Az sayıda güvenlik açığı, güvenlik uzmanları için sıfır gün saldırılarından daha fazla uykusuz gecenin kaynağıdır. Anma Günü hafta sonundan hemen sonra, araştırmacılar bir yeni güvenlik açığı bilgisayar korsanlarının Microsoft Office içinde uzaktan kod yürütmesini sağlama. Follina’nın istismar ettiği gelişen tehdidi dile getiren araştırmacılar, Office’in tüm sürümlerinin risk altında olduğunu söylüyor. Mavi ekiplerin bu yazılım güvenlik açıklarına karşı savunmak için sistemlerini hazırlamak veya yamalamak için zamanları olmadığından, kurnaz tehdit aktörleri, bir kuruluşun ortamına eriştikten sonra tamamen görünmez kalırken verileri gözlemlemek ve sızdırmak için zaman ayırarak avantaj sağlayabilir.
Sofistike tehdit aktörleri ve uluslar, neredeyse yirmi yıldır sıfır günleri istismar etse de, geçen yıl tespit edilen güvenlik açıklarının sayısında tarihi bir artış görüldü. İkisi birden Google ve Mandiant geçen yıl rekor sayıda sıfır gününün izini sürdü ve güvenlik şirketlerinin onları bulmada daha iyi hale gelmesi nedeniyle daha fazla sıfır gün keşfedildiği uyarısıyla – ille de bilgisayar korsanlarının yeni güvenlik açıkları bulmasından dolayı değil. Yine de tüm sıfır günler eşit yaratılmamıştır. Bazıları SolarWinds’e yapılan saldırı gibi karmaşık ve yeni teknikler gerektirir ve diğerleri Windows gibi yaygın olarak kullanılan programlardaki basit güvenlik açıklarından yararlanır. Neyse ki, kuruluşunuzu sıfır gün istismarlarını azaltmak için yeterince hazır tutabilecek bazı temel siber hijyen stratejileri var.
Sıfır Günler Nasıl Çalışır?
Tipik olarak, sıfır günün yapacağı şey, daha önce görülmeyen bir güvenlik açığı aracılığıyla bir ortama erişim sağlamak, ardından ortamı gizlice haritalamak ve hazır olduğunda saldırıyı başlatmaktır. Olay müdahale ekibinin daha fazla hasarı önlemesi için bu çok geç. Bu yavaş ilerleyen saldırılara karşı tetikte kalmak, belirli kötü amaçlı yazılım parçalarını taramak yerine, bir bilgisayar korsanının veya bilinen bir tehdit grubunun kullanabileceği belirli teknikleri ve davranışları aramaya öncelik veren bir güvenlik yaklaşımı gerektirir. Başka bir deyişle, kuruluşunuzun sahip olduğu teknolojinin bilinmeyenden korunmak için yeterli olduğundan emin olun. Birçok sıfır gün, bir sabit diske asla çarpmayabilir, bu nedenle oradaki tehdit algılama araçlarını işaret etmek sonuçsuz kalabilir.
Bozuk bir rekor gibi görünse de, yama, istismarlara karşı korumanın ayrılmaz bir parçasıdır. Dark Web’de veya GitHub gibi daha meşru forumlarda bir kavram kanıtı (PoC) herkese açık hale gelir gelmez, çoğu satıcı bir yama geliştirecektir. (ISC) gibi endüstri kuruluşlarından rehberlik almak2 veya Siber Güvenlik ve Altyapı Güvenliği Ajansı gibi federal makamlar, kuruluşunuz için en alakalı ve en riskli olan istismarlara öncelik vermenin iyi bir yoludur.
Ancak, sıfır gün istismarları, satıcının varlığından haberdar olmadığı durumlardır ve bu nedenle herhangi bir yama mevcut değildir. Taktikleri, teknikleri ve prosedürleri tanımlamaya yetecek kadar geniş korumalar ve tespitler olmadan bunlara karşı savunmak çok zordur. Bazı durumlarda, koruma teknolojileri belirli faaliyetleri engellemek için davranışsal tespitleri kullanabilirken, diğer durumlarda bir güvenlik operasyon merkezinde tespit teknolojilerini veya insan uzmanlığını kullanmak tek savunmadır.
Her şeyden önce, güvenliğin insan unsuruna yatırım yapmak, bir kuruluşu sıfır günlerin maruz kalabileceği mali ve veri kayıplarını sınırlamak için en iyi konuma yerleştirecektir. Bir güvenlik ekibi, klavyelere el koyarak ve bir ekosistemin tüm yönlerine görünürlük sağlayarak, sıfırıncı günün kendilerine karşı hedeflenebileceğine dair ipuçlarını daha kolay algılayabilir ve gerekli yamaları dağıtabilir. Örneğin, ABD’de işlettiğiniz bir robot, Ukrayna’daki bir sunucuya başka olağandışı bir davranış göstermeden rastgele bağlanırsa, bu, sıfır günden yararlanıldığının sinyalini verebilir. Robotunuza veya ortamınıza sıfır gün aracılığıyla bir ilk erişim olmuş olsa da, yapay zeka gibi teknolojilerle birlikte BT güvenlik ekosisteminizin geniş bir görünümüne sahip olmak, bir güvenlik açığı için bir yama oluşturmak üzere bir olay müdahale ekibini uyarabilir. en kısa sürede.
Neyse ki, her zamankinden daha fazla sıfır gün keşfediliyor olsa da, siber güvenlik dünyasında hala nispeten nadirdir. Son birkaç yıla kadar, sıfır gün açıkları çoğunlukla, gerektiğinde konuşlandırılmak üzere onları kurtarmak isteyen ulusal hükümetler tarafından belirlendi ve yakından tutuldu. Ancak, hizmet olarak fidye yazılımı platformları da dahil olmak üzere bilgisayar korsanlığı gruplarının ticarileştirilmesi, genellikle bir ulus devletin finansal veya teknolojik kaynaklarıyla sıfır günlerin alım satımını teşvik eden bir ekosistem yarattı.
Bu tür yetenekli saldırganlar söz konusu olduğunda, bilgisayar korsanlarının nihai hedefi olan büyük şirketlerden, bir dizi saldırıda basamak görevi görebilecek küçük şirketlere kadar hemen hemen her işletme endişelenmelidir. Güvenlik operasyonlarının sürekliliği, kaynağı ne olursa olsun sıfır gün açıklarından yararlanma yoluyla bir BT ekosisteminin perde arkasında gizlenen tehdit aktörlerini algılayabilir ve azaltabilir. Bu nedenle, yama uygun bir hazırlık olmakla birlikte, kurum içi veya dış kaynaklı eğitimli güvenlik uzmanlarına yapılan yatırım, sıfır günlere karşı en iyi savunmadır.