Siber saldırıların kurbanı olan şirketlerle ilgili Playbook 2021 vaka incelemelerinden ne öğrenilebilir? Sophos uzmanları, bir dizi makalede, herkes tarafından uygulanabilecek öneriler elde etmek için geleceğe yolculuk yapıyor ve BT güvenliğinin çeşitli özel yönlerini ele alıyor.
Sophos Active Adversary Playbook 2021'de ayrıntılı olarak açıklandığı gibi, saldırganlar, şüpheli eylemlerin tespit edilmesini zorlaştırmak için BT yöneticileri ve güvenlik uzmanları tarafından kullanılan araçları kullanmayı sever. Bu araçların çoğu, güvenlik ürünleri tarafından "Potansiyel Olarak İstenmeyen Uygulamalar" veya kısaca PUA (veya RiskWare veya RiskTool) olarak tanınır, ancak BT ekiplerinin günlük olarak kullanması önemlidir. Yöneticiler bununla başa çıkmak için şirketin BT politikasıyla ilgili olarak kendilerine iki önemli soru sormalıdır: Tüm kullanıcıların bu yardımcı programları kullanabilmesi gerekiyor mu ve bu yardımcı programların her cihazda çalıştırılabilmesi gerekiyor mu?
PUA'lar nedir?
PUA'lar, bir işletim sistemi (ör. PowerShell) ile birlikte verilen yönetici araçlarıdır ve bir ağdaki cihazları otomatikleştirmenin ve yönetmenin yollarını sunar. Ek olarak, bağlantı noktası tarama, paket yakalama, komut dosyası oluşturma, izleme, güvenlik araçları, sıkıştırma ve arşivleme, şifreleme, hata ayıklama, sızma testi, ağ yönetimi ve uzaktan erişim gibi işlevselliği genişletmek için yaygın olarak kullanılan ek üçüncü taraf araçlar vardır. Bu uygulamaların çoğu sistem veya kök erişimi ile çalışır.
BT'nin dışlama listesi neden sorunlu?
Yönetici araçları kendi BT ekibiniz tarafından kurulur ve dahili olarak kullanılırsa, bu uygulamalar faydalı araçlardır. Ancak, bu diğer kullanıcılar tarafından yapılırsa, PUA'lar olarak kabul edilirler ve genellikle son cihazlar için saygın güvenlik çözümleri tarafından bu şekilde işaretlenirler. Bu araçları ücretsiz olarak kullanmalarına izin vermek için birçok yönetici, kullandıkları araçları uç nokta güvenlik yapılandırmalarında genel bir dışlama veya izin verilenler listesine eklemeleri yeterlidir. Ne yazık ki, bu yöntem aynı zamanda yetkisiz kişilerin araçları genellikle herhangi bir izleme, uyarı veya bildirim olmaksızın kurmasına ve kullanmasına izin verir.
Siber Suçlular PUA'ları Nasıl Kullanır?
PUA'lara izin veren güvenlik politikaları bu nedenle dikkatle yapılandırılmalıdır. Çünkü böyle bir bedava bilet, siber suçlular için ağırlığınca altın değerindedir ve aracın kullanımı, amacı ve bağlamı hakkında herhangi bir içgörü yoktur.
Bir araç dışlandıktan sonra, bir tehdit aktörü, belirli bir cihazda yüklü olmasa bile onu yüklemeye ve kullanmaya devam edebilir. Bununla birlikte, "karadan yaşamak" olarak bilinen saldırı tekniği, saldırganların tespit edilmekten olabildiğince uzun süre kaçınmak için mevcut işlevleri ve araçları kullanmasını gerektirir. Aktörlerin tek bir kırmızı bayrak sallamadan algılama, kimlik bilgileri erişimi, ayrıcalık yükseltme, savunma kaçırma, kalıcılık, yan yana ağ hareketi, toplama ve sızdırma gerçekleştirmelerine olanak tanırlar.
Şirkette PUA'lara yalnızca kontrollü modda izin verme
İlk adım, şirketteki mevcut küresel istisnaları kontrol etmektir:
- Gerekli mi?
- Dışlama için bir sebep verildi mi - yoksa "her zaman orada mıydı"? Sorumlular, güvenlik çözümünün neden PUA'yı ilk etapta tespit ettiğini araştırmalıdır - zaten kötü amaçlarla kullanılmış olabilir mi?
- İstisnalar gerçekten TÜM sunucular ve uç cihazlar için geçerli olmak zorunda mı?
- Yönetici aracı hala gerekli mi, yoksa yerleşik bir özelliğe devredilebilir mi?
- Aynı sonucu elde etmek için birden fazla araca mı ihtiyacınız var?
Sophos, çok sayıda vaka çalışmasına dayanarak PUA'lara yalnızca çok kontrollü bir temelde izin verilmesini önerir: belirli uygulama, belirli makineler, kesin zamanlar ve seçilmiş kullanıcılar. Bu, gerektiğinde tekrar kaldırılabilen, gerekli istisnaya sahip bir politika aracılığıyla gerçekleştirilebilir. Bir siber suçlunun sistemlere zaten erişim kazandığını gösterebileceğinden, PUA'ların beklenmeyen herhangi bir kullanımı araştırılmalıdır.
Daha fazlası Sophos.com'da
Sophos Hakkında Sophos, 100 ülkede 150 milyondan fazla kullanıcı tarafından güvenilmektedir. Karmaşık BT tehditlerine ve veri kaybına karşı en iyi korumayı sunuyoruz. Kapsamlı güvenlik çözümlerimizin kurulumu, kullanımı ve yönetimi kolaydır. Sektördeki en düşük toplam sahip olma maliyetini sunarlar. Sophos uç noktalar, ağlar, mobil cihazlar, e-posta ve web için ödüllü şifreleme çözümleri ve güvenlik çözümleri sunar. Tescilli analiz merkezlerinden oluşan küresel ağımız SophosLabs'tan da destek var. Sophos'un genel merkezi Boston, ABD ve Oxford, İngiltere'dedir.