Geçiş anahtarlarından çok faktörlü kimlik doğrulamasına (MFA) kadar çoğu işletme, saldırı yüzeyini en aza indirmek ve siber güvenlik duruşunu geliştirmek için hassas bilgileri koruyan çözümleri benimsiyor. Bu yaklaşımlar doğru yönde atılmış bir adım olsa da güvenlik ekipleri bunların kullanıcı verilerini tam olarak güvence altına almak için yeterli olmayabileceğini kabul etmelidir.
İşletmeler ağlarını korumak için yeni yöntemler uygulamaya koyarken, siber suçlular da aynı anda bu savunmaları atlatacak taktikler geliştiriyor. Kötü aktörler, kurumsal sistemlere girmek için oturum ele geçirme ve hesap ele geçirme gibi teknikleri halihazırda parolaları ve MFA’yı atlamak için kullanıyor. Daha da kötüsü, bu taktikler öncelikle kötü amaçlı yazılımların sızdırdığı verilerden kaynaklanıyor ve bu, ele alınması en zor güvenlik açıklarından biri.
Kötü amaçlı yazılım, oturum açma kimlik bilgileri, finansal bilgiler ve kimlik doğrulama çerezleri gibi kişisel olarak tanımlanabilir bilgiler (PII) dahil olmak üzere büyük miktarda doğru kimlik doğrulama verisini hızla ve gizlice çalar. Ayrıca bazı kötü amaçlı yazılımlar, şifre yöneticileri tarafından tutulanlar gibi yerel anahtar kasalarına şimdiden sızmaya başlıyor. Bunlardan bazıları geçiş anahtarı çözümleri sunmaya başladı. Geçtiğimiz yıl tehdit aktörleri 4 milyarın üzerinde kötü amaçlı yazılım girişimi gerçekleştirdi ve bu da onu en çok tercih edilen siber saldırı yöntemi haline getirdi. Üstelik SpyCloud’un “2023 Yıllık Kimlik Açığa Çıkma Raporu”na göre, geçen yıl 22 milyondan fazla benzersiz cihaza kötü amaçlı yazılım bulaştı ve çalınan veriler, oturum ele geçirmeden fidye yazılımına kadar çeşitli saldırılarda kullanılmak üzere suç ağlarına doğru yol alıyor.
Kod depoları, müşteri veritabanları ve finansal sistemler için iş uygulaması oturum açma bilgileri ve çerezler de dahil olmak üzere kötü amaçlı yazılımdan sızdırılan veriler suçlular için önem kazanırken, güvenlik ekipleri bu açıklarla mücadele etmek için hâlâ gerekli görünürlüğe sahip değil. Kötü amaçlı yazılımların nasıl çalıştığını ve siber suçluların kötü amaçlı yazılımdan alınan verileri takip eden saldırılar gerçekleştirmek için nasıl kullandığını anlayanlar, tehdidi ele alma konusunda daha donanımlıdır.
Kötü Amaçlı Yazılım Destekli Oturum Ele Geçirilmesi Büyük Tehdittir
Oturum ele geçirme, bilgi hırsızı kötü amaçlı yazılımın (genellikle kimlik avı e-postaları veya kötü amaçlı web siteleri aracılığıyla dağıtılır), cihaz ve kimlik verilerini virüslü makineden ve Web tarayıcılarından sızdırmasıyla başlar. Çalınan tüm verilerin suçlular için bir değeri olsa da, bilgi hırsızlığı yapan kötü amaçlı yazılımlar, çerezler de dahil olmak üzere yüksek değerli verileri giderek daha fazla hedef alıyor.
Bir kullanıcı bir sitede veya uygulamada oturum açtığında, sunucu o tarayıcıda geçici bir kimlik doğrulama belirteci (veya çerez) saklar ve sunucunun kullanıcıyı belirli bir süre boyunca hatırlamasına olanak tanır. Çerez geçerli kaldığı sürece, kötü niyetli bir kişi onu, kullanıcının cihazını ve konumunu taklit eden ek ayrıntılarla birlikte bir anti-algılama tarayıcısına aktarabilir ve onlara zaten kimliği doğrulanmış bir oturuma erişim sağlayabilir.
