"Enter"a basıp içeriğe geçin

Saldırı Yüzey Yönetimi

Tarih: 25 Nisan 2024 | Yazar: onurbabur

Saldırı Yüzeyi Nedir?

Saldırı yüzeyi, envanterinizin tamamıdır. Organizasyon içerisinde kullandığınız tüm yazılımlar, donanımlar, IOT cihazları ve hatta insan kaynaklarınız da saldırı yüzeyi kavramına dahildir.

Saldırı Yüzey Yönetimi Nedir?

Saldırı Yüzeyi Yönetimi, bir kuruluşun bilgi sistemleri, ağları ve uygulamalarının potansiyel saldırılara maruz kalmasını izlemek, değerlendirmek ve azaltmak için kullanılan bir güvenlik yaklaşımıdır. Bu yaklaşım siber güvenlikte önemli bir rol oynar çünkü bir kuruluşun saldırı yüzeyi, saldırganların hedef seçerken veya siber saldırı girişiminde bulunurken kullanabileceği tüm potansiyel giriş noktalarını ve zayıflıkları içerir.

Saldırı Yüzey Yönetimini (ASM) Anlamak

Saldırı Yüzey Yönetimi (ASM), bir organizasyonun yapısına bağlı olarak farklı adımlar ve yaklaşımlar gerektirebilse de temel olarak aşağıdaki adımlardan oluşur:

Varlık Keşfi

Öncelikle siber güvenlik açısından neyi korumamız gerektiğini bilmemiz gerekiyor. Varlık keşfi adımında tüm varlıkların (sunucular, ağ cihazları, uygulamalar, veritabanları, IoT cihazları vb.) bir listesini yapıyoruz.

Risk değerlendirmesi

Sahip olduğumuz varlıkların bir listesini yaparak risk değerlendirmesine başlıyoruz. İkinci adımda, tüm bu varlıkları ve güvenlik durumlarını analiz etmemiz, her birinin belirli zayıf noktalarını belirlememiz ve belgelememiz gerekiyor.

Saldırı Yüzeyinin Azaltılması

Risk değerlendirmesinin ardından gereksiz veya potansiyel olarak riskli varlıkları kapatmak, gereksiz hizmetleri devre dışı bırakmak veya gereksiz uygulamaları kaldırmak gibi önlemler alarak saldırı yüzeyini azaltmaya başlayabiliriz.

Sürekli izleme

İlk üç madde tek seferlik bir görev değil, sürekli bir yaşam süreci olmalıdır. Saldırı yüzeyini sürekli izlemek ve tüm zinciri sürekli uygulayarak yeni varlıkları, güvenlik güncellemelerini ve güvenlik açıklarını takip etmek gerekir.

Otomasyon

Risk değerlendirmesi ve sürekli izleme gibi adımlar çok fazla dikkat, çaba ve zaman gerektirir ve hataya açıktır. Otomasyon araçlarını kullanarak sürekli izleme ve risk değerlendirme süreçlerini daha etkin hale getirmek mümkün ve hatta gereklidir.

Saldırı Yüzey Yönetimi (ASM) Neden Önemlidir?

Saldırı yüzeyinizin genişliği saldırganların hedeflerini belirlemesine yardımcı olur. Unutmamanız gereken şey Cyber ​​Kill Chain’in ilk aşamasında saldırganların hakkınızda keşifler yapmasıdır.

Saldırganlar, hedeflerinin saldırı yüzeyini değerlendirerek hangi sistem ve uygulamalara odaklanmaları gerektiğini belirler.

Saldırganların zayıf yönlerinizi sizden önce tespit etmesi, saldırıların başarılı olma olasılığını artırır. Ayrıca saldırıya maruz kalan yüzey ne kadar büyük olursa saldırganların başarılı olma olasılığı da o kadar artar.

Saldırıya maruz kalan yüzey ne kadar büyük olursa siber risk de o kadar büyük olur.

Saldırı Yüzey Yönetiminin (ASM) Faydaları Nelerdir?

