güncellemeler
Saldırganlar genellikle eski ve kullanılmayan test hesaplarının peşine düşer veya biraz tozlu olan kritik verileri içeren halka açık bulut depolama alanına rastlar. Bazen bir saldırı, bir uygulama bileşenindeki aslında iki yıl önce yamalanmış bir güvenlik açığından yararlanır. Bu ihlal raporlarını okuduğunuzda, ortak bir tema ortaya çıkar: Saldırılar eski bir şeyden yararlanmaktadırlar: Bir hizmet, bir sunucu, bir kullanıcı hesabı… Yani kurumsal BT altyapısının bazen BT ve güvenlik ekiplerinin radarından çıkan parçaları. Özünde, yönetilemez, işe yaramaz ve basitçe unutulmuş hale gelmişlerdir. Ancak bu BT zombileri, bilgi güvenliği ve mevzuata uygunluk açısından risk oluşturmakta ve gereksiz operasyonel maliyetlere yol açmaktadır. Bu genellikle gölge BT’nin bir unsurudur fakar önemli bir farkla: Kimse bu varlıkları istemez, bilmez veya bunlardan faydalanmaz.
Bu yazıda, hangi varlıkların acil ilgi gerektirdiğini, bunların nasıl tespit edileceğini ve bir müdahalenin neye benzemesi gerektiğini belirlemeye çalışıyoruz.
Fiziksel ve sanal sunucular
Öncelik: Yüksek. Güvenlik açığı olan sunucular, siber saldırıların giriş noktalarıdır ve kaynakları tüketmeye devam ederken bir yandan da yasal uyumluluk riskleri oluştururlar.
Yaygınlık: Yüksek. Fiziksel ve sanal sunucular, geçiş projelerini veya birleşme ve satın almaları takiben büyük altyapılarda genellikle öksüz kalırlar. BT projeleri yayınlandıktan sonra artık kullanılmayan test sunucuları ve etki alanı olmadan çalışan eski projelerin web sunucuları da sıklıkla unutulur. Lets Encrypt istatistikleri sorunun boyutunu gözler önüne sermektedir: 2024 yılında alan adı yenileme taleplerinin yarısı artık talep edilen alan adıyla ilişkili olmayan cihazlardan gelmiştir ve dünyada bu cihazlardan yaklaşık bir milyon tane vardır.
Tespit: BT departmanının, ağ taraması ve bulut envanteri sonuçlarını Yapılandırma Yönetimi Veri Tabanından (CMDB) gelen verilerle birleştiren bir Otomatik Keşif ve Uzlaştırma (AD&R) süreci uygulaması gerekir. BT varlıkları hakkındaki güncel olmayan veya çelişkili bilgilerin zamanında tespit edilmesini sağlar ve unutulan varlıkların yerlerinin tespit edilmesine yardımcı olur.
Bu veriler, kuruluşun tüm genel IP’lerini kapsayan harici güvenlik açığı taramalarıyla desteklenmelidir.
Yanıt: Sunucuların hizmet dışı bırakılması/emekliye ayrılması için resmi, belgelenmiş bir süreç oluşturun. Bu süreç, veri geçişinin tamamlandığının ve sunucudaki verilerin daha sonra imha edildiğinin doğrulanmasını içermelidir. Bu adımların ardından sunucu kapatılabilir, geri dönüştürülebilir veya yeniden kullanılabilir. Tüm prosedürler tamamlanana kadar sunucunun karantinaya alınmış, izole edilmiş bir alt ağa taşınması gerekir.
Test ortamları için bu sorunu hafifletmek amacıyla, bunların oluşturulması ve kullanımdan kaldırılması için otomatik bir süreç uygulayın. Bir projenin başlangıcında bir test ortamı oluşturulmalı ve belirli bir süre sonra veya belirli bir hareketsizlik süresinin ardından dağıtılmalıdır. Test ortamlarının güvenliğini, birincil (üretim) ortamdan sıkı bir şekilde izole edilmelerini sağlayarak ve testlerde gerçek, anonimleştirilmemiş iş verilerinin kullanılmasını yasaklayarak güçlendirin.
Unutulan kullanıcı, hizmet ve cihaz hesapları
Öncelik: Kritik. Etkin olmayan ve ayrıcalıklı hesaplar, ağda kalıcılık sağlamak veya altyapıdaki erişimlerini genişletmek isteyen saldırganlar için birincil hedeflerdir.
