Kritik BT sistemlerinin (farklı dağıtılmış DoS) küresel başarısızlığı, uç nokta algılama ve yanıt (EDR) sistemleri tam bir kurtarma stratejisi olmadan geniş ölçekte dağıtıldığında nelerin yanlış gidebileceğinin çarpıcı bir örneğiydi. Üç bilgi güvenliği koruma hedefi arasında gizlilik ve bütünlük, kullanılabilirliğe göre açıkça önceliklendirilir: şüphe durumunda, kullanıcı verilerinin tehlikeye atılmasını önleyebiliyorsa, kritik sistem bileşenleri de silinebilir ve karantinaya alınabilir.
Duyuru
CrowdStrike, tehdit avcılığı ve uzlaşma göstergelerini sıfır gün boyunca hızlı bir şekilde iletmesiyle tanınıyor; beklemek yerine hızlı ve kararlı bir şekilde ateş etmeyi tercih ediyorlar. Korunacak cihazlar, kullanılabilirliklerini ciddi şekilde kısıtlamadan sertleştirilmesi genellikle zor olan çalışan cihazları ise bu husus özellikle yararlıdır. Ve aynı zamanda başarısızlıklarının sadece küçük bir etkisi var.
Janis König aslında bir yazılım arkeoloğu olmak istiyordu. Artık intcube'da kriptografiye, iyi süreçlere ve yazılım mimarisine olan ilgisinin farkına varıyor. Daha iyi bilgi güvenliğine yönelik fikirleri hakkında iX için yazıyor.
Rezerv seviyesi olmalı
Sunucular ve kiosklar veya dijital tabela sistemleri gibi diğer tek kullanımlık cihazlar, kullanım amaçlarının çok açık olması ve kullanıcıyla sınırlı etkileşimleri sayesinde başka şekillerde zaten iyi bir şekilde korunabilmektedir: dosya sistemindeki yazılabilir ve/veya çalıştırılabilir konumların sınırlandırılması, tek kullanımlık kullanıcı profilleri, izin verilen hizmet listeleri vb. Bazı durumlarda İnternet erişimi tamamen kapatılabilir.
Bir EDR, özellikle altyapının artık kimsenin göremediği “kirli köşeleri” için ve diğer yandan yukarıdaki kısıtlamaların kapsamına girmeyen her şey için hâlâ anlamlı olabilir: örneğin bir sunucu uygulaması bir sunucuya yüklemeye izin veriyorsa. Böylece bu, geleneksel bir antivirüs (AV) programı tarafından da izlenebilir; EDR ayrıca günlük kaydı ve iç gözlem yetenekleri de sunar. Bu nedenle EDR'deki “yanıt” belirli yollar, ayarlar veya ağlarla sınırlı olmalıdır.
19 Temmuz 2024'te CrowdStrike tarafından otomatik olarak yüklenen hatalı bir güncelleme, dünya çapında BT kesintilerine neden oldu. Burada konuyla ilgili önemli makaleler bulacaksınız:
Her şey başarısız olursa, bir başarısızlık stratejisi şarttır. Bunlar basitçe anlık görüntüler veya sistemlerin “kodlu” tam yönetimi olabilir: Bu sistemler yalnızca Kod Olarak Altyapı (IaS) aracılığıyla yapılandırılırsa, makinelerin tamamen sıfırlanması ve yeniden konuşlandırılması nispeten kolay bir şekilde gerçekleştirilebilir.
Bu tür arıza kurtarma önlemleri uygulanamıyorsa ve kullanılabilirlik tamamen konu dışı olmadığından yalnızca “sınırlı” AV çözümlerinin kullanılması bile mümkün değilse, o zaman yeni nesil bir EDR/XDR'nin (Genişletilmiş Tespit ve Yanıt) gerçekten olup olmadığı sorulmalıdır. Çözüm, sıklıkla satıldığı mucizevi güvenlik çözümü. Çünkü Erişilebilirlik hala CIA üçlüsüne aittir (şekle bakın).
CIA üçlüsü olarak da bilinen siber güvenliğin “Kutsal Üçlüsü”: gizlilik, bütünlük ve erişilebilirlik.
Elbette bu CrowdStrike'a bir taziye mektubu değil, ancak şirketin kendisi Falcon EDR sensörünün kritik altyapıda (KRITIS) kullanılmasının tam olarak belirtilen nedenlerden dolayı tavsiye edilmediğini yazıyor. Ancak elbette kendisinin sağladığı bozuk bir dosyadaki basit bir ayrıştırma hatasının bu kadar derin etkiler yaratması da söz konusu olmamalı. Ancak Microsoft'un aynı zamanda iyileştirmeler yapması ve bir EDR'nin birden fazla bileşenini çekirdeğin dışında veya bir VM'de (eBPF'de olduğu gibi) çalıştırmayı mümkün kılması gerekiyor.
