Yanlış Güvenlik Yapılandırması Nedir?
Güvenlik yanlış yapılandırması, güvenlik ayarları yapılandırma sürecinde yeterince tanımlanmadığında veya varsayılan ayarlarla sürdürülüp dağıtılmadığında meydana gelir. Bu, uygulama yığınının, bulutun veya ağın herhangi bir katmanını etkileyebilir. Yanlış yapılandırılmış bulutlar, kuruluşlara milyonlarca dolara mal olan veri ihlallerinin merkezi bir nedenidir. Güvenlik açıkları genellikle yapılandırma sırasında ortaya çıkar. Tipik yanlış yapılandırma güvenlik açıkları, aşağıdakilerin kullanımıyla ortaya çıkar:
- Varsayılanlar — parolalar, sertifikalar ve kurulum dahil
- Kullanımdan kaldırılan protokoller ve şifreleme
- Veritabanı örneklerini aç
- Dizin listesi — bu etkinleştirilmemelidir
- Hassas bilgileri gösteren hata mesajları
- Yanlış yapılandırılmış bulut ayarları
- Sayfalar, bağlantı noktaları ve komut ekleme dahil gereksiz özellikler
Yanlış Güvenlik Yapılandırması Neden Oluşuyor?
Bir kuruluş, uç noktaları için güvenli yapılandırmalara sahip olsa bile, yapılandırma kaymasını belirlemek için güvenlik kontrollerini ve yapılandırmaları düzenli olarak denetlemeniz gerekir. Ağa yeni ekipman eklenir, sistem değiştirilir ve yamalar uygulanır; bunların tümü yanlış yapılandırmalara eklenir.
Geliştiriciler, yazılım oluştururken bunları değiştirmeden ağ paylaşımları ve güvenlik duvarı kuralları geliştirebilir. Bazen yöneticiler, sorun giderme veya test amacıyla yapılandırma değişikliklerine izin verir, ancak bunlar başlangıç durumuna geri dönmez.
Çalışanlar, belirli eylemleri (yükleyicileri çalıştırmak gibi) geçersiz kılarsa ve ardından yeniden etkinleştirmeyi hatırlayamıyorsa, bir virüsten koruma yazılımını genellikle geçici olarak devre dışı bırakır. Uç noktaların %20'sinden fazlasının eski kötü amaçlı yazılımdan koruma veya virüsten koruma yazılımına sahip olduğu tahmin edilmektedir.
Hatalı Güvenlik Yapılandırması Sonucu Saldırıların Etkisi
Güvenlik yanlış yapılandırmaları, nispeten basit gözden kaçırmaların sonucu olabilir, ancak bir uygulamayı saldırıya maruz bırakabilir. Bazı durumlarda, yanlış yapılandırma bilgilerin açığa çıkmasına neden olabilir, bu nedenle bir siber suçlunun aktif bir saldırı gerçekleştirmesine bile gerek kalmaz. Kullanıcılara ne kadar fazla kod ve veri maruz kalırsa, uygulama güvenliği riski o kadar büyük olur. Örneğin, yanlış yapılandırılmış bir veritabanı sunucusu, temel bir web araması yoluyla verilere erişilmesine neden olabilir. Bu veriler yönetici kimlik bilgilerini içeriyorsa, bir saldırgan veritabanının ötesindeki verilere erişebilir veya şirketin sunucularına başka bir saldırı başlatabilir.
Depolama cihazlarında yanlış yapılandırılmış (veya eksik) güvenlik kontrolleri olması durumunda, çok büyük miktarda hassas ve kişisel veri internet aracılığıyla genel kamuoyuna ifşa edilebilir. Genel olarak, güvenli hale getirilmeden önce bu bilgilere kimin erişmiş olabileceğini keşfetmenin bir yolu yoktur.
Dizin listeleme, web uygulamalarıyla, özellikle de WordPress gibi önceden var olan çerçeveler üzerine kurulanlarla ilgili bir diğer yaygın sorundur. Kullanıcılar, güvenlik açıklarını kolayca keşfedip kullanabilmeleri için dosya yapısına özgürce göz atabilir ve bunlara erişebilir.
Bir uygulamanın yapısına erişimi engelleyemezseniz, saldırganlar uygulamanın parçalarını değiştirmek veya ters mühendislik yapmak için bundan yararlanabilir. Bir uygulamanın mobil cihazlara teslim edilmesi amaçlanıp tasarlanmadığını kontrol etmek zor olabilir. OWASP'ın belirttiği gibi , mobil uygulamalara geçiş, bir kuruluşun kodu kimlerin görüntüleyebileceği veya değiştirebileceği üzerindeki kontrolünü zayıflatır. Bunun nedeni, uygulamaların iş ve sunum katmanlarının özel bir sunucuda değil, bir mobil cihazda konuşlandırılmasıdır.
