Güvenlik Açıkları, Yanlış Yapılandırmalar ve Kaçınılması Gereken Kullanıcı Davranışları
Bugün siber suçlular her zamankinden daha sofistike yönetmeler kullanma ve kuruluşların sistemlerine yetkisiz erişim elde etmek için en zayıf noktalarından yararlanma eğilimindeler. Herhangi bir güvenlik açığı veya yanlış yapılandırma, saldırganlar için kolay bir giriş noktası sağlayabilir. Sonuç olarak, herhangi bir kuruluşun güvenliği ancak en zayıf halkası kadar güçlüdür.
En son ENISA (Avrupa Birliği Siber Güvenlik Ajansı) Tehdit Durum (ETL) raporuna göre, güvenlik açıklarından yararlanmadaki yıllık artış %33 olarak gerçekleşti ve güvenlik olaylarının en yaygın nedeni oldu. Güvenlik açıkları, ulusal siber güvenlik stratejilerinde çok önemlidir ve küresel liderler, yazılım güvenlik açıklarını ele almanın ne kadar önemli olduğunu yeni yeni anlamaya başlıyor. Hem Avrupa Birliği hem de ABD Ulusal Siber Güvenlik Stratejisi, yazılım açıkları sorununu çözmek için çalışıyor. Güvenlik önlemleri ve bunun cezalarına yönelik kapsam belirsiz olsa da, her iki düzenlemenin de daha fazla sorumluluk alıp güvenlik direncini arttırmaya çalıştığı açıktır.
Yanlış yapılandırmalar, kullanıcı davranışı riskleri ve güvenlik açıkları hakkında bilgi edinmek, herhangi bir kuruluştaki veri ve sistemlerin güvenliğini ve bütünlüğünü korumak için çok önemlidir. Bu faktörlerin anlaşılması, kuruluşların ve bireylerin riski azaltmasına ve hukuki gereklilikleri yerine getirmesine yardımcı olur.
Risklerin Anatomisi
Günümüzde saldırganlar, güvenlik açıklarını keşfetmek için çeşitli teknikler kullanıyor. Siber saldırganlar tarafından kullanılan yaygın bir yöntem, piyasada bulunan birçok otomatik tarayıcıdan birini çalıştırmaktır.
Saldırganlar, gelişmiş bir uygulama kullanarak hedef ağı tarar ve gerekli tüm bilgileri içeren verileri grafik biçiminde alırlar. Uygulama; IP adresleri, işletim sistemleri, uygulama sürümleri, keşfedilen güvenlik açıkları hakkında ayrıntılı bilgiler ve mevcut zafiyetlerden yararlanma tekniklerinin ayrıntılı bir raporunu verir. Siber suçlular, hedeflenen sistemi tehlikeye atmak için hangi mevcut tekniğin kullanılacağına kısa sürede karar verebilir.
Başka bir yöntem, istismar edilebilir bir güvenlik açığı ile başlamak, ardından fırsatçı olarak internetten erişilebilen savunmasız sistemleri bulmaktır. Microsoft Exchange, VMware ESXi veya ManageEngine gibi popüler yazılımları hedef alan bu formülü kullanan saldırılarda artış görülüyor. Bu fırsatçı saldırılar genellikle bir tedarik zincirine erişime yol açtığından, ilk zafiyet karmaşık bir operasyonun sadece başlangıcı olabilir.
Korumayı Artırma
Bütün bunlar, BT uzmanlarının sahip oldukları varlıkları, olası riskleri anlamaları ve saldırı türlerini en aza indirmeleri gerektiği sonucuna varmamızı sağlıyor. Güçlü siber güvenlik politikası oluşturmak için çeşitli güvenlik açıkları tanımlamalıyız:
Ağ güvenlik açıkları: Ağımızı saldırganlara açık hale getirebilecek donanım ve işletim sistemlerindeki zafiyetler. Yaygın riskler, yama uygulanmamış güvenlik duvarları, RDP bağlantıları veya korumasız Wi-Fi ağları kullanmaktır.
