıf şifreleme
- DNS SEC’i desteklemeyen teminatsız DNS uygulamaları
- Gereksiz maruz kalan hizmetler
- Potansiyel olarak tehlikeli uzaktan yönetim protokolleri (örn. Telnet, RDP ve VNC)
- İlk yüklemeden sonra varsayılan bir sayfa görüntüleyen bir web sunucusu gibi değiştirilmemiş varsayılan yüklemeler
- Hata kodları, örneğin 404 ve 5xx durum kodları, HTTP sunucusu yanıtlarında, modası geçmiş veya yanlış yapılandırılmış web sitelerini veya web sunucularını gösteren
- IP kara liste ve itibar sorunları
- Kimlik avı ve cybersquatting web siteleri, yani markanızı kötüye kullanan benzer web siteleri
- Dark Web’de Şirketinizin Varlıkları, Markası, Verileri vb.
Değerlendirme ve raporlama
BT peyzajı ve dolayısıyla potansiyel saldırı yüzeyi ne kadar büyük olursa, analiz sonuçları o kadar kafa karıştırıcı olabilir. Bu nedenle EASM platformları, saldırı yüzeyinizin güvenlik duruşunu ve elbette iyileştirme çabalarınızın başarısını değerlendirmek için bir dizi özellik sunar.
Özellikle yararlı: ‘Saldırı Yüzeyi Puanlama’. Outpost24’ün EASM örneği, saldırı yüzeyiniz için bir dereceyi (A’dan F’ye) hesaplamak için Saldırı Yüzeyi Puanını kullanır, bu da yedi güvenlik alanı veya ‘boyutları’ için puanlardan türetilir (daha fazla bilgi: saldırı yüzeyi puanınız nedir?):
1. Güvenlik Açıkları: Bilinen güvenlik açıklarına sahip yazılım sürümleri kullanılıyor mu?
2. Yapılandırma: Tüm BT kaynakları güvenlik en iyi uygulamalarına göre yapılandırılmış mı?
3. Maruz kalan hizmetler: belki de açıkça erişilebilir olmaması gereken hizmetlere erişilebilir mi?
4. Şifreleme: Etkili şifreleme ve sertifikalar her yerde mi uygulanıyor yoksa boşluklar var mı?
5. İtibar: Varlıklar harici spam ve blok listelerinde midir? Bu, hizmetleri ve iletişim önlemlerini etkileyebilir.
6. Hijyen: Sistemler gereksiz yere çevrimiçi mi, saldırganlara, hatalı veya kötü bakılmış sistemlere işaret ederek – hata kodları, modası geçmiş yıl tarihleri veya varsayılan CMS başlatma sayfaları gibi eski veya zayıf bakımlı sistemlere işaret ederek mi? Konfigürasyon hatalarının aksine, hijyen sorunları daha düşük bir önceliğe sahiptir (doğrudan siber risk oluşturmayın) ve saldırı yüzeyi skoru belirlenirken daha düşük bir ağırlık verilir.
7. Tehdit İstihbaratı: Kimlik bilgileri, şirketinizin gizli bilgileri, kaynak kodu vb. Gibi bilgiler var mı?
Şekil 4: Daha fazla araştırma gerektiren karanlık bir web sözü
Saldırı yüzeyinin genel ve kısmi puanları, hem bir bütün olarak BT’nizin hem de en büyük eylem ihtiyacının var olduğu alanların tehdit durumunu göstermektedir. Saldırı yüzeyinize görsel bir genel bakış sunan ve verimli bir raporlama aracı olarak hizmet vererek bu amaç için etkileşimli bir gösterge tablosu mevcut olmalıdır. Bu şekilde, puanınızı adım adım iyileştirmek, saldırı yüzeyinizi azaltmak ve şirketinizi daha az çekici ve siber saldırılara daha dayanıklı hale getirmek için EASM kullanabilirsiniz.
Karşı önlemlerin riske dayalı önceliklendirilmesi
Zayıf noktalarınızı bilmek, etkili önlemler almanın ilk adımıdır. Bununla birlikte, özellikle saldırı yüzeyi geniş olduğunda bulgu sayısı hızla ezici olabilir. Peki nereden başlıyorsun?
Genel olarak, mevcut riskleri en az çaba ile mümkün olduğunca azaltan karşı önlemlere öncelik vermelisiniz. Belirli bir başarılı saldırı ile ilişkili risk, oluşma ve potansiyel hasar olasılığı ile artar. Bu nedenle yapılacak ilk şey, yeterli koruma (giriş koruması, şifreleme), sızdırılmış giriş verileri veya tehdit aktörleri tarafından aktif olarak kullanılan yazılım güvenlik açıkları gibi, muhtemelen şu anda yürütülen bir kampanyada aktif olarak kullanılmakta olan kritik sistemlere ve verilere doğrudan saldırı sağlayan bu saldırı noktalarını ortadan kaldırmaktır. Aynı zamanda, hızlı ve kolay bir şekilde uygulanabilecek önlemler, öncelik listesinde daha yüksek olmalıdır – örneğin, hemen çevrimiçi olması gerekmeyen açık ana bilgisayarların veya hizmetleri almak.
EASM platformlarının eşleme, izleme ve puanlama özellikleri, bu önceliklendirme için yararlı işaretçiler sağlar. Temel kuralı, belirli bir alandaki puan ne kadar kötü olursa, olası hareket ihtiyacı o kadar acil olur. EASM’i riske dayalı güvenlik açığı yönetimi ile birleştirmek de mantıklıdır. EASM, gelecekte VM sürecinizin bir parçası olarak daha ayrıntılı taramalara dahil edilebilmeleri için şimdiye kadar bilinmeyen varlıkların tanımlanmasına yardımcı olur.
Çözüm
Saldırı yüzeyiniz sürekli değişiyor – yeni BT varlıkları ekleniyor, konfigürasyonlar değişiyor, yeni güvenlik açıkları keşfediliyor ve yeni tehditler ortaya çıkıyor. EASM, bu gelişmelere ayak uydurmanıza ve saldırı yüzağınızı etkili bir şekilde en aza indirmenize yardımcı olur.
Outpost24 Harici Saldırı Yüzey Yönetiminin BT güvenliğinize nasıl yardımcı olabileceğini ve saldırı yüzünüzün ilk ücretsiz değerlendirmesini nasıl sağlayabileceğini öğrenin: