Yazan: Guillermo Gomez, Endpoint Product Başkan Yardımcısı, WatchGuard Technologies
Gerçekten etkili bir ağ güvenliği duruşu için şirketinizin tüm cihazlarını korumak çok önemlidir; çünkü siber saldırganlar herhangi bir uç noktayı (telefonlar, bilgisayarlar, sanal makineler, yerleşik cihazlar, sunucular, POS terminalleri) kuruluşunuza bir giriş noktasına dönüştürebilir. Korumasız uç noktalar, ağa daha derinlemesine nüfuz etmenin bir yolunu bulana kadar genellikle birinden diğerine geçen kötü niyetli aktörler için önde gelen saldırı vektörleridir. Bu nedenle kuruluşunuzdaki tüm uç noktalarda görünürlüğe sahip olmak çok önemlidir.
Ancak bu kapsamlı görünürlüğü sağlamak ve tüm uç noktaların korunmasını sağlamak her zaman kolay değildir. Şirketinizin ağındaki sayısız cihazı nasıl düzgün bir şekilde kilitleyeceğinizi ve korumayı nasıl sürdüreceğinizi bilmek, öncelikle bir siber saldırının genellikle nasıl başlayıp sistemlerinize nasıl yayıldığını bilmenizi gerektirir. Aşağıda, bir uç nokta saldırısının aşamalarının nasıl göründüğünü inceleyeceğiz ve bu tehditleri nasıl durduracağınıza dair ipuçları vereceğiz.
Uç nokta saldırısının anatomisi
Bir tehdit aktörünün saldırı gerçekleştirmesinin ve ağınızda yanal olarak hareket etmesinin sayısız yolu vardır. Yaygın yöntemlerden biri, kuruluş genelindeki şüphelenmeyen kullanıcılara tehlikeli ek içeren e-postalar göndererek bir spam veya kimlik avı kampanyası yürütmektir. Ağınızdaki bir son kullanıcı eke tıklayıp ilk kötü amaçlı yazılım yükünü başlatabilir. Cihazları bir uç nokta güvenlik çözümüyle donatılmamışsa, bu kötü amaçlı öğe çalışmaya başlayacaktır. Bu olay, ağınızda daha az etkiye sahip bir enfeksiyonla sonuçlanabilir. Bununla birlikte, kötü amaçlı unsurun, cihazı tehlikeye atmayı bekleyen bir operatöre bağlanan uzak bir hücreye giden bir komuta ve kontrol bağlantısı olması yaygındır. Cihazın çalıştığı ortama erişmeye çalışacaklar ve ağınızı güvenlik açıkları ve değerli varlıklar açısından analiz etmeye başlayacaklar.
Kötü niyetli aktör daha sonra, güvenlik profesyonellerinin diğer cihazları keşfetmek için yaptığı gibi ağı sorgulamaya başlayacaktır. Saldırganlar daha sofistike hale geldi; Bulgularına veya ağınızda ne kadar ilerlediklerine bağlı olarak, muhtemelen çok fazla uyarı tetiklemeyecek veya saldırıyı başlatmak için acele etmeyeceklerdir. Ağda dikkatli bir şekilde hareket edecekler, erişebilecekleri ek cihazları ve çalabilecekleri kimlik bilgilerini tarayacaklar. Örneğin, uzak masaüstü protokolü (RDP) hizmetleri etkinleştirilirse saldırgan, farklı bir cihaza erişmeyi denemek için çaldığı kimlik bilgileriyle bu RDP bağlantılarından yararlanacaktır. Daha fazla cihaza erişmek, daha fazla kimlik bilgisi toplamak ve ağ hakkında daha fazla bilgi edinmek için farklı açıklardan yararlanmaya devam edecekler. Düşman, cihazın güvenlik alanını ele geçirebilirse bu bilgiyi karanlık ağ aracılığıyla daha büyük bir saldırı düzenlemekle ilgilenebilecek farklı bir tehdit grubuna satabilir.
Saldırganlar genellikle günlerce veya haftalarca fark edilmeden çalışırlar ve istedikleri tüm verileri çalıncaya kadar saldırıyı başlatmak için sabırla beklerler. Ağı yönetenlerin, saldırganın bir süreliğine erişim sağladığı ve ağ operatörünün ek güvenlik önlemleri uyguladığını fark etmesi durumunda, erişime sahipken hemen saldırıyı başlatabileceğinin farkında olması gerekir.
Uç noktaların güvenliğini sağlamak için görünürlüğü artırma
Güvenlik ekiplerinin, ihlal durumunda bile uç noktalarını korumak ve riski azaltmak için atabileceği birkaç adım vardır. Ekiplerin ağ güvenliğini güçlendirmek için benimsemesi gereken en iyi uygulamalardan bazıları şunlardır:
- Tüm uç noktalarda kapsamlı görünürlük sağlayın. Daha önce de belirtildiği gibi, güvenlik ekipleri için temel bir önlem, tüm uç noktaların kapsamlı görünürlüğüne sahip olmaktır. Gelişmiş keşif yeteneklerine sahip gelişmiş güvenlik araçları, korunmasız uç noktaları belirleyerek görünürlüğün artmasına yardımcı olacak ve korumanın kurulması ve sürekli izleme için gerekli adımlar konusunda bilgi verecektir. Örneğin, 100 bilgisayardan oluşan bir ağınız varsa ve 10 tanesi korumasızsa, gelişmiş tespit özelliğine sahip bir güvenlik aracı, ağa bağlı tüm uç noktaları tanımlayabilir ve hangi 10 bilgisayarın korumasız kaldığını göstererek, bu yönetilmeyen uç noktaları yönetmenize olanak tanır.