İşletim sistemi ve uygulama güvenlik açıkları: Örneğin ek kod çalıştırılarak ve saldırganların sistemin denetimini ele geçirmesine izin verilerek zafiyete neden olunabilir.
Kullanıcı güvenlik açıkları ve hataları: Bunlar, bir yöneticinin veya kullanıcının yanlış yapılandırma veya zayıf parola politikalarıyla ilgili riskli davranışı tarafından oluşturulur.
Bir yama yüklemek veya yazılımı güvenlik açıkları olmadan daha yeni bir sürüme yükseltmek, güvenlik açıklarına karşı en önemli risk önleme yöntemidir. Neyin yamalanması gerektiğini bilmek için, güvenlik uzmanlarının görünürlüğe ihtiyacı vardır ve genellikle nelerden yararlanıldığını ve yapılandırma sırasında nerede hata yaptıklarını bilmelidirler.
Açıklar üç kategoriye ayrılıyor:
1. Yanlış Yapılandırma
2. Kullanıcı Hataları
3. Güvenlik Açıkları
1. Yanlış Yapılandırmada En Büyük Riskler
Ağ Yazıcı Hizmetinden Yararlanabilir – Microsoft servisleri: (CVE-2021-34527 PrintNightmare olarak da bilinir) siber saldırganlara kap açabilen bir güvenlik açığını kabul etmiştir. Bu servis açığını kullanan siber saldırganlar sistemlere sızmayı başarabilir. Sunucuların ve uç noktaların tamamen güncellenip güncellenmediğini kontrol etmeniz gerekir. Gerekli olmadığında bu hizmet devre dışı bırakılmalıdır.
Internet Explorer: Java izinleri: Bu, Java uygulamalarının yönetimi ve izinlerini belirlemenizi sağlar. Java uygulamaları, kurbana zarar verebilecek kötü amaçlı bir kod içerebilir. Saldırganlar bilgisayara erişerek herhangi bir komutu yürütebilir, bir uygulama yükleyebilir veya fidye yazılımı çalıştırabilir. Siber güvenlik politikasını iyileştirmek için IT yöneticileri, şirket ağındaki tüm bilgisayarlarda bu işlevi devre dışı bırakmalıdır.
WinRM Hizmeti – Windows Remote Management: Windows servisinin ve protokolünün adıdır. WinRM komutuyla çağrılabilir ve HTTP veya HTTPS üzerinden yönetim komutları gönderen Windows bilgisayarların lokal ve uzaktan yönetimine izin verir. Yöneticiler, sunucuların yönetimini otomatikleştirmek ve yönetim uygulamaları için veri elde etmek için komut dosyaları kullanabilir. Bu servis, yöneticiler tarafından gerekli olmadıkça ve kullanılmadıkça devre dışı bırakılmalı, ardından özel hesaplar ve izinlerle ayrılmalıdır. IT Yöneticileri, WinRM’ye bağlanırken HTTP yerine HTTPS kullanmalı ve özel IP adreslerinden hizmete erişimi kısıtlamalıdır. Ayrıca sistemde siber saldırıları önlemek için güçlü bir parola kullanılmalıdır. IT yöneticileri uzaktan yönetim servisini kullanmadığında devre dışı bırakılmalıdır.
Internet Explorer: Oturum açma seçenekleri (Yasaklı Siteler Bölgesi) – Eski Internet Explorer, yöneticiler için yapılandırmayı basitleştirmek üzere beş farklı Güvenlik Bölgesine sahipti. Kimlik avı kampanyasını kullanan dolandırıcılar, kullanıcıyı mesajdaki bir bağlantıdan bir sayfa açmaya ikna edebilir. Güvenlik politikası önerisi, Anonim oturum açma kullanımını yapılandırmaktır. Oturum Açma seçenekleri için anonim oturum açma, kullanıcı adı ve parola isteme, yalnızca İntranet bölgesinde otomatik oturum açma ve mevcut kullanıcı adı ve parola ile otomatik oturum açma gibi ayarlar atanabilir.
