Yazar: Dray Agha, Kıdemli Yönetici, Av ve Yanıt, Huntress Labs
Hypervizörler: Yeni Bir Siber Savaş Alanı
Günümüz sanallaştırılmış ortamlarının belkemiği olan hypervizörler, saldırganlar tarafından ele geçirildiğinde bir tehdit artış faktörü haline gelebilir. Bir hypervizör katmanındaki tek bir ihlal, aynı anda onlarca hatta yüzlerce sanal makineyi tehlikeye atabilir. Geleneksel uç noktaların aksine, hypervizörler genellikle sınırlı görünürlük ve korumalarla çalıştıklarından, geleneksel güvenlik araçları bir saldırıyı tehlike geç olmadan tespit edemeyebilir.
Son yıllarda, özellikle 2025 yılında, ransomware saldırılarında hypervizörlerin hedef alınma sıklığının arttığı gözlemlenmiştir. Bu durum, siber saldırganların giderek daha fazla dikkatini bu kritik katman üzerinde yoğunlaştırdığını göstermektedir. Özellikle Akira ransomware grubu, hypervizörler aracılığıyla geniş ölçekli kötü amaçlı şifreleme ve veri sızdırma faaliyetlerine öncülük etmektedir.
Hypervizör Güvenliğini Sağlamak için Stratejiler
Hypervizörlerin güvenliğini artırmak, sadece uç noktaların güvenliği ile aynı derecede önemlidir. İşte bu bağlamda dikkate alınması gereken bazı önemli stratejiler:
Erişim Kontrolünü Güçlendirin
Saldırganlar hypervizörlere erişim sağladığında, bağlı bütün sanal makine sistemlerine tehdit oluşturma potansiyeline sahip olurlar. Bunun önüne geçmek için:
- Yerel ESXi Hesapları Kullanın: Yönetim için genel amaçlı alan yöneticisi hesapları yerine, özel, yerel ESXi hesapları oluşturun.
- Çok Faktörlü Kimlik Doğrulama (MFA) Uygulayın: Yönetim arayüzleri ve vCenter erişimi için MFA zorunlu hale getirilmelidir.
- Yönetim Ağına Ayrım Yapın: Hypervizörlerin yönetim ağını, üretim ve kullanıcı ağlarından ayrı bir VLAN’a yerleştirin.
Çalışma Ortamını Güçlendirin
Hypervizör katmanında, bir saldırganın bu ortamda kod çalıştırabilmesi, misafir işletim sistemi kontrollerinden kaçmasına olanak tanır. Bunu engellemek için:
- Yalnızca Beklenen Kodları Çalıştırın: Hypervizör ayarlarından
VMkernel.Boot.execInstalledOnly = TRUEseçeneğini etkinleştirin, böylece yalnızca imzalı BİB’lerin çalışmasına izin verilir. - Gereksiz Servisleri Kapatın: SSH ya da ESXi Shell gibi kullanılmayan servisleri kapatın.
Yedekleme Stratejileri ve Hızlı Kurtarma Yeteneği
Her ne kadar sağlam önlemler almış olsanız da, risk her zaman mevcuttur. Hypervizör katmanı oldukça kritik olduğu için, iyi bir yedekleme stratejisi şarttır. İşte dikkate almanız gereken bazı noktalar:
- 3-2-1 Yedekleme Kuralını Benimseyin: En az üç veri kopyasına sahip olun, bunlardan ikisi farklı medya üzerinde ve bir kopyası dışarıda bulunsun.
- Değiştirilemeyen Yedekleme Depoları Kullanın: Yedeklemeleri, yazıldıktan sonra değiştirilemeyen depolarla veya anlık görüntülerle yapın.
- Yedekleme Testleri Yapın: Yedeklerinizi düzenli aralıklarla test edin ve gerçek kurtarma senaryolarını uygulayın.
İzleme ve Tehdit Tespiti
Hypervizör katmanında anormallikleri tespit etmek için alternatif izleme yöntemleri geliştirilmelidir. Geleneksel güvenlik araçları genellikle bu alanlarda etkisizdir.
- Günlük Tutanlogları SIEM’e Yönlendirin: Önemli olaylar için uyarılar oluşturun ve yönetim arayüzü üzerindeki anormal etkinlikleri izleyin.
- Yapılandırma Değişikliklerini İzleyin: Hypervizör ayarlarında beklenmeyen değişiklikleri görünce alarm verin.
Sonuç olarak, hypervizör güvenliğini sağlamak, karmaşık bir süreçtir ve çok katmanlı bir yaklaşım gerektirir. Uygulanacak stratejiler, mevcut tehditlere karşı proaktif bir savunmayı mümkün kılacaktır.
