Siber güvenlikte, ‘saldırı yüzeyi’ bir kuruluşun sistemlerine ve verilerine yetkisiz erişim sağlamak amacıyla kullanılabilecek tüm açıklar, erişim noktaları ve saldırı vektörlerinin toplamını ifade eder.
Saldırganların sistemleri bozmak, verileri çalmak, fidye talep etmek veya başka herhangi bir kötü niyetli eylem gerçekleştirmek istediklerinde hedef aldıkları nokta saldırı yüzeyidir. Bu nedenle saldırı yüzeyi, siber güvenlik uzmanları için kritik bir odak alanıdır.
Saldırı yüzeyi, ağı ya da BT ortamını ihlal etmek için kullanılabilecek her türlü açıklığı, giriş noktasını veya yöntemi kapsar; ister şirket içi donanım ve yazılımlar, ister internet üzerindeki ya da buluttaki sistemler olsun.
Çoğu kuruluş için saldırı yüzeyi üç ana bileşenden oluşur: dijital saldırı yüzeyi, fiziksel saldırı yüzeyi ve sosyal ya da insan kaynaklı saldırı yüzeyi. Saldırı yüzeyini yönetmede geleneksel yaklaşımlar artık yeterli değildir. Tüm bu yüzeylerin sürekli ve proaktif şekilde izlenmesi gerekir. Bu da tehditlerin mümkün olan en erken aşamada keşfedilip durdurulabilmesi için siber risk maruziyeti yönetiminin etkin kullanımıyla sağlanır.
Saldırı yüzeyini savunmanın yanı sıra, çoğu siber güvenlik ekibi bu yüzeyi mümkün olduğunca küçültmeye çalışır. Böylece siber suçluların sisteme sızma ve zarar verme olasılığı azaltılmış olur. Ancak bunu başarmak zor olabilir, çünkü günümüzde birçok kuruluşun sistemleri ve BT ortamları her zamankinden daha fazla birbirine bağlı ve açıktır.
Saldırı yüzeyinizi yönetme hakkında daha fazla bilgi edinin.
Saldırı Yüzeyi ve saldırı vektörü arasındaki farklar
Saldırı vektörleri, genel saldırı yüzeyinin bir parçasıdır. Siber saldırganların sistemlere ve verilere yasa dışı erişim sağlamak için kullandığı yöntemlerdir. Birçok saldırı vektörü, saldırı yüzeyinin birden fazla bölümüne karşı kullanılabilir. Örneğin:
Saldırı yüzeyimiz hakkında neleri bilmemiz gerekir?
Daha önce belirtildiği gibi, geleneksel saldırı yüzeyi yönetimi artık yeterli değildir. Kuruluşların ve siber güvenlik ekiplerinin, saldırı yüzeyinin tamamına dair net ve kapsamlı bir görünüm elde edebilmesi için siber risk maruziyeti yönetimi çözümüne ihtiyacı vardır. Herhangi bir saldırı yüzeyi analizinde; ağ ekipmanları, bulut sunucuları ve nesnelerin interneti (IoT) cihazlarından kullanıcı hesaplarına ve erişim yetkilerine kadar her şeyin dahil edilmesi gerekir.
Kuruluşların tüm verilerinin nerede saklandığını bilmesi de önemlidir. Özellikle iş açısından kritik, özel, gizli, sınıflandırılmış ya da hassas verilerin konumu mutlaka bilinmelidir.
Bu görünümü oluşturmak ve güncel tutmak için saldırı yüzeyinin dijital, fiziksel ve sosyal (insan kaynaklı) bileşenlerinin ayrıntılı şekilde haritalandırılması ve zaman içindeki değişimlerin izlenmesi gerekir.
Başlıca saldırı yüzeyi riskleri nelerdir?
Saldırı yüzeyinin dijital, fiziksel ve sosyal gibi her bir bileşeninin, savunma ekiplerinin farkında olması ve yönetmesi gereken kendine özgü riskleri vardır. Bu riskler, belirli saldırı vektörlerini de kapsar ve teknolojiler ile tehditler geliştikçe sürekli olarak değişir. Aşağıda bazı örnekler yer almaktadır.
