Kaspersky, yaptığı sızma testlerinden rakamları yayınladı
2017 boyunca Kaspersky Lab araştırmacıları tarafından yapılan sızma testlerinin analizinde, ağa sızma başarısı elde edilen denemelerin dörtte üçünün (%73) hassas web uygulamaları üzerinden gerçekleştiği ortaya çıktı. META Bölgesi’ni kapsayan araştırmadan elde edilen bulgular, ‘2017’de kurumsal bilgi sistemlerinin güvenlik değerlendirmesi’ adlı yeni bir raporda özetlendi.
Her bir BT altyapısı benzersizdir ve en tehlikeli saldırılar belirli bir kurumun zayıflıklarını özellikle dikkate alarak planlanan saldırılardır. Kaspersky Lab’ın Güvenlik Hizmetleri departmanı her yıl, dünya genelindeki kurumların ağlarındaki açıkları tanımlamalarına, finansal ve operasyonel hasarlardan ve itibar zedelenmesinden kaçınmalarına yardımcı olmak için olası saldırı senaryolarının pratik bir gösterimini düzenliyor. Yıllık sızma testi raporlarıyla, BT güvenliği uzmanlarının ilgili açıklardan ve modern kurumsal bilgi sistemlerine yönelik saldırı vektörlerinden haberdar olması ve böylece kurumlarının güvenliğini güçlendirmeleri hedefleniyor.
2017 araştırmasının sonuçları, analiz edilen şirketlerin %43’ünde harici saldırganlara karşı korunma düzeyinin düşük veya çok düşük olduğunu gösterdi. 2017’de kurumların ağlarına yönelik başarıya ulaşan harici saldırıların %73’ü hassas web uygulamaları kullanılarak gerçekleştirildi. Ağlara sızmak için sıkça kullanılan bir diğer vektör ise zayıf veya varsayılan kimlik bilgileriyle çalışan, herkese açık yönetim arayüzleri üzerinden düzenlenen saldırılar oldu. Kaspersky Lab uzmanları harici sızma testi projelerinin %29’unda, tüm BT altyapısında en yüksek yetkileri elde etmeyi başardı. Bu testlerde, hedef alınan kurum hakkında dahili hiçbir bilgisi olmayan, internet üzerindeki bir ‘saldırgan’, en önemli iş sistemlerine, sunuculara, ağ ekipmanlarına ve çalışanların iş istasyonlarına yönetici düzeyinde erişim yetkisini alabildi.
Şirketlerin dahili ağlarındaki bilgi güvenliğinin durumu daha da kötüydü. Analiz edilen şirketlerin %93’ünde, dahili saldırganlara karşı korunma düzeyi düşük veya çok düşük olarak belirlendi. Analiz edilen şirketlerin %86’sında dahili ağdaki en yüksek yetkiler elde edilebildi, %42’sinde ise buna yalnızca iki saldırı adımıyla erişildi. Ortalama olarak, her bir projede en yüksek yetkilere iki ila üç saldırı vektörüyle ulaşılabildi. Saldırganlar bu yetkileri elde ettikten sonra, iş için kritik sistemler de dahil olmak üzere tüm ağın kontrolünü ele alabiliyor.
MS17-010 adlı kötü şöhretli açık, hem her bir hedefli saldırıda hem de WannaCry gibi fidye yazılımlarında sıkça kullanıldı. NotPetya/ExPetr ise açık hakkında bilgiler yayınlandıktan sonra teste giren şirketlerin %75’inde tespit edildi. Bu kurumların bazılarının, yamanın yayınlanmasının üzerinden 7-8 ay geçmesine rağmen Windows sistemlerini güncellemedikleri ortaya çıktı. Genel olarak, analiz edilen şirketlerin %86’sının ağ çevresinde ve %80’inin dahili ağında eski yazılımlar olduğu görüldü. Ne yazık ki bu da en temel BT güvenliği süreçlerinin uygulanmamasıyla, kurumsal şirketlerin saldırganlar için kolay hedefler haline geldiğini gösterdi.
Güvenlik değerlendirme projelerinin sonucunda, devlet kurumlarındaki web uygulamalarının en güvensiz uygulamalar olduğu ortaya çıktı. Uygulamaların tümünde (%100) yüksek riskli açıklar tespit edildi. Buna karşın, e-ticaret uygulamalarının olası harici müdahalelere karşı daha iyi korunduğu belirlendi. Bunların yalnızca dörtte birinden biraz fazlasında yüksek riskli açıklar tespit edildi. Bu da bu kategorideki uygulamaların diğerlerine kıyasla en iyi korunan uygulamalar olmalarını sağladı.
Kaspersky Lab Güvenlik Hizmetleri Analizleri Kıdemli Güvenlik Analisti Sergey Okhotin, “Ağ filtreleme ve parola politikaları gibi basit güvenlik önlemlerini etkili bir şekilde uygulamak güvenliği önemli derecede artırıyor. Örneğin, saldırı vektörlerinin yarısı yönetim arayüzlerine erişimi kısıtlayarak önlenebilirdi” dedi.
Güvenlik seviyelerini yükseltmek için şirketlere şunlar tavsiye ediliyor:
- Web uygulaması güvenliğine özel önem gösterin, hassas yazılımların güncellemelerini zamanında yapın, parola koruması ve güvenlik duvarı için kurallar belirleyin.
- BT altyapıları (uygulamalar da dahil) için düzenli güvenlik değerlendirmeleri yapın.
- Bilgi güvenliği vakalarının olabildiğince erken tespit edilmesini sağlayın. Tehdit grubu faaliyetlerinin zamanında, saldırının ilk aşamalarında tespit edilmesi ve müdahale edilmesi verilecek hasarın önlenmesine veya azaltılmasına yardımcı olabilir. Güvenlik değerlendirmesi, açık yönetimi ve bilgi güvenliği vakalarının tespiti gibi süreçlerin düzgün bir şekilde uygulandığı gelişmiş kurumlar, Red Teaming türü testler yapmayı düşünebilir. Bu tür testlerde, altyapıların üstün becerilere sahip saldırganların gizli faaliyetlerine karşı ne kadar iyi korunduğu kontrol ediliyor. Ayrıca bilgi güvenliği servisinin, saldırıları tanımlama ve gerçek dünya koşulları altında müdahale etme konusunda eğitilmesine yardımcı oluyor.