Siyah kuğu olayları
tahmin edilmesi imkansız olan yüksek etkili ve düşük frekanslı olaylar olarak kabul edilir. Bunları kara kuğu siber olayları olarak kabul etseniz de etmeseniz de SolarWinds saldırısı ve Log4Shell istismarı, kuruluşların kendilerini hazırlayabilmeleri ve krizleri önleyebilecekleri bazı temel yolları vurguladı.
İşte bu tür olayların önlenmesiyle ilgili üç yaygın yanlış anlama.
Yanlış Anlama 1: Sıfır gün ve tedarik zinciri saldırıları hakkında yapabileceğimiz hiçbir şey yok.
Yaygın yanılgılardan biri, ortamları kritik sıfırıncı gün güvenlik açıklarından veya tedarik zinciri saldırılarından korumanın çok gizli olduğu ve tahmin edilemediği için neredeyse imkansız olmasıdır. En iyi ihtimalle, bu yanılgı, çabaları algılama ve yanıt verme yeteneklerini geliştirmeye doğru kaydıracaktır. En kötüsü, bu tür olaylarla uğraşırken bir çaresizlik duygusunu teşvik edecektir.
Genel algının aksine bu olaylar “bilinmeyen bilinmeyenler” değildir. Kuruluşlar, genellikle mevcut ekiplerini ve güvenlik yığınını kullanarak savunmalarını stratejik olarak dağıtabilir ve ayarlayabilir ve kendilerini bu tür saldırılardan koruyabilir.
Basit ama güçlü bir örnek, sunuculardan gelen İnternet trafiğini engellemektir. Temel bir güvenlik uygulaması gibi görünse de, gerçek dünya deneyimi bunun nispeten olgun kuruluşlar tarafından bile uygulanmadığını göstermektedir.
Sunucuların İnternet’e erişmesini engellemek, istismarın saldırganın komuta ve kontrol altyapısına bağlantı başlatmak için sunucuya bağlı olduğu durumlarda, ters kabuklar, üçüncü taraf bir yazılımdaki kötü amaçlı kod aracılığıyla saldırıları önler (veya saldırganları önemli ölçüde yavaşlatır). SolarWinds gibi veya Log4Shell gibi bir güvenlik açığı. Bu, temel bir güvenlik kontrolünün bile hem son yılların en karmaşık saldırılarından biri olan SolarWinds tedarik zinciri saldırısını durdurabileceğinin hem de son zamanlarda keşfedilen en güçlü ve her yerde bulunan güvenlik açıklarından biri olan Log4Shell güvenlik açığını azaltabileceğinin farkına varmamızı sağlıyor.
Ortak taktikleri, teknikleri ve prosedürleri (TTP’ler) ve en son ihlallerin ve açıklardan yararlanmaların işleyiş biçimini araştırmak ve öğrenmek, kuruluşlara gelecekteki açıkların kullanımını azaltacak şekilde savunmaları nasıl iyileştirecekleri ve önceliklendirecekleri konusunda değerli bilgiler sağlayabilir.
2 No’lu Yanlış Anlama: Saldırganlar bir ortama sızdığında, onu tamamen tehlikeye atacaklardır.
Başka bir yanlış anlama da, bu yeni istismarların kaçınılmaz olarak saldırganların sadece çevreye sızmaktan fazlasını yapmasına izin vereceğidir.
Hedefli güvenlik geliştirme girişimleri, ortamı yanal hareket ve ayrıcalık yükseltme tekniklerine karşı çok daha dayanıklı hale getirmek, saldırganları uzakta tutmak ve temel varlıklara erişmek için ilk dayanaklarından yararlanamamak için uygulanabilir. Bu yaklaşım aynı zamanda savunuculara saldırıları erken safhalarında tespit etmeleri ve ortadan kaldırmaları için daha fazla zaman sağlayacaktır.
Yanlış Anlama No. 3: Yeni güvenlik açıkları için yama yapmak elimizdeki tek çözümdür.
Genellikle yeni bir güvenlik açığı yayınlandığında, çok sayıda tavsiye tarafından önerilen ana (ve bazen tek) öneri, yama uygulamaktır, sanki yama yapmak kuruluşların riski kontrol altına almak için başlatabilecekleri tek eylemdir. Yama çok önemlidir, ancak büyük kuruluşların maruz kaldıklarını tam olarak anlamaları ve üretim ortamlarında yama uygulamaları zaman alabilir. Bazen, yama uygulamasından birkaç gün sonra, sistemin veya uygulamanın çektiği dikkat nedeniyle güvenlik endüstrisi tarafından yeni güvenlik açıkları keşfedilir. Yama her zaman tüm boşlukları azaltmaz.
Bu tür olaylara yanıt verirken, istismarın yürütülme biçimini ve istismarın yürütmek için dayandığı bağımlılıkları anlamak zorunludur. Yalnızca güvenlik açığını azaltmak için bir geçici çözüm olarak kabul edilebilecek olan şey, bazen kuruluşlar için hayat kurtarıcı olabilir.
Güvenlik Yığınınızı Kullanın ve Optimize Edin
Genel kanının aksine örgütler olabilmek Log4Shell gibi yeni açıklardan yararlanmaların veya SolarWinds gibi son derece karmaşık saldırıların etkisini önleyin veya azaltın.
Bu, kuruluşlardan yararlanarak başarılabilir. ve
mevcut güvenlik yığınlarını optimize etmek, cerrahi sertleştirme önlemleri uygulamak ve ek harcama gerektirmeden kolayca açılabilen yerleşik güvenlik özelliklerini kullanmak.