Yanlış yapılandırmalarla Siber “Güvenlik”
Siber güvenlik dünyasında yanlış yapılandırmalar istismar edilebilecek sorunlar yaratır. Bu yüzden, birkaç yaygın güvenlik yapılandırmasına bakalım.
İlki, bir şey yayınlandığında değişmeyen geliştirme izinleridir. Örneğin, AWS S3 bucket test ortamı üzerinde geliştirme süreci devam ederken herkesin erişebileceği bir yetki tanımlaması yapılır. Geliştirme tamamlanıp platform canlı ortama alındığında mutlaka birileri tarafından manipüle edilir ve güvenlik incelemelerinin dikkatlice yapılmadığı ortaya çıkar. Tüm uygulamaların ve sitelerin canlı ortama alınmadan önce güvenlik incelemeleri hem ilk başlatma hem de güncelleme döngüleri için dikkatlice yapılmalıdır. Platformun çalışmasına izin vermek için en az uygulanabilir izinlere sahip olduğundan emin olunmalı ve her bir bucket kontrol edilmelidir.
Grup İlkesi (Group Policy) ve anti-virüs yapılandırmaları
En yaygın yanlış yapılandırmalardan birisi de Grup İlkesi (Group Policy) ve anti-virüs yapılandırmalarıdır. Uzun süreli seyahatler yapan kullanıcılar bilgisayarlarını şirket ağına bağlanmayacakları ve güncellenen kritik ilkeleri veya merkezi güvenlik güncellemelerini alamayacaklar. Bu zaman diliminde güvenlik ile ilgili ortam ve kriterler değişip güncellenecek. Bu gibi durumların çözümü için kullanıcıları ilgili grup ilkesi ve kritik güncellemeleri almalarını zorunlu bırakacak ortamları oluşturmak gerekir.
Uzaktan çalışanlar konusundayken, ortaya çıkan başka bir yanlış yapılandırma var. VPN (Virtual Private Network-Sanal Özel Ağ) sistemleri, uzaktaki çalışanların şirket verilerine güvenli bir şekilde erişmesine izin verir ancak çok sayıda VPN istemcisi varsayılan olarak güvenli olmayan bir yapılandırmayla çalışır. Bölünmüş tünel VPN yapılandırmaları kullanıcı trafiğini yalnızca hali hazırda korunan sistemlere erişildiğinde güvenli ağ üzerinden yönlendirir, ancak diğer tüm trafiği doğrudan internete gönderir. Bu durum, bir kullanıcı bir dosya sunucusuna erişmeye çalıştığında, bunu VPN üzerinden yaptığı, ama Google üzerinde yapılan bir aramanın korumasız internet üzerinden gittiği anlamına gelir. Bu performansa fayda sağlarken, yarattığı sorun, bir kullanıcının cihazının dış dünya ile iç ağ arasında bir köprü oluşturabilmesidir. Biraz sosyal mühendislik ile bir tehdit aktörü kullanıcının cihazıyla kalıcı bir bağlantı oluşturabilir ve ardından bu kullanıcının VPN tünelini korumalı ağa girmek için kullanabilir.
VPN İstemcilerinin Yapılandırmaları
VPN istemcilerinin büyük çoğunluğu tek tünel yapılandırmalarını destekler. Bu, VPN etkinken harici kaynaklara yönelik trafik dahil tüm trafiğin kurumsal ağlar üzerinden yönlendirileceği anlamına gelir. Ayrıca, tüm trafiğin doğrudan korumalı ağlara bağlı kullanıcılardan gelen trafikle aynı kontrollere tabi olacağı anlamına gelir. Yanlış yapılandırmalar çok kolay bir şekilde gerçekleşebilse de, kuruluşun güvenliği için açık bir tehdit oluştururlar. Araçlar yayına alındığında veya güncellendiğinde güvenliği gözden geçirmek için zaman ayırmak, bu tür yanlış yapılandırmaları yakalayabilir.
Ek olarak; şirketler, dijital ortamları sürekli olarak sorgulayan ve değerlendiren güvenlik doğrulama araçlarını, bir tehdit aktörünün yanlış yapılandırmaları hızla keşfetmek için yaptığı gibi kullanabilirler.
Bu iki gözden geçirme yaklaşımını ve sürekli güvenlik doğrulamasını birleştirmek projelere karmaşıklık katabilir ancak nesnelerin yeterince yapılandırıldığından emin olmak için harcanan her an değerli olacaktır.
Unutmayalım ki günümüzde verinin karşılığı paha biçilmezdir.
Editörün Notu: Konu ilginizi çekti ise siber güvenlik ile ilgili diğer makalelerimizi bu linkten okuyabilirsiniz.