WEBVTT

00:00.330 --> 00:01.350
Eğitmen: Bu derste, sanal

00:01.350 --> 00:03.780
makine kaçışları, sanal makine atlamaları, sandbox

00:03.780 --> 00:07.410
kaçışları ve diğer sanal makine endişeleri dahil olmak üzere sanal makine

00:07.410 --> 00:09.360
saldırılarını tartışacağız.

00:09.360 --> 00:12.680
İlk olarak VM kaçışları veya sanal makine kaçışları vardır.

00:12.680 --> 00:14.940
Sanal makineden kaçış, bir tehdit aktörünün izole

00:14.940 --> 00:16.230
edilmiş bir sanal makineden çıkmaya

00:16.230 --> 00:18.120
çalıştığı ve ardından doğrudan altta yatan

00:18.120 --> 00:19.380
hiper yöneticiye komutlar gönderdiği

00:19.380 --> 00:21.270
bir saldırı türüdür.

00:21.270 --> 00:23.820
Her sanal makinenin yalıtılmış olması gerektiğinden,

00:23.820 --> 00:25.350
bir VM kaçışını gerçekleştirmek

00:25.350 --> 00:27.300
çok zor olmalıdır.

00:27.300 --> 00:29.580
Sonuçta, her konuk işletim sistemi kendisinin

00:29.580 --> 00:31.200
bir sanal makinenin parçası olduğunu

00:31.200 --> 00:32.910
bile bilmemelidir, çünkü hala hipervizörün

00:32.910 --> 00:34.710
sağladığı taklit fiziksel makineye

00:34.710 --> 00:38.340
tam erişime sahip olduğunu düşünmektedir.

00:38.340 --> 00:40.260
Bir sanal makineden kaçışın etkili olabilmesi

00:40.260 --> 00:42.780
için saldırganın fiziksel sunucunun belleği, sabit

00:42.780 --> 00:44.880
sürücüsü veya işlemcisi gibi temel fiziksel

00:44.880 --> 00:46.830
kaynaklarla doğrudan arayüz oluşturmanın

00:46.830 --> 00:48.990
bir yolunu bulması gerekir.

00:48.990 --> 00:51.210
Bu genellikle hipervizörün kendi kodundaki bir güvenlik

00:51.210 --> 00:53.220
açığından yararlanılarak gerçekleşir.

00:53.220 --> 00:54.480
Bu durumun yaşandığı birkaç

00:54.480 --> 00:56.760
örnek olmuştur ve üreticiler bu güvenlik açıklarını

00:56.760 --> 01:00.840
keşfeder keşfetmez yamalar geliştirmiş ve yayınlamışlardır.

01:00.840 --> 01:04.080
Sanal makineden kaçış, ikinci tip bir hipervizörde birinci

01:04.080 --> 01:06.330
tip bir hipervizöre göre daha kolaydır.

01:06.330 --> 01:08.940
Eğer ikinci tip veya post-it hipervizör kullanıyorsanız,

01:08.940 --> 01:10.650
saldırgan sanal makinelerinizi

01:10.650 --> 01:12.210
barındıran temel işletim sistemine

01:12.210 --> 01:14.400
erişim sağlayabilir.

01:14.400 --> 01:16.170
Bunu yapabilirlerse, ayrıcalıklarını

01:16.170 --> 01:17.370
yükseltebilir ve aynı

01:17.370 --> 01:19.620
cihazda barındırılan diğer sanal makinelere

01:19.620 --> 01:21.203
erişebilir ve aslında bir sanal

01:21.203 --> 01:23.820
makine kaçışı yaratabilirler.

01:23.820 --> 01:25.620
Bir sanal makine kaçışını önlemek için

01:25.620 --> 01:26.910
konuk işletim sisteminizin,

01:26.910 --> 01:29.790
ana bilgisayar işletim sisteminizin ve hiper yöneticinizin

01:29.790 --> 01:33.270
yamalı ve güncel olduğundan emin olmak her zaman önemlidir.

