ABD su tesislerini ihlal eden İranlı bilgisayar korsanlarını duymadıysanız, bunun nedeni sadece 7.000 kişiye hizmet veren tek bir basınç istasyonunu kontrol etmeyi başardılar. Bu saldırıyı dikkate değer kılan şey ölçeği değildi, ancak bilgisayar korsanları ne kadar kolay erişim kazandı – sadece üreticinin varsayılan şifresini “1111” i kullanarak. Bu dar kaçış, CISA’yı üreticileri, bu önceden ayarlanmış şifrelerin en sömürülen zayıflıklardan biri olarak kaldığına dair “yıllarca kanıt” olarak atıfta bulunarak, varsayılan kimlik bilgilerini tamamen ortadan kaldırmaya teşvik etti.
Üreticilerin daha iyi güvenlik uygulamaları uygulamasını beklerken, sorumluluk BT ekiplerine düşüyor. İster kritik altyapı ister standart bir iş ağını yönetin, ortamınızdaki değişmeyen üretici şifrelerine izin vermek, saldırganlar için kırmızı halıyı yaymak gibidir. Varsayılan şifreler hakkında bilmeniz gerekenler-neden devam ediyorlar, işleri ve teknik sonuçları ve üreticilerin en iyi tasarımı en iyi uygulamaları nasıl uygulayabilecekleri.
Varsayılan şifrelerin yaygın tehdidi
Varsayılan şifreler – sayısız cihaz ve yazılım sistemi ile gönderilen “admin/admin” veya “1234” gibi standart kimlik bilgileri – saldırganların sömürmeyi sevdiği göze çarpan bir güvenlik boşluğunu temsil eder. Riskleri iyi belgelenmiş olsa da, birçok nedenden dolayı üretim ortamlarında devam ediyorlar:
- İlk kurulum ve yapılandırmayı basitleştiriyorlar
- Toplu cihaz sağlanmasını kolaylaştırırlar
- Sınırlı güvenlik seçenekleriyle eski sistemleri destekliyorlar
- Üreticilerin güvenli bir şekilde tasarlanmasından yoksun
Varsayılan şifreleri kullanmanın sonuçları şunları içerir:
- Botnet İşe Alım: Saldırganlar, diğer cihazlardan ödün vermeyi amaçlayan büyük ağlar oluşturmak için savunmasız cihazların taranması
- Fidye Yazılımı Giriş Noktaları: Bilgisayar korsanları, fidye yazılımını dağıtmak için dayanaklar oluşturmak için varsayılan şifre erişimini kullanın
- Tedarik zinciri uzlaşmaları: Savunmasız bir cihaz, tüm ağlara veya ortak sistemlere erişim sağlayabilir
- Tam Güvenlik Bypass: Varsayılan kimlik bilgileri etkin kaldığında sağlam güvenlik önlemleri bile etkisiz hale gelir
Varsayılan şifre saldırılarının gerçek dünya sonuçları
Varsayılan şifreler, yakın tarihteki en yıkıcı siber saldırılardan bazılarını kolaylaştırmıştır. Örneğin, saldırganlar binlerce IoT cihazında fabrika varsayılan şifrelerini deneyerek Mirai Botnet’i oluşturdular. 61 ortak kullanıcı adı/şifre kombinasyonu listesini kullanarak, bilgisayar korsanları 600.000’den fazla bağlı cihazdan ödün verdi. Ortaya çıkan BotNet, eşi görülmemiş bir 1 tbps’ye ulaşan, Twitter ve Netflix de dahil olmak üzere İnternet hizmetlerini geçici olarak devre dışı bırakan ve milyonlarca hasar yaratan yıkıcı DDOS saldırıları başlattı.
Tedarik zincirleri ayrıca varsayılan şifre saldırılarına karşı savunmasızdır, bilgisayar korsanları çok aşamalı saldırılarda sahil başlığı olarak değişmemiş varsayılan kimlik bilgilerine sahip OEM cihazlarını hedefler. İçeri girdikten sonra, erişimlerini açık tutan, daha sonra değerli verilerinize ve kritik altyapınıza ulaşana kadar bağlı sistemlerden yavaş yavaş hareket ederler. Bu varsayılan şifreler, diğer tüm güvenlik kontrollerini etkili bir şekilde zayıflatır ve saldırganlara gelişmiş tehdit algılama sistemlerini bile atlayan meşru erişim sağlar. İngiltere son zamanlarda varsayılan şifrelerle IoT cihazlarının nakliyesini yasaklamak için taşındı.
