Giriş
Siber güvenlik dünyasında her an yeni bir kritik zayıflığın ortaya çıkma ihtimali bulunuyor. Bu zayıflıkların etkisini azaltmak için sistemlerin maruz kaldığı saldırı yüzeyinin kontrol edilmesi büyük bir önem taşıyor.
Saldırı Yüzeyinin Önemi
Yeni zayıflıklar ortaya çıktıkça, ekiplerin sistemlerinin internet üzerinden maruz kalma oranı da artıyor. Özellikle kritik zayıflıkların açıklanma süresi, kötü niyetli aktörler için çok kısa olabiliyor. Örneğin, en ciddi zayıflıklar için açıklama ile kötüye kullanım arasındaki süre 24 ila 48 saat kadar kısa olabilir. Zero Day Clock tarafından yapılan projeksiyonlara göre, 2028 yılına kadar bu süre yalnızca dakikalarla ölçülecek.
Etkilenen Sistemler
Birçok durumda, zayıf sistemlerin aslında internetle yüz yüze olmaları gerekmiyor. Saldırı yüzeyinin görünürlüğü sayesinde, takımlar gereksiz maruziyeti azaltarak yeni bir zayıflığın ortaya çıkması durumunda karmaşaya neden olmaktan kaçınabilir.
CVE-2025-53770 kodlu ToolShell, Microsoft SharePoint uygulamasındaki kimlik doğrulaması yapılmamış bir uzaktan kod yürütme zayıflığıydı. Eğer bir saldırgan bu zayıflığa ulaşabilirse, sunucunuzda kod çalıştırabilirdi. SharePoint’in Active Directory ile bağlantılı olması nedeniyle, saldırganlar hassas bir ortamın içerisine girebiliyorlardı.
Bu zayıflık bir “sıfır gün” zayıflığı olduğundan, bir yamanın mevcut olmadan önce suistimal ediliyordu. Microsoft, zayıflığı bir Cumartesi günü açıkladı ve Çin devlet destekli grupların bundan iki hafta önce faydalandığını doğruladı. Çoğu takım zayıflığı öğrendiğinde, saldırganlar zaten korunmasız örnekler için tarama yapmaya başlamıştı.
Etkileşim Eksiklikleri Neden Yaşanıyor?
Güvenlik ekiplerinin genellikle maruziyetleri gözden kaçırmasının birkaç nedeni bulunmaktadır. Tipik bir dış tarama sonucunda, bilgilendirici bulgular kritik, yüksek, orta ve düşük seviyelerdeki bulguların altında yer alır. Ancak bu bilgiler, gerçek bir maruziyet riskini temsil edebilecek tespitleri içerebilir.
Bu tespitler arasında:
- Maruz kalan bir SharePoint sunucusu
- İnternete açılmış bir veritabanı (örneğin, MySQL veya Postgres)
- Genellikle iç ağda yer alması gereken diğer protokoller (RDP, SNMP gibi)
Bir zayıflık tarayıcısı genellikle bilgilendirici bulguları dışarıda tutmakla birlikte, internete açılan bir servisin gerçek risk taşıdığını vollständig algılayamayabilir.
Proaktif Saldırı Yüzeyi Azaltma Yaklaşımları
Saldırı yüzeyini azaltma konusunda üç ana unsur bulunmaktadır.
1. Varlık Keşfi: Saldırı Yüzeyinizi Tanımlayın
Saldırı yüzeyinizi azaltmadan önce, sahip olduğunuz sistemlerin ve dışarıdan erişilebilir olanların net bir görüntüsüne ihtiyacınız var. Bu, gölgeli BT sistemlerinin (shadow IT) belirlenmesi ile başlar.
- Bulut ve DNS sağlayıcılarıyla entegrasyon sağlamak; bu sayede yeni altyapılar oluşturulduğunda otomatik olarak taranabilirler. Bu entegrasyon defansif ekiplerin önemli bir avantajıdır.
- Alt alan adı belirleme kullanarak envanterde olmayan dış erişilebilir hostları belirlemek. Özellikle satın almalar sonrası bu durum oldukça önemlidir.
- Küçük ve bilinmeyen bulut sağlayıcılar üzerinde barındırılan altyapıların tanımlanması. Güvenlik politikanızın yalnızca belirli bulut sağlayıcıları kullanmayı teşvik etmesine rağmen, bu uygulamaların izlenip izlenmediğini kontrol etmek gereklidir.
2. Maruziyeti Risk Olarak Ele Alma
Sonraki adım, saldırı yüzeyi maruziyetini kendi risk kategorisinde değerlendirmektir. Bu, bilgilendirmeleri bir risk değerlendirmesi olarak ele almanızı gerektirir. Maruz kalmış bir SharePoint örneği, orta seviye bir risk olarak değerlendirilebilir.
Bu şekilde maruziyeti kontrol etme ve azaltma için önceliklendirme yapmanız gerekir. Eğer proaktif maruziyet azaltma çalışmaları her zaman aceleci yamalarla yarışıyorsa, başarılı olamazsınız.
3. Sürekli İzleme
Saldırı yüzeyini azaltma, tek seferlik bir uygulama değildir. Maruziyet sürekli değişir ve güvenlik ekibinizin bu değişiklikleri hızla algılaması gerekmektedir. Günlük port taramaları, yeni maruz kalmış servisleri algılamak için daha uygundur.
Sonuç: Ne Yapmalısınız?
Gereksiz hizmetler maruz kalmadığında, kritik açıklamalardan kaynaklanan kitlesel kötüye kullanımların içinde daha az yer alırlar. Bu da size daha az sürpriz ve daha fazla yanıt verme süresi kazandırır.
Siz de sistemlerinizdeki maruziyeti görmek istiyorsanız, Intruder demo randevusu alın. Güncellemeleri düzenli olarak yapın ve gereksiz portları kapatın. Bu adımlarla, güvenlik açıklarınızı minimize edin.