Internet Explorer: Güvenli olarak işaretlenmemiş ActiveX denetimlerini başlatın ve komut dosyası oluşturun (Güvenilen Siteler Bölgesi) – ActiveX, güvenli veya güvenilmez olup olmadıklarını kontrol etmeden herhangi bir parametreyi ve komut dosyasını yükleyebilir ve çalıştırabilir. Komut dosyası bellekte yürütülür, diskte herhangi bir değişiklik yapmaz ve uç nokta güvenlik ürünlerinde algılama özelliklerini atlamayı deneyebilir. VBA, Perl gibi popüler dillerden birinde yazılmış komut dosyası, arka kapı iletişimi başlatmak, bilgi toplamak ve dosyaları şifrelemek için kurbanın bilgisayarına ilk erişimi sağlamak için kötü amaçlı kod çalıştırabilir. Güvenli olarak işaretlenmemiş tüm ActiveX denetimleri engellenmelidir.
Internet Explorer: Dosyaları sürükleyip bırakmaya veya kopyalayıp yapıştırmaya izin ver (Yasaklı Siteler Bölgesi) – IT yöneticisi, her bölge için kullanıcıların dosyaları nasıl sürükleyip bırakacağını veya kopyalayıp yapıştıracağını denetleyebilir. Bu yanlış yapılandırma, kötü amaçlı web sitelerini ziyaret ederken kullanıcının bilgisayarına silah haline getirilmiş dosyalar yerleştirmeyi mümkün kılabilir. Yönetici bu politikayı devre dışı bıraktığında, kullanıcıların güvenilmeyen dosyaları indirmesini engeller veya komut istemi ayarları aracılığıyla kullanıcıları eylemi seçmeleri konusunda bilgilendirebilir. Yasak Siteler Bölgesinde barındırılan içerik engellenmelidir.
Internet Explorer: Kullanıcı bir sunucuya dosya yüklerken lokal yolu dahil et (Yasaklı Siteler Bölgesi) – Kullanıcı HTML formu aracılığıyla dosya yüklediğinde, dosyanın bulunduğu yerel dizin yolu hakkında da bilgi gönderebilir. Dosya konumuna bağlı olarak kullanıcı adı gibi bazı bilgiler istemeden ortaya çıkabilir. Kurumsal ağdaki tüm kullanıcılar için bu seçenek devre dışı bırakılmalıdır.
Internet Explorer: Internet Explorer WebBrowser denetimlerinin komut dosyası yazılmasına izin ver (Kısıtlı Siteler Bölgesi) – WebBrowser denetimi, Internet Explorer’da komut dosyası aracılığıyla denetimleri uygulamak için kullanılabilecek çeşitli özelliklere, yöntemlere ve olaylara sahiptir. Komut dosyası, çalışması engellenemeyen yönetilmeyen kod içerebilir. WebBrowser yalnızca tam güvenle çalışmak üzere tasarlanmıştır. Siber güvenlik politikasını iyileştirmek için IT yöneticilerinin bu işlevi devre dışı bırakması gerekir.
Internet Explorer: Java izinleri (Internet Bölgesi) – Yukarıda Internet Explorer: Java izinleri bölümünde açıklanana benzer bir hatalı yapılandırmadır. Java uygulamaları kötü amaçlı kod içerebilir. Düşük Güvenlik yapılandırması, uygulamaların tüm işlemleri gerçekleştirmesini sağlar. Siber güvenlik politikasını iyileştirmek için IT yöneticileri bu işlevi devre dışı bırakmalıdır.