Doğru Saldırı Yüzey Yönetimi (ASM), kuruluşlara çok sayıda fayda sağlar. Gelin en öne çıkanlara bir göz atalım:

Siber Saldırı Riskini Azaltır

ASM uygulamaları bir kurumun saldırı yüzeyini azaltır, siber saldırılara karşı koruma sağlar. İyi bir Saldırı Yüzeyi Yönetimi, saldırganların başarılı olma olasılığını azaltacaktır. ASM uygulamaları bir kurumun tüm sistemlerini, ağlarını ve uygulamalarını analiz ederek güvenlik açıklarını ve riskli durumları tespit eder. Bu bulgular doğrultusunda kuruluş gerekli önlemleri alarak saldırı riskini azaltabilir. Size ve kuruluşunuza yapacağınız en önemli katkı, mevcut güvenlik açıklarının saldırganlardan önce farkına varmanızdır.

Veri Kaybını ve Mali Kaybı Önler

Siber saldırılar veri kaybına ve mali kayba neden olabilir. ASM uygulamaları bu kayıpların önlenmesine yardımcı olur. ASM uygulamaları güvenlik açıklarını ve riskli durumları tespit ederek bu durumlara karşı önlem alınmasını sağlar. Bu sayede veri kaybı ve maddi kayıpların önüne geçilebilir. Araştırmalar, siber saldırıdan etkilenen kuruluşların kaybolan verilerini kurtarmalarının 30 güne kadar sürebileceğini gösteriyor.

Kurumsal İtibarı Korur

Siber saldırılar bir kuruluşun itibarına ciddi şekilde zarar verebilir. İyi bir saldırı yüzeyi yönetimi uygulaması bunun önlenmesine yardımcı olacaktır. ASM uygulamaları bir kuruluşun siber güvenlik risklerini azaltarak saldırıların başarılı olma olasılığını azaltır. Bu şekilde kuruluşun itibarı korunabilir. Unutmamanız gereken şey, kaybedilen güveni geri kazanmanın, verileri ve mali kayıpları geri kazanmaktan daha zor olduğudur. Güven ve itibar kaybı da uzun vadede size maddi kayıp olarak geri dönecektir.

Müşterilerin ve İş Ortaklarının Güvenini Artırır

Müşteriler ve iş ortakları, güçlü siber güvenlik yapısına sahip kuruluşlara güveniyor. ASM uygulamaları bu güvenin artmasına yardımcı olur. ASM uygulamaları bir kuruluşun siber güvenlik risklerini azaltarak müşterilerin ve iş ortaklarının verilerinin güvende olmasını sağlar. ASM uygulamalarınızı diğer güvenlik uygulamalarıyla birlikte anlatarak iş ortaklarınızın güvenini sağlayabilirsiniz.

Saldırı Yüzey Yönetimi (ASM) Araçları ve Teknikleri

Saldırı yüzeyinin belirlenmesi, bir kuruluşun siber güvenlik duruşunu anlamanın ilk adımıdır. Her organizasyonun dinamiklerine göre çeşitli uygulamalar mevcut olmakla birlikte, her organizasyonda uygulanabilecek temel temel kaynaklar şunlardır:

Sistem ve Uygulama Taramaları

Sistem ve uygulama taramaları bir kurumun tüm sistem ve uygulamalarını analiz ederek güvenlik açıklarını ve riskli durumları tespit eder. Bu taramalar otomatik veya manuel olarak yapılabilir. Bir veya daha fazla araç kullanılarak elde edilen çıktılar değerlendirilebilir. Bu noktada önemli olan kurum içerisindeki envanterin tamamına ulaşabilmek ve bu taramaların kapsamı dışında herhangi bir sistem veya uygulamanın bulunmadığından emin olmaktır. Bu nedenle, ister manuel ister otomatik olsun, bu tür taramayı gerçekleştirirken, taramanın ağımızdaki tüm segmentlere ve uç noktalara ulaşmasını sağlamak kritik öneme sahiptir.

Bu taramaların düzenli ve otomatik olarak gerçekleştirilmesi için varlık keşif araçları kullanılabilir. Varlık Keşfi araçları bir kuruluşun tüm sistemlerini, ağlarını ve uygulamalarını tespit etmek için oldukça faydalı araçlardır.

Benzer şekilde Güvenlik Açığı Tarama araçları da bir kuruluşun sistem ve uygulamalarındaki güvenlik açıklarını otomatik olarak tespit etmek için oldukça kullanışlı ve işlevsel araçlardır.

