Bir dış saldırı yüzeyinin anatomisi

Organizasyonların izlemesi gereken beş öğe

Organizasyonlar buluta geçtikçe ve merkeziyetsiz çalışmaya yöneldikçe siber güvenlik dünyası da karmaşıklaşmaya devam ediyor. Günümüzde dış saldırı yüzeyi çoklu bulutları, karmaşık dijital tedarik zincirlerini ve devasa üçüncü taraf ekosistemlerini kapsamaktadır. Sonuç olarak, günümüzde yaygın olarak görülen küresel güvenlik sorunlarının büyüklüğü, kapsamlı güvenlik algımızı kökten değiştirmiştir.

İnternet de artık bu ağın bir parçasıdır. Akıl almaz boyutuna rağmen güvenlik ekipleri, kurumlarının internetteki varlığını, güvenlik duvarlarının arkasındaki diğer şeylerle aynı derecede savunmalıdır. Ayrıca, Sıfır Güven ilkelerini benimseyen kurumların sayısı arttıkça hem iç hem de dış saldırı yüzeylerini korumak, internet ölçeğinde bir zorluk haline gelmektedir. Bu bağlamda, organizasyonların saldırı yüzeylerinin kapsamını tam olarak idrak etmesi giderek daha büyük bir önem kazanmaktadır.

Microsoft, organizasyonların dijital kurumların tamamının güvenliğini değerlendirmelerine yardımcı olmak için RiskIQ’yu 2021’de satın aldı. RiskIQ İnternet İstihbarat Grafiği ile güçlendirilmiş organizasyonlar dayanaklı, ölçeklenebilir bir savunma oluşturmak için saldırı yüzeyini oluşturan bileşenler, bağlantılar, hizmetler, IP bağlantılı cihazlar ve altyapı genelindeki tehditleri keşfedebilir ve bunları araştırabilir.

Güvenlik ekiplerinin savunmaları gereken alanın derinliği ve büyüklüğü korkutucu nitelikte olabilir. Ancak, organizasyonlarının saldırı yüzeyi kapsamının ele alınması için internetin bir saldırganın bakış açısından değerlendirilmesi gereklidir. Bu makalede etkili bir dış saldırı yüzeyi yönetiminde karşılaşılan zorlukların daha iyi bir şekilde tanımlanmasına yardımcı olacak beş alana vurgu yapılmaktadır.

Global saldırı yüzeyi internetle birlikte büyümektedir

Ve her gün büyümektedir. 2020 yılında internetteki veri miktarı 40 zetabayta (40 trilyon gigabayt) ulaşmıştır.¹ RiskIQ, global saldırı yüzeyini oluşturan iç içe geçmiş iş parçacıklarına her geçen dakika 117.298 ana bilgisayar ve 613 etki alanının² eklendiğini tespit etmiştir. Bunların her biri, temeldeki işletim sistemleri, çerçeveleri, üçüncü taraf uygulamaları, eklentileri ve izleme kodu gibi bir dizi öğeyi içerir. Bu tür ayrıntıları kapsayan sitelerin hızla çoğalması, global saldırı yüzeyinin katlanarak artmasına neden olmaktadır.

dakika başına oluşturulan ana bilgisayarlar.
dakika başına oluşturulan etki alanları.
Dakika başına 375 tehdit.²

Bu büyümeye hem meşru organizasyonlar hem de tehdit aktörleri tarafından katkı sağlanmakta, dolayısıyla tüm internet genelinde siber tehditler büyük ölçekte artış göstermektedir. Gelişmiş kalıcı tehditler (APT'ler) ve küçük siber suçlular, işletmelerin verilerini, markalarını, fikri mülkiyetlerini, sistemlerini ve insan kaynaklarını hedef alarak güvenliğini tehdit eder.

2021’in ilk çeyreğinde, CISCO tarafından 611.877 benzersiz kimlik avı sitesinin bulunduğu³ ve dakikada 32 etki alanı ilhali ve 375 yeni tehdidin ortaya çıktığı tespit edilmiştir.² Bu tehditler, sahte varlıklarla organizasyonların çalışanlarını ve müşterilerini hedef alarak kimlik avıyla hassas verileri ele geçirmek üzere bu kişileri kötü amaçlı bağlantılara tıklama konusunda yanıltmaya çalışmaktadır. Sonuç olarak bu tür tehditler, markaya olan güveni ve tüketici güvenini aşındırabilir.

