Modern BT ortamları, bulut bilişim, Nesnelerin İnterneti (IoT) cihazları gibi şeyler aracılığıyla ve birçok kuruluş için birleşme ve satın almalar ve tedarik zinciri iş ilişkileri yoluyla organik olarak gelişen, dinamik olacak şekilde bilinçli olarak tasarlanmıştır. Daha fazla iş verimliliği ve etkinliği sağlarken, çoğu zaman altyapı ve veriler, BT ekibinde döngüye girmeden veya kurumsal güvenlik politikalarına bağlı kalmadan geçici olarak eklenir. Sonuç, teknoloji ekosisteminde gizli risk oluşturan yönetilmeyen veya bilinmeyen altyapıdır.
Çoğu güvenlik ekibi, bu dinamik ortamda görünürlük eksikliğini kabul edecektir. Yetkilendirilmiş erişim veya eksik aracılar olsun, görünürlükte bir boşluk olması yaygın bir durumdur. Bununla birlikte, bilinmeyen bilinmeyenler, çoğu kuruluşta daha da önemli bir görünürlük sorunu oluşturmaktadır.
Bilinmeyen-Bilinmeyen Varlık Nedir?
Bilinmeyen bilinmeyenler veya güvenlik ve BT ekiplerinin farkında olmadığı varlıklar ile ne demek istediğimizi tanımlayarak başlayalım. Bilinmeyen bilinmeyenler birçok şekilde tanıtılabilir. Örneğin, kişisel bir kredi kartında bulut kaynakları sağlama becerisine sahip iyi niyetli geliştiriciler, yeni veritabanı örnekleri oluşturabilir.
Kendi altyapılarını geliştirebilen ancak GitHub’daki koda erişimi sınırlamayı unutan yetenekli yüklenicileri düşünün. Veya genişletilmiş kurumsal ekosistemde hesaba katılmayan iş ortakları (üçüncü ve N. taraf tedarikçiler). Birleşmeler, “bilinmeyen bilinmeyenlerin” tanıtılmasının başka bir yaygın yoludur – genellikle güncelliğini yitirmiş BT altyapısı listesi, altyapı durumunun mevcut gerçekliğini karşılamadığında.
Tedarik zinciri uzlaşmasının artması ve artan organizasyonel yayılma ile kuruluşlar bilinmeyen bilinmeyenlerden kaynaklanan riskleri nasıl yönetebilir ve azaltabilir?
Saldırı Yüzeyi Görünürlük Boşluklarını Kapatma
Bilinmeyen bilinmeyenleri çözmek için, güvenlik ekiplerinin tüm bilgilerin güncel bir envanterini tutmak için mekanizmalar ve süreçler oluşturması gerekir. bilinen kuruluşlarıyla ilişkili varlıklar ve tehdit aktörleri tarafından ağa giriş noktaları olarak kullanılabilecek güvenlik açıkları. Organizasyon hakkında ne kadar çok bilinirse, bilinmeyenler için aktif ve sürekli arama yapmak için o kadar fazla bilgi ve daha az bilinmeyen bilinmeyenler.
Aşağıda, görünürlük boşluklarını kapatmak için beş pratik adım bulunmaktadır:
- Varlık envanterini numaralandırın ve sürekli olarak izleyin: Kapsamlı bir envanter sağlayan sürekli varlık keşfi için bir süreç ve iş akışı oluşturun. Varlıklar, iç ve dış kaynakları, bulut kaynaklarını, çalışanları ve tedarik zincirini içerir. Dışarıdan erişilebilen varlıklar, bilinen güvenlik açıklarından yararlanarak genellikle ilk erişim için (MITRE T1190) tehdit aktörleri tarafından hedeflenir. Sıfır gününün ifşa edildiği durumlarda, güvenlik ekibi şu soruları yanıtlamak için envanterden yararlanabilir: “Bu teknoloji ekosistemimizde var mı ve varsa nerede?” ve “Teknolojinin savunmasız sürümünü mi çalıştırıyoruz?”