Varlık Azaltımı

Kuruluşunuzda gereksiz veya kullanılmayan bilgisayarlar, sunucular, yazılımlar veya hizmetler gibi potansiyel risk oluşturan varlıkları tespit etmeniz ve kapatmanız gerekir. Bu, siber saldırıya açık yüzeyi daraltmanın yanı sıra kurumun bakım ve güvenlik maliyetlerinin azaltılmasına da yardımcı olacaktır.

Gereksiz Hizmetleri Kapatmak

Kuruluşunuzdaki gereksiz ağ hizmetlerini, hizmetleri ve bağlantı noktalarını kapatmanız gerekir. Bu, saldırganların erişebileceği ağ yüzeyini daraltır ve kuruluşun saldırılara karşı daha az duyarlı olmasını sağlar.

Gereksiz Uygulamaların Kaldırılması

Kuruluşunuzdaki sistemlerde, bir şekilde yüklenen ancak artık kullanılmayan veya güncellenmeyen yazılım uygulamalarını kaldırmanız gerekir. Bu tür uygulamalar siber saldırılar için potansiyel bir güvenlik açığı olabilir.

Sürekli İzleme ve Değerlendirme

Saldırı yüzeyini azaltma süreci sürekli ve yaşayan bir süreçtir. Bu nedenle varlıklarınızı sürekli takip etmeniz, hizmet ve uygulamalarla birlikte değerlendirmeniz gerekiyor. Bu bağlamda yazılım üreticilerinin yayınladığı güvenlik bültenlerini sürekli ve dikkatli bir şekilde takip etmeniz oldukça önemlidir.

Sistem ve Uygulama Kayıtları

Sahip olduğumuz sistem ve uygulamaların listesini ve bunların oluşturduğu riskleri bilmek güzel ama ne yazık ki yeterli değil. Bu uygulama ve sistemlerin çalışması sırasında oluşturulan kayıtlar, saldırı yüzeyimizi yönetmek ve riskleri tanımlamak için çok faydalı veriler sağlar.

Ağ Tarama ve Analiz Araçları

Ağ tarama ve analiz araçları, bir kuruluşun ağ trafiğini analiz ederek şüpheli etkinlikleri tespit eder. Bu araçlar saldırganların ağdaki hareketlerini tespit etmeye yardımcı olur. Önceki yazımızda belirlediğimiz sistem ve uygulamaların listesi başlangıç ​​için iyi ancak bunları bilmek bizi güvende tutmak için yeterli değil. Diyelim ki sistem ve uygulama taramamız sırasında bir sunucu tespit ettik ve üzerinde bir dosya paylaşım uygulaması çalışıyor. Risk analizi adımında sunucumuzdaki işletim sisteminin güncel olduğunu, güvenlik sertleştirme adımlarının uygulandığını, sistem üzerinde çalışan dosya paylaşım uygulamasında bilinen herhangi bir açıka rastlamadığımızı görüyoruz. Şu ana kadar her şey yolunda görünüyor. Ancak gözden kaçırmamamız gereken bir detay var; o da kullandığımız uygulama veya işletim sisteminde sıfır gün açığının ortaya çıkma ihtimali. Bu ve benzeri beklenmeyen durumların önceden tahmin edilebilmesi için ağ analiz araçları kritik öneme sahiptir. Sürekli ağ ve varlık takibi, daha önce karşılaşmadığımız şüpheli olayları yakalamamıza yardımcı olacak ve bizi olası olaylardan kurtarabilecektir.

Tehdit İstihbaratı Araçları

Tehdit istihbaratı araçları sadece kuruluşunuza yönelik saldırıları takip etmekle kalmayacak, dünyadaki tüm siber tehditleri ve saldırıları da takip edecek ve bulgularını otomasyonlar/raporlar aracılığıyla sizlerle paylaşacaktır. Bu bulgular, bir önceki yazımızda anlattığımız ağ analizi adımında toplanan verileri ve makalede bahsedeceğimiz güvenlik duvarı ve diğer güvenlik ürünlerinin kayıtlarını değerlendirirken, bilinen tehdit aktörlerinin kuruluşunuza yönelik faaliyetlerinden haberdar olmanızı sağlayacaktır. Sonraki adım.