01:33.270 --> 01:36.750
İkincisi, VM hopping ya da sanal makine hopping.

01:36.750 --> 01:38.970
Sanal makine atlama, tehdit aktörünün aynı

01:38.970 --> 01:40.440
ana bilgisayar üzerinde bir sanal

01:40.440 --> 01:43.860
makineden diğerine geçmeye çalıştığı bir saldırı türüdür.

01:43.860 --> 01:46.530
Sanal makine atlama saldırısı, sanallaştırma yazılımının

01:46.530 --> 01:48.750
hipervizöründen ya da izole olduğu varsayılan

01:48.750 --> 01:51.360
iki sanal makine arasında hareket etmek için bir tür özellikten

01:51.360 --> 01:53.730
yararlanmaya odaklanacaktır.

01:53.730 --> 01:56.340
Şimdi VM atlaması, VM kaçışına benziyor, ancak

01:56.340 --> 01:57.960
VM atlamasının artık bir sanal

01:57.960 --> 02:00.090
makine arasında diğerine geçmeye odaklandığı

02:00.090 --> 02:02.340
önemli bir fark var.

02:02.340 --> 02:03.818
VM kaçışından bahsettiğimizde

02:03.818 --> 02:06.720
ise, altta yatan hipervizöre veya ana bilgisayar işletim sistemine

02:06.720 --> 02:08.550
ulaşmaya odaklanıyoruz.

02:08.550 --> 02:10.170
Sanal makine atlamalarına karşı korunmak için

02:10.170 --> 02:11.820
hipervizörünüzün her zaman güncel ve düzgün bir

02:11.820 --> 02:13.603
şekilde yamalanmış olduğundan emin olmalısınız.

02:13.603 --> 02:15.843
Ayrıca, izole edilmesi gereken sanal makineler arasında

02:15.843 --> 02:18.750
hatalı bağlantılar olmadığından emin olmak için konuk işletim sistemlerinizin

02:18.750 --> 02:20.910
ve hipervizörün en iyi uygulama yapılandırma kılavuzu

02:20.910 --> 02:22.830
kullanılarak güvenli bir şekilde yapılandırıldığından

02:22.830 --> 02:25.650
emin olmanız gerekir.

02:25.650 --> 02:27.930
Üçüncüsü, bir kum havuzu kaçışımız var.

02:27.930 --> 02:30.000
Artık sanal alan, sistem arızalarını veya yazılım

02:30.000 --> 02:31.710
açıklarının yayılmasını azaltmak amacıyla

02:31.710 --> 02:34.620
çalışan süreçleri ve programları ayırmak için kullanılan bir

02:34.620 --> 02:36.840
güvenlik mekanizmasıdır.

02:36.840 --> 02:39.960
Kum havuzları genellikle sanal makineler veya konteynerizasyon

02:39.960 --> 02:41.370
kullanılarak oluşturulur.

02:41.370 --> 02:44.070
Örneğin web tarayıcıları, çalışan web kodunu korumalı işletim

02:44.070 --> 02:46.440
sisteminden veya sistemdeki diğer yazılımlardan

02:46.440 --> 02:48.030
ayırmak için yaygın olarak sandboxing

02:48.030 --> 02:49.950
kavramını kullanmaktadır.

02:49.950 --> 02:51.630
Artık bir saldırgan, diğer ayrıcalıklı

02:51.630 --> 02:52.620
işlemler için korumalı

02:52.620 --> 02:54.690
işletim sistemine erişim sağlamak amacıyla korumalı

02:54.690 --> 02:57.057
alan korumalarını atlatabildiğinde bir korumalı alandan

02:57.057 --> 02:59.190
kaçış meydana gelecektir.

