2022’de Ulusal Standartlar ve Teknoloji Enstitüsü, bir takvim yılında kaydedilen en büyük artış olan 23.000’den fazla yeni güvenlik açığı bildirdi. Endişe verici bir şekilde, bu yükseliş eğiliminin devam etmesi bekleniyor ve son araştırmalar 1.900’den fazla yeni ortak güvenlik açığı ve açık (CVE) görebileceğimizi öne sürüyor. her ay 270 yüksek önem derecesi ve 155 kritik önem derecesi dahil olmak üzere bu yıl ortalama olarak.
CISO’lar ve güvenlik ekipleri, azalan güvenlik bütçeleri ve sürekli siber yetenek kıtlığı ile boğuşurken, her yıl yeni güvenlik açıklarından oluşan bu gerçek gelgit dalgasını yamalamak, kesinlikle ulaşılamaz ve gülünç bir iştir.
Yüzbinlerce kayıtlı CVE’den yalnızca %2 ila %7’sinin vahşi ortamda istismar edildiği görülmüştür. Bu nedenle, akılsız yama nadiren verimli bir faaliyettir. Genişletilmiş saldırı yüzeyleri ile tehdit ortamı, genellikle ele aldığımız kadar sessiz değildir. Saldırganlar, neredeyse hiçbir zaman kritik varlıklara yol açmadığından, tek bir güvenlik açığına saldırı gerçekleştirmiyor. Güvenlik açıkları, çoğu durumda, ifşalara eşit değildir ve kurumsal sistemlere sızmak isteyen bir saldırgan için yeterince tatmin edici değildir.
Kötü niyetli aktörler, güvenlik açıklarına odaklanmak yerine, kritik varlıklara gizlice saldırmak ve şirket verilerini çalmak için kimlik bilgileri ve yanlış yapılandırmalar gibi ifşaların bir kombinasyonundan yararlanıyor. Kuruluşların en çok ilgilenmesi gereken bu önemli ve genellikle gözden kaçan risklerden bazılarını inceleyelim.
Atılan Ortam: Şirket İçi
Sağlam bulut korumalarına duyulan ihtiyacı gözden kaçıramasak da, bulutun son on yıldaki hakimiyeti, birçok kişinin etkin ve çevik şirket içi kontroller oluşturmaya yönelik yatırımlarını gözden kaçırmasına neden oldu. Hiç kuşkunuz olmasın, kötü niyetli aktörler, bulut ortamlarında olsalar bile kritik varlıklara ve sistemlere erişim elde etmek için şirket içi risklerden aktif olarak yararlanmaya devam ediyor.
Bu yılın başlarında Microsoft, yazılımdaki güvenlik kusurlarının sistemlere sızmak için silah haline getirildiği çeşitli durumlara yanıt olarak kullanıcıları şirket içi Exchange sunucularının güvenliğini sağlamaya çağırdı. Bulut güvenliğine odaklanan birçok kuruluş, hibrit saldırı yüzeyine ve saldırganların iki ortam arasında nasıl hareket edebildiğine karşı kör hale geldi.
Aşırı Müsamahakar Kimlikler, Ayrıcalıklı Erişim
Kolaylık göz önünde bulundurularak, bulut kullanıcıları, roller ve hizmet hesapları aşırı izin vermeye devam eder. Bu, işleri yönetmeyi kolaylaştırabilir ve sürekli olarak çeşitli ortamlara erişim isteyen çalışanlarla uğraşmak zorunda kalmaz, ancak aynı zamanda saldırganların ilk savunma katmanını başarıyla geçtikten sonra dayanaklarını ve saldırı yollarını genişletmelerine olanak tanır.
Bir denge kurulmalı çünkü şu anda birçok kuruluş kimlikle ilgili güçlü yönetişime sahip değil ve bu da görevlerini yerine getirmek için bu tür yeteneklere ihtiyaç duymayanlara aşırı erişimle sonuçlanıyor.