Güvenlik Duvarı ve Güvenlik Araçları Günlükleri

Kuruluş içindeki güvenlik araçlarının günlükleri, özellikle de Güvenlik Duvarı, kuruluşun ağında olup bitenleri kaydeder. Daha da önemlisi kurumun dış dünya ile iletişimi hakkında detaylı bilgi alabileceğimiz en önemli noktalardan biridir. Bu kayıtlar saldırganların keşif aşamasından itibaren bize büyük ipuçları verebilir ve onların ağ üzerindeki hareketlerini tespit etmek için kullanılabilir.

Personel Eğitim Anketleri

Personel anketleri çalışanların siber güvenlik farkındalığının ölçülmesine yardımcı olur. Bu anketler çalışanların siber saldırılara karşı nasıl savunma yapacaklarını anlamalarına yardımcı olur. Bu farkındalığın geliştirilmesi için eğitimler vazgeçilmezdir.

Açık Kaynak Araçlarıyla Saldırı Yüzeyi Yönetimi – 1

Günümüzde Saldırı Yüzey Yönetimine yönelik pek çok ürün ve hizmet mevcuttur. Bunların bir kısmı ücretli ticari ürünler iken bir kısmı da açık kaynak ürünlerdir.

Bu dersimizde sizlere ASM için kullanabileceğiniz Açık Kaynak araçları hakkında fikirler vereceğiz.

OWASP AMASS

OWASP AMASS Projesi, açık kaynak bilgi toplama ve aktif keşif tekniklerini kullanarak saldırı yüzeylerinin ağ haritalamasını ve harici varlık keşfini gerçekleştirmeyi vaat eden bir araçtır.

Farklı kaynaklarla entegre olarak farklı konularda birçok bilgiyi toplayıp raporlayabilmektedir.

AMASS, Linux, MacO’lar ve Windows platformları için hazır derlenmiş paketler halinde mevcuttur ve ayrıca kaynak kodu olarak da dağıtılmaktadır. Konsol tabanlı uygulamayı ilk çalıştırdığımızda aşağıdaki gibi bir ekranla karşılaşıyoruz:

AMASS’tan google.com alan adını numaralandırmasını istediğimizde elde ettiğimiz çıktı şu şekildeydi:

NUCLEI

Nuclei, modern uygulamaları, altyapıları, bulut ortamlarını ve ağları taramak için hızlı bir tarayıcıdır. Güvenlik açıklarını hızlı bir şekilde bulmanıza ve düzeltmenize yardımcı olur.

Temel olarak, belirli güvenlik açıklarının nasıl tespit edileceğini, önceliklendirileceğini ve düzeltileceğini tanımlayan basit YAML dosyaları olan şablonlarla çalışır.

Çekirdek çok aktif bir ekosisteme sahiptir. Bu sayede yüzlerce güvenlik araştırmacısı ve mühendisi şablon ekosistemine katkıda bulunuyor ve bu şablonlar Nuclei aracı içerisinde düzenli olarak mevcut ve güncelleniyor.

Bu dersin hazırlandığı tarihe kadar 5000’den fazla şablon eklenmiştir. Bu şablonlar gerçek dünyadaki saldırıları ve en yeni saldırı vektörlerini içerir; Bunlar arasında Log4j zafiyetini, GitLab RCE’yi örnek verebiliriz ve daha birçok şey var. Saldırganların teknik ve taktiklerinin her geçen gün yerini yenilerinin aldığı günümüzde Nuclei ekosisteminin bu dinamik yapısı oldukça önemlidir.

Basit bir şablon örneği aşağıdaki gibidir:

Her şablon potansiyel bir saldırı vektörünü temsil eder ve güvenlik açığının, ciddiyetinin, öncelik puanının ve hatta bazen yaygın olarak kullanılan saldırıların ayrıntılı bir açıklamasını içerir. Şablon odaklı yaklaşım yalnızca esneklik kazandırmakla kalmıyor, aynı zamanda Nuclei tarafından tespit edilen güvenlik açıklarının yalnızca teorik risklere değil, gerçek dünyada da kullanılabilirliğe sahip olduğuna işaret ediyor.

