Yönlendirme Protokollerinin Gizli Risklerini Ortaya Çıkarma



Yönlendirme protokolleri, İnternet’in ve bunlara dayalı hizmetlerin işleyişinde kritik bir rol oynar. Ancak, bu protokollerin birçoğu güvenlik endişeleri göz önünde bulundurulmadan geliştirilmiştir.

Örneğin, Sınır Ağ Geçidi Protokolü (BGP) başlangıçta eşler arasındaki saldırı potansiyelini dikkate almadı. Geçtiğimiz on yıllarda BGP’de kaynak ve yol doğrulaması için çok çalışma yapılmıştır. Bununla birlikte, BGP uygulamalarının güvenliğinin ihmal edilmesi, özellikle mesaj ayrıştırma, hizmet reddi (DoS) elde etmek için istismar edilebilecek birden çok güvenlik açığıyla sonuçlanmıştır.

Güvenlik endüstrisinde “eğer bozulmadıysa, düzeltmeyin” şeklinde hakim bir tutum var. Bu tür güvenlik açıklarının kaynak ve yol doğrulama sorunlarından daha az ciddi olduğuna dair yanlış bir inanışla güvenlik denetimini gözden kaçırma eğilimi vardır.

Geleneksel risk değerlendirmesi, genellikle bir ağdaki tüm yazılımları ve cihazları ve bunların sonuçlarını kapsamlı bir şekilde incelemede başarısız olur ve bu da kör noktalar oluşturur. Bir kuruluş bu yönlendirme protokollerinin kullanımda olduğunun farkında bile olmadığında bu boşluklar daha da belirgin hale gelebilir. Yönlendirme protokolleri, veri merkezleri, kuruluş sitelerindeki VPN’ler ve özel cihazlara gömülü gibi sanıldığından daha fazla yerde görünebilir.

Gizli Riskler

Geçen yıl boyunca, tehdit aktörleri, yönlendiriciler de dahil olmak üzere ağ cihazlarını giderek daha fazla hedef aldı. ABD Siber Güvenlik ve Altyapı Güvenliği Dairesi (CISA), federal kurumların bu cihazların risklerini azaltmasını zorunlu kılan bağlayıcı bir operasyonel yönerge yayınladı.

Yönlendiricilere bu yoğun odaklanma, temel yönlendirme protokollerinin güvenliği hakkında endişeleri artırıyor. Örneğin, keşif, kötü amaçlı yazılım dağıtımı ve komuta ve kontrol iletişimleri için yönlendiricilerden yararlanan tehdit aktörleri vakaları olmuştur. CISA’nın bilinen kötüye kullanılan güvenlik açıkları kataloğunda, başka bir yönlendirme protokolünün uygulamalarını etkileyen diğer iki DoS güvenlik açığının yanı sıra üç BGP DoS sorunu da vardır.

Ek olarak, BGP kaçırmaları ve sızıntıları, trafiğin istenmeyen hedeflere yönlendirildiği ve potansiyel olarak hassas bilgilerin açığa çıktığı olaylara yol açan bir endişe kaynağı olmuştur. Yönlendirme protokollerindeki güvenlik açıkları, veri merkezini İnternet’ten izole etmek ve hizmetlerini erişilemez hale getirmek için kullanılabildiğinden, veri merkezi saldırıları başka bir önemli risk oluşturur.

Risk Değerlendirmesinde Kör Noktalar

Risk değerlendirmesindeki kör noktaları ele almak için çok yönlü bir yaklaşım gereklidir.

Kuruluşlar ağ altyapısına olabildiğince sık yama uygulamalıdır, ancak bozuk olduğunu bilmediğiniz bir şeyi düzeltemezsiniz. Pragmatik olarak, bir varlık envanteri, yönlendirme protokolleri dahil olmak üzere ağa bağlı tüm cihazları ve üzerinde çalışan yazılımı takip etmelidir.

Bu farkındalık, kuruluşların güvenlik açıklarını belirlemesine ve bunların iyileştirilmesine öncelik vermek için gerekli önlemleri almasına olanak tanır. Kuruluşlar, yama uygulanmamış cihazları İnternet’e maruz kalmaktan korumak için segmentasyon stratejileri uygulayarak da bu riskleri azaltabilir.

İdeal olarak güvenlik, gelişmiş statik ve dinamik analiz teknikleri kullanarak ve yazılım geliştirme yaşam döngüsünü güvence altına alarak yönlendirme protokolü uygulamalarındaki güvenlik açıkları olasılığını azaltabilen yazılım geliştiricilerle başlamalıdır. Ek olarak, tanımlanan güvenlik açıklarını derhal ele almak ve çözmek için etkili iletişim kurulmalıdır.

Aynı şekilde, bu protokolleri cihazlarına entegre eden satıcılar, tedarik zincirinde bir üçüncü taraf risk kaynağı haline gelir. Yazılım malzeme listelerinin (SBOM’ler) uygulanması, cihazlarda ve ağlarda bulunan güvenlik açıklarına daha fazla görünürlük sağlayarak kuruluşların risklerini daha iyi yönetmelerini sağlayabilir. Bununla birlikte, bir satıcı bu tür bir şeffaflık sağlamadığında (veya cihazlarının etkilendiğinden habersiz olduğunda), saldırı yüzeyini proaktif olarak değerlendirme sorumluluğu nihai olarak kuruluşa aittir.

Son olarak, güvenlik araştırma topluluğu, bu güvenlik açıklarının keşfedilmesinde ve sorumlu bir şekilde ifşa edilmesinde değerli bir rol oynar. Bazı durumlarda, güvenlik araştırması, yazılım geliştiricileri ve satıcıları tarafından yayınlanması gereken güvenlik bültenlerinden daha zamanında ve etkili düzeltme ve azaltma önerileri sağlar. Örneğin, son BGP güvenlik açığı durumunda, güvenlik araştırmacıları, güvenlik açıklarını keşfetmek için protokol uygulamalarını hızlı bir şekilde test edebilen açık kaynaklı bir BGP fuzzer yayınladılar.

Riskleri Aydınlatın

Yazılımı etkileyen güvenlik açıkları bağlı cihazları da etkiler, bu nedenle güvenliği artırmak, ikisi arasında uyumlu bir çaba gerektirir. Güvenlik araştırmacıları, yönlendirme protokollerinin potansiyel riskleri ve bunların daha geniş ekosistem üzerindeki etkileri konusunda farkındalık yaratabilir, ancak daha iyi güvenliği savunmak nihai olarak kuruluşlara düşer.

Kuruluşlar, ağ cihazlarının geleneksel uç noktalar ve sunucuların ötesinde tüm yazılım ve cihazlara yönelik kapsamlı bir şekilde anlaşılmasına öncelik vermelidir. Titiz güvenlik açığı değerlendirmeleri uygulamalı ve etkili tehdit algılama ve yanıt mekanizmaları oluşturmalıdırlar.

Yazılım geliştiricilerin ve satıcıların güvenlik uygulamalarını iyileştirmeleri, iletişimi geliştirmeleri ve şeffaflığı teşvik etmeleri gerekir. Birlikte çalışarak yönlendirme protokollerinin güvenliğini güçlendirebilir ve birbirine bağlı dünyamızı koruyabiliriz.



Source link