Günümüzün güvenlik liderleri, birbirine bağlı cihazlar, bulut hizmetleri, IoT teknolojileri ve hibrit çalışma ortamları nedeniyle sürekli gelişen bir saldırı yüzeyini ve dinamik bir tehdit ortamını yönetmek zorundadır. Düşmanlar sürekli olarak yeni saldırı teknikleri sunuyor ve tüm şirketlerin en son tehditlere karşı hazırlıklı olmak için dahili Kırmızı Ekipleri veya sınırsız güvenlik kaynakları bulunmuyor. Üstelik günümüzün saldırganları ayrım gözetmiyor ve büyük ya da küçük her işletmenin hazırlıklı olması gerekiyor. Güvenlik ekiplerinin artık yeterli değil tespit et ve yanıt ver; şimdi de yapmalıyız öngörmek ve önlemek.
Günümüzün güvenlik ortamıyla başa çıkabilmek için savunucuların çevik ve yenilikçi olmaları gerekiyor. Kısacası hacker gibi düşünmeye başlamamız gerekiyor.
Fırsatçı bir tehdit aktörünün zihniyetini benimsemek, yalnızca potansiyel olarak istismar edilebilir yolları daha iyi anlamanıza değil, aynı zamanda iyileştirme çabalarınızı daha etkili bir şekilde önceliklendirmenize de olanak tanır. Ayrıca kuruluşunuzun ilgi çekici olmadığı veya hedef alınabilecek kadar büyük olmadığı yönündeki yanlış kanı gibi potansiyel olarak zararlı önyargıları aşmanıza da yardımcı olur.
Bu kavramları biraz daha derinlemesine inceleyelim.
Hacker Zihniyeti ve Geleneksel Savunmalar
Bir bilgisayar korsanı gibi düşünmek, potansiyel olarak istismar edilebilir yolları daha iyi anlamanıza yardımcı olur.
Çoğu kuruluş, güvenlik açığı yönetimine yönelik geleneksel bir yaklaşım benimser, varlıklarını belgelendirir ve ilgili güvenlik açıklarını genellikle katı bir programa göre belirler. Mevcut stratejinin sorunlarından biri, savunucuları listeler halinde düşünmeye zorlarken, bilgisayar korsanlarının grafiklerle düşünmeye zorlamasıdır. Kötü niyetli aktörler işe hedeflerini belirlemekle başlıyor ve onlar için önemli olan, kraliyet mücevherlerine ulaşmak için tek bir yol bile bulmak. Bunun yerine savunucuların kendilerine şu soruyu sorması gerekiyor: Hangi varlıklar diğer varlıklara bağlanıyor ve onlara güveniyor? Hangileri dışa dönük? Bir bilgisayar korsanı kritik olmayan bir sistemde bir yer edinip bunu daha önemli bir sisteme erişim sağlamak için kullanabilir mi? Bunlar gerçek riski tanımlayabilmek için sorulması gereken çok önemli sorulardır.
Bir bilgisayar korsanı gibi düşünmek, iyileştirme faaliyetlerine daha etkili bir şekilde öncelik vermenize yardımcı olur.
Hangi sorunların acil eylem gerektirdiğine ve hangilerinin bekleyebileceğine karar vermek karmaşık bir dengeleme eylemidir. Saldırı yüzeyinin tamamına tek seferde müdahale edebilecek sınırsız kaynaklara sahip çok az şirket var; ancak bilgisayar korsanları, en büyük ödülü veren en kolay yolu arıyor. Hangi iyileştirme faaliyetlerinin taç mücevherlerinize giden potansiyel yolu ortadan kaldırabileceğine nasıl karar vereceğinizi bilmek, kötü niyetli aktörlere karşı size açık bir avantaj sağlayabilir.
Bir bilgisayar korsanı gibi düşünmek, mevcut önyargıları daha eleştirel bir şekilde değerlendirmenize yardımcı olur.
Küçük kuruluşlar, yanlış bir şekilde, fırsatçı bir bilgisayar korsanı için cazip bir hedef olmadıklarını varsayma eğilimindedir. Ancak gerçeklik aksini gösteriyor. Verizon’un 2023 Veri İhlali Araştırma Raporu Küçük işletmeler (1.000’den az çalışanı olan) arasında 699 güvenlik olayı ve 381 doğrulanmış veri ifşası tespit etti, ancak büyük işletmeler (1.000’den fazla çalışanı olan) arasında yalnızca 496 olay ve 227 doğrulanmış açıklama tespit edildi. Otomatik kimlik avı saldırıları ayrım gözetmez. Ve fidye yazılımı saldırıları bu küçük kuruluşlar için hala oldukça kazançlı olabilir. Bir bilgisayar korsanı gibi düşünmek şunu açıkça ortaya koyar: herhangi organizasyon geçerli bir hedeftir.
Nasıl Bir Hacker Gibi Düşünmek
Güvenlik uzmanları bu zihniyet değişimini nasıl başarılı bir şekilde uygulayabilir? İçinde son Pentera web semineriForrester Baş Analisti Erik Nost ve Pentera Güvenlik Uzmanı Nelson Santos dört temel adımı özetledi.
1. Saldırganların Taktiklerini Anlayın
Bir bilgisayar korsanının zihniyetini benimsemek, güvenlik liderlerinin potansiyel ihlal noktalarını tahmin etmelerine ve savunmalarını oluşturmalarına yardımcı olur. Bu, kötü niyetli aktörlerin A’dan Z’ye ulaşmak için kullandığı tekniklerin gerçekçi bir şekilde anlaşılmasıyla başlar.
