Şirketler, saldırganların BT ortamlarına sızmak ve bu ortamları tehlikeye atmak için kullanabilecekleri yolları bulmakta ve kapatmakta zorlanırken, güvenlik sağlayıcıları, ürünlerinde güvenlik duruşu yönetimi (teşhir yönetimi olarak da bilinir) yetenekleri sunmak için acele ediyor.
Güvenlik duruş yönetimi firması Cymulate Haziran ayında duyuruldu bir risk ölçüsü oluşturmak için şirketin varlıklarının envanteri, güvenlik açıkları, potansiyel saldırı yolları ve düşman taktikleri dahil olmak üzere çeşitli kaynaklardan veri alan tehdit maruziyet yönetimi platformu. Geçen hafta, maruz kalma yönetimi firması Tenable çıkışını duyurdu Aşırı izin verilen hesaplar, artık kullanıcılar ve anormal kimlikler gibi kimliğe dayalı zayıflıkları bulmak için Active Directory ve Azure AD örneklerini analiz edebilen Tenable One platformundaki kimlik odaklı özellikler.
Tenable’ın Baş Ürün Sorumlusu Nico Popp, şirketlere mevcut kurumsal BT ortamından birleşik güvenlik açığı ve kimlik verilerini analiz etme yeteneği vermenin, maruziyeti ölçmenin kritik bir parçası olduğunu söylüyor.
“Güvenlik açığı yönetimini ve kimlik ifşasını bir araya getirirseniz, gerçekten ilginç şeyler yapabilirsiniz” diyor. “İkisi birlikte, temel olarak en önemli varlıklarınıza ulaşmak için ortamınızda yanal olarak hareket eden bir saldırgan olarak düşünmemize gerçekten izin veriyor.”
Maruz kalma yönetimi, analist firmaların tahminleri ile hareket eden nispeten genç bir endüstri segmentidir. Gartner gibişirketlerin güvenlik açığı yönetimi, saldırı yüzeyi yönetimi ve ayrıcalıklı hesap yönetiminden tehditlere maruz kalma durumlarını yönetme gibi daha bütünsel bir yeteneğe geçecekleri.
Kuruluşlar için, maruz kalma yönetimi, saldırılar geliştikçe değişen bilgi teknolojisi ortamlarını güvence altına almanın daha iyi yollarını vaat ediyor. Yalnızca güvenlik açıklarına ve zayıf kimliklere odaklanmakla kalmayıp, aynı zamanda belirli zayıflıkların temsil ettiği tehditleri doğrulamak, şirketlerin en kritik güvenlik sorunlarını istismar edilmeden önce çözmelerine yardımcı olabilir.
Güvenlik ve risk alanında kıdemli bir analist olan Erik Nost, güvenlik açıklarının ciddiyeti, etkilenen varlıkların değeri ve bir saldırganın istismar edilen bir sistemi kullanma becerisi gibi çeşitli verileri birleştirmenin şirketlerin riski daha iyi ölçmesine olanak sağladığını söylüyor. Forrester Research’teki grup.
“Kuruluşların tümü, sahip oldukları şeylerin envanterini çıkarmak ve neye endişelenmeleri gerektiğine dair bir bakış açısı sağlamak istiyor” diyor. “Saldırı yolu analizi ile kuruluşlar, saldırıların nasıl zincirlenebileceğini, bir varlıktaki bir güvenlik açığının belirli bir kötü amaçlı yazılım ailesiyle nasıl ilişkili olabileceğini ve bu kutuda yaşayan ve güvenliği ihlal edildiğinde saldırganlara izin verebilecek kimlikler olup olmadığını anlayabilir. diğer kutulara geçin.”
Teşhir Giderek Kimliğe Odaklanıyor
Güvenlik açığı yönetimi firmaları, maruz kalma yönetimi konusunda doğal bir evrim geçirirken, kimlik yönetimi ve ayrıcalıklı erişim yönetimi (PAM) sağlayıcıları da giderek daha fazla geçiş yapıyor. Tipik olarak, maruz kalma yönetimi, güvenlik açıkları ve yanlış yapılandırmalarla ilgili olmuştur, ancak birçok şirket, fazla yetkili hesaplar veya çok sayıda ayrıcalıklı kullanıcı nedeniyle hala zayıflıklara sahiptir.
