Dış Saldırı Yüzeyi ve OSINT: Şirketiniz Hakkında İnternette Açıkta Olan Bilgiler
Bir saldırgan şirketinize saldırmadan önce, internette sizin hakkınızda açıkta olan her bilgiyi toplar, açık portlar, unutulmuş alt alan adları, sızmış çalışan e-postaları, açık panolar ve sosyal medya izleri. Buna dış saldırı yüzeyi ve OSINT denir. Saldırganın sizi nasıl gördüğünü, hangi bilgilerin sızdığını ve saldırı yüzeyinizi nasıl daraltacağınızı kaynaklı anlattık.
Dış Saldırı Yüzeyi ve OSINT: Şirketiniz Hakkında İnternette Açıkta Olan Bilgiler
Hızlı Cevap: Dış saldırı yüzeyi, şirketinizin internete açık olan ve bir saldırganın dışarıdan görebildiği tüm varlıklarının toplamıdır, web siteleri, alt alan adları, açık portlar, sunucular, yönetim panelleri, bulut hizmetleri ve API'ler. OSINT (açık kaynak istihbaratı) ise, bir saldırganın bu yüzeyi ve şirketiniz hakkındaki bilgileri, hiçbir sisteminize girmeden, yalnızca herkese açık kaynaklardan toplamasıdır. Gerçek bir saldırı neredeyse her zaman bu keşif aşamasıyla başlar, çünkü saldırgan önce sizi haritalar, sonra en zayıf noktadan girer. Dışarıda açıkta olan bilgiler çoğu zaman düşünülenden fazladır, unutulmuş bir test sunucusu, sızmış çalışan e-postaları ve parolaları, açık kalmış bir yönetim paneli, yanlış yapılandırılmış bir bulut deposu, sosyal medyada paylaşılan iç bilgiler. Korunmanın yolu, saldırganın gördüğünü sizin de görmeniz, yani düzenli bir dış saldırı yüzeyi keşfi yapıp gereksiz açıkta olan her şeyi kapatmaktır.
Şirketler güvenliği çoğu zaman içeriden düşünür, ama saldırgan dışarıdan bakar. Bir saldırganın gözünden şirketiniz, internete açık bir dizi kapı ve pencereden ibarettir, ve saldırgan bunların hepsini haritalamadan saldırmaz. Bu yüzden savunmanın ilk adımı, kendi dış saldırı yüzeyinizi saldırganın gözünden görmektir. Bu, bir dış sızma testinin de başlangıç aşamasıdır, süreci pentest süreci, fiyat ve ne zaman gerekli yazımızda anlattık.
Saldırı önce keşifle başlar
Filmlerdeki gibi ani bir saldırı, gerçekte nadirdir. Gerçek bir saldırgan, hedefe saldırmadan önce onu tanır. Bu keşif aşamasında, şirket hakkında toplanabilecek her bilgi toplanır, hangi sunucular var, hangi teknolojiler kullanılıyor, hangi çalışanlar var, e-postaları ne biçimde, hangi paneller açık. Bu bilgiler bir araya geldiğinde, saldırgan en zayıf ve en az korunan noktadan girmeyi planlar.
Önemli olan şudur, bu keşfin büyük kısmı sizin sisteminize hiç dokunmadan yapılır. Saldırgan, arama motorları, açık veri tabanları, sosyal medya, sızmış veri listeleri ve internet tarama servisleri üzerinden bilgi toplar. Buna açık kaynak istihbaratı (OSINT) denir, ve tamamen pasif olduğu için siz fark bile etmezsiniz.
İnternette açıkta olan tipik bilgiler
Bir OSINT çalışması, çoğu şirketin beklemediği kadar çok bilgi ortaya çıkarır.
- Unutulmuş varlıklar. Bir zamanlar açılıp unutulan test sunucuları, eski alt alan adları ve kullanılmayan hizmetler. Bunlar güncellenmediği için genelde en zayıf noktadır ve subdomain takeover gibi açıklara yol açar, konuyu subdomain takeover, alt alan adı ele geçirme yazımızda ele aldık.
- Açık portlar ve paneller. İnternete açık kalmış yönetim panelleri, veritabanı arayüzleri ya da uzak masaüstü bağlantıları, saldırgana doğrudan bir kapı sunar.
- Sızmış çalışan bilgileri. Bir veri ihlalinde sızmış çalışan e-postaları ve parolaları, credential stuffing saldırısında kullanılır, konuyu sızan parolalar ve credential stuffing yazımızda anlattık.
- Sızmış anahtarlar ve kod. Bir kod deposunda ya da frontend'de açıkta kalan API anahtarları, sızan API anahtarları ve sırlar yazımızda ele aldığımız gibi, bulut hesaplarını riske atar.
- Yanlış yapılandırma. Herkese açık bırakılmış bir bulut depolama alanı, açıkta kalan bir yedek, indekslenmiş bir yönetim sayfası.