Yaygınlık: Çok yüksek. Teknik servis hesapları, yüklenici hesapları ve kişiselleştirilmemiş hesaplar en sık unutulanlar arasındadır.
Algılama: Belirli bir süre boyunca (bir ay, üç ay veya bir yıl) hiçbir faaliyet görmemiş tüm hesap türlerini belirlemek için kullanıcı dizininin (çoğu kuruluşta Active Directory) düzenli analizini yapın. Aynı zamanda, her bir hesaba atanan izinlerin gözden geçirilmesi ve aşırı veya gereksiz olanların kaldırılması tavsiye edilir.
Yanıt: İşletme tarafındaki ilgili hizmet sahibi veya çalışan amiri ile görüştükten sonra, güncel olmayan hesaplar basitçe devre dışı bırakılmalı veya silinmelidir. Kapsamlı bir Kimlik ve Erişim Yönetimi sistemi (IAM) bu soruna ölçeklenebilir bir çözüm sunar. Bu sistemde, hesapların oluşturulması, silinmesi ve izin atamaları İK süreçleriyle sıkı bir şekilde entegre edilmiştir.
Hizmet hesapları için, hem parolaların gücünü hem de erişim belirteçlerinin son kullanma tarihlerini rutin olarak gözden geçirmek ve gerektiğinde bunları değiştirmek de önemlidir.
Unutulan veri depoları
Öncelik: Kritik. Dışarıdan erişilebilen veri tabanlarında, bulut depolama ve geri dönüşüm kutularında ve kurumsal dosya paylaşım hizmetlerinde – “güvenli” olanlarda bile – kötü kontrol edilen veriler, 2024-2025 yıllarında büyük ihlallerin temel kaynağı olmuştur. Bu sızıntılarda açığa çıkan veriler genellikle belge taramaları, tıbbi kayıtlar ve kişisel bilgileri içerir. Sonuç olarak, bu güvenlik vakaları HIPAA, GDPR ve kişisel ve gizli verilerin işlenmesini düzenleyen diğer veri koruma çerçeveleri gibi düzenlemelere uyulmaması nedeniyle cezalara da yol açar.
Yaygınlık: Yüksek. Arşiv verileri, yükleniciler tarafından tutulan veri kopyaları, önceki sistem geçişlerinden kalan eski veri tabanı sürümleri; bunların tümü birçok kuruluşta yıllarca (hatta on yıllarca) hesaba katılmamış ve erişilebilir durumda kalır.
Tespit: Veri türleri ve depolama yöntemlerinin çok çeşitli olması nedeniyle, keşif için birden fazla aracın birlikte kullanılması gereklidir:
- AWS Macie ve Microsoft Purview gibi büyük tedarikçi platformlarındaki yerel denetim alt sistemleri
- Uzmanlaşmış Veri Keşfi ve Veri Güvenliği Duruş Yönetimi çözümleri
- S3 Envanteri gibi envanter günlüklerinin otomatik analizi
Ne yazık ki bu araçlar, bir yüklenicinin kendi altyapısı içinde bir veri deposu oluşturması halinde sınırlı bir kullanıma sahiptir. Bu durumun kontrol altına alınması, kuruluşun güvenlik ekibine ilgili yüklenici deposuna erişim izni veren ve şirketin markasıyla ilişkili kamuya açık veya çalınmış veri kümelerini tespit edebilen tehdit istihbarat hizmetleri ile desteklenen sözleşme hükümleri gerektirir.
Yanıt: Erişim günlüklerini analiz edin ve keşfedilen depolamayı DLP ve CASB araçlarınıza entegre ederek kullanımını izleyin, ya da gerçekten terk edildiğini doğrulayın. Depolama alanına erişimi güvenli bir şekilde izole etmek için mevcut araçları kullanın. Gerekirse, güvenli bir yedekleme oluşturun ve ardından verileri silin. Kurumsal ilke düzeyinde, farklı veri türleri için saklama süreleri belirlemek, bunların otomatik olarak arşivlenmesini ve süresi dolduğunda silinmesini zorunlu kılmak çok önemlidir. İlkelere ayrıca yeni depolama sistemlerinin kaydedilmesine ilişkin prosedürleri tanımlamalı ve kısıtlama, parola veya şifreleme olmadan erişilebilen sahipsiz verilerin varlığını açıkça yasaklamalıdır.
Sunucularda kullanılmayan uygulamalar ve hizmetler
Öncelik: Orta. Bu hizmetlerdeki güvenlik açıkları başarılı siber saldırı riskini artırmakta, yama çalışmalarını zorlaştırmakta ve kaynakları israf etmektedir.