Varsayılan şifre ihmalinin yüksek maliyeti
Varsayılan şifreleri değiştirmek, ilk güvenlik ihlalinin çok ötesine geçen sonuçlar yaratabilir:
- Marka Hasarı: Kamu ihlalleri, müşteri güvenini aşındırıyor ve maliyetli geri çağırmaları, kriz yönetimi kampanyalarını ve yıllarca devam edebilecek davaları tetikleyerek masraflar milyonlarca dolara ulaşıyor.
- Düzenleyici Cezalar: AB’nin Siber Dayanıklılık Yasası ve ABD IoT Güvenlik Yasalarını (Kaliforniya gibi), özellikle varsayılan şifre güvenlik açıklarını hedefleyerek uyumsuzluk için önemli para cezaları uyguluyor.
- Operasyonel Yük: Ön tarafta uygun şifre politikalarının uygulanması, acil durum tepkisi, adli analiz ve kurtarma çabalarından çok daha becerikli ve uygun maliyetlidir.
- Ekosistem güvenlik açığı: Tek bir uzlaşmış cihaz birbirine bağlı ortamları zayıflatabilir – akıllı fabrikalarda üretimi durdurmak, sağlık ortamlarında hasta bakımını tehlikeye atmak veya ortak ağlarda basamaklı başarısızlıklar oluşturmak.
Üreticiler için beş güvenli tasarım en iyi uygulaması
Üreticiler, güvenlik yüklerinden müşterilere geçmeli ve bunun yerine ürünlerine güvenlik oluşturmalıdır:
- Birim başına benzersiz kimlik bilgileri: Ürün hatları arasında paylaşılan varsayılan kimlik bilgilerini ortadan kaldırmak için her cihazın etiketine basılmış fabrikaya randomize parolaları yerleştirin.
- Parola-Rotation API: Müşterilerin kimlik bilgilerini ilk önyüklemede otomatik olarak döndürmesine veya iptal etmesine izin vererek, kimlik bilgisi değişikliklerini standart kurulum işleminin bir parçası haline getirir.
- Yemek sıfır güvertesi: Sistem erişimi vermeden önce meşru cihaz kurulumunu doğrulamak için bant dışı kimlik doğrulaması (örneğin, kullanıcı hesabına bağlı QR-kod tarama) gerektirir.
- Ürün yazılımı bütünlüğü kontrolleri: Güvenlik önlemlerini atlayabilen yetkisiz kimlik bilgileri sıfırlamalarını önlemek için oturum açma modüllerini imzalayın ve doğrulayın.
- Geliştirici Eğitimi ve Denetimi: Güvenli Geliştirme Yaşam Döngüsü’nü uygulayın ve ürünler müşterilere ulaşmadan önce güvenlik açıklarını yakalamak için varsayılan-password taramalarını çalıştırın.
Kuruluşunuzu bugün korumak
Üreticiler, güvenli tasarım ilkelerini tamamen kucaklayana kadar, BT uzmanları hemen varsayılan şifre risklerine karşı hareket etmelidir. Ve bunu yapmanın en iyi yollarından biri, dağıtım sırasında normal cihaz stokları ve anında kimlik bilgileri içeren titiz şifre politikaları uygulamaktır.
En büyük koruma için, uygulamayı otomatikleştirmek için SpecOps şifre politikası gibi bir çözümü düşünün. SpecOps Parola Politikası, Active Directory şifre yönetimini basitleştirir ve 4 milyardan fazla benzersiz uzlaşmış şifreyi engellerken uyumluluğu sağlayan güvenlik standartlarını uygulamanıza olanak tanır. Bu proaktif adımları atarak, saldırı yüzeyinizi azaltacak ve kuruluşunuzu bir sonraki varsayılan şifre korsanlığı başlığı haline getireceksiniz. Bugün SpecOps şifre politikasının canlı bir demosu rezervasyonu yapın.