Kimlik temelli saldırılar artıyor. Saldırganlar, güvenliği ihlal edilmiş kimlik bilgileri, kaçırılmış kimlik doğrulama yöntemleri ve yanlış kullanılan ayrıcalıklarla kimlikleri hedefliyor. Birçok tehdit tespit çözümü bulut, uç nokta ve ağ tehditlerine odaklanırken, SaaS kimlik ekosistemlerinin ortaya koyduğu benzersiz riskleri göz ardı ederler. Bu kör nokta, büyük ve küçük SaaS’a bağlı kuruluşlara zarar veriyor.
Soru şu ki, güvenlik ekipleri bu konuda ne yapabilir?
Korkmayın, çünkü kimlik tehdidi tespit ve yanıt (ITDR) günü kurtarmak için burada. Saldırıları ihlal etmeden önce durdurmak için görünürlük ve yanıt mekanizmalarına sahip olmak önemlidir.
İşte her takımın SaaS kimlik tehditlerini durdurmak için ihtiyaç duyduğu süper dizi.
#1 Tam Kapsam: Her açıyı örtün
Cap’ın kalkanı gibi, bu savunma her açıyı kapsamalıdır. XDRS ve EDR’ler gibi geleneksel tehdit algılama araçları SaaS uygulamalarını kapsar ve kuruluşları savunmasız bırakamaz. SaaS Kimlik Tehdit Tespit ve Yanıt (ITDR) kapsamı şunları içermelidir:
- ITDR, Microsoft 365, Salesforce, Jira ve GitHub gibi SaaS uygulamalarını içerecek şekilde geleneksel bulut, ağ, IoT ve uç nokta güvenliğinin ötesine geçmelidir.
- Girişlerin çatlaklardan kaymasından emin olmak için OKTA, Azure AD ve Google çalışma alanı gibi IDP’lerle kesintisiz entegrasyonlar.
- Kimlik ile ilgili tüm olayların günlüğe kaydetme ve tarihsel analizinin ayrıntılı bir raporu için olayların ve denetim günlüklerinin derin adli araştırması.
#2 Kimlik Merkezli: Kimse İpliklerden Kayma
Spidey’in Web, çarpmadan önce düşmanları çıkarır ve kimse ipliklerden kaymaz. Güvenlik olayları yalnızca kronolojik sırayla listelendiğinde, tek bir kimlik ile anormal aktivite tespit edilmeyebilir. ITDR’nizin kimlik merkezli bir zaman çizelgesinde tehditleri algıladığından ve ilişkilendirdiğinden emin olmak çok önemlidir.
ITDR’de kimlik merkezli ne anlama geliyor:
- Tüm saldırı hikayesini, tüm SaaS ortamınızdaki bir kimlik tarafından görebilirsiniz, yanal hareketleri sızma işleminden pessfiltrasyona eşleştirebilirsiniz.
- Kimlik doğrulama olayları, ayrıcalık değişiklikleri ve erişim anomalileri saldırı zincirleri olarak yapılandırılır.
- Kullanıcı ve Varlık Davranış Analizi (UEBA), normal kimlik aktivitesinden sapmaları tanımlamak için kullanılır, böylece şüpheli olanları bulmak için olayları avlamak zorunda kalmazsınız.
- Hem hizmet hesapları, API anahtarları ve OAuth jetonları gibi insan hem de insan olmayan kimlikler sürekli olarak anormal aktivite için izlenir ve işaretlenir.
- SaaS ortamlarınızdaki olağandışı ayrıcalık artışları veya yanal hareket girişimleri tespit edilir, böylece hızlı bir şekilde araştırabilir ve yanıt verebilirsiniz.
#3 Tehdit İstihbaratı: Tespit edilemez olanı tespit edin
Profesör X, Cerebro ile her şeyi görebilir ve tam ITDR tespit edilemez olanı tespit edebilmelidir. ITDR Tehdit İstihbaratı:
- Güvenlik ekipleri tarafından kolay soruşturma için herhangi bir Darknet etkinliğini sınıflandırın.
