Şirketlerin %85’i internet üzerinden erişilebilen Uzak Masaüstü Protokolüne sahip

15 Eylül 2023188

Palo Alto Networks Unit 42 tarafından yayınlanan 2023 Saldırı Yüzeyi Tehdit Raporunda saldırı yüzeyi yönetimi (ASM) etrafında gözlemlenen en önemli güvenlik risklerinden bazıları aydınlatılıyor. Raporda bulut ortamlarının dinamik yapısı ile tehdit aktörlerinin yeni güvenlik açıklarını suistimal etme hızı karşılaştırılıyor. Rapor, siber suçluların yeni güvenlik açıklarını kamuya açıklandıktan sonra birkaç saat içinde suistimal ettiğini ortaya koyuyor. Basit bir ifadeyle, şirketler saldırı yüzeylerini tehdit aktörlerinin otomasyonuyla mücadele edebilecek hız ve ölçekte yönetmekte zorlanıyor.

Şirketlerin çoğu saldırı yüzeylerini yönetme sorunu yaşıyor. Üstelik bunun farkında bile olmuyorlar çünkü çeşitli IT varlıklarını ve sahiplerini bütünüyle göremiyorlar. Bu bilinmeyen risklerin en büyük sorumlularından biri de internette bulduğumuz her beş sorundan yaklaşık birini oluşturan uzaktan erişim hizmeti etkilenmeleridir. Savunucuların sürekli tetikte olması gerekiyor çünkü her konfigürasyon değişikliği, yeni bulut olayı veya yeni açıklanan bir güvenlik açığı saldırganlara karşı yeni bir mücadele başlatıyor.

Raporun bazı dikkat çekici bulguları

Saldırganlar makine hızında hareket ediyor

● Bugünün saldırganları açığı olan hedefler için tüm IPv4 adres alanını dakikalar içinde tarayabiliyor.

● Analiz edilen 30 Yaygın Güvenlik Açığı ve Etkilenmesi (CVE – Common Vulnerabilities and Exposures) içinden üçü, açıklandıktan sonra birkaç saatte, %63’ü ise açıklandıktan sonra 12 hafta içinde suistimal edildi.

● Unit 42 tarafından analiz edilen 15 uzaktan kod yürütme (RCE) güvenlik açığının %20’si açıklandıktan sonra birkaç saat içinde fidye yazılım çeteleri tarafından hedef alınırken güvenlik açıklarının %40’ı yayınlandıktan sonra sekiz hafta içinde suistimal edildi.

Dominant saldırı yüzeyini bulut oluşturuyor

● Güvenlik etkilenmelerinin %80’i bulut ortamlarında bulunurken yerinde ortamlar için bu oran %19’dur.

● Bulut tabanlı IT altyapısı sürekli değişim içindedir ve her ay her sektörde %20’den fazla değişmektedir.

● Her ay yüksek riskli, bulutta barındırılan etkilenmelerin yaklaşık %50’si bulutta barındırılan yeni hizmetlerin devreye alınması ve/veya eskilerin yerine yenilerin gelmesi sonucu gerçekleşiyor.

● Açık yazılım geliştirme altyapısındaki güvenlik açıklarının %75’inden fazlası, bulutta bulunmalarından ötürü saldırganlar için cazip hedefler haline geliyor.

Uzaktan erişim etkilenmeleri yaygın olarak görülüyor

● Analiz edilen şirketlerin %85’inden fazlasında ayın en az %25’inde internet üzerinden erişilebilen Uzak Masaüstü Protokolü (RDP) bulundu. Bu şirketler fidye yazılım saldırılarına veya yetkisiz erişim denemelerine açık hale geliyor.

● Unit 42’nin incelediği dokuz sektörden sekizi, ayın en az %25’inde kaba kuvvet (brute force) saldırılarına karşı savunmasız olan ve internet üzerinden erişilebilen RDP’lere sahip.

● Finansal hizmet firmaları ile kamu kuruluşları veya yerel yönetimler ortalama olarak ay boyunca RDP etkilenmeleri yaşıyor.

Saldırı Yüzeyi Yönetimi Çözümlerine Talep

Matt Kraning, Cortex CTO

SecOps (Güvenlik Operasyonları) ekiplerinin ortalama yanıt süresini (MTTR) anlamlı bir oranda kısaltmalarını sağlamak, tüm kurumsal varlıklar için isabetli görünürlük ve bu varlıkların etkilenmesini otomatik olarak tespit etme yetkinliği gerektiriyor. Palo Alto Networks’ün sektör lideri Cortex Xpanse gibi saldırı yüzeyi yönetimi çözümleri, SecOps ekiplerine bir saldırı yüzeyindeki riskleri sürekli olarak tespit etmeleri, değerlendirmeleri ve azaltmaları için global internetle bağlantılı varlıkları ve potansiyel olarak hatalı konfigürasyonları hakkında tam ve doğru bir anlayış kazandırıyor.

Aracısız ve otomatik bir çözüm olan Cortex Xpanse, IT ekiplerinin farkında olmadığı ve takip etmediği varlıkları rutin olarak tespit eder. Her gün internetle bağlantılı varlıklarla ilgili olarak 500 milyardan fazla tarama gerçekleştirir. Bu sayede şirketlerin tüm bağlantılı sistemlerindeki ve etkilenen hizmetlerindeki bilinmeyen riskleri aktif olarak tespit etmelerine, öğrenmelerine ve en önemlisi bunlara yanıt vermelerine yardımcı olur. Cortex Xpanse, şirketlerin hem maruz kaldıkları riskleri görmelerini hem bunları otomatik olarak çözmelerini sağlayan birkaç üründen biridir. Cortex Xpanse ayrıca bir süre önce şirketlerin gerçek dünya zekası ve yapay zeka destekli iş akışlarından yararlanarak saldırı yüzeyi risklerini daha iyi önceliklendirmelerine ve çözmelerine yardımcı olacak yeni yetkinlikler tanıttı.

Günümüzde güvenlik operasyonları merkezini (SOC) destekleyen eski teknolojilerin artık işe yaramadığı ve müşterilerin ortalama yanıt ve onarım sürelerini ciddi oranda kısaltmaya ihtiyaç duydukları açıkça görülüyor. Cortex portföyündeki XSIAM gibi ürünler güvenlik operasyonlarında devrim yaratmak ve müşterilerin çevikliğini ve güvenliğini artırmaya yardım etmek amacıyla yapay zeka ve otomasyonu entegre ediyor.