02:59.190 --> 03:01.130
Sistemlerinizi bir sanal alan kaçışından

03:01.130 --> 03:02.880
korumak için, yazılım ve işletim sistemlerinizin

03:02.880 --> 03:06.173
yamalı ve güncel kalmasını sağlamanın yanı sıra, istemcinizde güçlü bir

03:06.173 --> 03:08.460
uç nokta koruma yazılımı yüklü olduğundan emin olmanız

03:08.460 --> 03:11.640
ve web tarayıcısı sanal alan kaçışlarına karşı koruma durumunda web

03:11.640 --> 03:14.490
tarayıcılarınızda yüklü olan uzantıları veya eklentileri sınırlandırmanız

03:14.490 --> 03:16.920
önemlidir.

03:16.920 --> 03:19.530
Dördüncü olarak, sanal makineler ve sanallaştırılmış

03:19.530 --> 03:21.600
ortamlar hakkında düşünürken konuşmamız gereken

03:21.600 --> 03:23.160
birkaç endişemiz var.

03:23.160 --> 03:26.250
Buna geçişler ve veri kalıntıları gibi şeyler de dahildir.

03:26.250 --> 03:27.510
Şimdi, sanal ortam kullanmanın

03:27.510 --> 03:28.890
en büyük avantajlarından biri,

03:28.890 --> 03:30.570
bir sanal makineyi çalışırken bile bir

03:30.570 --> 03:33.270
ana bilgisayardan diğerine taşıyabilmenizdir.

03:33.270 --> 03:35.280
Buna canlı geçiş denir.

03:35.280 --> 03:37.290
Şimdi bu geçiş ağ üzerinden gerçekleşiyor.

03:37.290 --> 03:38.700
Bu nedenle, geçişin yalnızca güvenilir

03:38.700 --> 03:41.276
bir ağ üzerinden veya sanal makineyi ayarlayan sunucu ile

03:41.276 --> 03:43.678
bu sanal makineyi alan sunucu arasında uygun şifrelemenin

03:43.678 --> 03:46.020
kullanıldığı bir ağ üzerinden gerçekleştiğinden

03:46.020 --> 03:48.480
emin olmak her zaman önemlidir.

03:48.480 --> 03:49.830
Ancak canlı geçiş şifrelenmemiş

03:49.830 --> 03:51.570
bir bağlantı üzerinden gerçekleşirse,

03:51.570 --> 03:53.700
bu sanal makinenin içerdiği verilerin meraklı

03:53.700 --> 03:56.730
gözlere maruz kalması veya bütünlüğünün yol üzerindeki bir

03:56.730 --> 03:58.674
saldırgan tarafından tehlikeye atılması

03:58.674 --> 04:01.200
olasılığı olacaktır.

04:01.200 --> 04:03.150
Bunu önlemek için, sanal makine görüntüleri

04:03.150 --> 04:04.710
ağ üzerinden bir sunucudan diğerine

04:04.710 --> 04:06.840
gönderilmeden önce şifrelenmelidir.

04:06.840 --> 04:09.810
Unutmayın, sunucular artık sadece veri merkezlerimizin içinde

04:09.810 --> 04:11.580
bulunan fiziksel cihazlar değil, aynı

04:11.580 --> 04:13.680
zamanda bir tür dosya sistemi üzerinde bulunan

04:13.680 --> 04:16.410
bir dosya olan sanal makinelerdir.

04:16.410 --> 04:18.930
Ve bu dosyalar bir saldırgan tarafından çalınabilir.

04:18.930 --> 04:21.300
Sanal makineleri bulut ortamında kullanırken bir

04:21.300 --> 04:23.024
diğer önemli endişe de fazla sanal sunucuları

04:23.024 --> 04:24.420
kullanımdan kaldırdığınızda

04:24.420 --> 04:27.150
geride kalabilecek veri kalıntılarıdır.

04:27.150 --> 04:29.520
Birçok bulut sağlayıcısı, artık ihtiyaç duyulmayan

04:29.520 --> 04:31.323
verilerin depolama cihazlarında bırakılmasına

04:31.323 --> 04:34.230
izin verebilecek blok depolamayı kullanır.

04:34.230 --> 04:36.622
Düzgün bir şekilde silinmezse, bu verilere yetkisiz

04:36.622 --> 04:38.700
kullanıcılar tarafından erişilebilir.