Bir örnek: bugünün Saldırganlar mümkün olduğunca fazla otomasyon kullanıyor modern ağlardaki çok sayıda sistemi hedeflemek. Bu, savunucuların kaba kuvvet saldırılarına, yükleyicilere, keylogger’lara, yararlanma kitlerine ve hızla uygulanabilen diğer taktiklere hazırlanmaları gerektiği anlamına gelir.
Güvenlik ekipleri aynı zamanda bu taktiklere verdikleri tepkileri gerçek dünya senaryolarında da değerlendirmelidir. Laboratuvar ortamında test yapmak iyi bir başlangıçtır ancak gönül rahatlığı yalnızca üretim sistemlerini doğrudan değerlendirirken gelir. Benzer şekilde simülasyonlar bilgilendiricidir ancak takımların bir adım daha ileri gitmesi ve savunmalarının sızma testlerine ve güçlü taklit saldırılara karşı nasıl dayandığını görmeleri gerekir.
2. Tam Saldırı Yollarını Adım Adım Ortaya Çıkarın
Hiçbir güvenlik açığı tek başına mevcut değildir. Bilgisayar korsanları neredeyse her zaman birden fazla güvenlik açığını birleştirerek eksiksiz bir saldırı yolu oluşturur. Sonuç olarak güvenlik liderlerinin “büyük resmi” görselleştirebilmeleri ve tüm ortamlarını test edebilmeleri gerekiyor. Saldırganların keşiften yararlanma ve etki yoluyla izleyebilecekleri kritik yolları belirleyerek savunmacılar etkili bir şekilde öncelik verebilir ve sorunu çözebilir.
3. Etkiye Göre İyileştirmeye Öncelik Verin
Bilgisayar korsanları genellikle en az dirençli yolu ararlar. Bu, sömürülebilir yollarınızı ilk önce en fazla etkiyi yaratacak şekilde ele almanız gerektiği anlamına gelir. Buradan, kaynakların izin verdiği ölçüde, olasılığı giderek azalan senaryolar üzerinde çalışabilirsiniz.
Liderler ayrıca düzeltmeleri gereken güvenlik açıklarının potansiyel iş etkilerini de dikkate almalıdır. Örneğin, tek bir ağ yanlış yapılandırması veya tek bir kullanıcının aşırı izinlere sahip olması birçok olası saldırı yoluna yol açabilir. Yüksek değerli varlıklara ve kritik güvenlik açıklarına öncelik vermek, kaynaklarınızı tüm saldırı yüzeyinize çok ince yayma tuzağından kaçınmanıza yardımcı olur.
4. Güvenlik Yatırımlarınızın Etkinliğini Doğrulayın
Güvenlik ürünlerinin ve prosedürlerinin gerçek dünyadaki etkinliğini test etmek kritik öneme sahiptir. Örneğin, EDR’niz şüpheli etkinliği düzgün bir şekilde tespit ediyor mu? SIEM beklendiği gibi uyarı gönderiyor mu? SOC’niz ne kadar hızlı yanıt veriyor? Ve en önemlisi, güvenlik yığınınızdaki tüm araçlar birlikte ne kadar etkili bir şekilde etkileşime giriyor? Çabalarınızı ölçerken bu testler çok önemlidir.
Geleneksel saldırı simülasyon araçları, bilinen senaryoları test edebilir ve mevcut savunmalarınızı bilinen tehditlere karşı test edebilir. Peki ya bilmediğiniz şeyleri test etmeye ne dersiniz? Rakip bakış açısını kullanmak, gizli yanlış yapılandırmaları, gölge BT’yi veya kontrollerin nasıl çalışabileceğine ilişkin yanlış varsayımları ortaya çıkarabilecek tüm senaryolara ve tehditlere karşı bağımsız olarak test yapmanıza olanak tanır. Bu bilinmeyen güvenlik açıkları, savunucuların tespit etmesi en zor olanlardır ve bu nedenle saldırganlar tarafından aktif olarak araştırılmaktadır.
Doğrulama testi bulgularının, iş etkisini yansıtacak şekilde CEO’ya ve yönetim kuruluna kadar ulaşması gerekir. Yamalı güvenlik açıklarının yüzdesini (veya diğer benzer gösterişli ölçümleri) raporlamak, güvenlik programınızın etkinliğini tam olarak yansıtmaz. Bunun yerine, çabalarınızın etkisini iletmenin daha anlamlı yollarını bulmalısınız.
Otomatik güvenlik doğrulamayla güvenlik tehditlerine karşı bir adım önde olun
Güvenlik duruşunuzu sürekli olarak değerlendirmenin ve iyileştirmenin ne kadar zor olduğunu biliyoruz. Pentera ile bunu yalnız yapmak zorunda değilsiniz.
Otomatik Güvenlik Doğrulamasına yaklaşımımız, saldırı yüzeyinizin tamamını gerçek dünyadaki istismarlara karşı güvenli bir şekilde test ederek en son tehditlere karşı güvenliğe hazırlığınızı ortaya koyar. Pentera gibi platformlarla güvenlik savunmalarına sürekli meydan okuyan hacker zihniyetini benimseyen savunucular, güvenlik duruşlarına her zaman güvenebilirler.
Daha fazla bilgi için şu adresteki web sitemizi ziyaret edin: pentera.io.
Not: Bu makale Pentera’nın Baş Satış Mühendisi Nelson Santos tarafından yazılmıştır.