SailPoint Technologies’de üründen sorumlu başkan yardımcısı Grady Summers, bunların da güvenlik açıkları olduğunu söylüyor.
“Uzun süredir, kimlik yönetimi bu uyumluluk olayı olarak görülüyordu” diyor. “Ama şimdi müşteriler, bana tüm fazla yetkilendirilmiş erişimi veya yetim erişimi veya ilişkisiz erişimi gösterebilir misiniz diyorlar – bu konuda kör noktaları olduğunu yeni fark ediyorlar.”
Saldırı yüzeyi yönetimi ve saldırı simülasyonu şirketlerinin de odaklarını ifşa yönetimine kaydırması muhtemeldir. Baş güvenlik savunucusu Carolyn Crandall, eskiden bir ihlal ve saldırı simülasyon şirketi olan Cymulate’in, saldırı yüzeyine ve güvenlik açıklarının doğrulanmasına odaklanmasını genişletmenin bir yolu olarak, Gartner tarafından türetilen bir kısaltma olan sürekli tehdit maruziyet yönetimine (CTEM) geçtiğini söylüyor. Cymulate.
“Şimdi, güvenlik ekipleri daha fazla tehditle karşılaşıyor… [exposure management] düzeltilmesi gereken güvenlik açıklarına daha iyi öncelik vererek saldırganların önüne geçmelerine yardımcı oluyor” diyor. “Artık test yapmak için çok daha fazla baskı var… [to see if] beklediğimiz sonuçları alırız ve almazsak, bunları nasıl çabucak anlarız ve sonra değişiriz.”
Saldırı Yolları Eklemek Tehditleri Doğrular
Teşhir yönetiminin önemli bir bileşeni, belirli güvenlik açıklarının saldırganlar tarafından hem erişilebilir hem de istismar edilebilir olduğunun doğrulanmasıdır. Kritik bir varlığın risk altında olup olmadığını belirlemek için şirketler, bir nihai hedefe ulaşmak için farklı sistemlerdeki güvenlik açıklarını kullanarak bir saldırganın ortamda izleyebileceği potansiyel yolu oluşturmaya odaklanıyor. Bu tür saldırı yolları, güvenlik açığı taraması, izinleri ve kimlikleri analiz etme ve varlıkların kritikliğini ölçme kombinasyonunun ölçülebilir bir riskle sonuçlandığını doğrular.
Yaygın bir saldırı yolu, Log4J için bir istismar kullanarak bir Web sunucusunun güvenliğini aşmayı, ayrıcalıkları artırmayı ve ardından bir veritabanına erişmeyi içerebilir. Cymulate’de bir siber güvenlik mimarı ve direktörü olan Mike DeNapoli, bu saldırının uygulanabilir olup olmadığını belirlemek için simülasyonların kullanılmasının kuruluşların yama uygulamasına ve yeni kontrollerin uygulanmasına öncelik vermesine yardımcı olduğunu söylüyor.
“Bu saldırıyı üretim açısından güvenli bir şekilde yeniden oluşturabiliriz – gerçekten çalıştırın ve ‘bu yalnızca uygulanabilir mi, ancak bu boşlukları telafi edecek kontrollerimiz var’ veya ‘bu doğrulandı mı ve bu bir saldırı yolu mu? aktör kullanabilir” diyor.
Tenable’dan Popp, kimlikten taviz vermenin genellikle aynı sonuca ulaşmanın daha kısa bir yolu olduğunu ve bu nedenle maruz kalma yönetimi için çok önemli olduğunu söylüyor.
“Nico tarafından yönetilen çok önemli bir müşteri veri tabanı varsa ve Nico ayrıcalıklı bir kullanıcıysa, ancak kimliğinin birçok zayıflığı varsa – belki şifresi Dark Web’dedir veya belki MFA’sına (çok faktörlü kimlik doğrulaması) sahip değildir. – o zaman bu bir risk” diyor. “Tam bir kimlik saldırısı olan Nico’nun güvenliği ihlal edilirse, o zaman müşteri veritabanım tehlikeye girer, çünkü artık Nico olarak görünebilen saldırgan müşteri veritabanıma tam olarak erişebilir.”