Yaygınlık: Çok yüksek. Hizmetler genellikle sunucu kurulumu sırasında varsayılan olarak etkinleştirilir, test ve yapılandırma çalışmalarından sonra da kalır ve destekledikleri iş süreci kullanılmaz hale geldikten uzun süre sonra da çalışmaya devam eder.
Tespit: Yazılım konfigürasyonlarının düzenli denetimleri yoluyla gerçekleştirilir. Etkili bir denetim için, sunucular rol tabanlı bir erişim modeline bağlı kalmalı ve her sunucu rolüne karşılık gelen bir gerekli yazılım listesine sahip olmalıdır. CMDB’ye ek olarak, geniş bir araç yelpazesi bu denetime yardımcı olur: OpenSCAP ve Lynis gibi ilke uyumluluğu ve sistem sağlamlaştırmaya odaklanan araçlar; OSQuery gibi çok amaçlı araçlar; OpenVAS gibi güvenlik açığı tarayıcıları ve ağ trafiği analizörleri.
Yanıt: İşletme sahipleriyle sunucu işlevlerinin zamanlanmış bir incelemesini yapın. Çalıştığı tespit edilen tüm gereksiz uygulamalar veya hizmetler devre dışı bırakılmalıdır. Bu tür olayları en aza indirmek için kurum genelinde en az ayrıcalık ilkesini uygulayın ve standart sunucu derlemeleri için güçlendirilmiş temel görüntüler veya sunucu şablonları dağıtın. Bu, gereksiz hiçbir yazılımın varsayılan olarak yüklenmemesini veya etkinleştirilmemesini sağlar.
Eski API’ler
Öncelik: Yüksek. API’ler saldırganlar tarafından büyük hacimlerde hassas veriyi dışarı sızdırmak ve kuruluşa ilk erişimi sağlamak için sıklıkla istismar edilirler. 2024 yılında API ile ilgili saldırıların sayısı %41 oranında artarken, saldırganlar özellikle daha az kontrol ve kısıtlama ile veri sağladıkları için eski API’leri hedef alırlar. Bu durum, X/Twitter’dan 200 milyon kaydın sızdırılmasıyla örneklendirilmiştir.
Yaygınlık: Yüksek. Bir hizmet yeni bir API sürümüne geçtiğinde, özellikle de hala müşteriler veya iş ortakları tarafından kullanılıyorsa, eski API sürümü genellikle uzun bir süre daha çalışır durumda kalır. Kullanımdan kaldırılan bu sürümlerin bakımı genellikle artık yapılmamaktadır, bu nedenle bileşenlerindeki güvenlik açıkları ve zafiyetler giderilmemektedir.
Tespit: WAF veya NGFW düzeyinde, belirli API’lere gelen trafiği izlemek esastır. Bu, istismar veya veri sızıntısına işaret edebilecek anormalliklerin tespit edilmesine ve ayrıca minimum trafik alan API’lerin belirlenmesine yardımcı olur.
Yanıt: Belirlenen düşük aktiviteli API’ler için bir hizmetten çıkarma planı geliştirmek üzere iş paydaşlarıyla işbirliği yapın ve kalan kullanıcıları daha yeni sürümlere geçirin.
Geniş bir hizmet havuzuna sahip kuruluşlar için bu zorluk, resmi olarak onaylanmış bir API yaşam döngüsü ilkesiyle birlikte bir API yönetim platformu ile en iyi şekilde ele alınır. Bu ilke, güncelliğini yitirmiş yazılım arabirimlerinin kullanımdan kaldırılması ve emekliye ayrılması için iyi tanımlanmış kriterler içermelidir.
Güncel olmayan bağımlılıklara ve kütüphanelere sahip yazılımlar
Öncelik: Yüksek. Log4Shell gibi büyük ölçekli, kritik güvenlik açıklarının gizlendiği yer burasıdır ve kurumsal tehlikeye ve yasal uyumluluk sorunlarına yol açar.
Yaygınlık: Özellikle büyük ölçekli kurumsal yönetim sistemlerinde, endüstriyel otomasyon sistemlerinde ve özel yapım yazılımlarda çok yüksektir.
Tespit: Zayıf nokta yönetimi (VM/CTEM) sistemleri ile yazılım bileşim analizi (SCA) araçlarını birlikte kullanın. Şirket içi geliştirme için, yazılımların eski bileşenlerle oluşturulmasını önlemek adına CI/CD ardışık düzenine entegre tarayıcıların ve kapsamlı güvenlik sistemlerinin kullanılması zorunludur.