Uzaktan çalışan iş gücüne dayalı güvenlik açıklarında artış

İnternete maruz kalan varlıklardaki hızlı artış, genel olarak organizasyonları etkileyen tehdit ve güvenlik açıkları yelpazesini önemli ölçüde genişletmiştir. COVID-19’un çıkışıyla birlikte dijital büyüme bir kez daha hız kazanmış ve neredeyse her bir organizasyon, uzaktan, esnek bir iş gücü ve çalışma modeline geçiş yapabilmek için dijital ayak izini arttırmıştır. Sonuç: saldırganlar artık sistem durumu yoklaması yapmak veya sistemden kötü amaçla yararlanmak için daha fazla giriş noktasına sahiptir.

Dünyanın büyük kısmında evden çalışma politikası benimsenirken RDP (Uzak Masaüstü Protokolü) ve VPN (Sanal Özel Ağ) gibi uzaktan erişim teknolojilerinin kullanımı sırasıyla yüzde 41 ve yüzde 33 oranında büyük bir artış göstermiştir⁴. Küresel uzak masaüstü yazılımı pazarının büyüklüğü 2019’da 1,53 milyar ABD dolarıyken, 2027’de 4,69 milyar ABD dolarına ulaşması beklenmektedir.⁵

Uzaktan erişim yazılımları ve cihazlarında görülen onlarca yeni güvenlik açığı, saldırganlar için benzeri görülmemiş bir zemin sağlamıştır. RiskIQ, en popüler uzaktan erişim ve çevre cihazlarında görülen birçok güvenlik açığı örneğini ortaya çıkarmıştır ve güvenlik açıklarının şiddetli artışında yavaşlama olmadığı görülmektedir. 2021 yılında toplam 18.378 güvenlik açığı raporlanmıştır.⁶

RDP kullanımındaki artış.
VPN kullanımındaki artış.
2021 yılında raporlanan güvenlik açıkları.

Dijital kurumlara özel olarak çoklu tehdit grupları tarafından düzenlenen küresel ölçekte saldırılarda yaşanan artış, güvenlik ekiplerinin dijital tedarik zincirindeki ilişkiler içinde ve arasında yer alan hem kendileri hem de üçüncü taraflar, iş ortakları, kontrollü ve kontrolsüz uygulamalar ve hizmetler için güvenlik açıklarını azaltma ihtiyacına neden olmuştur.

Dijital tedarik zincirleri, M&A ve gölge BT gizli bir saldırı yüzeyi oluşturmaktadır

Siber saldırıların çoğu ağdan kilometrelerce uzakta gerçekleşir ve Web uygulamaları, bilgisayar korsanlığıyla ilgili ihlallerde en yaygın olarak yararlanılan vektör kategorisini oluşturur. Ne yazık ki çoğu organizasyon, internet varlıkları ve bu varlıkların global saldırı yüzeyine nasıl bağlandığına ilişkin net bir bilgi sahibi değildir. Gölge BT, birleşme ve satın almalar (M&A) ve dijital tedarik zincirleri bu konuda görünürlük eksikliğine en çok katkıda bulunan üç önemli faktördür.

dakika başına süresi dolan hizmetler.²
Siber güvenlik hakkında ayrıntılı inceleme sunan teklif oranı.⁷
Üçüncü kişi kaynaklı en az bir veri ihlali deneyimlemiş organizasyon oranı.⁸

Gölge BT

BT’nin işletme gereksinimlerine uyum sağlayamadığı noktada işletmeler yeni web varlıkları geliştirmek ve dağıtmak için farklı çözüm yolları ararlar. Bu gölge BT etkinlikleri genellikle güvenlik ekibini karanlıkta bırakır ve sonuç olarak ekip, güvenlik programı kapsamında oluşturulan varlıkları kullanıma sunamaz. Yönetilmeyen ve sahipsiz varlıklar, zamanla bir organizasyonun saldırı yüzeyinde ilgilenilmesi gereken bir sorumluluğa dönüşebilir.

Güvenlik duvarı dışındaki dijital varlıkların bu şekilde hızlı şekilde artış göstermesi artık beklenilen bir durumdur. Yeni RiskIQ müşterileri genellikle düşündüklerinden yaklaşık yüzde 30 daha fazla varlığa sahip olduklarını fark ederken RiskIQ da her geçen dakika 15 süresi dolmuş hizmeti (alt etki alanının ele geçirilmesine açık) ve 143 açık bağlantı noktasını tespit etmektedir.²

Birleşme ve satın almalar

Günlük operasyonlar ve M&A (Birleşme ve Satın Alma), stratejik ortaklıklar ve dış kaynak kullanımı gibi kritik işletme girişimleri bir dış saldırı yüzeyi oluşturur veya var olan yüzeyi genişletir. Günümüzde siber güvenlik hakkında ayrıntılı inceleme sunan teklif oranı %10’un altındadır.

Organizasyonların ayrıntılı inceleme sürecinde potansiyel siber riskler hakkında eksiksiz bir görünüm elde etmemesinin altında yatan birkaç ortak sebep vardır. Bunlardan birincisi, şirketin edindiği dijital iletişim durumunun büyüklüğüdür. Büyük organizasyonlar genellikle binlerce veya on binlerce aktif web sitesine veya başka türlü kamunun erişimine açık varlıklara sahiptir. Satın alınacak şirketteki BT ve güvenlik ekipleri web sitelerine ilişkin bir varlık kaydına sahip olsa da, bu çoğu zaman elde mevcut olanın yalnızca kısmi bir görünümünü sunar. Bir organizasyonun BT etkinlikleri ne kadar merkeziyetsizse boşluk da o kadar büyük olur.

Tedarik zincirleri

Kurumların moden tedarik zincirini oluşturan dijital iş ortaklıklarına olan bağımlılığı giderek artmaktadır. 21. yüzyılda işletme faaliyetlerinin yürütülmesi için bu bağımlılıklar vazgeçilmez olsa da bunlar aynı zamanda dağınık, katmanlı, son derece karmaşık üçüncü kişi ilişki ağlarını meydana getirmektedir. Bu ağların çoğu güvenlik ve risk ekiplerinin proaktif olarak koruma ve savunma kapsamının dışında kalmaktadır. Sonuç olarak, risk sinyali veren güvenlik açığı olan dijital varlıkların hızlıca tanımlanması büyük bir zorluk teşkil etmektedir.

Bu bağımlılıklar hakkında yeterli bilgi ve görünürlüğün sağlanmaması da tehdit aktörleri arasında en sık karşılaşılan ve etkili olan vektörlerin üçüncü kişi saldırıları olmasına neden olmuştur. Günümüzde saldırıların büyük bir kısmı dijital tedarik zinciri kaynaklıdır. BT uzmanlarının %70’i üçüncü, dördüncü veya beşinci kişileri içeren dış varlıklara orta-yüksek seviyede bağımlılıkları olduğunu belirtmektedir.⁹ Aynı zamanda, organizasyonların %53’ü ise üçüncü kişi kaynaklı en az bir veri ihlali olayını deneyimlemiştir.¹⁰

Geniş ölçekli tedarik zinciri saldırıları daha yaygın hale gelse de organizasyonlar her gün küçük çaplı saldırılarla da mücadele etmektedir. Magecart gibi dijital kredi kartı taraması yapan kötü amaçlı yazılımlar, üçüncü taraf e-ticaret eklentilerini etkilemektedir. RiskIQ, Şubat 2022’de 300’den fazla alan adının Magecart dijital kredi kartı bilgilerinin çalınmasına yönelik kötü amaçlı yazılımdan etkilendiğini tespit etmiştir.¹¹

Sıradan tüketicilerin yaşam tarzı daha mobil odaklı hale geldikçe, işletmeler de her yıl mobil alanına daha fazla yatırım yapmaktadır. Amerikalılar artık canlı TV izlemektense mobil cihazlarda daha fazla zaman geçirmektedir ve sosyal mesafe pratikleri de benzer şekilde fiziksel ihtiyaçlarını alışveriş ve eğitim gibi mobil cihazlardaki deneyimlere taşımalarına neden olmuştur. App Annie mobil harcamaların 2021 yılında yıllık %19’luk artışla 170 milyar ABD dolarına ulaştığını bildirmiştir.¹²

Mobile karşı olan bu talep mobil uygulamaların hızla yaygınlaşmasını da beraberinde getirmektedir. 2020 yıllında kullanıcılar 218 milyar uygulama indirmiştir. RiskIQ ayrıca, 2020’de kullanımda olan mobil uygulamalarda yüzde 33’lük bir genel büyüme yaşandığını ve dakikada 23 uygulamanın kullanıma sunulduğunu da kaydetmiştir.²

mobil uygulamalardaki büyüme oranı.
her bir dakikada kullanıma sunulan mobil uygulama sayısı.
her beş dakikada bir engellenen uygulama sayısı.²