04:38.700 --> 04:40.620
Bu veri kalıntısı tehdidini azaltmak için, sanal

04:40.620 --> 04:42.270
makine depolama konumlarınızı her zaman

04:42.270 --> 04:43.680
şifrelemeli ve sanal makineye artık

04:43.680 --> 04:45.240
ihtiyaç duyulmadığında ve onayı kaldırıldığında

04:45.240 --> 04:49.020
şifreleme anahtarının yok edildiğinden emin olmalısınız.

04:49.020 --> 04:50.160
Güvenlik açısından ele

04:50.160 --> 04:52.650
almamız gereken son konu, sanal makine yayılması

04:52.650 --> 04:54.990
olarak da bilinen VM yayılmasıdır.

04:54.990 --> 04:57.720
Artık sanal makine yayılımı, bir veya daha fazla sanal makinenin

04:57.720 --> 04:59.664
kontrolsüz bir şekilde dağıtılmasıdır.

04:59.664 --> 05:01.920
Bu, bir kuruluş olarak sizin için büyük bir

05:01.920 --> 05:03.540
güvenlik açığı alanıdır, çünkü

05:03.540 --> 05:05.340
ağınızın her yerinde yetkisiz olarak

05:05.340 --> 05:06.540
yüklenen bu haydut VM'lere

05:07.403 --> 05:09.030
sahipsiniz.

05:09.030 --> 05:11.730
Şimdi bu, sistem yönetiminin bu makineler için yapılmadığı

05:11.730 --> 05:14.460
anlamına gelir, çünkü var olduklarını bilmiyorsunuz.

05:14.460 --> 05:15.990
Ve var olanları bilmediğiniz için,

05:15.990 --> 05:17.610
güvenlik yamalarını ve güncellemelerini

05:17.610 --> 05:20.370
yapmıyorsunuz ve bu makineleri korumak için kötü amaçlı yazılımdan

05:20.370 --> 05:23.130
koruma çözümleri veya antivirüs koymuyorsunuz.

05:23.130 --> 05:25.845
Bu nedenle, bu sanal makineler bir saldırıya karşı

05:25.845 --> 05:27.300
çok hassas hale gelir.

05:27.300 --> 05:29.310
Ve eğer bir saldırgan, VM yayılması nedeniyle

05:29.310 --> 05:30.843
ortaya çıkan bu haydut VM'lerden

05:30.843 --> 05:33.330
birini bulabilirse, içeri girip ona saldırabilir ve

05:33.330 --> 05:36.480
bunu ağınızın geri kalanına bir pivot noktası olarak kazanabilir ve

05:36.480 --> 05:39.000
ardından VM kaçışlarını veya VM atlamalarını ağınızın

05:39.000 --> 05:40.860
diğer alanlarına deneyebilir.

05:40.860 --> 05:42.270
Bunu aklınızda bulundurun,

05:42.270 --> 05:45.240
çünkü bu VM yayılımı büyük bir sorundur, özellikle de ağınızda

05:45.240 --> 05:46.725
çalışan çok sayıda yükleniciniz

05:46.725 --> 05:49.470
ve geliştiriciniz varsa ve bunlar normal ekibinizin bir

05:49.470 --> 05:51.120
parçası değilse ve normal değişiklik

05:51.120 --> 05:52.290
kontrol süreçlerinizi

05:52.290 --> 05:54.000
takip etmiyorlarsa.

05:54.000 --> 05:56.880
Bu derste bir kez daha, düşünmeniz gereken bazı güvenlik

05:56.880 --> 05:59.045
gereksinimlerinden ve bu güvenlik gereksinimlerine

05:59.045 --> 06:00.810
karşı çıkabilecek bazı güvenlik

06:00.810 --> 06:03.360
açıklarından bahsettik.

06:03.360 --> 06:06.330
Buna VM kaçışları, VM atlamaları, sanal alan kaçışları

06:06.330 --> 06:09.303
ve sanal makine yayılması gibi şeyler dahildir.