Hibrit ve çoklu bulut ortamlarında kimliklerin güvenliğini sağlamak son derece karmaşık olsa da, her kullanıcının ayrıcalıklı bir kullanıcı olduğu felsefesiyle çalışmak yanal yayılmayı durdurmayı çok daha zorlaştırır. Ayrıca, küçük bir saldırı ile hasarı kontrol altına almaya çalışmak için haftalarca süren bir proje arasındaki fark da olabilir. Son araştırmamız, en iyi saldırı tekniklerinin %73’ünün yanlış yönetilen veya çalınan kimlik bilgilerini içerdiğini gösterdi.
İnsan Hatası
En yaygın, ancak zararlı olan hatalardan birini unutmayalım: güvenlik kontrollerinin uygun olmayan şekilde konuşlandırılması ve kullanılması. Yatırımı yaparsınız, ancak aynı zamanda faydalarını da elde ettiğinizden emin olmalısınız. Yaygın olarak iletilen bir sorun olmasına rağmen, güvenlik kontrolü yanlış yapılandırmaları hala oldukça yaygındır. Başlangıçta hiçbir tehdit algılama ve müdahale veya uç nokta çözümü kurşun geçirmez olmasa da, birçoğu da yanlış yapılandırılmış, tüm ortama dağıtılmamış veya dağıtıldığında bile etkin değil.
Teşhis yorgunluğunun yaygın olduğu ve güvenlik ekiplerinin çok sayıda iyi huylu ve ilgisiz güvenlik açığıyla dolup taştığı bir hiper görünürlük dünyasında faaliyet gösteriyoruz. CISO’lar ve güvenlik ekipleri her şeyi görme arayışı içinde görünüyor. Ancak, CVSS veya diğer puanlama mekanizmalarına göre önceliklendirilen, yorucu derecede uzun maruz kalma listeleri ve teknik zayıflıklar, kuruluşlarını daha güvenli hale getirmez. Anahtar, neyin önemli olduğunu görmek ve kritik olanı iyi huylu denizinde kaybetmemek.
Düzeltmeye çalışmak yerine her şey, kuruluşlar, risklerin genellikle bir saldırı yolunda birleştiği alanlar olan geçiş noktalarını belirlemek için çalışmalıdır. Bunu yapmak, maruz kalma ortamınızın özenli bir şekilde değerlendirilmesini ve saldırganların kritik varlıklara ulaşmak için ortamınızda nasıl gezinebileceğini kavramayı gerektirir. Bu tıkanma noktaları belirlenip düzeltildikten sonra, diğer ifşaları alakasız hale getirecek ve yalnızca muazzam miktarda zaman kazanmakla kalmayacak, aynı zamanda potansiyel olarak güvenlik ekibinizin akıl sağlığını da koruyacaktır.
Ek olarak, bu, BT ekiplerinizi harekete geçirme avantajına da sahip olabilir çünkü onlara belirli yamaların önemi hakkında net bir görüş sağlar ve artık zamanlarını boşa harcıyormuş gibi hissetmezler.
Tehdit Görünümünün Önünde Olmak
Henry Ford’un bir keresinde dediği gibi, “Her zaman yaptığınız şeyi yaparsanız, her zaman sahip olduğunuz şeyi elde edersiniz.” Çoğu kuruluşun sağlam güvenlik açığı yönetim programları olsa da güvenlik açıkları riskin yalnızca küçük bir kısmını oluşturur.
Değişken tehdit ortamının bir adım önünde olmak, sürekli maruz kalma yönetimi mekanizmaları gerektirir. Hangi açıkların kuruluşunuz ve kritik varlıklarınız için en fazla riski oluşturduğunu ve bir saldırganın bu açıkları bir saldırı yolunda nasıl kullanabileceğini anlamak, boşlukları kapatmaya ve genel güvenlik duruşunu iyileştirmeye önemli ölçüde yardımcı olacaktır.