Yönetilmeyen cihazlar, birçok kuruluş için önemli bir zorluk oluşturmaktadır. Bu cihazlar, bir ağa bağlı olan ancak BT veya güvenlik tarafından aktif olarak yönetilmeyen herhangi bir şey olabilir. Bu varlıklar genellikle bir varlık envanterinde tutulmaz ve gölge BT, hileli varlıklar ve sahipsiz varlıklar gibi birçok biçimde olabilir. Güvenlik ekipleri onları keşfetmekte zorlandığından, bu cihazlar gözden kaçar ve bir ağda potansiyel dayanaklar oluşturur.
Bu cihazlar yönetilmeden bırakılırsa ne olabilir? Yönetilmeyen cihazları önemsemeniz için beş nedene bir göz atalım.
1. Neden: Yönetilmeyen cihazlar genellikle saldırganlar için ilk dayanak noktasıdır.
Saldırganlar genellikle ağı herhangi bir aykırı değer için tarar: daha düşük yama seviyelerine sahip makineler, bağlantı noktalarında çalışan olağandışı hizmetler ve ağın geri kalanında bulunmayan benzersiz yazılım parçaları. Bu aykırı değerler, bir saldırı için harika giriş noktalarıdır çünkü daha kolay istismar edilebilir olma eğilimindedirler, güvenlik denetimlerine sahip olma olasılıkları daha düşüktür ve sahipsiz durumdalarsa, onları yöneten kimse yoktur. Yönetilmeyen cihazları tanımlama bunları güncellemek veya kullanımdan kaldırmak, saldırı yüzeyinizi azaltmanın ve riski azaltmanın harika bir yoludur.
2. Neden: Yönetilmeyen cihazlar, olay incelemelerini engelliyor.
Bir güvenlik operasyonları merkezindeki (SOC) analistlerin, uyarılar aracılığıyla hızlı ve verimli bir şekilde çalışması gerekir. Bir analistin, dahili bir IP adresinin kötü olduğu bilinen bir IP ile, özellikle de komuta ve kontrol (C2) sunucusuyla iletişim kurduğuna dair bir uyarı aldığı bir durum vardı. Ancak, SIEM ve CMDB’nin ağ üzerinde herhangi bir IP kaydı olmadığı gibi güvenlik açığı yönetimi veya uç nokta algılama ve yanıt (EDR) konsolları da yoktu. Cihazın, varsayılan kimlik bilgilerini kullandığı için kötü amaçlı yazılım tarafından ele geçirilen bir IP kamera olduğu ortaya çıktı. Analist, Nesnelerin İnterneti (IoT) cihazlarını izleyen bir varlık envanteri ile bu olayı hızla çözebilirdi. Varsayılan kimlik bilgilerini kullanıp kullanmadıklarını görmek için aynı marka ve modeli paylaşan başka cihazlar da bulabilirlerdi.
Sebep 3: Yanlışlıkla ağ köprüleri güvenlik duvarlarını atlar.
Başka bir durumda, fidye yazılımı nedeniyle kritik bir üretim hattı kapatıldı. Soruşturmalar, hileli bir cihazın BT’den OT ağına köprü kurarak saldırganların ağları bölümlere ayırmak için yerleştirilmiş bir güvenlik duvarını atlamasına olanak tanıdığını gösterdi. Güvenlik ekibi, yönetilmeyen cihazların ağ köprülerini göremediğinden, sorun önceden belirlenememiştir.
4. Neden: Hileli cihazlar, güvenlik kontrollerinin yönetişimini zorlaştırır.
Uygun yönetişim, her cihazın güvenlik denetimlerine sahip olmasını gerektirir. Ağdaki tüm cihazları bilmeden kapsama boşluklarını bulmak imkansızdır. Boşluklarınızı sıfırlamak için tam bir varlık envanteri ile başlamanız gerekir. Ardından, güvenlik kontrollerinden gelen verileri üst üste bindirebilir ve envanterdeki boşlukları arayabilirsiniz. Aranacak bazı yaygın şeyler, eksik Windows makineleridir. kitle grevi (veya EDR ajanları).
Neden 5: Kullanım ömrü sona eren cihazlar potansiyel olarak savunmasızdır.
Üreticiler artık bu kullanım ömrü sona ermiş (EOL) cihazlar için işlevsel düzeltmeler ve güvenlik düzeltmeleri sağlamıyor, bu da onları çok daha riskli ve bir şeyler ters giderse güvenliğini sağlamayı daha zor hale getiriyor. Yönetilmeyen cihazların envanteri çıkarılmazsa, güvenlik ekipleri olası risklerin ve sorunların önüne geçemez. Ayrıca finans ekipleri, hangi cihazların tamamen amorti edildiğini ve bunları değiştirmek için ne zaman yeni bir bütçe gerektiğini bilmekten faydalanır.
Yönetilmeyen Cihazları Çözme
Yönetilmeyen cihazlar için çözüm, yönetilen ve yönetilmeyenler de dahil olmak üzere ağınızdaki her varlık hakkında derinlemesine ayrıntılar sağlayan eksiksiz bir varlık envanteri ile başlar. Tam varlık envanteri, aygıtlarda ve uç noktalarda kimlik doğrulaması yapmak için kimlik bilgileri gibi ağa bağlı aygıtlarla ilgili herhangi bir ön bilgi varsaymayan etkin, kimliği doğrulanmamış keşif gerektirir. Bunun yerine, yönetilen veya yönetilmeyen, ağa bağlı her varlığı bulmak ve ortaya çıkarmak için araştırmaya dayalı keşif yeteneklerine odaklanır. Bu yaklaşım, BT, OT, bulut ve uzak cihazlara tam görünürlük sağlamak için bulut, sanallaştırma ve güvenlik altyapısıyla entegrasyonlarla tamamlanabilir.
Yönetilmeyen varlıkları ele almak, herhangi bir güvenlik programı için kritik öneme sahiptir ve etkin, kimliği doğrulanmamış keşif etrafında oluşturulmuş bir çözümle, yönetilmeyen varlıklarınızı bulmak nihayet mümkün olacaktır.
yazar hakkında
Chris Kirsch, kariyerine Almanya’da bir InfoSec girişiminde başladı ve o zamandan beri PGP, nCipher, Rapid7 ve Veracode için çalıştı. OSINT ve toplum mühendisliğine tutkusu var. 2017’de dünyanın en büyük hacker konferansı olan DEF CON’da Social Engineering Capture the Flag yarışmasını kazandığı için Kara Rozet’i kazandı. Şu anda Chris, Metasploit yaratıcısı HD Moore ile birlikte kurduğu bir siber varlık yönetimi şirketi olan runZero’nun (www.runzero.com) CEO’sudur.