Siber Suçluların ‘İşini Kolaylaştıran’ Bu Hataları Yapmayı Bırakmak Elinizde!

Siber saldırganlar düzenli olarak yama uygulanmamış yazılım açıklarından yararlanıyorlar, ancak ilk erişim için rutin olarak yanlış güvenlik yapılandırmalarını hedefliyorlar. Bu nedenle ABD Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA) günümüzün artan tehdit ortamında kullanıcılar için kapsamlı bir yapılacaklar listesi oluşturdu.

CISA, FBI ve Ulusal Güvenlik Ajansı (NSA) ile Kanada, Yeni Zelanda, Hollanda ve Birleşik Krallık’tan siber güvenlik yetkilileri, kullanıcıların ilk erişimi engelleyebilmesi için yapılmaması gereken temel zayıf güvenlik kontrolleri, zayıf yapılandırma ve güvenlik uygulamalarının bir listesini derledi.

CISA konuyla ilgili olarak, “Siber aktörler, ilk erişim elde etmek için veya bir kurbanın sistemini tehlikeye atmak için diğer taktiklerin bir parçası olarak, rutin şekilde zayıf güvenlik yapılandırmalarından (yanlış yapılandırılmış veya güvenli bırakılmamış), zayıf kontrollerden ve diğer zayıf siber hijyen uygulamalarından yararlanır.” ifadelerini kullanıyor.

Çıkarılan eylemler listesi, sanal özel ağlar (VPN’ler) ve önemli sistemlerde çok faktörlü kimlik doğrulamayı (MFA) etkinleştirmek gibi bariz yöntemleri içeriyor. Ancak bu yöntemler bazı karmaşık Bilişim Teknolojileri ortamlarında uygulandığında yanlış yapılandırmalara da eğimli.

Palo Alto Networks tarafından yapılan son araştırmalar, bulut hizmetlerinin %99’unun,

saldırganların bir sistemi ihlal etme fırsatlarını sınırlamak için iyi bilinen “en az ayrıcalık ilkesine” aykırı olarak aşırı izin talep ettiğini ortaya koydu.

CISA’nın listesinde özetlenen güvenlik kontrolleri, birçoğu pandemi nedeniyle aceleyle uzaktan çalışan BT altyapısını devreye alan kuruluşlar için yararlı bir kontrol listesi görevi görüyor.

MFA, güncel yazılımlar ve parola stratejisi

Ortak yayımlanan uyarıda belirtildiği gibi, saldırganlar genellikle halka açık uygulamalardan, harici uzak hizmetlerden yararlanıyor. Ayrıca geçerli kimlik bilgileri elde etmek, güvenilir ilişkilerden ve geçerli hesaplardan yararlanmak için de kimlik avı kullanıyorlar. Uyarı özellikle RDP fidye yazılımı dağıtmak için yaygın olarak kullanıldığından, MFA’nın herkes için uygulanmasını öneriyor. CISA, “Hiçbir kullanıcıyı, özellikle de yöneticileri MFA gereksiniminin dışında tutmayın” diyor.

Yanlış uygulanan ayrıcalıklar veya erişim kontrol listelerindeki izinler ve hatalar, erişim kontrol kurallarının uygulanmasını engelleyebiliyor, yetkisiz kullanıcılara veya sistem süreçlerine erişim verebiliyor.

Tabii ki, kullanılan yazılımların da güncel olduğundan emin olmak gerekiyor. Ayrıca satıcı tarafından sağlanan varsayılan yapılandırmaları veya varsayılan kullanıcı adlarını ve parolaları da kullanmaktan kaçının. Bunlar ‘kullanıcı dostu’ görünebilir ve satıcının daha hızlı sorun gidermesine yardımcı olabilir, ancak bunlar genellikle herkesin kullanımına açık ‘sırlar’dır. NSA, yöneticilere satıcı tarafından sağlanan varsayılan ayarları kaldırmayı şiddetle teşvik ediyor.

CISA’nın notları arasında bu konuyla ilgili olarak: “Ağ cihazları kurulumu basitleştirmek için genellikle varsayılan yönetici kullanıcı adları ve şifreleriyle önceden yapılandırılmıştır. Bu varsayılan kimlik bilgileri güvenli değildir. Cihazda fiziksel olarak etiketlenmiş veya hatta internette kolayca bulunabilirler. Bu kimlik bilgilerini değiştirmeden bırakmak, bilgilere yetkisiz erişim elde etme ve kötü amaçlı yazılım yükleme dahil olmak üzere kötü amaçlı etkinlikler için fırsatlar yaratır.” ifadeleri yer alıyor.

VPN konusu ve diğer öneriler

CISA, VPN’ler gibi uzaktan hizmetlerin, yetkisiz erişimi önlemek için yeterli kontrollere sahip olmadığını da vurguluyor. Kullanıcılara, riskleri azaltmak için MFA gibi erişim kontrol mekanizmaları eklemeleri öneriliyor. Ayrıca, VPN’i bir güvenlik duvarının arkasına koymaları ve şüpheli ağ etkinliğini algılamak için IDS ve IPS sensörlerinin kullanılması da uyarılar arasında yer alıyor.

Diğer önemli sorunlar olarak ise şunlar listeleniyor: Güçlü parola politikaları uygulanmaması, saldırganlar tarafından internet üzerinden taranabilen açık bağlantı noktaları ve internete açık hizmetler, kötü niyetli makrolarla bubi tuzağına yakalanmış Microsoft Word ve Excel belgeleri kullanılarak kimlik avının tespit edilememesi veya engellenememesi.

CISA’nın tavsiyeleri arasında erişim denetimi önlemleri, kimlik bilgilerini sağlamlaştırma, merkezi günlük yönetimi oluşturma, antivirüs kullanma, algılama araçlarını kullanma ve güvenlik açıklarını arama, yapılandırma yönetimi programlarını ve güncellemeleri kontrol etme gibi maddeler de yer alıyor.