- Çok faktörlü kimlik doğrulamayı kullanın. Kötü niyetli aktörler, güvenlik kimlik bilgilerine erişmek ve bunları ağınız genelinde kullanmak için kaba kuvvet saldırıları da dahil olmak üzere çeşitli yöntemler deneyecektir. Bir saldırgan, güvenlik yöneticisinin kimlik bilgilerini çalabilir ve güvenlik ürününün konsolunda oturum açabilirse, güvenlik ürününü yönetici konsolundan kaldırmaya veya devre dışı bırakmaya çalışacaktır. Tüm bu kritik hizmetlerde çok faktörlü kimlik doğrulamanın (MFA) zorunlu kılınması, bir saldırganın güvenlik önlemlerini kodun kendisinden devre dışı bırakmasını engelleyebilir. MFA gibi önlemler riskin çoğunu azaltabilir ve saldırının boyutunu sınırlayabilir.
- Bir güvenlik açığı yönetimi süreci uygulayın. Güvenlik ekipleri, kullanılan tüm yazılımların güncellendiğinden emin olmalıdır. Tehdit aktörlerinin bir ağ içinde yatay olarak hareket etmesinin dikkate değer bir yolu, mevcut yazılımdaki bilinen güvenlik açıklarından yararlanmaktır. Kuruluşlar, yazılıma, işletim sistemine ve üçüncü taraf güvenlik açıklarına düzenli olarak yama uygulamak üzere tasarlanmış bir güvenlik açığı yönetimi sürecini uygulayarak risklerini önemli ölçüde azaltabilir. Saldırganlar için bu “kolay düğmeyi” kaldırmak onların işini çok daha zorlaştırır ve birçok yaygın saldırının başarılı olmasını engelleyebilir.
- Yönetilen bir hizmet sağlayıcıyı işe alın. Güvenliği etkili bir şekilde sürdürmek bir hizmettir. Yönetilen hizmet sağlayıcılar (MSP’ler), şirketlerin karşılaştığı güvenlik risklerini önemli ölçüde azaltmak için kapsamlı, özel hizmetler sağlayabilen değerli kaynaklardır. Korunan cihazların uygun güvenlik yapılandırmasını ve çalışmasını yönetebilirler. MSP’lerin çalışmaları son kullanıcıların korunması açısından kritik öneme sahiptir.
- Bir MDR hizmetini düşünün. Siber tehditler giderek daha karmaşık hale geldikçe birçok kuruluş, özellikle de küçük ve orta ölçekli şirketler, kendilerini kendi başlarına savunacak kaynaklara veya uzmanlığa sahip olmadıklarını fark etmeye başladı. Sonuç olarak, yönetilen tespit ve yanıt (MDR) hizmetleri giderek daha popüler hale geldi. 7/24 tehdit algılama ve yanıt hizmetleri sağlamaya yardımcı olması için bir MDR hizmeti kullanmayı düşünün. Şirketiniz MDR yoluna gitmeye hazır değilse, en azından kullanım lisansıyla birlikte gelişmiş güvenlik hizmetleri (örneğin yürütülebilir dosyaların %100’ünü sınıflandıran hizmetler gibi) içeren bir güvenlik çözümü kullanmayı düşünmelisiniz.
Anlaşılması gereken önemli bir kavram, etkili güvenliğin bir teknoloji çözümünden daha fazlasını gerektirdiğidir; ihtiyaç duyulan şey, uzmanlardan oluşan bir ekip tarafından yönetilen teknoloji ve güvenlik hizmetlerinin birleşimidir. Kuruluşlar yalnızca bir güvenlik çözümü dağıtmamalı; bu güvenlik çözümünü yönetmeli ve güvenlik araçlarının ortaya çıkardığı etkinlikleri ve anormallikleri analiz edecek kişileri görevlendirmelidir. Kuruluşunuzun bir güvenlik operasyonları ekibi yoksa, işi kendi başınıza yapmaya çalışmak yerine muhtemelen bir MDR hizmetine abone olmanız daha iyi olacaktır. Çünkü sonuçta etkili güvenlik, sürekli izlemeyi gerektirir. Doğru kişiler, ürünler ve süreçlerle uç noktalarınızı ve tüm ağınızı koruyabilirsiniz.
yazar hakkında
Endpoint Security Pazar Sahibi Guillermo Gómez, WatchGuard’daki Endpoint ürün serisinin gelişimine ve başarısına liderlik etmekten sorumludur. Uç Nokta Güvenliği alanında 25 yıllık deneyime sahip. Kariyerine mühendis olarak başladı, ancak başlangıçta Ürün Geliştirmeyi yönetmek için yönetim pozisyonlarına geçti ve son olarak Panda Security’de Ürün Yönetimi, Ürün Geliştirme, BT ve Destek alanlarından sorumlu oldu.