Siyah kuğu olayları
tahmin edilmesi imkansız olan yüksek etkili ve düşük frekanslı olaylar olarak kabul edilir. Bunları kara kuğu siber olayları olarak kabul etseniz de etmeseniz de SolarWinds saldırısı ve Log4Shell istismarı, kuruluşların kendilerini hazırlayabilmeleri ve krizleri önleyebilecekleri bazı temel yolları vurguladı.
İşte bu tür olayların önlenmesiyle ilgili üç yaygın yanlış anlama.
Yanlış Anlama 1: Sıfır gün ve tedarik zinciri saldırıları hakkında yapabileceğimiz hiçbir şey yok.
Yaygın yanılgılardan biri, ortamları kritik sıfırıncı gün güvenlik açıklarından veya tedarik zinciri saldırılarından korumanın çok gizli olduğu ve tahmin edilemediği için neredeyse imkansız olmasıdır. En iyi ihtimalle, bu yanılgı, çabaları algılama ve yanıt verme yeteneklerini geliştirmeye doğru kaydıracaktır. En kötüsü, bu tür olaylarla uğraşırken bir çaresizlik duygusunu teşvik edecektir.
Genel algının aksine bu olaylar “bilinmeyen bilinmeyenler” değildir. Kuruluşlar, genellikle mevcut ekiplerini ve güvenlik yığınını kullanarak savunmalarını stratejik olarak dağıtabilir ve ayarlayabilir ve kendilerini bu tür saldırılardan koruyabilir.
Basit ama güçlü bir örnek, sunuculardan gelen İnternet trafiğini engellemektir. Temel bir güvenlik uygulaması gibi görünse de, gerçek dünya deneyimi bunun nispeten olgun kuruluşlar tarafından bile uygulanmadığını göstermektedir.
Sunucuların İnternet’e erişmesini engellemek, istismarın saldırganın komuta ve kontrol altyapısına bağlantı başlatmak için sunucuya bağlı olduğu durumlarda, ters kabuklar, üçüncü taraf bir yazılımdaki kötü amaçlı kod aracılığıyla saldırıları önler (veya saldırganları önemli ölçüde yavaşlatır). SolarWinds gibi veya Log4Shell gibi bir güvenlik açığı. Bu, temel bir güvenlik kontrolünün bile hem son yılların en karmaşık saldırılarından biri olan SolarWinds tedarik zinciri saldırısını durdurabileceğinin hem de son zamanlarda keşfedilen en güçlü ve her yerde bulunan güvenlik açıklarından biri olan Log4Shell güvenlik açığını azaltabileceğinin farkına varmamızı sağlıyor.
Ortak taktikleri, teknikleri ve prosedürleri (TTP’ler) ve en son ihlallerin ve açıklardan yararlanmaların işleyiş biçimini araştırmak ve öğrenmek, kuruluşlara gelecekteki açıkların kullanımını azaltacak şekilde savunmaları nasıl iyileştirecekleri ve önceliklendirecekleri konusunda değerli bilgiler sağlayabilir.
2 No’lu Yanlış Anlama: Saldırganlar bir ortama sızdığında, onu tamamen tehlikeye atacaklardır.
Başka bir yanlış anlama da, bu yeni istismarların kaçınılmaz olarak saldırganların sadece çevreye sızmaktan fazlasını yapmasına izin vereceğidir.
Hedefli güvenlik geliştirme girişimleri, ortamı yanal hareket ve ayrıcalık yükseltme tekniklerine karşı çok daha dayanıklı hale getirmek, saldırganları uzakta tutmak ve temel varlıklara erişmek için ilk dayanaklarından yararlanamamak için uygulanabilir. Bu yaklaşım aynı zamanda savunuculara saldırıları erken safhalarında tespit etmeleri ve ortadan kaldırmaları için daha fazla zaman sağlayacaktır.
