OzzTech - Hatalı Güvenlik Yapılandırması (Security Misconfiguration) Nedir?

Hatalı Güvenlik Yapılandırması (Security Misconfiguration) Nedir?

Hatalı Güvenlik Yapılandırması

Hatalı Güvenlik Yapılandırması (Security Misconfiguration), basitçe, bir sunucu veya web uygulaması için tüm güvenlik kontrollerinin uygulanmaması veya güvenlik kontrollerinin uygulanamaması, ancak bunun hatalarla yapılması olarak tanımlanır. Bir şirketin güvenli bir ortam olarak düşündüğü şey, aslında kuruluşu riske açık bırakan tehlikeli boşluklara veya hatalara sahiptir. OWASP ilk 10'a göre, bu tür yanlış yapılandırma, kritik web uygulaması güvenlik riskleri listesinde 6 numaradır.

Hatalı Güvenlik Yapılandırması Nasıl Tespit Edilir- Sorunun Teşhisi ve Belirlenmesi

Gerçek şu ki, bu yaygın bir sorun olduğundan ve uygulama yığınının herhangi bir düzeyinde gerçekleşebileceğinden, muhtemelen güvenliğinizde yanlış yapılandırmalara sahipsiniz. Geleneksel veri merkezlerindeki en yaygın yanlış yapılandırmalardan bazıları, hiç değiştirilmemiş ve güvensiz kalan varsayılan yapılandırmaları, geçici olması amaçlanan tamamlanmamış yapılandırmaları ve uygulamanın beklenen ağ davranışı ve bağlantı gereksinimleriyle ilgili yanlış varsayımları içerir.

Günümüzün hibrit veri merkezlerinde ve bulut ortamlarında ve uygulamaların, işletim sistemlerinin, çerçevelerin ve iş yüklerinin karmaşıklığı ile bu zorluk büyüyor. Bu ortamlar teknolojik olarak çeşitlidir ve hızla değişmektedir, bu da güvenli yapılandırma için doğru kontrollerin anlaşılmasını ve sunulmasını zorlaştırmaktadır. Doğru görünürlük düzeyi olmadan, yanlış güvenlik yapılandırması, heterojen ortamlar için yeni riskler açar. Bunlar şunları içerir:

  • Bir uygulama için açık olan gereksiz yönetim bağlantı noktaları. Bunlar, uygulamayı uzaktan saldırılara maruz bırakır.
  • Çeşitli internet hizmetlerine giden bağlantılar. Bunlar, kritik bir ortamda uygulamanın istenmeyen davranışını ortaya çıkarabilir.
  • Artık var olmayan uygulamalarla iletişim kurmaya çalışan eski uygulamalar. Saldırganlar, bağlantı kurmak için bu uygulamaları taklit edebilir.

Hibrit Bulut Ortamında Artan Yanlış Yapılandırma Riski

Geleneksel veri merkezlerinde güvenliğin yanlış yapılandırılması, şirketleri uygulama kaynaklarına yetkisiz erişim, verilere maruz kalma ve kuruluş içi tehditler riskine sokarken, bulutun ortaya çıkışı tehdit ortamını katlanarak artırdı. IBM'in yakın tarihli bir raporuna göre , "2017'nin bulut sunucularındaki yanlış yapılandırmalar nedeniyle kırılan kayıtlarda yüzde 424'lük inanılmaz bir artış görmesi" şaşırtıcı değil . Bu tür bir bulut güvenliği yanlış yapılandırması, o yıl genel güvenliği ihlal edilmiş veri kayıtlarının neredeyse %70'ini oluşturuyordu.

Hibrit bir ortamda dikkate alınması gereken bir unsur, genel bulut hizmetlerinin, üçüncü taraf hizmetlerin ve farklı altyapılarda barındırılan uygulamaların kullanılmasıdır. Hem harici kaynaklardan hem de dahili uygulamalardan veya eski uygulamalardan yetkisiz uygulama erişimi, bir işletmeyi büyük miktarda riske açabilir.

Güvenlik duvarları, ağa büyük miktarda maruz kalma sağlayarak, tehlikeli bir şekilde gevşek ve serbest bırakılan politikalarla genellikle yanlış yapılandırmadan zarar görebilir. Çoğu durumda, üretim ortamları geliştirme ortamlarından güvenlik duvarıyla korunmaz veya güvenlik duvarları, en faydalı olabileceği yerlerde en az ayrıcalığı uygulamak için kullanılmaz.