Bu şablon yapısı sayesinde kendi özel uygulamalarınızın kritik noktalarına ilişkin kendi şablonlarınızı da yazabilirsiniz.

Nuclei’nin web sitesindeki aşağıdaki tablo, bunun nerede kullanılabileceğini göstermektedir:

Bu kadar geniş bir yelpazede çıktılar üreten ürün, saldırı yüzeyimiz hakkında keşifler yapmamız için oldukça faydalı çıktılar üretecektir.

Açık Kaynak Araçlarıyla Saldırı Yüzeyi Yönetimi – 2

GreenBone Topluluk Sürümü

GreenBone Community Edition (GCE), açık kaynaklı bir güvenlik açığı yönetimi çözümüdür. Şirketlerin ağ ve sistemlerindeki güvenlik açıklarını taramak için kullanılabilecek ücretsiz ve topluluk destekli bir üründür. GCE, GreenBone OpenVAS üzerine inşa edilmiştir.

GCE aşağıdaki gibi çeşitli özellikleri içerir:

Kapsamlı güvenlik açığı taraması: GCE, yaygın güvenlik açıkları ve kötüye kullanımlar (CVE’ler), güvenlik yapılandırmaları ve güncel olmayan yazılımlar dahil olmak üzere 70.000’den fazla güvenlik açığını tarayabilir.

Varlık yönetimi: GCE, sunucular, iş istasyonları ve mobil cihazlar da dahil olmak üzere ağınızdaki varlıkları izleyebilir ve yönetebilir.

Raporlama: GCE, tarama sırasında bulunan güvenlik açıklarına ilişkin, iyileştirme adımları da dahil olmak üzere ayrıntılı raporlar oluşturabilir.

GCE’nin kullanımı kolaydır ve Linux, Windows ve macOS dahil olmak üzere çeşitli platformlarda mevcuttur. Kaynak kodundan derleyebilir, önceden derlenmiş paketleri işletim sisteminize yükleyebilir veya docker görüntülerini kullanarak hızlı bir şekilde kurup çalıştırabilirsiniz.

Kuruluma ilişkin ayrıntılı talimatları sürekli güncellenen https://greenbone.github.io/docs/latest/22.4/container/index.html adresinde bulabilirsiniz .

Kurulumu tamamladıktan sonra web arayüzünden aşağıdaki şekilde giriş yapabilirsiniz:

Giriş yaptıktan sonra bir özet ekranı göreceksiniz. Bu ekranda mevcut tarama görevlerinizin durumunu ve GCE’nin kurulumunuzda veritabanına eklediği CVS ve NVT numaralarını görebilirsiniz.

Taramalar menüsündeki Görev Sihirbazı’nı kullanarak bir tarama görevini hızla başlatabilirsiniz:

Daha karmaşık tarama görevleri oluşturmak istiyorsanız sihirbaz yerine Yeni Tarama düğmesini kullanarak daha ayrıntılı tarama görevlerini başlatabilirsiniz:

Raporlar menüsünde, taramalarınız sonucunda tespit edilen varlık ve sistemlerin ayrıntılarını ve bunların oluşturduğu güvenlik risklerini görüntüleyebilirsiniz:

Her bir güvenlik açığına tıkladığınızda, o güvenlik açığının ayrıntılarına ve nasıl düzeltileceğine ilişkin bilgilere erişebilirsiniz:

Dersin başında da belirttiğimiz gibi, Saldırı Yüzey Yönetimi ve Güvenlik Açığı Yönetimi için uçtan uca çözümler sunan farklı ticari ve açık kaynaklı (ücretsiz) ürünler mevcuttur.

Bu ürünlerin tümü, Güvenlik Açığı ve Saldırı Yüzeyi Yönetimi konusunda farklı yaklaşımlara sahiptir ve bu nedenle her biri, farklı durumlara yönelik bazı avantaj ve dezavantajlarla birlikte gelir. Bu nedenle en iyi başlangıç ​​noktası her zaman varlıklarınızın ve zayıf noktalarınızın iyi bir analizi olacaktır.

Tarih: Detection Engineer

Bir yanıt yazın

E-posta adresiniz yayınlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir