paint-brush
İçeriden Gelen Tehditler, Ayrıcalık Yükseltme Suiistimallerini Artarak Kullanıyorile@isaac-kohen-teramind
879 okumalar
879 okumalar

İçeriden Gelen Tehditler, Ayrıcalık Yükseltme Suiistimallerini Artarak Kullanıyor

ile Isaac Kohen 7m2024/02/05
Read on Terminal Reader

Çok uzun; Okumak

Yeni bir rapor, içeriden gelen tehditlerin önemli kontrolleri atlatırken çekirdek sistemlere saldırmak için yeni ve yenilikçi yollar bulduğunu gösterebilir.
featured image - İçeriden Gelen Tehditler, Ayrıcalık Yükseltme Suiistimallerini Artarak Kullanıyor
Isaac Kohen  HackerNoon profile picture
0-item

A rapor 2023'ün sonlarında yayınlanan raporda, içerideki kişilerin, kuruluşlarının ağlarında yetkisiz eylemler gerçekleştirmek için ayrıcalık yükseltme açıklarından nasıl giderek daha fazla yararlandıkları açıklanıyordu.


Crowdstrike'ın raporuna göre, belirlenen içeriden gelen tehditlerin %55'i ayrıcalık yükseltme açıklarından yararlanıyor veya kullanmaya çalışıyor. İçeriden birinin kötü niyetli olduğu durumlarda, yükseltilmiş ayrıcalıklarını kullanarak Metasploit, Cobalt Strike gibi ek kitleri ve sistemlerden yararlanmaya yönelik diğer araçları kullandıkları gözlemlendi.


Araştırmanın şirket içi sistemlere odaklandığını ve muhtemelen bulut uygulamalarının kötüye kullanılmasından toplanan verileri içermediğini belirtmekte fayda var.


Raporlarına bakıldığında, isabetlerin büyük çoğunluğunun Windows ve Linux sistemlerinde olduğu görülüyor. Bununla birlikte, verilen parametreler dahilinde bunlar, 2024'e doğru ilerlerken güvenlik ekiplerinin dikkate almaya değer bazı oldukça önemli bulgulardır. Bu, içeriden gelen tehditlerin, önemli kontrolleri atlatırken çekirdek sistemlere saldırmak için yeni yenilikçi yollar bulduğunu gösterebilir.

Ayrıcalığın Yükseltilmesi Neden Önemlidir?

İşimizi doğru yaparsak, çalışanlarımızın hangi sistem veya varlıklara erişebilecekleri konusunda neler yapabileceklerini tanımlayan kontrolleri uygulamaya koyarız. Bir adım daha derine inerek yalnızca neye erişilebileceğini değil aynı zamanda birisinin bu varlıkla neler yapabileceğini de kontrol edebiliriz.


Bir varlığı okuyabilir, yazabilir, düzenleyebilir veya silebilir mi? Kendileri veya başkaları için ayrıcalıkları değiştirebilirler mi? Ayrıcalıkların tavşan deliği oldukça ileri gidebilir, ancak veri güvenliğiniz için gerçekten önemli olabilir.


İdeal dünyada her kullanıcı, işini yapmak için ihtiyaç duyduğu minimum düzeyde erişime ve ayrıcalığa sahiptir. Bu, En Az Ayrıcalık İlkesi olarak bilinir. Bunu tam olarak doğru şekilde yapmakta mükemmel olmak neredeyse imkansızdır, ancak hedeflenmesi gereken amaç budur.


İşin zorlaştığı nokta, kullanıcının kendisine sağlanan ayrıcalıkları yükseltmenin yollarını bulması.


Eğer başarılı olurlarsa, sistemlerimizle yapabilecekleri şeyin tanımlanmış sınırlarını aşmış oluyorlar. Bir miktar kontrol kaybederiz ve içeriden tehdit aktörü durumunda, varlıklarımız ve onları nasıl bulacağımız hakkında derin bilgiye sahip zorlu bir rakiple karşı karşıya kalırız.

İçeriden Gelen Tehditlerin Yol Açtığı Zorluklar

İçeriden gelen olaylar son birkaç yılda istikrarlı bir şekilde artıyor ve bu eğilimin 2024'te değişmesi beklenmiyor. Bu son derece endişe verici çünkü içeriden gelen tehditler birçok açıdan dışarıdan bir saldırgandan çok daha fazla zorluk teşkil ediyor.


Müşterilerin, iş ortaklarının ve iç paydaşların güvenini zedeleyen, kuruluş üzerindeki olumsuz etkilerinin ötesinde bunların tespit edilmesi tamamen zor olabilir.


