Gizli Düşman: Gölge Bilişim

Pek çok sızma testi sırasında karşılaştığımız bir manzara aslında “gölge bilişim”. Kuruluşun bilgi teknolojilerinden sorumlu birimin haberi olmadan ağa dahil edilen sistemler için kullanılan bu havalı terim aslında “buradan hacklenebilirsiniz” demek oluyor.

Temel olarak senaryo benzer şekilde gelişiyor; testler sırasında dışarıya açık veya içeriye hizmet veren ancak kuruluş güvenlik seviyesinin çok altında bir sistemle karşılaşıyoruz. Rapor tesliminde bu sistemin ne olduğunu sorduğumuzda ise “onu XYZ birimi açmıştı” veya “ABC’nin sunucusu o” gibi bir cevapla karşılaşıyoruz.

 

Evet sızma testlerinde bu sistemleri kapsam dışında tutabilirsiniz ve evet, değerlendirme toplantısında küçümser bir tavırla “bizim sunucumuz değil” diyebilirsiniz. Size kötü bir haberim var; bunlar siber saldırganların umurunda değil. Onlar buldukları açıkları değerlendirir. Bu nedenle kuruluş içerisinde “gölge bilişim” olarak adlandırılan ve aslında güvenlikten sorumlu birimlerin çabalarının dışında kalan bu sistemleri engellemek çok önemlidir.

Bugüne kadar testler sırasında “gölge bilişim” kapsamında karşılaştığımız ve kuruluş ağ ve sistemlerini ele geçirmemizi sağlayan bazı örnek sistemler şunlar oldu;

  • IP kameralar ve IP kameraların sunucusu
  • IP telefonlar
  • Video konferans çözümü
  • Toplantı düzenleme yazılımı
  • Sıramatik
  • Üretim takibi için meraklı bir arkadaş tarafından yazılmış bir yazılım
  • 2 sene önce düzenlenen bir kongre için açılmış web sunucusu
  • Yemekhaneyi işleten firmanın menü duyuru uygulaması
  • Başka bir birim tarafından yazdırılan ve yayınlanan Android uygulaması

Ağa bağlı ve IP adresi olan her şey saldırganların hedefindedir, bu nedenle bilgi güvenliğinden sorumlu birimlerin bunlar için de gerekli tedbirleri almaları çok önemlidir. Sorun da bu noktada ortaya çıkıyor zaten; birimlerin bu sistemlerin varlığından bile haberi olmayabiliyor.

 

Gölge bilişim konusunda alınabilecek bazı tedbirler şunlardır;

Ağınızdan çıkan trafiği denetleyin: Dünyaya (internete) gönderdiğiniz trafiği incelemek bu tür sistemleri tespit etmek için faydalıdır. Bilmediğimiz bir iç IP adresinin dışarıya bir şeyler göndermesi genelde hayra alamet değildir. Bilmediğimiz trafik bizden habersiz kurulan sistemleri gösteren ipucu olabilir.

Yerel ağınızı tarayın: Düzenli aralıklarla yerel ağı taramak bizden habersiz kurulmuş sistemleri ortaya çıkartmamızı sağlayabilir. Bunun için ücretsiz Zenmap (Windows) veya Nmap (Linux) yazılımlarını kullanabilirsiniz. Böylece yerel ağımızdaki sistemlerin güncel bir listesini tutmaya başlayabiliriz.

IP çakışmalarına dikkat: Kullanıcılardan şikayet olarak gelebileceği gibi Wireshark gibi bir yazılımla da tespit edilebilecek IP çakışmaları bir sistemin ağımıza dahil olduğuna veya mevcut bir sistem üzerindeki DHCP sunucunun devreye girmiş olabileceğine işaret edebilir. Her iki durum da ilgilenmemiz gereken konular olduğundan IP çakışmalarını yakından takip etmekte fayda var.

Üst yönetim sponsorluğu: Kuruluş güvenlik seviyemizi birimler arasındaki politik oyunlara kurban vermemek için en üst noktadan bu konuda destek alınması yerinde olacaktır. “fişe takılan ve internete bağlanan her sistem için Bilgi İşlem birimiyle iletişim kurula” benzeri bir karar alınması ve tebliğ edilmesi işimizi oldukça kolaylaştıracaktır. Bunu yapabilmek için Üst Yönetime gölge bilişimden doğan tehlikeleri anlatmak gerekebilir.

Uygulamalara dikkat: “gölge bilişim” kapsamında değerlendirilebilecek her şeyi kuruluşunuzun sistem odasında bulamayabilirsiniz. Web ve mobil uygulamalarının yaygınlaşmasıyla birlikte başka birimler de teknolojik atılımları hızlıca yapabilir hale geldi. Bu nedenle kuruluş süreçleriyle ilgili bütün uygulamaların, dışarıda tutulsalar bile, kuruluş güvenlik seviyesini olumsuz etkileyebileceğini unutmamak lazım.

Bu konuda aklınıza takılan bir nokta olursa kuruluş içerisindeki gölge bilişim unsurlarını tespit etmek için geliştirdiğimiz bir metodoloji var, ücretsiz olarak paylaşmaktan mutluluk duyarım.