Bulut Güvenliği , Siber Suçlar , Dolandırıcılık Yönetimi ve Siber Suçlar
Hatırlatma: Gerçek Dünya Saldırıları Genellikle Bilinen Güvenlik Açıklarının Küçük Alt Kümesine Odaklanır
Mathew J. Schwartz (euroinfosec) •
3 Şubat 2023
Suçlular son zamanlarda iki tür saldırıya öncelik veriyor: Uzak Masaüstü Protokolünü kullanmak ve bulut veritabanlarına sızmak.
Ayrıca bakınız: Canlı Web Semineri | Sektör Lideri Bir Üçüncü Taraf Güvenlik Risk Yönetimi Programı Oluşturma
Siber sigorta şirketi Coalition, bir yıllık sigorta ve hasar verileri, milyarlarca IP adresinin taranması ve yürüttüğü küresel bal küpü ağı aracılığıyla toplanan kanıtlara dayanarak bu konuda uyarıyor.
Güvenlik uzmanları, suçluların ve özellikle ilk erişim simsarlarının ve fidye yazılım gruplarının RDP’yi istismar etme eğilimleri olduğu konusunda uzun süredir uyarıda bulunuyor.
RDP kullanan kuruluşların onu kilitlemesi gerektiğine dair tekrarlanan uyarılara rağmen Coalition, saldırganların en önemli tarama etkinliğinin açık veya zayıf güvenlikli RDP erişimi aramaya devam ettiğini bildiriyor.
Yeterince güvenli olmayan büyük veri havuzları da gaspçıların başlıca hedefi olmaya devam ediyor. Coalition, “Elasticsearch ve MongoDB veritabanlarının yüksek bir uzlaşma oranı var ve sinyaller, çok sayıda veritabanının fidye yazılımı saldırıları tarafından ele geçirildiğini gösteriyor.”
Büyük resimde, Coalition’ın araştırmadan sorumlu başkan yardımcısı Tiago Henriques, bulguların her ay ortaya çıkan binlerce yeni güvenlik açığına rağmen, saldırganların büyük olasılıkla bunların yalnızca küçük bir grubunu hedef aldığını hatırlattığını söylüyor. Saldırganlar işe yarayan bir şey bulduklarında, yepyeni taktikler bulmak yerine genellikle zamanlarını onu çalıştırmayı tercih ederler. Bu, suçlular için olduğu kadar ulus-devlet saldırganları için de geçerli ve tabii ki bazen biri diğeri için ay ışığı alıyor.
Önce Ne Düzeltilmeli?
Geçen yıl, Avustralya, Kanada, Yeni Zelanda, Birleşik Krallık ve Amerika Birleşik Devletleri’nden oluşan Five Eyes istihbarat ittifakı, önceki yıl boyunca gerçek dünya saldırılarında gördükleri en rutin şekilde istismar edilen 15 güvenlik açığını detaylandıran ortak bir danışma belgesi yayınladı. Kuruluşlara mesaj: Saldırganlar tarafından hedef alınma olasılıkları yüksek olduğundan, önce bu kusurları düzeltin – henüz yapmadıysanız -.
Bu yararlı bir bilgidir, ancak elbette yalnızca bir istihbarat kaynağıdır ve her kuruluşun önce hangi sistemlere yama uygulayacağını belirlemeye yardımcı olması için birden çok kaynağa bakması gerekir. İngiltere’nin Ulusal Siber Güvenlik Merkezi’nin dediği gibi: “Yamalama, teknolojinizi güvence altına almak için yapabileceğiniz en önemli şey olmaya devam ediyor ve bu nedenle yamaları uygulamak genellikle ‘temelleri yapmak’ olarak tanımlanıyor.”
Yeni Hata Aşırı Yükü
Ancak böcek ezme disiplini – daha çok güvenlik açığı yönetimi olarak bilinir – çok sayıda engelle karşı karşıyadır.
Kısmen bunun nedeni, yamalamaya devam edilecek çok fazla yeni hata olmasıdır. Geçen yıl, Ulusal Standartlar ve Teknoloji Enstitüsü tarafından yürütülen ABD Ulusal Güvenlik Açığı Veritabanı, 25.059 yeni Ortak Güvenlik Açıkları ve Riskler veya CVE’ler listeledi.
CVE Ayrıntılarına göre, tüm güvenlik açıklarının yaklaşık %10’u kritik bir risk oluşturuyor ve 10 puanlık Ortak Güvenlik Açığı Puanlama Sisteminde dokuz veya üzerinde puan alıyor.
Coalition, geçtiğimiz on yıldaki CVE eğilimlerine dayanarak, bu yıl “270 yüksek önem dereceli ve 155 kritik önem dereceli güvenlik açığı dahil” yaklaşık 2.000 yeni CVE’nin aylık olarak görüneceğini tahmin ediyor. Bu, 2022’de görülen aylık hacimlerden %13’lük bir artış olacaktır.
Bu, BT ekiplerinin öncelik vermesi ve ardından test edilmesi ve üretim sistemlerine dağıtılması için pek çok hatadır.
Araştırma şirketi Gartner, bunu programlı bir şekilde ele almak için, şirketlere hem bir kuruluşun içindeki varlıklara hem de güvenlik açıkları hakkındaki istihbarata bir kuruluşun bölgesi, sektörü ve varlıklarıyla uyumlu hale gelen sürekli bir tehdit maruziyeti yönetimi – diğer adıyla CTEM – programı izlemelerini tavsiye ediyor.
Doğru bir şekilde ele alınırsa, kuruluşlar, maruz kalmalarını en iyi şekilde en aza indirmek için önce hangi güvenlik açıklarına yama yapılacağını veya başka şekilde hafifletileceğini bilmek için sağlam bir sisteme sahip olacaktır.
Hızlı bir yama temposunu sürdürmek, risk azaltma açısından büyük bir getiri sağlayabilir. Coalition, geçen yıl gün ışığına çıkan yeni güvenlik açıklarına ilişkin incelemesine dayanarak, yeni bulunan bir kusurun kötüye kullanılması durumunda, çoğu zaman bunun ayrıntılarının kamuoyuna duyurulmasından sonraki 30 günden daha kısa bir süre sonra gerçekleştiğini öğrendi. Bir kusur, halka açıldıktan sonraki 90 gün içinde istismar edilmediyse, muhtemelen hedef alınmamıştır.
Bu nedenle, büyük ve artan sayıdaki yeni CVE’leri vurgulamak yerine, kuruluşların bunlarla ilgili ne yapacaklarına odaklanmaları gerekiyor. Coalition’dan Henriques, “Giderek artan güvenlik açıkları ezici hale geldiğinde, kuruluşların gerçekte vahşi ortamda sömürülen az sayıdaki güvenlik açıklarına odaklanması gerekiyor” diyor.