(Sen)
Duyuru
CrowdStrike, tehdit avcılığı ve uzlaşma göstergelerini sıfır gün boyunca hızlı bir şekilde iletmesiyle tanınıyor; beklemek yerine hızlı ve kararlı bir şekilde ateş etmeyi tercih ediyorlar. Korunacak cihazlar, kullanılabilirliklerini ciddi şekilde kısıtlamadan sertleştirilmesi genellikle zor olan çalışan cihazları ise bu husus özellikle yararlıdır. Ve aynı zamanda başarısızlıklarının sadece küçük bir etkisi var.
Janis König aslında bir yazılım arkeoloğu olmak istiyordu. Artık intcube'da kriptografiye, iyi süreçlere ve yazılım mimarisine olan ilgisinin farkına varıyor. Daha iyi bilgi güvenliğine yönelik fikirleri hakkında iX için yazıyor.
Rezerv seviyesi olmalı
Sunucular ve kiosklar veya dijital tabela sistemleri gibi diğer tek kullanımlık cihazlar, kullanım amaçlarının çok açık olması ve kullanıcıyla sınırlı etkileşimleri sayesinde başka şekillerde zaten iyi bir şekilde korunabilmektedir: dosya sistemindeki yazılabilir ve/veya çalıştırılabilir konumların sınırlandırılması, tek kullanımlık kullanıcı profilleri, izin verilen hizmet listeleri vb. Bazı durumlarda İnternet erişimi tamamen kapatılabilir.
Bir EDR, özellikle altyapının artık kimsenin göremediği “kirli köşeleri” için ve diğer yandan yukarıdaki kısıtlamaların kapsamına girmeyen her şey için hâlâ anlamlı olabilir: örneğin bir sunucu uygulaması bir sunucuya yüklemeye izin veriyorsa. Böylece bu, geleneksel bir antivirüs (AV) programı tarafından da izlenebilir; EDR ayrıca günlük kaydı ve iç gözlem yetenekleri de sunar. Bu nedenle EDR'deki “yanıt” belirli yollar, ayarlar veya ağlarla sınırlı olmalıdır.
19 Temmuz 2024'te CrowdStrike tarafından otomatik olarak yüklenen hatalı bir güncelleme, dünya çapında BT kesintilerine neden oldu. Burada konuyla ilgili önemli makaleler bulacaksınız:
Her şey başarısız olursa, bir başarısızlık stratejisi şarttır. Bunlar basitçe anlık görüntüler veya sistemlerin “kodlu” tam yönetimi olabilir: Bu sistemler yalnızca Kod Olarak Altyapı (IaS) aracılığıyla yapılandırılırsa, makinelerin tamamen sıfırlanması ve yeniden konuşlandırılması nispeten kolay bir şekilde gerçekleştirilebilir.
Bu tür arıza kurtarma önlemleri uygulanamıyorsa ve kullanılabilirlik tamamen konu dışı olmadığından yalnızca “sınırlı” AV çözümlerinin kullanılması bile mümkün değilse, o zaman yeni nesil bir EDR/XDR'nin (Genişletilmiş Tespit ve Yanıt) gerçekten olup olmadığı sorulmalıdır. Çözüm, sıklıkla satıldığı mucizevi güvenlik çözümü. Çünkü Erişilebilirlik hala CIA üçlüsüne aittir (şekle bakın).
CIA üçlüsü olarak da bilinen siber güvenliğin “Kutsal Üçlüsü”: gizlilik, bütünlük ve erişilebilirlik.
Elbette bu CrowdStrike'a bir taziye mektubu değil, ancak şirketin kendisi Falcon EDR sensörünün kritik altyapıda (KRITIS) kullanılmasının tam olarak belirtilen nedenlerden dolayı tavsiye edilmediğini yazıyor. Ancak elbette kendisinin sağladığı bozuk bir dosyadaki basit bir ayrıştırma hatasının bu kadar derin etkiler yaratması da söz konusu olmamalı. Ancak Microsoft'un aynı zamanda iyileştirmeler yapması ve bir EDR'nin birden fazla bileşenini çekirdeğin dışında veya bir VM'de (eBPF'de olduğu gibi) çalıştırmayı mümkün kılması gerekiyor.
(Sen)