YAZAR: Topher Lyons, Sprocket Security Çözüm Mühendisi
Çoğu kuruluş, harici görünürlüğe yönelik geleneksel yaklaşıma aşinadır: halka açık internetle karşı karşıya olduklarını anlamak için pasif internet tarama verilerine, aboneliğe dayalı veri kümelerine veya zaman zaman belirli bir noktaya yapılan keşiflere güvenirler. Bu kaynaklar genellikle periyodik bir tarama döngüsü sırasında gözlemlenen varlık listelerinin, açık bağlantı noktalarının veya maruz kalma durumlarının statik anlık görüntüleri olarak sunulur.
Geniş trend farkındalığı için faydalı olsa da pasif veri kümeleri sıklıkla yanlış anlaşılıyor. Birçok güvenlik ekibi, saldırganların görebileceği her şeyin tam bir resmini sunduklarını varsayar. Ancak günümüzün son derece dinamik altyapısında pasif veriler hızla eskimektedir.
Bulut ayak izleri gün geçtikçe değişiyor, geliştirme ekipleri sürekli olarak yeni hizmetler dağıtıyor ve yanlış yapılandırmalar, pasif taramaların başarabileceğinden çok daha hızlı bir şekilde ortaya çıkıyor (ve kayboluyor).
Sonuç olarak, yalnızca pasif verilere dayanan kuruluşlar genellikle eski veya eksik bilgilere dayanarak kararlar alırlar.
Ekiplerin, dış saldırı yüzeyine doğru, defansif bir bakış açısı sağlamak için farklı bir şeye ihtiyacı var: Her gün gerçekte neyin açığa çıktığını doğrulayan sürekli, otomatik, aktif keşif.
Saldırı yüzeyleri eskiden nispeten statikti. Bir çevre güvenlik duvarı, halka açık birkaç sunucu ve bir veya iki DNS bölgesi, keşfi yönetilebilir hale getirdi. Ancak modern altyapı her şeyi değiştirdi.
Görünüşte önemsiz değişiklikler bile maddi etki yaratabilir. Yanlış ana bilgisayara işaret eden bir DNS kaydı, süresi dolmuş bir TLS sertifikası veya unutulmuş bir geliştirme örneğinin tümü risk oluşturabilir. Ve bu değişiklikler sürekli olarak meydana geldiğinden, sürekli olarak yenilenmeyen görünürlük her zaman gerçeklikle uyumsuz olacaktır.
Saldırı yüzeyi günlük olarak değişiyorsa görünürlük bu ritimle eşleşmelidir.
Sürekli, otomatik keşifle doğru, doğrulanmış bulgular elde edin. Pozlamaları göründükleri anda keşfedin!
Eski pasif verilere güvenmeyi bırakın ve saldırganların bugün gördüklerini görmeye başlayın.
Pasif tarama verileri hızla güncelliğini yitirir. Açığa çıkan bir hizmet, ekip daha raporu görmeden ortadan kaybolabilirken, hiç yakalanmayan yeni riskler ortaya çıkabilir. Bu, güvenlik ekiplerinin artık var olmayan sorunları kovalayarak zaman harcadığı ve bugün önemli olanları kaçırdığı ortak bir döngüye yol açar.
Pasif veri kümeleri sığ olma eğilimindedir. Çoğu zaman yoksundurlar:
Bağlam olmadan ekipler etkili bir şekilde önceliklendiremez. Küçük bir bilgilendirme sorunu, ciddi bir maruziyetle aynı görünebilir.
Modern altyapı kısa ömürlü bileşenlerle doludur. Geçici test hizmetleri, otomatik olarak ölçeklendirilen bulut düğümleri ve yanlış yapılandırılmış izleme ortamları yalnızca dakikalar veya saatler boyunca varlığını sürdürebilir. Pasif taramalar periyodik olduğundan, bu geçici varlıklar genellikle veri kümesinde hiçbir zaman görünmez, ancak saldırganlar bunları rutin olarak bulur ve kullanır.
Pasif veriler genellikle artık DNS kayıtlarını, yeniden atanan IP alanını veya artık ortamı yansıtmayan geçmiş girişleri içerir. Ekiplerin yanlış pozitifleri gerçek sorunlardan manuel olarak ayırması gerekir; bu da uyarı yorgunluğunu artırır ve zaman kaybına neden olur.