- İnsan bilgisi. Sosyal medyada paylaşılan iş yeri fotoğrafları, çalışan unvanları ve alışkanlıkları, hedefli oltalama (spear phishing) için kullanılır.
Saldırgan bu bilgilerle ne yapar
Toplanan her bilgi, saldırının bir parçası olur. Sızmış bir çalışan parolası, doğrudan giriş denemesi için kullanılır. Açık bir panel, zafiyet taraması için bir hedef olur. Çalışanların isim ve unvanları, ikna edici bir oltalama maili yazmak için kullanılır. E-posta biçiminizin bilinmesi (örneğin ad.soyad kalıbı), diğer çalışanların adreslerini tahmin etmeyi sağlar. Yani bilgiler tek başına zararsız görünse de, birleştiğinde bir saldırı planına dönüşür.
| Sızan bilgi | Saldırganın kullanımı |
|---|---|
| Unutulmuş alt alan adı | Subdomain takeover, zayıf giriş noktası |
| Açık yönetim paneli | Doğrudan saldırı, zafiyet taraması |
| Sızmış çalışan parolası | Credential stuffing, hesap ele geçirme |
| Sızmış API anahtarı | Bulut hesabı ele geçirme, veri ihlali |
| E-posta biçimi ve isimler | Hedefli oltalama, yönetici taklidi |
| Sosyal medya izleri | İkna edici sosyal mühendislik |
Saldırı yüzeyinizi nasıl daraltırsınız
Savunmanın mantığı basittir, saldırganın gördüğünü siz de görün ve gereksiz olan her şeyi kapatın.
Birincisi, varlık envanteri çıkarın. İnternete açık tüm varlıklarınızı (alan adları, alt alan adları, sunucular, IP'ler, bulut hizmetleri) listeleyin, çünkü koruyamayacağınız tek şey, var olduğunu bilmediğiniz şeydir. İkincisi, gereksiz olanı kapatın, kullanılmayan alt alan adlarını silin, açık panelleri erişim kısıtına alın, gereksiz portları kapatın. Üçüncüsü, sızmış bilgileri izleyin, çalışan e-postalarınızın ve alan adınızın veri ihlallerinde geçip geçmediğini takip edin. Dördüncüsü, bunu bir kereye mahsus değil, sürekli yapın, çünkü saldırı yüzeyi her yeni hizmet ve her yeni çalışanla değişir. Büyük kuruluşlarda buna saldırı yüzeyi yönetimi denir, ve bir dış pentestin doğal başlangıcıdır. Ankara ve çevresindeki hizmetlerimizi Ankara siber güvenlik, pentest ve KVKK yazımızda anlattık.
Sıkça Sorulan Sorular
OSINT yasal mı? OSINT, yalnızca herkese açık kaynaklardan bilgi toplamaktır ve pasiftir, hiçbir sisteme izinsiz girilmez. Bir güvenlik denetiminde, kendi şirketiniz için yapıldığında tamamen yasaldır ve savunmanızı güçlendirir.
Küçük bir şirketin de dış saldırı yüzeyi var mı? Evet. İnternete açık bir web siteniz, bir e-posta sisteminiz ya da bir bulut hesabınız varsa, bir saldırı yüzeyiniz var demektir. Aksine, küçük ekipler varlıklarını takip etmediği için çoğu zaman daha çok açıkta olan bilgiye sahiptir.
Kendim hakkımda ne kadar bilginin açıkta olduğunu nasıl öğrenirim? Bir dış saldırı yüzeyi ve OSINT denetimi, saldırganın gördüğü her şeyi sizin adınıza toplar ve raporlar, unutulmuş varlıklar, sızmış bilgiler ve açık noktalar dahil. Bu, savunmanın ilk adımıdır.
Saldırı yüzeyini bir kez kapatmak yeter mi? Hayır. Saldırı yüzeyi sürekli değişir, her yeni hizmet, alt alan adı ve çalışan onu genişletir. Bu yüzden denetim tek seferlik değil, sürekli bir süreç olmalıdır.
Kaynaklar
- MITRE ATT&CK, Reconnaissance (keşif) teknikleri: https://attack.mitre.org/tactics/TA0043/
- NIST SP 800-115, Bilgi Güvenliği Testi ve Değerlendirmesi: https://csrc.nist.gov/pubs/sp/800/115/final
- CISA, saldırı yüzeyi ve varlık yönetimi rehberleri: https://www.cisa.gov/
- OWASP, Web Security Testing Guide (bilgi toplama): https://owasp.org/www-project-web-security-testing-guide/
Şirketinizin dış saldırı yüzeyini ve internette sızan bilgilerini saldırganın gözünden denetlemek için DSET ile iletişime geçin.
Kimliğinizi doğrulayın
Yetkilendirilmiş erişim alanı. Tüm giriş denemeleri kayıt altına alınır.