Dijital saldırı yüzeyi riskleri
Şifreleme, kimlik doğrulama, güvenlik duvarı gibi önlemlerle korunuyor olsa bile dışarıdan erişilebilen her türlü ağ ya da veri kaynağı dijital saldırı yüzeyine dahildir ve aşağıdaki risklere karşı savunmasızdır:
- Siber saldırılar: Fidye yazılımları, virüsler ve diğer kötü amaçlı yazılımlar kurum sistemlerine sızarak saldırganların ağlara ve kaynaklara erişmesine, veri çalmasına, cihazları ele geçirmesine ve sistemlere ya da verilere zarar vermesine neden olabilir.
- Kodlama hataları ve yanlış yapılandırmalar: Ağ ve bulut teknolojilerinde portlar, erişim noktaları ve protokoller gibi bileşenlerin hatalı yapılandırılması, saldırganlar için açık kapılar bırakır ve veri ihlallerinin en yaygın nedenleri arasındadır.
- Açıkta kalan teknolojiler: Genel internete bağlı her teknoloji, hacker’lar tarafından erişilebilir durumdadır ve saldırıya açıktır. Buna web uygulamaları, web sunucuları, bulut sunucuları ve uygulamalar gibi birçok bileşen dahildir.
- Güncel olmayan teknolojiler ve uygulamalar: Yazılım, ürün yazılımı ve cihaz işletim sistemlerinin doğru şekilde kodlanması ve bilinen güvenlik açıklarına karşı yamalanması gerekir. Aksi takdirde, saldırganlar için bir giriş noktası haline gelirler. BT ortamında yer almaya devam eden ancak artık kullanılmayan veya bakımı yapılmayan eski cihazlar da sıklıkla izlenmedikleri için saldırganlara kolay erişim sağlar.
- Gölge BT: Bir kuruluşun çalışanları tarafından kullanılan ancak resmi ya da onaylı BT ortamının parçası olmayan araçlar “gölge BT” olarak kabul edilir ve güvenlik ekipleri bunlardan haberdar olmadığı için ciddi açıklar oluşturabilir. Bu araçlara uygulamalar, taşınabilir depolama aygıtları, kişisel telefonlar ve tabletler gibi birçok unsur dahildir.
- Zayıf parolalar ve şifreleme: Kolay tahmin edilebilen parolalar—çok basit, açıkça tahmin edilebilir veya birden fazla hesapta tekrar kullanılmış olmaları gibi nedenlerle—saldırganlara dijital kaynaklara erişim imkânı verebilir. Benzer nedenlerle çalınmış kimlik bilgileri de siber suçlular arasında oldukça değerlidir. Şifreleme, bilgilerin yalnızca yetkili kişilerce okunabilmesi için tasarlanır. Ancak yeterince güçlü değilse, siber saldırganlar bu verileri elde ederek daha büyük ölçekli saldırılar başlatabilir.
Fiziksel saldırı yüzeyi riskleri
Fiziksel saldırı yüzeyi, bireylerin fiziksel olarak sahip olduğu teknolojileri (örneğin dizüstü bilgisayarlar) veya yalnızca belirli lokasyonlarda ve tesislerde erişilebilen sistemleri kapsar. Fiziksel saldırı yüzeyiyle ilgili iki büyük risk şunlardır:
- Hırsızlık ve cihazların çalınması: Dizüstü bilgisayarlar ve diğer cihazlar sıkça arabadan, kamuya açık alanlardan (gözetimsiz bırakıldığında) ve hatta ofis ya da bina gibi yerlere yapılan hırsızlıklarla çalınabiliyor. Saldırganlar bu cihazlara ulaştığında, üzerlerinde kayıtlı kimlik bilgilerini kullanarak kurumsal ağa erişebilir veya diğer kaynaklara ulaşabilir.