- Bağlam için IP coğrafi konumunu ve IP gizliliğini (VPN’ler) ekleyin.
- Tehdit algılamasını uzlaşma göstergeleri (IOC’ler), tehlikeye atılmış kimlik bilgileri, kötü niyetli IP’ler ve diğer şüpheli belirteçler gibi zenginleştirin.
- Kimlik uzlaşmasını ve yanal hareketi tanımlamaya yardımcı olmak için MITER ATT & CK gibi çerçeveleri kullanarak harita saldırısı aşamaları.
#4 Önceliklendirme: Gerçek tehditlere odaklanın
Uyarı yorgunluğu gerçektir. Daredevil’in yükseltilmiş duyuları, ezici gürültü yoluyla filtrelemesine, gizli tehlikeleri tespit etmesine ve gerçek tehditlere odaklanmasına izin verir – tıpkı ITDR önceliklendirme gibi uyarı yorgunluğu ile kesintiye uğrar ve kritik riskleri vurgular. SaaS ITDR Tehdit Önceliği şunları içermelidir:
- Yanlış pozitifleri azaltmak ve en kritik tehditleri vurgulamak için gerçek zamanlı dinamik risk puanı.
- Kimlik olaylarını uyumlu bir saldırı hikayesine bağlayan ve dağınık sinyalleri yüksek sadakat, eyleme geçirilebilir uyarılara dönüştüren eksiksiz bir olay zaman çizelgesi.
- Etkilenen kimlikler, etkilenen uygulamalar, Geter ATT & CK çerçevesindeki saldırı aşaması ve başarısız giriş, ayrıcalık artış ve davranışsal anomaliler gibi önemli olay ayrıntıları ile açık uyarı bağlamı.
#5 Entegrasyonlar: Durdurulamaz olun
Tıpkı Avengers’ın güçlerini durdurulamaz olmaları için birleştirmesi gibi, etkili bir SaaS ITDR’nin otomatik iş akışları için entegrasyonları olmalı, bu da takımı daha verimli hale getirmeli ve ağır kaldırmayı azaltır. ITDR entegrasyonları şunları içermelidir:
- Otomatik iş akışları için Siem & Soar.
- Her uygulama ve Miter ATT & CK çerçevesinin her aşaması için adım adım azaltma oyun kitapları ve politika uygulama kılavuzları
#6 duruş yönetimi: dinamik ikiliyi kullanın (bonus ipucu!)
Black Dul ve Hawkeye dinamik bir ikilidir ve kapsamlı bir ITDR, saldırının ilk katmanı olarak saldırı yüzeyini en aza indirmek için SaaS Security Duruş Yönetimine (SSPM) güvenir. Ücretsiz bir SSPM şunları içermelidir:
- Gölge BT, uygulamadan uygulamaya entegrasyonlar, kullanıcı izinleri, roller ve erişim seviyeleri dahil olmak üzere tüm SaaS uygulamalarına derin görünürlük.
- MFA eksikliği, zayıf şifre politikaları ve politikaların tutarlı bir şekilde uygulanmasını sağlamak için aşırı rol temelli izinler gibi yanlış yapılandırılmış kimlik doğrulama politikalarını belirlemek için CISA tarafından SCUBA çerçevesine hizalanan yanlış konfigürasyon ve politika sapma tespiti
- Bir risk oluşturan aktif olmayan, kullanılmayan veya yetim hesapları işaretlemek için hareketsiz ve yetim hesap tespiti.
- Yetkisiz erişimi önlemek için kullanıcı yaşam döngüsü olaylarının izlenmesi.
Büyük güçle büyük sorumluluk gelir
Bu zorunlu olmazsa olmazlar dizisi, kuruluşları yollarına çıkan SaaS kimliğe dayalı herhangi bir tehditle yüzleşmeye tam olarak donatıyor. Tüm kahramanlar pelerin giymez… bazılarının durdurulamaz ITDR var.
Wing Security’nin SaaS Kimlik Tehdit Tespiti ve Yanıtı hakkında daha fazla bilgi edinin.