Organizasyonlar için bu uygulamalar işletme sonuçlarını geliştirir. Ancak, aynı zamanda bunların kötü yanı da vardır. Uygulama düzlemi, bir kurumun güvenlik duvarını aşan genel saldırı yüzeyinin önemli bir kısmını oluşturur. Bu noktada, güvenlik ekipleri genellikle ciddi düzeyde görünürlük eksikliğine dayalı sorunlarla karşılaşmaktadır. Tehdit aktörleri, bu görünmezlikten yararlanarak iyi bilinen markaları taklit eden veya olmadıkları bir şeymiş gibi görünen “dolandırıcılık uygulamaları” oluşturup müşterileri bu uygulamaları indirmeye ikna ederek veya kandırarak geçimlerini sağlarlar. Bu konuda şüphe duymayan bir kullanıcı bu kötü amaçlı uygulamaları indirdiğinde, tehdit aktörleri hassas bilgileri ele geçirmek için kimlik avı saldırısı düzenleyerek veya cihazlara kötü amaçlı yazılım yükleyerek kendi istediklerini yerine getirebilirler. RiskIQ her beş dakikada bir kötü amaçlı yazılımlardan oluşan bir engellenenler listesi oluşturmaktadır.

Bu dolandırıcılık uygulamaları, bazı zamanlarda başlıca uygulama mağazalarının dayanıklı savunma mekanizmalarını aşarak resmî uygulama mağazalarında bile kullanıcıların karşısına çıkabilmektedir. Ancak tanınmış mağazaların sunduğu bu göreceli güvenliğin ötesinde, daha az tanınmış yüzlerce uygulama mağazası karanlık bir mobil yeraltı dünyasını temsil etmektedir. Bu mağazalardaki uygulamalar, resmî uygulama mağazalarında sunulanlara kıyasla daha düşük bir düzenlemeye tabi tutulmakta ve hatta mağazalardan bazılarında sunulan kötü amaçlı yazılım sayısı güvenli teklifleri aşmaktadır.

Global saldırı yüzeyi, bir organizasyonun saldırı yüzeyinin de bir parçasıdır

Günümüzün küresel internet saldırı yüzeyi hepimizin bir parçası olduğu, büyük ölçüde dinamik, bütüncül ve tamamıyla dolaşık bir ekosistem halini almıştır. İnternet iletişim durumuna sahip olduğunuzda size zarar veren kişiler de dahil olmak üzere internetteki herkesle etkileşime geçersiniz. Bu nedenle, tehdit altyapısının izlenmesi kendi altyapınızı da izlemek kadar önemlidir.

yeni kötü amaçlı yazılım algılanmaktadır.²
kötü amaçlı yazılım varyantlarındaki artış oranı.¹³
Cobalt Strike sunucusu.²

Farklı tehdit grupları, kolaylıkla ilişkilendirilmekten kaçınmak için IP’lerden, etki alanlarından ve sertifikalardan oluşan altyapıları geri dönüştürme ve paylaşma yöntemine başvurarak kötü amaçlı yazılım, kimlik avı kitleri ve C2 bileşenleri gibi açık kaynak emtia araçlarını kendi ihtiyaçlarına uygun şekilde son ayarlamalarını yapıp kullanmaktadır.

Her gün 560.000’den fazla yeni kötü amaçlı yazılım tespit edilirken yeraltı siber suç pazarlarında tanıtılan kimlik avı kitlerinin sayısında da 2018’den 2019’da iki kat artış yaşanmıştır. 2020 yılında tespit edilen kötü amaçlı yazılım varyantlarının sayısında %74 artış yaşanmıştır.¹⁴ RiskIQ artık her 49 dakikada bir Cobalt Strike C2 sunucusu tespit etmektedir.

Geleneksel olarak, çoğu organizasyonun güvenlik stratejisi, çevreden başlayıp katmanlı şekilde korunması gereken varlıklara doğru ilerleyen derinlemesine savunma yaklaşımı etrafında şekillenmiştir. Ancak bu raporda sunulduğu üzere bu strateji tipi ve saldırı yüzeyi arasında kopukluklar vardır. Dijital etkileşim odaklı günümüz dünyasında, kullanıcılar, giderek artan sayıda güvenliği ihlal edilen kurumsal dijital varlıklar ve birçok kötü amaçlı aktör gibi, çerçevenin dışında yer almaktadır. Kurumsal kaynaklar genelinde Sıfır Güven ilkelerini uygulanması karşılaşılan tehditlerin konumu veya ölçeğine bakılmaksızın kişilerin, cihazların, uygulamaların ve verilerin korunmasını sağlayarak günümüzde iş gücünün korunmasını sağlayabilir. Microsoft Güvenlik, organizasyonunuzun Sıfır Güven aşamasını değerlendirmenize yardımcı olmak için hedefe yönelik değerlendirme araçları sunar.

[1]

https://go.microsoft.com/fwlink/?linkid=2262595
[2]

RiskIQ Evil Internet Minute (İnternet Dakika) Raporu, 2021
[3]

https://go.microsoft.com/fwlink/?linkid=2262596
[4]

https://go.microsoft.com/fwlink/?linkid=2262731
[5]

https://go.microsoft.com/fwlink/?linkid=2262712
[6]

https://go.microsoft.com/fwlink/?linkid=2262569
[7]

https://go.microsoft.com/fwlink/?linkid=2262823
[8]

https://go.microsoft.com/fwlink/?linkid=2262805
[9]

https://go.microsoft.com/fwlink/?linkid=2262476
[10]

https://go.microsoft.com/fwlink/?linkid=2262477
[11]

https://go.microsoft.com/fwlink/?linkid=2262597
[12]

https://go.microsoft.com/fwlink/?linkid=2262920
[13]

https://go.microsoft.com/fwlink/?linkid=2262355

Saldırı yüzeyi Siber destek Güvenlik açıkları

İlgili makaleler

Siber Tehdit Tutanağı

Siber saldırı anında her saniye önemlidir. Dünya çapındaki siber suçların ölçeğini ve kapsamını göstermek için bir yıllık siber güvenlik araştırmasını 60 saniyelik bir pencereye sığdırdık.

Daha fazla bilgi edinin

Hizmet olarak fidye yazılımı

Siber suç dünyasının en yeni iş modeli olan, insanlar tarafından yürütülen saldırılar, beceri seviyeleri fark etmeksizin tüm suçluların elini güçlendiriyor.

Daha fazla bilgi edinin

Büyüyen IoT ve OT’ye yönelik risk

IoT'nin artan dolaşımı, bir dizi potansiyel güvenlik açığı ve tehdit aktörlerine maruz kalma nedeni ile OT'yi riske atıyor. Kurumunuzu nasıl güvende tutabileceğinizi öğrenin.

Daha fazla bilgi edinin

Bir dış saldırı yüzeyinin anatomisi

Organizasyonların izlemesi gereken beş öğe

Global saldırı yüzeyi internetle birlikte büyümektedir

Global saldırı yüzeyi her geçen dakika daha da büyümektedir

Uzaktan çalışan iş gücüne dayalı güvenlik açıklarında artış

Yeni bir güvenlik açığı düzlemi

Dijital tedarik zincirleri, M&A ve gölge BT gizli bir saldırı yüzeyi oluşturmaktadır

Risk altıdaki bağımlılıklar

Gölge BT

Birleşme ve satın almalar

Tedarik zincirleri

Uygulama mağazaları giderek büyüyen bir saldırı yüzeyi oluşturmaktadır

Global saldırı yüzeyi, bir organizasyonun saldırı yüzeyinin de bir parçasıdır

Global saldırı yüzeyi, bir organizasyonun saldırı yüzeyinin bir parçasıdır

İlgili makaleler

Siber Tehdit Tutanağı

Siber saldırı anında her saniye önemlidir. Dünya çapındaki siber suçların ölçeğini ve kapsamını göstermek için bir yıllık siber güvenlik araştırmasını 60 saniyelik bir pencereye sığdırdık.

Hizmet olarak fidye yazılımı

Siber suç dünyasının en yeni iş modeli olan, insanlar tarafından yürütülen saldırılar, beceri seviyeleri fark etmeksizin tüm suçluların elini güçlendiriyor.

Büyüyen IoT ve OT’ye yönelik risk

IoT'nin artan dolaşımı, bir dizi potansiyel güvenlik açığı ve tehdit aktörlerine maruz kalma nedeni ile OT'yi riske atıyor. Kurumunuzu nasıl güvende tutabileceğinizi öğrenin.