- Tuzak (Baiting) Saldırıları:: Bu saldırı türünde, suçlular USB gibi taşınabilir depolama cihazlarını kamuya açık alanlara bırakır ve birinin merak edip bilgisayarına takmasını umarlar. Bu “tuzak” USB’ler kötü amaçlı yazılımlarla yüklüdür ve cihaza takıldığında bu yazılım sisteme bulaşarak saldırıyı başlatır.
Sosyal ya da insan kaynaklı saldırı yüzeyi riskleri
İnsanlar, siber güvenlikte genellikle “ilk savunma hattı” olarak tanımlanır. Çünkü bireylerin eylemleri saldırı yüzeyini doğrudan güçlendirebilir veya zayıflatabilir. İnsan davranışlarını hedef alan siber saldırılara sosyal mühendislik saldırıları denir. Sosyal ya da insan kaynaklı saldırı yüzeyi, bir kuruluşun siber güvenliğine kasıtlı ya da kasıtsız zarar verebilecek kullanıcı sayısına eşittir.
Yaygın riskler şunlardır:
- Kimlik avı yöntemleri: Bunlar arasında sahte e-postalar, kısa mesajlar, sesli mesajlar ve günümüzde yapay zeka ile üretilen deepfake video aramaları yer alır. Bu içerikler, kullanıcıları kandırarak siber güvenliği tehlikeye atacak adımlar atmalarına neden olur. Bu adımlar arasında hassas bilgilerin paylaşılması, kötü amaçlı yazılım içeren bağlantılara tıklanması, ödenmemesi gereken fonların serbest bırakılması gibi eylemler olabilir. Yapay zeka, kimlik avı saldırılarının tespit edilmesini zorlaştırmakta ve bu saldırıları daha hedefli hale getirmektedir.
- Kötü niyetli içeriden kişiler: Kuruma karşı öfkesi olan ya da tehdit veya rüşvet yoluyla saldırganların etkisi altına giren çalışanlar, sahip oldukları meşru erişim yetkilerini kullanarak şirket verilerini dışarı sızdırabilir, kimlik bilgilerini paylaşabilir, kötü amaçlı yazılım yükleyebilir, sistemlere zarar verebilir veya başka zararlı eylemler gerçekleştirebilir.
Saldırı yüzeyimizi nasıl daraltabiliriz?
Hiçbir kuruluş saldırı yüzeyini tamamen ortadan kaldıramaz, ancak kontrol altına almak ve en aza indirmek mümkündür. Saldırı yüzeyi haritalandıktan sonra, siber güvenlik ekipleri siber risk yönetimini devreye alarak olası değişiklikleri sürekli izleyebilir ve ortaya çıkabilecek riskleri proaktif şekilde öngörebilir. Bu süreç, açıklık ve maruziyet alanlarını azaltmak için fırsatlar sunar. Bunlar şunları içerebilir:
- BT ortamını sadeleştirmek, kullanılmayan ya da eskimiş yazılım ve cihazları devreden çıkarmak ve uç nokta sayısını sınırlamak.
- Ağı bölümlere ayırmak, güvenlik duvarları ve diğer engellerle saldırganların sisteme sızdıktan sonra yayılmalarını zorlaştırmak.
- Saldırı yüzeyi analizinin sonuçlarını kullanarak zayıf noktaları ve açıkları belirlemek ve kapatmak. Örneğin güçlü parola zorunluluğu getirmek, eski yazılımları kaldırmak, gölge BT'yi azaltmak, hedefli güvenlik politikaları ve kontroller uygulamak gibi adımlar.
- İki veya çok faktörlü kimlik doğrulama ile sıfır güven (zero trust) gibi en iyi uygulamaları benimseyerek güvenlik önlemlerini güçlendirmek. Sıfır güven yaklaşımında, yalnızca yetkili kişiler ihtiyaç duydukları anda belirli veri, uygulama ve kaynaklara sınırlı erişim sağlar. Sıfır güven modeli, kimlerin hangi teknoloji kaynaklarını, ne zaman ve ne kadar süreyle kullanabileceğini köklü bir şekilde sınırlar. Bu yaklaşım, varlıkları doğrudan korumakla kalmaz, aynı zamanda bir ihlal meydana geldiğinde bunu daha kolay fark edilir hale getirir.