Internet Explorer: Komut dosyalarına izin ver (Kısıtlanmış Siteler Bölgesi) – Scriptlet, bir kod parçası içeren yeniden kullanılabilir bir Bileşen Nesne Modelidir; örneğin HTML’ye embedded bir Java, bir Web sayfasındaki herhangi bir eylem için kullanılabilir. Yasak Sitelerde bulunan Scriptlets kötü amaçlı kod içerebilir. Siber güvenlik politikasını iyileştirmek için IT yöneticileri bu işlevi devre dışı bırakmalıdır.
2. Kullanıcı Hatalarında En Büyük Riskler
Eski Kullanıcı Parolası: Kullanıcı, lokal veya domain hesabının parolasını 90 günden uzun bir süredir değiştirmediyse mutlaka değiştirmeli. Zorunlu parola değişikliklerinin yarardan çok zarar verebileceğini ve dikkatli dengeleme gerektirdiğini unutmayın. Parolaları sık sık değiştirmek zorunda kalan kullanıcılar, parolaları bir kağıt üzerinde tutabilir veya sonunda daha az karmaşık ve siber saldırı riskini daha kolay hale getirebilir. NIST Dijital Kimlik Yönergelerindeki, parola değişikliklerini yalnızca kullanıcı isteğinde veya kimlik doğrulama güvenliğinin aşıldığına dair kanıt olduğunda önerir. Microsoft ayrıca, kullanıcı hesapları için zorunlu periyodik parola sıfırlamaları önermez. Güçlü parola politikaları ve çok faktörlü kimlik doğrulama kullanmanızı öneririz.
Parolanın süresi dolmaz: “Parolanın süresi dolmaz” özelliğinin doğrulanması. Yukarıda bahsedildiği gibi Microsoft ve NIST, kullanıcı hesapları için zorunlu periyodik parola sıfırlama işlemlerini önermez. Güçlü parola politikaları ve çok faktörlü kimlik doğrulama kullanmanızı öneririz.
Düşük parola karmaşıklığı politikası: Microsoft tavsiyelerine göre parolalar, büyük ve küçük harfler ve alfasayısal olmayan karakterler içeren en az 14 karakter içermelidir. Kullanıcılar ortak veya bariz parolalar kullanmamalıdır.
Parola gerekli değil: Bu parametre kuruluş içinde bir güvenlik açığına neden olabilir. Saldırganların parolaları boş olan kullanıcı hesaplarını ele geçirmesi kolay olabilir. IT yöneticileri, yalnızca güçlü parolalara sahip hesaplar oluşturmalıdır.
Yüksek Güvenlik Tespiti Algılama Ölçütü: Sıklıkla güvenlik tehditleriyle karşılaşan ve uyarılar oluşturan kullanıcıları tanımlar. IT yöneticiler bu yöntemi kullanarak kurum içinde güvenlik konusunda yetersiz bilgiye sahip olabilecek kullanıcıları tespit edebilir ve onlara güvenlik bilinçlendirme eğitimleri verebilir.
Brute Force RDP (Uzak Masaüstü Protokolü) Kaynağı: Kısa bir süre içinde başarısız RDP bağlantı denemelerinin sayısı fark edildiğinde bir uyarı oluşturulur. Kullanıcı hesabından Brute Force saldırısı başlatıldığını gösterebilir.
Samba DüzMetin/LM/NTLM Kimlik Doğrulaması: Ağ üzerinden gönderilen düz metin parolaları, packet sniffers veya Wireshark gibi temel araçlar kullanılarak TCP paketlerinden alınabilir. NTLM ve NTLMv2 kimlik doğrulaması, SMB yeniden oynatma, man-in-the-middle ve brute force saldırıları dahil olmak üzere çeşitli kötü amaçlı saldırılara karşı savunmasızdır. Sisteminizde NTLM kimlik doğrulamasını azaltmak ve ortadan kaldırmak, Windows işletim sistemini Kerberos V5 protokolü gibi daha güvenli protokoller veya akıllı kartlar (Microsoft) gibi farklı kimlik doğrulama mekanizmaları kullanmaya zorlar.