İçeriden gelen tehdidin zorluklarından biri, bu kullanıcının, organizasyon içinde kendisine yer edinmesini sağlayan bir dizi ayrıcalıkla oyuna başlamasıdır. Görünüşte bu mantıklı. Eğer kişi bir çalışansa, o zaman ona işini yapabilme yeteneğini vermeniz gerekir. Bu, etkili bir çalışan olmak için uygun sistem ve verilere erişmek anlamına gelir.


İkinci zorluk, çalışanın organizasyonun sistemleri içindeki hareketinin normal olarak görülmesi ve rezervasyondan çok uzaklaşmadıkça herhangi bir uyarı zilinin çalmasının muhtemel olmamasıdır. Pratik anlamda, içeriden birinin balküplerinizden birine dokunma şansı oldukça düşüktür çünkü onlar zaten tam olarak neye erişmek istediklerini ve nerede bulunduğunu biliyorlar.


Bu zorluklardan bazıları göz önüne alındığında, içeriden gelen ayrıcalık yükseltme tehdidine karşı koymak için aşağıda birkaç ipucumuz var.

Ayrıcalıkları Arttıran İç Tehditlerden Kaynaklanan Riskinizi Azaltmaya Yönelik 3 Strateji

  1. Yama Yapın, Yama Yapın ve Erken ve Sık Sık Yama Yaptığınızdan Emin Olun

Siber güvenlik söz konusu olduğunda, çok faktörlü kimlik doğrulamanın (MFA) uygulanmasından önce bile en uzun süredir devam eden tavsiyelerden biri, yazılım sistemlerinize yama yapmanın kritikliğidir.


İran'ın nükleer tesislerine zarar vermek veya iPhone'ları hacklemek için kullanılanlar gibi sıfır gün güvenlik açıkları tüm basında yer alsa da çoğu bilgisayar korsanı, saldırılarını başarılı bir şekilde gerçekleştirmek için halka açıklanan bilinen güvenlik açıklarını kullanıyor.


Bilgisayar korsanları bu güvenlik açıklarıyla genellikle iki yoldan biriyle karşılaşırlar. Birincisi, MITRE Corporation tarafından kamu yararına yayınlanan, kamuya açık güvenlik açıklarına (CVE'ler) bakabilmeleridir. İkincisi ve daha can sıkıcı bir şekilde, yazılım güncellemelerine bakıp neyin düzeltildiğini bulmaya çalışabilirler ve ardından bundan nasıl yararlanabileceklerini görebilirler. Bu nedenlerden ve daha fazlasından dolayı, yeni sürümler çıktıktan hemen sonra yama yapmayı unutmayın.


Güvenlik açığı raporlama ve yayınlama sürecinin bir parçası olarak, yazılımın sahibi olan şirketlere veya açık kaynak yazılım söz konusu olduğunda proje yöneticilerine, genellikle bilgiler kamuya açıklanmadan önce ürünlerindeki sorunları düzeltmeleri için 90 günlük bir süre verilir. Bu, yazılım sahiplerini eyleme geçirme ihtiyacı ile hatayı düzeltmek için ihtiyaç duydukları alan arasında denge kurar.


Ancak yayınladıkları yamaları kullanmazsak tüm emekleri boşa gider. Bu, CVE'ler için yamaları uygulamak, Salı Yaması'nın gerekliliklerini yerine getirmek ve genel olarak sistemlerimizin en son sürümlerle güncel olduğundan emin olmak anlamına gelir.


Yama uygulamak büyük bir sıkıntı olabilir ve hiçbir organizasyon bu konuda olması gereken yerde değil. Her zaman birkaç adım geride, en kritik sistemlerine yama yaptıklarını umuyorlar.


Umut, buluta geçişin son kullanıcılardan yama yapma sorumluluğunu ortadan kaldıracağı ve bu sorumluluğun daha fazlasını SaaS çözümleri sağlayan satıcılara aktaracağıdır. Ancak AWS, Azure ve GCP gibi bulut altyapısı (IaaS) söz konusu olduğunda durumun böyle olmadığını, bu nedenle BT ve Güvenlik ekiplerinizin bir süre daha bu sistemlerde güncel kalabilmeleri için çalışır durumda olmaları gerekeceğini unutmayın. .


  1. Anormal Davranışı İzleme

İçeriden biri veya öyleymiş gibi davranan biri, normalde olduğundan farklı sistemlere erişme ayrıcalıklarını artırmayı başarırsa, bu büyük tehlikelere yol açacaktır. Tabii ki onu yakalamak için izleme sisteminiz varsa.


Kullanıcı Davranışı Analizi araçlarıyla normal etkinliğin temel çizgisini yakalamak, şüpheli davranışın ne zaman ortaya çıktığını anlamak için bir zorunluluktur.