Sürekli görünürlük, harici maruziyeti otomatik olarak doğrulayan yinelenen, kontrollü keşiflere dayanır. Bu şunları içerir:
Bu istismar veya müdahaleci eylemler değildir. Savunma için oluşturulmuş güvenli, otomatik bir numaralandırmadır.
Altyapı değiştikçe sürekli keşif de onunla birlikte değişir. Yeni bulut bölgeleri, yeni alt alanlar veya yeni test ortamları doğal olarak saldırı yüzeyine girip çıkıyor. Sürekli görünürlük, manuel yenileme gerekmeden otomatik olarak tempoyu korur.
Bu maruz kalmalar genellikle aniden ve kasıtsız olarak ortaya çıkar:
Günlük doğrulama bunları saldırganlardan önce yakalar.
Hızlı dağıtımlar ince hatalara neden olur:
Günlük görünürlük onları hemen yüzeye çıkarır.
Dışarıdan açığa çıkan her varlık mühendislikten kaynaklanmaz. Pazarlama mikro siteleri, satıcı tarafından barındırılan hizmetler, üçüncü taraf açılış sayfaları ve yönetilmeyen SaaS örnekleri genellikle geleneksel envanterlerin dışında kalır, ancak yine de herkesin erişimine açıktır.
Sürekli keşif, bulguların günümüzün saldırı yüzeyini yansıtmasını sağlar. Bu, boşa harcanan çabayı önemli ölçüde azaltır ve karar alma sürecini geliştirir.
Bulgular doğrulandığında ve güncel olduğunda, güvenlik ekipleri hangi risklerin en acil riski oluşturduğunu güvenle belirleyebilir.
Sürekli keşif, eski, kopyalanmış veya alakasız bulguları, analistin kuyruğuna ulaşmadan ortadan kaldırır.
Doğru ilişkilendirme, ekiplerin sorunları mühendislik, bulut, ağ iletişimi, pazarlama veya belirli bir uygulama ekibi gibi doğru dahili gruba yönlendirmesine yardımcı olur.
Güvenlik ekipleri, binlerce doğrulanmamış tarama girişi arasında gezinmek yerine gerçek, eyleme geçirilebilir sorunlara odaklanmaya devam ediyor.
Sprocket Security, harici ayak izinizin tamamında otomatik, sürekli kontroller gerçekleştirir. Maruziyetler, ister saatlerce ister dakikalarca sürsün, göründükleri anda keşfedilir ve doğrulanır.
ASM çerçevemiz aracılığıyla her bulgu sınıflandırılır, doğrulanır, atfedilir ve önceliklendirilir. Bu, aşırı ses olmadan netlik, bağlam ve etki sağlar.
Doğrulanmış, bağlamsallaştırılmış bir bulgu ekiplere şunları anlatır:
Ham tarama verileriyle karşılaştırıldığında bu, belirsizliği ortadan kaldırır ve sorunları çözmek için gereken süreyi azaltır.
Kuruluşların saldırı yüzeylerinin kapsamlı bir şekilde izlenmesini sağlamanın yollarından bazıları şunlardır:
Saldırı yüzeyi teknik bilginizi geliştirmeye yönelik daha derin bir inceleme için Saldırı Yüzeyi İzleme hakkındaki blogumuzun tamamına bakın: Temel İşlevler, Zorluklar ve En İyi Uygulamalar.
Günümüzün saldırı yüzeyleri sürekli olarak gelişmektedir. Statik, pasif veri kümeleri buna ayak uyduramaz. Ortaya çıkan risklere karşı bir adım önde olmak ve kolayca önlenebilir olayları önlemek için güvenlik ekiplerinin, ortamlarının gerçek durumunu yansıtan sürekli, otomatik keşiflere ihtiyacı vardır.
Yalnızca pasif verilere güvenmek kör noktalar yaratır. Sürekli görünürlük onları kapatır. Kuruluşlar altyapılarını modernleştirip dağıtım döngülerini hızlandırdıkça, sürekli keşif, saldırı yüzeyi hijyeninin, önceliklendirmenin ve gerçek dünyadaki risk azaltmanın temeli haline gelir.
Sprocket Security tarafından desteklenmiş ve yazılmıştır.
Kaynak: Bleeping Computer