- Eğitim, testler ve periyodik güncellemeler yoluyla çalışanların siber farkındalığını artırmak. Eğitim konuları; güçlü parola kullanımı, şirket politikalarına uyum, oltalama ve diğer sosyal mühendislik saldırılarına karşı dikkatli olma yolları ve güvenlik riski olduğunda yapılması gereken adımlar gibi içerikleri kapsayabilir.
Saldırı yüzeyi yönetimi nedir?
Saldırı yüzeyi yönetimi (ASM), kuruluşların veri ve sistemlerini daha etkili şekilde savunmasını sağlamayı amaçlayan geleneksel bir siber güvenlik yaklaşımıdır. Bu yaklaşım, risklerin nerede olduğunu bilmek, önem derecelerini anlamak ve insan, süreç ve teknolojiye bağlı güvenlik açıklarını kapatmak için harekete geçmeyi kapsar. ASM, güvenlik ekiplerinin kurumsal BT ekosistemine açılan giriş yollarını azaltmasına ve ortaya çıkan zafiyetleri ve saldırı vektörlerini görmesine olanak tanır.
ASM günümüzde son derece önemli hale gelmiştir çünkü kurumsal BT ortamları her zamankinden daha dinamik ve birbirine bağlı hale gelmiş, bu da saldırı yüzeyini hem büyütmüş hem de çeşitlendirmiştir. Varlık keşfi ve izleme gibi yöntemler ile tek amaçlı siber güvenlik çözümleri sunan geleneksel ASM yaklaşımı, ihtiyaç duyulan tam görünürlük, istihbarat ve korumayı sağlayamaz. Günümüz ortamında giriş noktalarının sürekli izlenmesi ve etkilerine göre iyileştirme adımlarının önceliklendirilmesi gerekir. Bu yaklaşım, riskleri iş açısından anlamlı hale getirir, tehditleri öngörmeye yardımcı olur ve gerçekleşmeden önce proaktif şekilde ortadan kaldırılmasını sağlar.
Hükümetin saldırı yüzeyinin yönetiminde rolü var mı?
Birçok ülkede yetkili otoriteler, kuruluşların dijital ortamlarını nasıl koruması gerektiğine dair beklentileri belirlemek amacıyla yasa, yönetmelik ve kamu politikaları oluşturmuştur. Bunlara, ABD Ulusal Standartlar ve Teknoloji Enstitüsü’nün (NIST) kendi saldırı yüzeyini değerlendirmek ve yönetmek için kullandığı Siber Risk Puanlama Çerçevesi gibi yapılandırmalar da dahildir.
Siber güvenlik alanında kamu ve özel sektörün iyi bir iş birliği yapması, genel olarak daha güçlü siber korumalar sağlar ve etkili saldırı yüzeyi yönetimi için en iyi uygulamaların paylaşılmasını teşvik eder.
Saldırı yüzeyimizi yönetmemize kim yardımcı olabilir?
Sadece saldırı yüzeyini yönetmek yeterli değildir. Günümüzün risk ortamı, siber risk ayak izinizi önemli ölçüde azaltmak için riskleri proaktif olarak öngören, keşfeden, değerlendiren ve azaltan siber risk maruziyeti yönetimi yeteneklerini gerektiriyor.
Trend Vision One™, devrim niteliğindeki yaklaşımıyla; harici saldırı yüzeyi yönetimi (EASM), siber varlık saldırı yüzeyi yönetimi (CAASM), zafiyet yönetimi ve güvenlik duruşu yönetimi gibi temel yetenekleri bulut, veri, kimlik, API, yapay zeka, uyumluluk ve SaaS uygulamaları genelinde bir araya getiren güçlü ve kullanımı kolay bir Siber Risk Maruziyeti Yönetimi (CREM) çözümü sunar.
Saldırı yüzeyi yönetiminin ötesine geçmek için Siber Risk Maruziyeti Yönetimi hakkında daha fazla bilgi edinin.