Üçüncü taraf satıcılara veya yazılımlara sahip özel sunucular, görünürlükten veya paylaşılan sorumluluk anlayışından yoksun olabilir ve bu da genellikle yanlış yapılandırmaya neden olur. Bir örnek, 21 milyondan fazla şirketi etkileyen 340 milyon kaydın açığa çıktığı 2018 Exactis ihlalidir . Exactis, veri tabanı olarak standart ve yaygın olarak kullanılan Elasticsearch altyapısını kullanmalarına rağmen verilerinden sorumluydu. Kritik olarak, bu paylaşılan sorumluluğu yönetmek için herhangi bir erişim denetimi uygulayamadılar.

Heterojen bir ortamda bu kadar çok karmaşıklık ve genellikle kontrolünüz dışında olabilecek yanlış yapılandırmalardan sorumlu insan hatası ile, hataların gizemini nasıl ortadan kaldırabilir ve işinizi güvende tutabilirsiniz?

Yanlış Yapılandırma Riskini Azaltmak için Uygulama Davranışı Hakkında Bilgi Edinme

Hibrit bulut ortamında güvenlik yanlış yapılandırmasıyla mücadele etmek söz konusu olduğunda, görünürlük yeni en iyi arkadaşınızdır. İşletmenizin, her bir kritik varlığa ve davranışına odaklanarak uygulamalarının davranışını öğrenmesi gerekir. Bunu yapmak için, tüm ekosisteminizin doğru, gerçek zamanlı bir haritasına ihtiyacınız vardır; bu harita, ister şirket içi, ister yalın donanım, hibrit bulut, isterse kapsayıcılar ve mikro hizmetler kullanıyor olsun, veri merkezi ortamınızdaki iletişimi ve akışları gösterir.

Bu görünürlük, yalnızca beklenen uygulama davranışları hakkında daha fazla bilgi edinmenize yardımcı olmakla kalmaz, aynı zamanda olası yanlış yapılandırmaları bir bakışta belirlemenize de olanak tanır. Bir örnek, belirli bir uygulamadan tekrarlanan bağlantı hatalarını ortaya çıkarmak olabilir. Keşif sırasında, artık kullanılmayan eski bir uygulamaya bağlanmaya çalıştığını ortaya çıkarabilirsiniz. İletişim ve akışlara ilişkin gerçek zamanlı bir harita olmadan, kötü amaçlı yazılımın veri çıkarmak veya uygulama davranışlarını ortaya çıkarmak için terk edilmiş uygulamayı taklit ettiği bir ihlalin nedeni bu olabilirdi. Temel görünürlükle, kullanılmayan veya gereksiz uygulamaları veya özellikleri kaldırmak için bu bilgileri kullanabilirsiniz.

Görünürlük kazandığınızda ve ortamınızın tamamı hakkında kapsamlı bir anlayışa sahip olduğunuzda, riski yönetmenin en iyi yolu, sıfır güven modeline benzer bir yöntemle yalnızca istenen davranışa izin vererek en kritik altyapıyı kilitlemektir. Bir uygulama için gerekli olmayan her türlü iletişim engellenmelidir. OWASP'ın 'bölümlere ayrılmış uygulama mimarisi' dediği şey budur ve yanlış güvenlik yapılandırmasına karşı kendinizi korumanız için onların tavsiyesidir.

Mikro-segmentasyon bunu gerçekleştirmenin etkili bir yoludur. Sıkı politika, en hassas uygulamalarla iletişimi ve dolayısıyla bilgilerini korur, böylece güvenlik yanlış yapılandırması nedeniyle bir ihlal meydana gelse bile, saldırganlar en kritik alanlara dönemez.

Görünürlük ve Akıllı Politika Güvenliğin Hatalı Güvenlik Yapılandırması Riskini Sınırlar

Şansınız, işletmeniz zaten güvenlik yanlış yapılandırmasından rahatsız. İş ekosistemlerimize üçüncü taraf hizmetleri, harici satıcılar ve genel bulut yönetimi eklediğimiz için karmaşık ve dinamik veri merkezleri yalnızca insan hatası riskini artırıyor.