9 Adet Hatalı Güvenlik Yapılandırması
Aşağıdakiler, bir BT ortamında güvenliğin yanlış yapılandırılmasına yol açabilecek yaygın durumlardır:- Varsayılan hesaplar/parolalar etkin —Sistem hesapları ve parolalar için satıcı tarafından sağlanan varsayılanları kullanmak, yaygın bir güvenlik yanlış yapılandırmasıdır ve saldırganların sisteme yetkisiz erişim elde etmesine izin verebilir.
- Güvenli parola ilkesi uygulanmadı - Bir parola ilkesinin uygulanamaması, saldırganların, başarılı bir kimlik doğrulaması yapılana kadar bir kullanıcı adı ve/veya parola alanını kaba kuvvetle zorlamak için ortak kullanıcı adı ve parola listelerini kullanmak gibi yöntemlerle sisteme yetkisiz erişim elde etmesine olanak verebilir.
- Yazılım güncel değil ve kusurlara yama uygulanmamış—Yazılım yönetim sürecinin bir parçası olarak yazılım yamalarının güncellenmemesi, saldırganların, uygulamanın daha sonra yürüteceği kötü amaçlı kodu enjekte etmek için kod enjeksiyonu gibi teknikleri kullanmasına izin verebilir.
- Dosyalar ve dizinler korumasız— Dosyaları ve dizinleri korumasız bırakmak, saldırganların kısıtlı dosyalara veya sunucu dizinindeki alanlara erişmek için zorla göz atma gibi teknikleri kullanmasına izin verebilir.
- Kullanılmayan özellikler etkinleştirildi veya yüklendi —Gereksiz özelliklerin, bileşenlerin, belgelerin ve örneklerin kaldırılamaması, uygulamayı yanlış yapılandırma güvenlik açıklarına karşı duyarlı hale getirir ve saldırganların, uygulamanın daha sonra yürüteceği kötü amaçlı kodu enjekte etmek için kod yerleştirme gibi teknikleri kullanmasına izin verebilir.
- Güvenlik özellikleri düzgün şekilde korunmaz veya yapılandırılmaz —Güvenlik özelliklerinin düzgün şekilde yapılandırılmaması ve sürdürülememesi, uygulamayı yanlış yapılandırma saldırılarına karşı savunmasız hale getirir.
- Yayınlanmamış URL'lerin sıradan kullanıcılardan trafik alması engellenmez - Uygulamaların bakımını yapanlar tarafından erişilen yayınlanmamış URL'lerin sıradan kullanıcılardan trafik alması amaçlanmamıştır. Bu URL'lerin engellenememesi, saldırganlar bunları taradığında önemli bir risk oluşturabilir.
- Uygun olmayan / zayıf uygulama kodlama uygulamaları— Uygun olmayan kodlama uygulamaları, güvenlik yanlış yapılandırma saldırılarına yol açabilir. Örneğin, uygun giriş/çıkış veri doğrulamasının olmaması, uygulamanın yürüttüğü kodu enjekte ederek çalışan kod yerleştirme saldırılarına yol açabilir.
- Dizin geçişi —saldırganın kök dizinin dışındaki dizinlere, dosyalara ve komutlara erişmesine izin verir. Uygulama kaynak koduna veya yapılandırmasına ve kritik sistem dosyalarına erişimle donanmış bir siber suçlu, uygulamanın sunucudaki rastgele dosyaların içeriğini yürütebileceği veya görüntüleyebileceği şekilde bir URL'yi değiştirebilir. HTTP tabanlı bir arabirim ortaya çıkaran herhangi bir cihaz veya uygulama, muhtemelen bir dizin geçiş saldırısına karşı savunmasızdır.
Yanlış Güvenlik Yapılandırması Örnekleri: Gerçek Gibi, Yanlış Yapılandırma Saldırıları
Güvenlik yanlış yapılandırmalarının bir sonucu olarak büyük kuruluşlara zarar veren birkaç gerçek hayatta saldırı:
- NASA yetkilendirme yanlış yapılandırma saldırısı – NASA, Atlassian JIRA'daki bir yanlış yapılandırmaya karşı savunmasız olduğu için. Global İzinlerdeki bir yanlış yetkilendirme yapılandırması, hassas verilerin saldırganlara açık hale getirilmesini sağladı.
- Amazon S3 – birçok kuruluş, Amazon'un popüler S3 depolama hizmetindeki güvenli olmayan depolama paketleri nedeniyle veri ihlalleri yaşadı. Örneğin, ABD Ordusu İstihbarat ve Güvenlik Komutanlığı, bazıları çok gizli olarak işaretlenmiş hassas veritabanı dosyalarını, uygun kimlik doğrulama olmadan S3'te yanlışlıkla depoladı.