- Varlıkların sahipliğini belirleyin: İlişkilendirme, güvenlik ekibine ilgili bilgileri sağlamada büyük rol oynar. Kuruluşunuza ait olabilecek veya olmayabilecek varlıkların bir listesini almak, yanlış pozitifleri (kapsam dışı varlıklar) önceliklendirdikleri için ekibi yavaşlatacaktır. Varlık keşif çabalarının başlangıcında, neyin doğrudan yönetildiğini ve paylaşılan güvenlik modelinin (varlığın yönetiminin bir bulut hizmeti veya SaaS sağlayıcısı gibi bir sağlayıcıya dış kaynak kullanımıyla sağlandığı) belirlenmesi için envanter denetlenmelidir. Bir güvenlik ekibi varlık sahipliğine ilişkin temel anlayışı oluşturduğundan, yönetim zaman içinde daha kolay hale gelir.
- Kritik ve yüksek önemdeki sorunları belirlemek ve önceliklendirmek için varlıkları zeka ile zenginleştirin: Güvenlik açıkları ne kadar hızlı tanımlanırsa, güvenlik ekibi o kadar hızlı yanıt verebilir. Güvenlik ihlali göstergeleri (IoC’ler) ve Dark Web izleme, bir güvenlik ekibine markayı veya bir varlığı içeren kötü niyetli faaliyetler hakkında bilgi verebilir. Olay müdahalesine ve düşman araştırmasına dayalı analiz, savunucuların bir güvenlik açığından nasıl yararlanıldığına ve istismarın etkisine göre uygun şekilde yanıt vermesine ve öncelik vermesine yardımcı olabilir. Önerilen kaynaklar arasında NIST Ulusal Güvenlik Açığı Veritabanı (NVD), CISA’nın Bilinen İstismar Edilen Güvenlik Açığı kataloğu ve özel sektörden istihbarat beslemeleri yer alır.
- Ölçekte düzeltin ve sertleştirin: Kuruluş için en fazla riski oluşturan giriş noktalarında iyileştirme ve güçlendirme çabalarına öncelik vermek, azaltma stratejileri için çok önemlidir. Kritik ve yüksek önemdeki güvenlik bulguları derhal araştırılmalı ve düzeltilmelidir. Orta ve uzun vadede, güvenlik ekibinin genellikle gözden kaçan, ancak kullanımı daha kolay güvenlik açıklarıyla birlikte kullanılabilen daha düşük önemdeki güvenlik açıklarının farkında olması ve bunları izlemesi gerekir. Daha düşük öncelikli öğelere sorumluluk atayın ve ilerleme hakkında üç aylık raporlama beklentileri belirleyin.
- Bilinmeyen bilinmeyenler için varlıkları düzenli olarak gözden geçirin ve bulgularınızı 1-4. adımlara entegre edin: Bilgi ancak kullanıldığında değerlidir. Bir kuruluşun saldırı yüzeyi hakkında daha fazla veri toplandıkça, bilgilerin kuruluş içindeki uygun ekiplere dağıtılması ve güvenlik operasyonları merkezi (SOC) veya istihbarat kuruluşu genelinde operasyonel iş akışlarına dahil edilmesi gerekir. Örneğin, SOC ekibi, belirli tehdit avı eylemlerini gerçekleştirmek ve ardından azaltma stratejilerini uygulamak için potansiyel olarak güvenliği ihlal edilmiş cihazlar hakkındaki en son bilgilerden yararlanabilir.
Bilinen tehditlerden kaynaklanan riskleri yönetmek ve azaltmak, zaten aşırı gergin güvenlik ekipleri için yeterince zordur. Kuruluşlar, yukarıdaki adımları izleyerek saldırı yüzeyi yönetim programlarını yükseltebilir ve genişletilmiş ekosistemleri içindeki potansiyel risklere ilişkin daha fazla görünürlük elde edebilir.
yazar hakkında
Jonathan Cran, Mandiant’ta Mandiant Advantage Attack Surface Management mühendislik başkanıdır ve Intrigue’nin 2021’de Mandiant tarafından satın alınmasından önce kurucusu ve CEO’suydu. Deneyimli bir girişimci ve inşaatçı, yüksek kaliteli sonuçlar ve veri odaklı olma konusunda tutkulu çözümler, özellikle önemli teknik liderlik gerektirdiğinde. Sürekli olarak müşterilerin zorluklarını anlamak ve zarif çözümler sunmak için çabalıyor. Geçmişi, güvenlik uygulayıcısı olarak uygulamalı deneyimi ve Kenna Security, Bugcrowd ve Rapid7 gibi şirketlerde liderlik rollerini içerir.