Shared HTTP Password External: Bu mekanizma, kullanıcıların dahili ve harici uygulamalar arasında aynı şifreyi uygulayıp uygulamadıklarını kontrol eder. Sunuculardan birinin güvenliğinin ihlal edilmesi ve kimlik bilgilerinin saklanması durumunda riski en aza indirmek için her uygulama için benzersiz parolalar kullanılmalıdır. 2022 Verizon Veri İhlali Araştırma Raporu’na göre, web uygulaması saldırılarının %80’i çalınan kimlik bilgilerini kullanıyordu. Kullanıcı birkaç uygulamada aynı kimlik bilgilerine sahip olduğunda, sunuculardan birinin veri ihlaline uğraması durumunda saldırganlar bu verileri başka bir uygulamaya erişim elde etmek için kullanabilir. Bilgisayar siber saldırganları, sözlük saldırıları (bir tür Brute Force saldırısı) kullanarak çeşitli uygulamaların kimliğini doğrulamak için çalınan parolaları kullanabilir.
Tarama Erişimi: Kullanıcı davranışının ve herhangi bir kötü amaçlı URL’ye erişimin doğrulanması. Yüksek Tespit Sayısında olduğu gibi bu, IT yöneticilerinin kuruluş içinde siber güvenlik risklerine katkıda bulunan çalışanları belirlemesine yardımcı olabilir.
Genel Wi-Fi Bağlantısı: Kullanıcı, güvenli olmayan erişim noktasında, korumasız bir Wi-Fi ağına bağlandığında bu risk ortaya çıkar. Windows bilgisayarlarda kullanıcı tarafında, güvenlik için WEP veya TKIP kullanan bir Wi-Fi ağına her bağlanıldığında sistem bildirimi de yükseltilmelidir.
3. En Popüler Güvenlik Açıkları
Güvenlik açığı yönetimi, güvenlik açıklarını belirleme, sınıflandırma, önceliklendirme ve düzeltmeye yönelik sürekli bir süreçtir. Yamalar ayrıca birincil iş akışlarını yavaşlatarak veya kesintiye uğratarak üretkenliği etkileyebilir. Güvenlik ekibinin bir yama yönetimi politikası oluşturmasının gerekliliği nedenlerinden biri de budur. Pek çok şirketin yalnızca güvenlik politikalarını belirleyecek güvenlik uzmanlarına sahip olmadığını göz önünde bulundurmalıyız. Bu nedenle süreç, tek bir IT yöneticisi bile olası güvenlik açıklarını keşfetmesine, yamaları yönetmesine ve yeni yamaları ve güvenlik açıklarını izlemesine izin verecek şekilde tamamen otomatikleştirilmelidir.
Tehditlere yalnızca güvenlik açıkları değil, yanlış yapılandırma ve kullanıcı hatalarının da neden olabileceğini bilmeliyiz. Açık servisler, zayıf veya boş parolalar, saldırganlar tarafından şirket ağına ilk erişim olarak kolayca kullanılabilir. IT yöneticileri, güvenlik açıklarını en aza indirmek için kuruluştaki herhangi bir olası güvenlik açığını doğrudan bulup düzeltebilmelidir.
Alev Akkoyunlu
Laykon Bilişim Operasyon Direktörü
23 yıla yakın bir süre siber güvenlik sektöründe satış ve pazarlama alanında ustalaşan Alev Akkoyunlu, şu an Bitdefender Antivirüs’ün de aralarında bulunduğu birçok güvenlik ürününün Türkiye distribütörü Laykon Bilişim’in Operasyon Direktörlüğü görevini yürütmektedir. 1979 doğumlu olan Akkoyunlu, Süleyman Demirel Üniversitesi Bilgisayar Programcılığı ve Anadolu Üniversitesi İşletme Bölümü mezunudur. Akkoyunlu, 1 çocuk sahibidir.