Ozztech Bilgi Teknolojileri, önemli bir ilk adım olarak hibrit bulut veri merkezinizin doğru ve ayrıntılı bir haritasını sağlayarak olağan dışı davranışları otomatik olarak belirlemenize, yama uygulanmamış özellikleri ve uygulamaları kaldırmanıza veya azaltmanıza ve ayrıca iletişimdeki anormallikleri belirlemenize olanak tanır.

Kritik varlıklarınızı ortaya çıkardıktan sonra , bir ihlal durumunda korunmanızı sağlamak için mikro segmentasyon politikasını kullanabilir , yanlış yapılandırmalar çözülmezse veya yama yönetimi şirket içinde veya harici satıcılar tarafından geciktirilirse saldırı yüzeyini sınırlayabilirsiniz. Bu hepsi bir arada görünürlük, ihlal tespiti ve müdahale çözümü, hibrit bulut ortamınızı yanlış güvenlik yapılandırmasına karşı korumak ve bir bütün olarak güvenlik duruşunuzu güçlendirmek için güçlü bir araçtır.


İlginizi Çekebilecek Makaleler
FortiWeb Kurulumu 4- Admin Şifresi Değiştirme
Siber Güvenlik

FortiWeb Kurulumu 4- Admin Şifresi Değiştirme

Ocak 23, 2022 10:21

FortiWeb kurulumunu anlattığımız serinin dördüncü yazısında Admin şifresi nasıl değiştirceğinizi, saat ve günü nasıl...

Metasploittable 2
Siber Güvenlik

Metasploittable 2

Ocak 22, 2022 11:57

Metasploittable 2 Nedir? Neden Kullanılır? Nasıl Kurulur? Metasploittable 2 Metasploit firması tarafından bizlerin güvenli...

FortiWeb Kurulumu 3- Firmware Güncellenmesi
Siber Güvenlik

FortiWeb Kurulumu 3- Firmware Güncellenmesi

Ocak 22, 2022 11:56

FortiWeb kurulumunu anlattığımız serinin üçüncü yazısında Firmware güncellemesini anlatacağız. FortiWeb cihazınız gönderildiğinde en son...

FortiWeb Kurulumu 2- Web UI ve CLI Bağlama
Siber Güvenlik

FortiWeb Kurulumu 2- Web UI ve CLI Bağlama

Ocak 21, 2022 7:50

FortiWeb kurulumu yazımızın ikinci serisinde Web UI veya CLI bağlamanın nasıl yapılacağını anlatacağız. Eğer...

Yapay Zeka Nedir?
Yazılım Geliştirme

Yapay Zeka Nedir?

Ocak 20, 2022 10:57

Sürekli olarak değişen, gelişen ve oldukça hızlı bir şekilde boyut atlayan, günümüze kadar gelen...

Trellix Adıyla 2 Dev şirket McAfee ve FireEye
Siber Güvenlik

Trellix Adıyla 2 Dev şirket McAfee ve FireEye

Ocak 20, 2022 10:56

Yeni birleştirilen güvenlik ekipleri McAfee ve FireEye yeni bir isim açıkladı: “Trellix”. Başka bir...

Zoho Kritik Kusur İçin Yama Yayınladı
Siber Güvenlik

Zoho Kritik Kusur İçin Yama Yayınladı

Ocak 20, 2022 10:56

Kurumsal yazılım üreticisi Zoho, Pazartesi günü Desktop Central ve Desktop Central MSP’de, tehdit aktörlerinin...

FortiWeb Kurulumu
Network

FortiWeb Kurulumu

Ocak 19, 2022 12:38

Bu yazı ile başlayarak sizlere FortiWeb kurulumu yaparken nelere dikkat etmeniz gerektiğini ve nasıl...

FortiWeb Nedir?
Siber Güvenlik

FortiWeb Nedir?

Ocak 19, 2022 9:42

FortiWeb, Fortinet’in web uygulamaları için oluşturduğu bir web firewall’udur (WAF). Fortiweb iş açısından son...

İletişim
OZZTECH Bilgi Teknolojileri olarak siber güvenlik danışmanlığı ve bilgi güvenliği eğitimleri alanlarında 10 yılı aşkın bir süredir ülkemizin önde gelen kurumlarına hizmet vermeye devam etmektedir. Detaylı bilgi ve danışmanlık hizmetlerimiz için aşağıdaki formu kullanarak veya [email protected] adresimiz üzerinden bizlerle iletişime geçebilirsiniz.