- Citrix eski protokolleri saldırısı – Citrix, IMAP tabanlı bir bulut e-posta sunucusu kullandı ve IMAP tabanlı parola püskürtmenin hedefi haline geldi. IMAP, güvenli olmayan, eski bir protokoldür ve saldırganlar, bulut tabanlı hesaplara ve SaaS uygulamalarına erişmek için bundan yararlandı. Çok faktörlü kimlik doğrulama (MFA) kullanmak saldırıyı durdurabilirdi.
- Mirai (未来) botnet – Mirai, CCTV kameraları, DVD cihazları ve ev yönlendiricileri gibi ağ cihazlarına bulaşan mega ölçekli bir botnetti. Botnet, bu cihazlarda yanlış bir yapılandırmadan yararlandı - güvenli olmayan varsayılan şifrelerin kullanımı. Botnet, Twitter, Reddit ve Netflix gibi web sitelerini çökerten eşi görülmemiş büyüklükte DDoS saldırılarını gerçekleştirmek için kullanıldı.
Yanlış Güvenlik Yapılandırmalarına Karşı Nasıl Korunabilirsiniz?
Atmanız gereken ilk adım, sisteminizin özelliklerini öğrenmek ve davranışının her bir anahtar parçasını anlamaktır. Bunu başarmak için, tüm altyapınızın gerçek zamanlı ve doğru bir haritasına sahip olmalısınız. Bu, hem şirket içinde hem de hibrit bulutta veri merkezi ortamınız üzerinden iletişimi ve akışları gösterir.
Sistemlerinizi anladığınızda, en temel altyapıyı kilitli tutarak yanlış güvenlik yapılandırmasından kaynaklanan riskleri azaltabilirsiniz. Yalnızca bazı yetkili kullanıcıların ekosisteme erişmesine izin verin.
Güvenlik yanlış yapılandırmasını en aza indirmenin bazı etkili yolları şunlardır:
- Doğru şekilde yapılandırılmış yeni ortamları dağıtmanın hızlı ve basit olması için tekrarlanabilir bir sağlamlaştırma süreci oluşturun. Üretim, geliştirme ve KG ortamlarının tümü aynı şekilde, ancak her ortamda kullanılan farklı parolalarla yapılandırılmalıdır. Kolayca güvenli bir ortam oluşturmak için bu süreci otomatikleştirin.
- Yamaları ve yazılım güncellemelerini her ortama düzenli ve zamanında yükleyin. Ayrıca altın bir görüntüyü yamalayabilir ve görüntüyü ortamınıza dağıtabilirsiniz.
- Öğelerin etkili ve güvenli bir şekilde ayrılmasını sağlayan bir uygulama mimarisi geliştirin.
- Eksik yamaları veya olası güvenlik yanlış yapılandırmalarını belirlemek için sık sık ve periyodik olarak taramalar ve denetimler gerçekleştirin.
- Bakımlı ve yapılandırılmış bir geliştirme döngüsü sağlayın. Bu, geliştirme aşamasında uygulamanın güvenlik testini kolaylaştıracaktır.
- Çalışanlarınızı güvenlik yapılandırmalarının önemi ve genel kuruluşun güvenliğini nasıl etkileyebilecekleri konusunda eğitin ve eğitin.
- Verilerin kötüye kullanılmasını önlemek için atıl durumdaki verileri şifreleyin.
- Hem dosyalara hem de dizinlere orijinal erişim denetimleri uygulayın. Bu, korumasız dosya ve dizinlerin güvenlik açıklarını gidermeye yardımcı olacaktır.
- Özel kod kullanıyorsanız, kodu üretim ortamına entegre etmeden önce bir statik kod güvenlik tarayıcısı kullanın. Güvenlik uzmanları ayrıca manuel incelemeler ve dinamik testler yapmalıdır.
- Fazla özelliklerden, belgelerden, numunelerden ve bileşenlerden arındırılmış minimal bir platformdan yararlanın. Kullanılmayan özellikleri veya güvenli olmayan çerçeveleri kurmayın veya kaldırmayın.
- S3 paket izinleri dahil olmak üzere bulut depolama izinlerini inceleyin. Tüm güncellemeler, güvenlik yamaları ve notları için tüm güvenlik yapılandırmalarının güncellemelerini ve incelemelerini yama yönetimi sürecinize dahil edin.
- Otomatik bir süreci devreye sokun. Bu, güvenlik yapılandırmalarının tüm ortamlara uygulanmasını sağlar.
