Bir güvenlik araştırmacısı olarak, yaygın güvenlik açıkları ve riskler (CVE’ler) benim için bir sorundur – ancak düşündüğünüz nedenden dolayı değil.
BT ve güvenlik ekipleri, oluşturdukları tehdit ve onlar için oluşturdukları çok sayıda iyileştirme çalışması nedeniyle CVE’lerden hoşlanmasa da, modern güvenlik prosedürlerimizin CVE’lerle olan ilişkisi beni rahatsız ediyor. Azaltma stratejilerimiz, “güvenlik açığı yönetimine” fazla odaklanmış ve gerçekten ihtiyacımız olan şey, maruz kalmamızı etkili bir şekilde azaltmak için bilgisayar korsanı merkezli bir yaklaşım olduğunda, fazla CVE merkezli hale geldi.
Güvenlik açığı yönetimi, birincil strateji olarak gerçekten çalışmıyor. Ulusal Standartlar ve Teknoloji Enstitüsü’ne göre, 20.158 yeni güvenlik açığı Sadece 2021’de keşfedildi. Bu, güvenlik açığı keşfi için art arda beşinci yılı temsil ediyor ve 2022 trendi çok iyi sürdürebilir gibi görünüyor. Güvenlik ekipleri yılda 20.000 yeni güvenlik açığını makul bir şekilde düzeltemez ve yapabilseler bile yapmamalılar.
Bu kulağa mantıksız gelebilir, ancak olmamasının birkaç nedeni var. Birincisi, son araştırmalar, güvenlik açıklarının yalnızca yaklaşık %15’inin aslında istismar edilebilir olduğunu ortaya koyuyor ve bu nedenle, her güvenlik açığının yamalanması, görev sıkıntısı olmayan güvenlik ekipleri için etkili bir zaman kullanımı değil. İkinci ve aynı derecede önemli neden, ağınızdaki CVE’lerin %100’üne sürekli olarak yama uygulamış olsanız bile, bu muhtemelen bilgisayar korsanlarını durdurmada etkili olmayacaktır.
Hacker Stratejileri Geniş ve Çeşitlidir
Kimlik avı, hedef odaklı kimlik avı, çeşitli düzeylerde sosyal mühendislik, sızdırılmış kimlik bilgileri, varsayılan kimlik bilgileri, standart arabirimler (FTP, SMB, HTTP, vb.) kullanılarak kimliği doğrulanmamış erişim, parolasız erişilebilir erişim noktaları, ağ zehirlenmesi, parola kırma — stratejiler listesi bilgisayar korsanlarının kullandığı çok geniş ve çeşitlidir ve birçoğunun bir kuruluş için tehlikeli olması için üst düzey bir CVE’ye veya herhangi bir CVE’ye bile ihtiyacı yoktur. bu son Uber ihlali bilgisayar korsanlarının en son CVE’leri veya aşırı karmaşık saldırı yöntemlerini kullanarak kuruluşları hedeflemeden bir kuruluşu nasıl sömürdüklerinin mükemmel bir örneğidir.
Hacker’ın neye inanıp inanmadığına bağlı Uber’in Slack kanalında hak talebinde bulunuldu, veya Uber’in son yorumları, bilgisayar korsanı ya akıllı bir sosyal mühendislik/mızraklı oltalama saldırısı yoluyla bir Uber çalışanından veri sızdıran 18 yaşındaki bir kişiydi ya da Dark Web’den elde edilen üçüncü taraf bir yüklenicinin sızdırılmış kimlik bilgileri. Her iki senaryoda da, burada devam eden karmaşık bir kodlama veya güvenlik açığından yararlanma söz konusu değildi. Bunun yerine, denenmiş ve doğru olan eski okul taktiğinin bir varyasyonuydu.
Önemli olan Güvenlik Açığı Değil, Vektördür
Kimsenin yanlış anlamasını istemiyorum. Yama çok önemlidir; güçlü bir güvenlik duruşunun kritik bir parçası ve her güvenlik stratejisinin çok önemli bir bileşenidir. Buradaki sorun, günümüzde birçok aracın yalnızca Ortak Güvenlik Açığı Puanlama Sistemi (CVSS) puanlarına dayalı olarak düzeltme önerilerine öncelik vermesi ve kurumsal bağlamın kaybolması; güvenlik açıklarının anlamlı %15’inin diğer %85’ten nasıl ayrılacağının anlaşılması.
İsrail Savunma Kuvvetleri’nde deneyimli bir sızma testcisi ve araştırma başkan yardımcısı olarak, Pentera’da eski kalem testçileri ve kırmızı ekiplerden oluşan bir ekibe liderlik ederken, öğrendiğim şey, önemli olanın güvenlik açığı değil, vektör olduğu. Saldırınızın büyük bir güvenlik açığıyla başlamaması, bir güvenlik açığıyla bitmeyeceği anlamına gelmez. Kuruluşunuz için en tehlikeli güvenlik açığı, yüksek puanlı yanlış pozitifler listesinin en altında gizlenmiş 5,7/10 CVSS puanı olabilir.
Sızan Kimlik Bilgileri Daha Büyük Bir Tehdittir
Sızan kimlik bilgileri, ortalama bir kuruluş için muhtemelen duyurulacak bir sonraki düzine CVE’nin birleşiminden çok daha büyük bir tehdit oluşturur, ancak birçok kuruluşun, kimlik bilgilerinin Web’in daha karanlık bölümlerinde dolaşıp dolaşmadığını keşfedecek bir protokolü yoktur. Bilgisayar korsanları, ağlarımıza erişmenin en verimli yolunu ararken, yeni CVE’ler geliştirmek için sayısız saatler harcayacakmış gibi davranıyoruz. Günümüzün bilgisayar korsanlarının ve bilgisayar korsanlık gruplarının çoğu finansal olarak motivedir ve herhangi bir kuruluş gibi zamanları için en iyi yatırım getirisini isterler. Kimlik bilgilerini satın alabilecek veya kazıyabilecekken neden karmaşık bir saldırı yürütmek için zaman harcıyorsunuz?
Şu anda savunmamız çalışmıyor ve güvenlik uzmanları olarak zayıf noktaların nerede olduğunu yeniden incelememiz gerekiyor. Güvenlik açığı yönetimi kesinlikle anlamlı bir güvenlik stratejisinin temel bir parçası olsa da, birincil metodoloji olarak bundan uzaklaşmamız gerekiyor. Bunun yerine, bilgisayar korsanlarının kullandığı stratejilere iyi bakmalı ve güvenlik stratejilerimizi onları nasıl durduracağımıza dayandırmalıyız. Güvenliğimizin maruz kalmamızı azaltmak için gerçekten etkili olmasını istiyorsak, stratejilerimiz bilgisayar korsanlarının bizi sömürmek için kullandığı gerçek dünya tekniklerini ve metodolojilerini anlamaya odaklanmalıdır.