Yanıt: Şirket ilkeleri, BT ve geliştirme ekiplerinin yazılım bağımlılıklarını sistematik olarak güncellemelerini gerektirmelidir. Dahili yazılım oluştururken bağımlılık analizi, kod inceleme işleminin bir parçası olmalıdır. Üçüncü taraf yazılımlar için, bağımlılıkların durumunu ve yaşını düzenli olarak denetlemek çok önemlidir.
Harici yazılım satıcıları için bağımlılıkların güncellenmesi, destek zaman çizelgelerini ve proje bütçelerini etkileyen bir sözleşme şartı olmalıdır. Bu gereklilikleri uygulanabilir kılmak için güncel bir yazılım malzeme listesinin (SBOM) tutulması çok önemlidir.
Zamanında ve etkili güvenlik açığı giderme hakkında daha fazla bilgiyi ayrı bir blog yazısında okuyabilirsiniz.
Unutulan web siteleri
Öncelik: Orta. Unutulan web varlıkları saldırganlar tarafından kimlik avı, kötü amaçlı yazılım barındırma veya kurumun markası altında dolandırıcılık yapmak için kullanılabilirler ve kurumun itibarına zarar verebilirler. Daha ciddi durumlarda, veri ihlallerine yol açabilir veya söz konusu şirkete karşı saldırılar için bir fırlatma rampası görevi görebilirler. Bu sorunun özel bir alt kümesi, tek seferlik faaliyetler için kullanılan, süresi dolan ve yenilenmeyen unutulmuş alan adlarını içerir, bu da onları herkes tarafından satın alınabilir hale getirir.
Yaygınlık: Yüksek. Özellikle kısa vadeli kampanyalar veya bir defaya mahsus dahili etkinlikler için başlatılan siteler için.
Tespit: BT bölümü, tüm genel web siteleri ve etki alanları için merkezi bir kayıt tutmalı ve her birinin durumunu sahipleriyle birlikte aylık veya üç ayda bir doğrulamalıdır. Ayrıca, şirketin BT altyapısıyla ilişkili alan adlarını izlemek için tarayıcılar veya DNS izleme kullanılabilir. Bir başka koruma katmanı da, kuruluşun markasıyla ilişkili tüm web sitelerini bağımsız olarak tespit edebilen Tehdit İstihbaratı hizmetleri tarafından sağlanır.
Yanıt: Web sitesinin aktif kullanımının sona ermesinin ardından belirli bir süre sonra planlı olarak kapatılması için bir ilke belirleyin. Şirketin alan adları üzerindeki kontrolün kaybedilmesini önlemek için otomatik bir DNS kayıt ve yenileme sistemi uygulayın.
Kullanılmayan ağ cihazları
Öncelik: Yüksek. Bağlı olan ancak yönetilmeyen ve yamalanmayan yönlendiriciler, güvenlik duvarları, güvenlik kameraları ve ağ depolama cihazları mükemmel bir saldırı fırlatma rampası oluştururlar. Bu unutulmuş cihazlar genellikle güvenlik açıkları barındırırlar ve neredeyse hiçbir zaman düzgün izleme yapılmaz; EDR veya SIEM entegrasyonu yoktur. Ancak ağda ayrıcalıklı bir konuma sahiptirler ve bilgisayar korsanlarına sunuculara ve iş istasyonlarına yönelik saldırıları artırmak için kolay bir geçit sağlarlar.
Yaygınlık: Orta. Ofis taşınmaları, ağ altyapısı yükseltmeleri veya geçici çalışma alanı kurulumları sırasında cihazlar geride kalır.
Tespit: Ağ taramalarını gerçekte takılı olanlarla karşılaştırmak için unutulan sunucular bölümünde belirtilen ağ envanteri araçlarını ve düzenli fiziksel denetimleri kullanın. Aktif ağ taraması, takip edilmeyen tüm ağ segmentlerini ve beklenmedik harici bağlantıları ortaya çıkarabilir.
Yanıt: Sahipsiz cihazlar genellikle hemen çevrimdışına alınabilir. Ancak dikkat: Bunları temizlemek; ağ ayarlarının, parolaların, ofis video görüntülerinin vb. sızmasını önlemek için sunucuları temizlemekle aynı özeni gerektirir.
İpuçları