Oturum ele geçirme, en güçlü kimlik doğrulama yöntemlerine karşı bile son derece etkilidir. Geçerli çalıntı çerezlerin kullanılması, suçluların tehlike işaretlerine yol açmadan kimlik doğrulama sürecini tamamen atlamasına olanak tanır. Bu, suçluların kurumsal ağlarda uzun süre tespit edilmeden kalmasına olanak tanıyarak, onlara hassas bilgilere ücretsiz geçiş yapma ve fidye yazılımı gibi hedefli saldırıları gerçekleştirme yolunda ek verileri çalma veya ayrıcalıkları artırma olanağı sağlar.
Suçlular, oturum ele geçirmenin yıkıcı potansiyelinin farkındadır ve kimlik doğrulama çerezlerini hedef almak için EvilProxy ve Emotet gibi araçları zaten oluşturmuşlardır. Peki şirketler temel savunmaları geçersiz kılan bir tehdide karşı ne yapabilir? İmkansız gibi görünse de siber suç döngüsünü sonlandırmaya yardımcı olacak yeni yaklaşımlar var.
Göremediğiniz Şeyi Düzeltemezsiniz
Artan oturum ele geçirme sorununun üstesinden gelmek göz korkutucu bir iştir, ancak imkansız değildir. Bilgi hırsızı kötü amaçlı yazılımların körüklediği saldırılara karşı savunma yaparken en büyük sorunlardan biri, kötü amaçlı yazılımın tespit edilmekten kaçabilme yeteneğidir. Daha yeni kötü amaçlı yazılım biçimleri, saniyeler içinde verileri çekip kendilerini silebilir, bu da güvenlik ekiplerinin bir saldırının gerçekleştiğini bilmesini zorlaştırır.
Ek olarak, bilgi hırsızlığı yapan kötü amaçlı yazılımlar, çalışanların kişisel cihazlarına ve yüklenicilerin cihazlarına güvenlik ekibinin genel yetki alanı dışında bulaşarak, iş riskine maruz kalan tüm örneklerin tespit edilmesini son derece zorlaştırabilir.
Neyse ki bu endişelerin her ikisi de tehdit farkındalığının ve görünürlüğünün arttırılmasıyla çözülebilir. Sonuçta kuruluşlar bilinmeyene karşı savunma yapamazlar.
Güvenlik ekipleri, kullanıcıları bilgi hırsızları, kurumsal ağa veya kritik iş uygulamalarına erişen herhangi bir cihaza yanlışlıkla bilgi hırsızlığının nasıl önleneceği ve tarayıcılarında saklanan çerezlerin rutin olarak nasıl silineceği konusunda eğitmelidir.
Gözden kaçan kötü amaçlı yazılımlar için tam olarak hangi bilgilerin çalındığını anlamak, ekiplerin hangi kullanıcı kimlik bilgilerinin ve kimlik doğrulama çerezlerinin düzeltilmesi gerektiğini belirlemesine yardımcı olabilir. Etkilenen cihazı silmek yeterli değildir; çünkü aktif olarak çalınan veriler, ilk enfeksiyon giderildikten sonra uzun süre kullanılabilir. Bunun yerine, kuruluşların tehlikeye atılmış verileri tanımlaması ve kuruluşa olası giriş noktalarını kesmek için proaktif olarak oturumu geçersiz kılma ve parola sıfırlama işlemlerini zorlaması gerekir.
Sonuçta, tam bir kötü amaçlı yazılım düzeltme süreci, bilgi hırsızı kötü amaçlı yazılım tarafından hangi verilerin çalındığının bilinmesine dayanmalıdır. BT ekipleri, kötü amaçlı yazılımların etkin olduğu güvenlik açıklarını gidermek için gereken gelişmiş görünürlüğü sağlayan yaklaşımlara ve çözümlere öncelik vermelidir. Ekipler bu içgörüye sahip olduktan sonra, şirketin itibarını ve kârlılığını korumak için kimlik doğrulama verileri de dahil olmak üzere açığa çıkan tüm varlıkları ele almak için gerekli adımları atabilirler.