Tüm etki alanı uzmanlıklarına rağmen, birçok siber güvenlik tedarikçisi, teknolojilerinin korumak için tasarlandığı müşteriler kadar İnternet kaynaklı tehditlere tehlikeli bir şekilde maruz kalmaktadır.
İsrail merkezli güvenlik sağlayıcısı Reposify, iki haftalık bir süre boyunca 35 büyük siber güvenlik tedarikçisinin ve bunların 350’den fazla yan kuruluşunun dışa dönük varlıklarını ve ağlarını taramak için kısa süre önce harici saldırı yüzeyi yönetim platformunu kullandı. Reposify’ın 24×7 İnternet taramaları – alandaki diğer satıcılarınki gibi – kuruluşların saldırı yüzeylerini ve maruz kalma durumlarını anlamalarına yardımcı olmak için tasarlanmıştır, böylece gerektiğinde yeni kontrolleri destekleyebilir veya uygulayabilir.
Reposify’ın kurucusu ve CTO’su Yaron Tal, Reposify’ın dış altyapıya, uygulamalara ve kullanıcı profillerine odaklandığını söylüyor. Bu, bulutta barındırılan veritabanlarından her şeyi içeriyordu; uzaktan erişilen siteler; Web’e yönelik uygulamalar; bağlantı noktaları, yönlendiriciler, anahtarlar, Web sunucuları, depolama ve yedekleme gibi dahili ağ varlıkları; ve geliştirme araçları, diyor.
Şirketin taramaları, siber güvenlik sağlayıcılarının yüksek bir yüzdesinin, korunmaya yardımcı olmaları beklenen aynı tehditlerin çoğuna tehlikeli bir şekilde maruz kaldığını gösterdi. Analiz edilen siber güvenlik şirketlerinin yaklaşık 10’unda (%86) İnternet’e maruz kalan en az bir hassas uzaktan erişim hizmeti vardı ve %80’i ağ varlıklarını açığa çıkardı. Satıcıların yüzde altmış üçü, İnternet üzerinden doğrudan erişilebilen arka ofis ağlarına sahipti, yarısından biraz fazlası (%51) en az bir açık veritabanına ve %40’ı açıkta geliştirme araçlarına sahipti.
Reposify, diğer sektörlerdeki kuruluşlar gibi, neredeyse tüm siber güvenlik sağlayıcılarının, genel bulut hizmetlerinde yetersiz korunan verilerden kaynaklanan önemli veri kaybı ve tehlikeye girme riski altında olduğunu tespit etti. Reposify’ın iki haftalık süre boyunca taradığı siber güvenlik sağlayıcılarının yaklaşık %97’si, yani neredeyse tamamı, Amazon Web Services (AWS) ve diğer bulut altyapısındaki veri varlıklarını açığa çıkardı. Reposify, bu varlıkların yaklaşık %42’sinin yüksek veya kritik risk altında olarak sınıflandırılabileceğini söyledi.
Tal, “Bu istatistiklerden sadece biri yeterince endişe verici” diyor. “Ancak kombinasyon, endüstrinin vaaz ettiklerini daha iyi uygulamaya yönelik samimi bir ihtiyaca işaret ediyor” diyor.
Tal, bulguların finans, ilaç ve oyun sektörlerinde tutarlı olduğunu söylüyor. Reposify’ın ilaç sektöründeki şirketlerde yaptığı benzer taramalar, bunların %92’sinin veritabanlarını açığa çıkardığını, oyun endüstrisindeki kuruluşların %55’inin ve finans sektöründeki %23’ünün aynı sorunu yaşadığını gösterdi. Siber güvenlik şirketlerinin farkı, internette açığa çıkan varlıkların tehlikelerini bilmeleri gerektiğidir, diye belirtiyor.
IT-Harvest’in baş araştırma analisti Richard Stiennon, güvenlik sağlayıcılarının açıkta kalan varlık sayısı bakımından ortalama bir kuruluşla aynı çizgide olmasına şaşırmadığını söylüyor. “Herhangi bir kuruluş gibi, güvenlik sağlayıcıları da büyümeye ve geliri artırmaya yönlendiriliyor” diyor.
Teknik hünerleri, inovasyona ve müşterilerini korumaya odaklanmıştır. Herhangi bir şirket gibi, iç güvenlik personeli, operasyonları için BT’den ihtiyaç duyulan altyapı ve desteğe ikincildir. Stiennon, “Birçoğu, yalnızca satış ve pazarlamanın uzantıları olan ve aslında bir güvenlik personeline sahip olmayan CISO’lar kullanıyor” diyor.
Genişleyen Dijital Ayak İzi
Sorunun büyük bir kısmı, siber güvenlik firmaları da dahil olmak üzere kuruluşların bilmedikleri ve bu nedenle korumadıkları çok sayıda varlığa sahip olmaları gerçeğiyle ilgilidir. Tal, bunun hassas veriler, cihazlar ve bilgi veya iletişimle ilgili faaliyetleri destekleyen diğer dijital bileşenler gibi varlıkları içerebileceğini söylüyor.
Bulutun benimsenmesi, hibrit işyerlerine geçiş ve BT ve diğer hizmetler için üçüncü taraf satıcılara artan bağımlılık gibi eğilimler, dijital ayak izlerini önemli ölçüde genişletti ve üzerinde güvenliğin görünür olmadığı çok sayıda veri ve cihazla sonuçlandı.
“Resmi olmayan çevrenin içinde gölge BT ile ilgili hizmetler, pop bulut örnekleri, [and] şirket etki alanları eklenmemiş anormal derecede uzun süreli çevrimiçi bulut örnekleri” diyor. Ayrıca, hazırlama ve test ortamları ile unutulmuş veritabanları, geliştirme araçları ve BT güvenlik ekibinin bilmediği ağ varlıkları da risk oluşturuyor.
Reposify’ın verilerine göre, siber güvenlik sağlayıcı ortamlarındaki açık Web sunucularının yaklaşık %91’i ya Nginx ya da Apache’ydi. Açıkta kalan Web sunucularının yüzde seksen sekizine OpenSSH aracılığıyla erişilebilir. Yaygın olarak kullanılan diğer uzaktan erişim protokolleri arasında telnet (%33) ve SMB hizmetleri (%30) yer aldı. Reposify’ın İnternet taramaları sırasında ifşa olduğunu tespit ettiği siber güvenlik satıcısı veritabanlarının yaklaşık dörtte üçü (%72) PostgreSQL veritabanlarıydı, bunu %50 ile Oracledb, MySQL (%28) ve Microsoft SQL (%21) izledi.
Tal, Reposify’ın bulgularının kötü güvenlik uygulamaları nedeniyle siber güvenlik sağlayıcılarını suçlamak için tasarlanmadığını söylüyor. İnternete açık varlıklardan kimsenin riske karşı bağışık olmadığı gerçeğini göstermek içindir.
“Siber güvenlik şirketlerinin modern siber tehditlere karşı en güvenli olacağını varsaymak kolay, ancak uzmanlar bile dijital ayak izlerinin genişlemesinin yarattığı kör noktalara karşı hassastır” diye belirtiyor.