Buradaki avantaj, davranış izlemenizin arka planda çalışması ve ayrıcalıklarda yapılan yasa dışı değişikliklerden etkilenmemesidir. Dokundukları sistemler veya gerçekleştirdikleri diğer eylemler, onlar için normal olarak tanımladığınız sınırların dışına çıkmaları durumunda toplanacak, kaydedilecek ve uyarılacak.


Uyarı verme özelliğinin ötesinde, ortamlarınızı izlemenin bir diğer faydası da bir olay sonrasında yapılan araştırmalarda kullanılmasıdır. Olaylara müdahaledeki en büyük zorluklardan biri, hangi sistemlerin etkilendiğini ve iyileştirmeye ihtiyaç duyabileceğini anlamaktır. Belirli bir kullanıcıya bağlı hassas sistemlerdeki aktivitenin oturum kaydının yapılması, incelemelere harcanan zamanı önemli ölçüde azaltabilir.


  1. İş gücünüzü Kurallara Uyma Konusunda Eğitin

Facebook'tan Mark Zuckerberg, şirketleri başarıya taşıyan startup ahlakının bir parçası olarak "Hızlı hareket et ve işleri kır" fikrini popüler hale getirdi. Sıkıcı bir kurumsal zihniyetten kurtulmak, inovasyon söz konusu olduğunda pek çok fayda sağlayabilirken, en azından bazı yönergelere bağlı kalmanın bazı faydaları vardır.


İşletmenin makinelerine ne tür yazılımların indirilebileceği ve onay süreçlerine ilişkin şirket politikalarının bir nedeni vardır. Belirli bir politika bile çok anlamlı bir şeyden çok bir engel gibi görünüyor.


Çalışanlarınızın kurallarınıza uymasını sağlamanın en iyi yolu, kuralları çiğnemenin potansiyel etkilerinin nelere yol açabileceğini onlara açıklayarak onları ikna etmektir.


İdeal olarak Powerpoint ile ölümden kaçının ve oturumları biraz daha etkileşimli hale getirin. Daha etkili olduğu kanıtlanmış bir yöntem, politikaların ihlal edildiği farklı durumları görevlendirmek ve bunun nasıl sonuçlandığını kendi gruplarına sunmaktır.


Bu aynı zamanda orduda yaşam ve ölüm güvenliği materyallerini öğretmek için kullanılan metodolojinin aynısıdır ve gerçekten hafızanıza kazınır.

Kasıtsız Olarak Dikkatsiz Ama Kötü Amaçlı Değil

Raporu baştan sona okuduğumda buradaki haberlerin göründüğü kadar kötü olmadığını görüyorum.


Yazarlar, olayların %45'inin tehdit oluşturma niyetinde olan kötü niyetli kişilerden kaynaklanmadığını belirtiyor. Olaylardan bazıları, şirket içindeki kişilerin, işverenlerine zarar vermekten başka nedenlerle, yapmamaları gereken yazılımları kuruluşun makinelerine indirebilmeleri için kuralları ihlal etmelerini içeriyor.


Çalışanlarınızın iş makinelerine torrent veya diğer yasa dışı yazılımları indirebilmek için kontrollerin etrafından dolaştığını düşünün.


Belki de bunun gibi en büyük hikayelerden biri, işçilerle ilgili eski ve her zaman güzel olan hikayedir. Ukrayna nükleer santrali Kripto para birimi madenciliği amacıyla kasıtlı olarak çevrimdışı sistemlerini internete bağlayanlar. Bu, savaşın patlak vermesinden önceydi, ancak Rus bilgisayar korsanlarının Ukrayna'nın kritik altyapısını hedef alan kampanyasının oldukça öncesindeydi, dolayısıyla hala son derece kötü bir fikirdi.


Öte yandan birinin zarar verme niyetinde olmaması, ortada faul olmadığı anlamına gelmez. Göre 2023 Verizon Veri İhlali Araştırmaları Raporu Çeşitli Hatalar, yıllık veri ihlali istatistiklerinin önemli bir bölümünü oluşturmaya devam ediyor. Müşteri PII'ları gibi kontrollü verileri ifşa eden şirketleri araştıran düzenleyiciler söz konusu olduğunda, eylemin kötü niyetli olup olmadığı pek umurlarında değil. Sadece böyle oldu.


Umarız en iyi uygulamaları takip ederek ve ekibinizi eğiterek, kötü bir olayı, bir anlık kötü karar yerine tamamen kötü niyetli bir eylem olarak açıklamak zorunda kalmayı önleyebilirsiniz.