- Yanal msevgi:
Mikrosegmentasyon göz korkutucu bir iştir. Birçok kuruluş, tüm dahili trafiğin haritalandırılmasını, bağlantı noktaları ve ana bilgisayarların ayrıntılı izin verilen listelerini oluşturmayı, pahalı çözümler satın almayı ve bu tür ortamları dağıtmak ve ardından bakımını yapmak için önemli kaynaklara yatırım yapmayı gerektirdiğinden bu tür projeleri uygulamayı erteler. Bununla birlikte, mikro segmentasyonun birçok avantajı, tam mesafeye gitmeden elde edilebilir.Hem sunucularda hem de iş istasyonlarında ana bilgisayar tabanlı güvenlik duvarı ilkelerini kullanarak etkileşimli (örneğin, RDP, SSH) ve etkileşimli olmayan (örneğin, SMB, WinRM, RPC) yönetim protokollerinde giriş trafiğini kısıtlama ve ardından yönetim trafiğini belirli ayrılmış segmentler veya atlama ile sınırlandırma kutular, mikro segmentasyon tarafından sağlanan temel değerin elde edilmesine yardımcı olabilir.
Bazen operasyonel veya uygulama amaçları için sunuculara yönelik etkileşimli olmayan yönetim protokollerinde trafik gerekli olsa da, çoğu durumda farklı iş istasyonları veya DMZ’deki sunucular arasında gerekli değildir. İlk başta odaklanmış bir reddetme listesi yaklaşımını benimsemek, ağ içinde yanal olarak hareket etmenin giderek zorlaşacağı bir noktaya kadar ani bir risk azalması sağlayacaktır.
- ayrıcalık eölçekleme: Ağda saldırıların gerçekleşmesi riskini azaltmadaki en büyük zorluklardan biri, kimlik bilgisi hijyeni ve ayrıcalık yükseltmesinin önlenmesidir. Bununla birlikte, yukarıda ele alınan yaklaşıma benzer şekilde, bilinen ve yaygın TTP’lerin gerçek dünyada kullanımından elde edilen yüksek değerli önlemlere odaklanmak, savunucular için önemli bir değer sağlayabilir.
Bunu başarmak için sürekli açık metin kimlik bilgilerini arayın, hizmet hesapları için uzun ve karmaşık parolalar belirleyin, günlük etkinlikler için etki alanı yönetici hesaplarını kullanmaktan kaçının ve Korumalı Kullanıcılar, LAPS, LSA Koruması gibi yerleşik Microsoft güvenlik özelliklerini kullanın. Kimlik Koruması.
Kimlik bilgileri hijyen sorunları, Sygnia’nın son birkaç yılda yanıt verdiği hemen hemen her saldırıda önemli bir katkıda bulunan faktördür. Ayrıcalıklı kimlikleri güvence altına almak, 2022 için herhangi bir güvenlik yol haritasında birinci öncelik olmalıdır.
Yanlış Anlama No. 3: Yeni güvenlik açıkları için yama yapmak elimizdeki tek çözümdür.
Genellikle yeni bir güvenlik açığı yayınlandığında, çok sayıda tavsiye tarafından önerilen ana (ve bazen tek) öneri, yama uygulamaktır, sanki yama yapmak kuruluşların riski kontrol altına almak için başlatabilecekleri tek eylemdir. Yama çok önemlidir, ancak büyük kuruluşların maruz kaldıklarını tam olarak anlamaları ve üretim ortamlarında yama uygulamaları zaman alabilir. Bazen, yama uygulamasından birkaç gün sonra, sistemin veya uygulamanın çektiği dikkat nedeniyle güvenlik endüstrisi tarafından yeni güvenlik açıkları keşfedilir. Yama her zaman tüm boşlukları azaltmaz.
Bu tür olaylara yanıt verirken, istismarın yürütülme biçimini ve istismarın yürütmek için dayandığı bağımlılıkları anlamak zorunludur. Yalnızca güvenlik açığını azaltmak için bir geçici çözüm olarak kabul edilebilecek olan şey, bazen kuruluşlar için hayat kurtarıcı olabilir.
Güvenlik Yığınınızı Kullanın ve Optimize Edin
Genel kanının aksine örgütler olabilmek Log4Shell gibi yeni açıklardan yararlanmaların veya SolarWinds gibi son derece karmaşık saldırıların etkisini önleyin veya azaltın.
Bu, kuruluşlardan yararlanarak başarılabilir. ve
mevcut güvenlik yığınlarını optimize etmek, cerrahi sertleştirme önlemleri uygulamak ve ek harcama gerektirmeden kolayca açılabilen yerleşik güvenlik özelliklerini kullanmak.