Siber güvenlik projesi yöneticisinin olay odaklı gelişimdeki rolü.

Günümüzde Siber Güvenlik ve Ürün Yönetimi

Siber güvenlik, artık sadece Love Bug gibi can sıkıcı virüsleri durdurmakla sınırlı değil. Bugün, finansal motivasyonlara dayalı büyük bir siber suç endüstrisi ile mücadele etmek zorundayız. Saldırılar daha akıllı, daha hızlı ve daha yıkıcı hale geldi. Bu durum, ürün ekiplerinin çalışma biçimini köklü bir şekilde değiştirdi.

Ürün yöneticileri için (PM), saldırganların sürekli olarak aynı zayıf noktaları saldırdığı gerçeğini anlamak oldukça önemlidir. Bu zayıf noktalar arasında çalıntı admin kimlik bilgileri, çok faktörlü kimlik doğrulama (MFA) eksiklikleri, VPN’lerde uzak şifreleme ve PowerShell’i başlatmak için Office kullanmak gibi zekice “yaşayarak yararlanma” (LOTL) taktikleri yer almaktadır. Bir yamanan güvenlik duvarı veya bir uyumsuz USB sürücü bile bir ihlalin kapılarını açabilir.

Yeni zafiyetler ve zero-day açıkları sürekli olarak ortaya çıkmaktadır. Ürün ekiplerinin her zaman tetikte olması gerekmektedir. İşte birkaç güncel örnek:

• WannaCry (2017): SMBv1’deki EternalBlue açığı sayesinde hızlıca yayılarak ransomware olarak bilinen türden bir virüsü yaydı. Birçok şirket, SMBv1’i tamamen kapatmak zorunda kaldı.
• Bazı Exchange Server açıları: Saldırganların kötü niyetli betikler çalıştırmasına olanak tanıdı ve bazen ransomware ile sonuçlandı.
• Log4j zafiyeti: Popüler bir Java kayıt çerçevesindeki zayıflık, rastgele kod çalıştırılmasına izin verdi. Hala güncel olmayan güvenlik duvarları ve VPN’lerde görülüyor.
• Follina (MSDT): Office uygulamalarının, herhangi bir kullanıcı etkileşimi olmadan PowerShell’i başlatmasına olanak tanıdı.

Zamanında yamanma işlemleri faydalı olsa da, çoğu zaman bir açık keşfedilmesi ile düzeltilmesi arasında bir boşluk vardır. Bu nedenle ekiplerin katmanlı savunmalar kurması ve olaylara anında müdahale etmeye hazır bir zihin yapısına sahip olması gerekmektedir.

İhlal Raporlarının Gerçek Zamanlı Ürün Değişiklikleri Üzerindeki Etkisi

ThreatLocker tarafından gerçekleştirilen “ortamınızı güvenli hale getirmek için 100 gün” webinar serisi, olay odaklı geliştirmenin harika bir örneğidir. Bu, güvenlik liderlerinin ilk birkaç ayda en önemli meselelere odaklanmalarına yardımcı olur.

Gerçek dünya ihlalleri, genellikle direkt olarak yeni ürün özellikleri veya politika değişikliklerine yol açmaktadır. İşte bunun bazı örnekleri:

• Açık makineler: Bir tehdit aktörü, açık bırakılan bir hastane bilgisayarına erişmiş ve PowerShell çalıştırmıştı. Artık, parola korumalı ekran koruyucular zorunlu hale geldi.
• USB veri hırsızlığı: USB sürücüler, veri çalmak için hala yaygın bir yöntem. Ürünler artık ince ayarlanmış USB kontrolleri sunuyor; şifrelenmemiş sürücüleri engelliyor, dosya türlerini sınırlıyor veya kopyalanabilecek dosya sayısını sınırlandırıyor.
• Yan hareket (lateral movement): Ransomware genellikle eski admin hesapları kullanılarak yayılır. Araçlar, bu hesapları tespit edip, inceleme sonrası kaldırıyor.
• LOTL saldırıları: Follina, meşru araçların kötüye nasıl kullanılabileceğini gösterdi. Ringfencing™, uygulamaların yanlış şeyler başlatmasını engellemeye yardımcı olur.
• Outbound trafik suistimali: SolarWinds gibi saldırılar outbound bağlantılar kullanmıştır. Bu nedenle sunucu trafiği için varsayılan olarak engelleme politikaları standart hale geliyor.
• Çalıntı kimlik bilgileri: Cloud hesapları, uzaktan erişim ve alan denetleyicileri için MFA artık tartışmaya kapalı bir gereklilik.
• Zayıf VPN’ler: Güncellenmemiş VPN’ler önemli bir risk teşkil ediyor. Özellikler artık IP tabanlı erişim kontrolleri veya kullanılmayan VPN’lerin devre dışı bırakılmasını içeriyor.

PM’nin Yanıtı: Tavsiyeden Eyleme Geçiş

Siber güvenlik PM’leri için tehditlere yanıt vermek, yalnızca tavsiye yazmakla sınırlı değildir. Daha akıllı ve güvenli ürünler geliştirmekle ilgilidir. İşte nasıl yapılacağı:

• Tam görünürlük elde edin: Ortamınızda neler olup bittiğini anlamaya başlayın. Dosya aktivitelerini, yetki değişikliklerini, uygulama başlatmalarını ve ağ trafiğini izlemek için izleme ajanları kullanın.

• Riskleri önceliklendirin: Tam bir resme sahip olduklarında, PM’ler yüksek riskli araçlar ve davranışlar üzerinde yoğunlaşabilirler:

  • Uzaktan erişim araçları (örn. TeamViewer, AnyDesk)
  • Aşırı izinlere sahip yazılımlar (örn. 7-Zip, Nmap)
  • Riskli tarayıcı eklentileri
  • Yüksek riskli bölgelerden gelen yazılımlar

• Adaptif politika oluşturmayı teşvik edin: Güvenlik politikaları, tehdit manzarası ile birlikte gelişmelidir:

  • İlk önce test edin: Yeni kuralları uygulamadan önce izleme modunu ve test gruplarını kullanın.
  • Kesin olmalısınız: Açma/kapama anahtarlarının ötesine geçin—dinamik ACL’ler, Ringfencing ve uygulama spesifik admin haklarını kullanın.
  • Rahatlatıcı, benimsenmesi kolay bir uygulama sunun.

• Sürekli iyileştirme ve izleme: Yanlış yapılandırmaları tespit etmek için sağlık raporlarını kullanın. USB dosya kopyalarını engelleyin ve eski politikaları düzenli olarak temizleyin.

• Yamanma yönetimini benimseyin: Her şeyin güncel olmasını sağlayın—işletim sistemlerinden taşınabilir uygulamalara kadar. Eksik yamaları bulmak için araçlar kullanın ve uygulamadan önce pilot kullanıcılarla test edin.

• Yedekleri koruyun: Yedekler, tehlikeye karşı korunmalıdır. Hangi uygulamaların yedekler ile erişebileceğini sınırlamak ve yedek hizmetleri için MFA gerektirmek gereklidir. PM’ler yedeklerinin düzenli olarak test edilmesini sağlamak zorundadır.

Siber güvenlik PM’leri, gerçek dünya tehditlerine karşı gerçek dünya korumaları sağlamak için ön cephede yer alır. Bilgili kalarak, doğru verileri toplayarak ve kullanıcıların ihtiyaçlarını gözeterek riskleri azaltabiliriz.

Güncel Siber Güvenlik Haberleri – 2