Unit 42’nin 2023 Saldırı Yüzeyi Tehdit Raporu saldırı yüzeyi yönetimi yetkinliklerine duyulan ihtiyacı vurguluyor.
Yazan: Cortex CTO’su Matt Kraning
Palo Alto Networks Unit 42 tarafından yayınlanan 2023 Saldırı Yüzeyi Tehdit Raporunda saldırı yüzeyi yönetimi (ASM) etrafında gözlemlenen en önemli güvenlik risklerinden bazıları aydınlatılıyor. Raporda bulut ortamlarının dinamik yapısı ile tehdit aktörlerinin yeni güvenlik açıklarını suistimal etme hızı karşılaştırılıyor. Rapor, siber suçluların yeni güvenlik açıklarını kamuya açıklandıktan sonra birkaç saat içinde suistimal ettiğini ortaya koyuyor. Basit bir ifadeyle, şirketler saldırı yüzeylerini tehdit aktörlerinin otomasyonuyla mücadele edebilecek hız ve ölçekte yönetmekte zorlanıyor.
Şirketlerin çoğu saldırı yüzeylerini yönetme sorunu yaşıyor. Üstelik bunun farkında bile olmuyorlar çünkü çeşitli IT varlıklarını ve sahiplerini bütünüyle göremiyorlar. Bu bilinmeyen risklerin en büyük sorumlularından biri de internette bulduğumuz her beş sorundan yaklaşık birini oluşturan uzaktan erişim hizmeti etkilenmeleridir. Savunucuların sürekli tetikte olması gerekiyor çünkü her konfigürasyon değişikliği, yeni bulut olayı veya yeni açıklanan bir güvenlik açığı saldırganlara karşı yeni bir mücadele başlatıyor.
Raporun bazı dikkat çekici bulguları
Saldırganlar makine hızında hareket ediyor
• Bugünün saldırganları açığı olan hedefler için tüm IPv4 adres alanını dakikalar içinde tarayabiliyor.
• Analiz edilen 30 Yaygın Güvenlik Açığı ve Etkilenmesi (CVE – Common Vulnerabilities and Exposures) içinden üçü, açıklandıktan sonra birkaç saatte, yüzde 63’ü ise açıklandıktan sonra 12 hafta içinde suistimal edildi.
• Unit 42 tarafından analiz edilen 15 uzaktan kod yürütme (RCE) güvenlik açığının yüzde 20’si açıklandıktan sonra birkaç saat içinde fidye yazılım çeteleri tarafından hedef alınırken güvenlik açıklarının yüzde 40’ı yayınlandıktan sonra sekiz hafta içinde suistimal edildi.
Dominant saldırı yüzeyini bulut oluşturuyor
• Güvenlik etkilenmelerinin yüzde 80’i bulut ortamlarında bulunurken yerinde ortamlar için bu oran yüzde 19’dur.
• Bulut tabanlı BT altyapısı sürekli değişim içindedir ve her ay her sektörde yüzde 20’den fazla değişmektedir.
• Her ay yüksek riskli, bulutta barındırılan etkilenmelerin yaklaşık yüzde 50’si bulutta barındırılan yeni hizmetlerin devreye alınması ve/veya eskilerin yerine yenilerin gelmesi sonucu gerçekleşiyor.
• Açık yazılım geliştirme altyapısındaki güvenlik açıklarının yüzde 75’inden fazlası, bulutta bulunmalarından ötürü saldırganlar için cazip hedefler haline geliyor.
Uzaktan erişim etkilenmeleri yaygın olarak görülüyor
• Analiz edilen şirketlerin yüzde 85’inden fazlasında ayın en az yüzde 25’inde internet üzerinden erişilebilen Uzak Masaüstü Protokolü (RDP) bulundu. Bu şirketler fidye yazılım saldırılarına veya yetkisiz erişim denemelerine açık hale geliyor.
• Unit 42’nin incelediği dokuz sektörden sekizi, ayın en az yüzde 25’inde kaba kuvvet (brute force) saldırılarına karşı savunmasız olan ve internet üzerinden erişilebilen RDP’lere sahip.
• Finansal hizmet firmaları ile kamu kuruluşları veya yerel yönetimler ortalama olarak ay boyunca RDP etkilenmeleri yaşıyor.
Saldırı Yüzeyi Yönetimi Çözümlerine Talep
SecOps (Güvenlik Operasyonları) ekiplerinin ortalama yanıt süresini (MTTR) anlamlı bir oranda kısaltmalarını sağlamak, tüm kurumsal varlıklar için isabetli görünürlük ve bu varlıkların etkilenmesini otomatik olarak tespit etme yetkinliği gerektiriyor. Palo Alto Networks’ün sektör lideri Cortex Xpanse gibi saldırı yüzeyi yönetimi çözümleri, SecOps ekiplerine bir saldırı yüzeyindeki riskleri sürekli olarak tespit etmeleri, değerlendirmeleri ve azaltmaları için global internetle bağlantılı varlıkları ve potansiyel olarak hatalı konfigürasyonları hakkında tam ve doğru bir anlayış kazandırıyor.
Aracısız ve otomatik bir çözüm olan Cortex Xpanse, BT ekiplerinin farkında olmadığı ve takip etmediği varlıkları rutin olarak tespit eder. Her gün internetle bağlantılı varlıklarla ilgili olarak 500 milyardan fazla tarama gerçekleştirir. Bu sayede şirketlerin tüm bağlantılı sistemlerindeki ve etkilenen hizmetlerindeki bilinmeyen riskleri aktif olarak tespit etmelerine, öğrenmelerine ve en önemlisi bunlara yanıt vermelerine yardımcı olur. Cortex Xpanse, şirketlerin hem maruz kaldıkları riskleri görmelerini hem bunları otomatik olarak çözmelerini sağlayan birkaç üründen biridir. Cortex Xpanse ayrıca bir süre önce şirketlerin gerçek dünya zekası ve yapay zeka destekli iş akışlarından yararlanarak saldırı yüzeyi risklerini daha iyi önceliklendirmelerine ve çözmelerine yardımcı olacak yeni yetkinlikler tanıttı.
Günümüzde güvenlik operasyonları merkezini (SOC) destekleyen eski teknolojilerin artık işe yaramadığı ve müşterilerin ortalama yanıt ve onarım sürelerini ciddi oranda kısaltmaya ihtiyaç duydukları açıkça görülüyor. Cortex portföyündeki XSIAM gibi ürünler güvenlik operasyonlarında devrim yaratmak ve müşterilerin çevikliğini ve güvenliğini artırmaya yardım etmek amacıyla yapay zeka ve otomasyonu entegre ediyor.