Yeni yılda ileri düzey tehdit aktörü gruplarından neler bekleyebiliriz?
Yazan: Permiso Security Kurucu Ortağı ve CEO’su Jason Martin
2023 yılında hem saldırganların hem de savunucuların bulut güvenliğine yönelik düşüncelerinde bir değişikliğe tanık olmaya başladık. Saldırganların tek bir hizmeti hedef aldığı ve bir S3 klasöründen veri çaldığı günler, bu noktada neredeyse çoktan geride kalmış bir anı, yani daha basit zamanlar. Saldırganlar kimi ve neyi hedef aldıkları konusunda akıllı davrandılar. LUCR-3 (Scattered Spider) gibi gruplar, ilk keşif, satın alma kimlik bilgilerinin yardımıyla ve SaaS ortamlarında ustaca yapılan bazı keşifler sayesinde MGM, Caesars, Clorox ve diğerleri gibi şirketlerin ortamlarına sızmayı başardı.
Gelişmiş bulut tehdit aktörleri, bulut ortamlarına erişim sağlama ve yatay hareket etme becerilerini sergilerken, aynı zamanda bulut tedarik zinciri saldırılarının 2024’te nasıl görünebileceğine dair ipuçları da verdi.
Kimlik Sağlayıcılar Hala Bulut Saldırılarının Hedefi
Okta, Microsoft Entra ID (Azure AD) ve JumpCloud’un tümü 2023’te ihlallerle karşılaştı ve belki de Okta, müşterilerin maruz kalmasından en fazla zarar görüyor. Kimlik sağlayıcıları, merkezi kimlik doğrulama kolaylığı sunarken birçok kuruluş için güvenlik riski oluşturduğunu kanıtladı. Bir tehdit aktörü kurbanın IdP örneğine erişim kazanırsa, bu IdP aracılığıyla SSO yapılan tüm uygulamalara artık sahip oldukları erişim nedeniyle etki çok yönlü olur. Okta’nın kendisi de ihlal edilirse, tehdit aktörü artık potansiyel olarak Okta’nın tüm müşteri ortamlarına erişebileceğinden, bu çoklu yayın katlanarak artar. Bu riske ek olarak, temel yardım masası hizmetleri için üçüncü taraflara ve dış kaynaklı teknik destek ekiplerine olan bağımlılığın artması da söz konusudur. Tehdit aktörleri, bu kuruluşları alt müşteri tabanlarına saldırmak ve bulut tedarik zinciriyle ilişkili artan riskte önemli bir rol oynamak için ana hedefler olarak buldu.
SaaS Sağlayıcıları 2024’te Yoğun Bir Şekilde Hedeflenecek
Rol kabulü veya kalıcı anahtarlar yoluyla müşteri ortamlarına erişim yetkisi veren SaaS sağlayıcıları, hedefli saldırılarda bir artış görecektir. Tehdit aktörleri, bu satıcıların alt müşterilerini hedeflemek için bulut tedarik zinciri uzlaşmasına odaklanmaya devam edecek. Okta’da tanık olduğumuza benzer şekilde, IdP olmayan diğer SaaS satıcıları da bulutun tedarik zincirinde benzer riskler sunuyor. Tehdit aktörleri satıcının kendisini tehlikeye atarak ortamda yönettikleri tüm müşteri kiracılarına erişebilir. Örneğin bir tehdit aktörü Github platformuna erişim sağlayabilseydi, onu kullanan milyonlarca müşterinin kod imzalama sertifikalarına da erişebilirdi. Jira’yı tehlikeye atarlarsa bu, yüz binlerce şirketin hassas verilerinin ele geçirilmesine yol açabilir. Birçok SaaS altyapı aracı, satıcıya müşteri ortamında harici olarak üstlenebileceği bir kimlik bilgisinin sağlandığı erişim delegasyonuna dayanır. Bir tehdit aktörünün bu SaaS sağlayıcılarından birinin güvenliğini ihlal edebildiği bir durumda, SaaS sağlayıcılarının müşteri ortamlarında bu kimlik bilgilerine erişim elde edebilecektir. Bu bulut SaaS satıcıları yalnızca alt yönde etkilenecek on binlerce müşteriye sahip olmakla kalmıyor, aynı zamanda tarihsel olarak aşırı ayrıcalıklara da sahipler. P0 laboratuvar ekibi, bu satıcılara verilen ayrıcalıkların %90’ından fazlasının kullanılmadığını ve saldırganların aşırı ayrıcalıklı hesaplardan ve kimliklerden başka hiçbir şeyi sevmediğini tespit etti. SaaS’ta riskler yüksektir.
Büyük Bir Bulut Hizmet Sağlayıcısının Güvenliği Tehlikeye Girebilir mi?
Buluttaki tedarik zincirini düşünürsek, belki de AWS, Azure ve GCP gibi bulut hizmet sağlayıcılarından daha büyük bir risk yoktur. Bu sağlayıcılar, platformlarının güvenliğini sağlamak için personele ve araçlara yoğun yatırım yaparken, destek kuruluşları ve üçüncü taraf yüklenicilerden kaynaklanan risklere karşı da aynı derecede savunmasız olabilirler. Tehdit gruplarının artık kripto madenciliği gibi faaliyetlerin azalan getirileriyle ilgilenmediği açık. Bir kurbanın kimlik sağlayıcısının, SaaS uygulamalarının veya CI/CD örneklerinin ele geçirilmesi, tehdit aktörlerinin mümkün olan en kısa sürede hassas, değerli verilere erişmesine olanak tanır. Bulut sağlayıcılarının güvenliğini kendileri tehlikeye atabilirlerse tedarik zincirinin etkisi felaket olur. Bulut hizmet sağlayıcılarının güvenliğini kendileri tehlikeye atabilirlerse bunun aşağı yöndeki etkisi felaket olur.
İşletmeler MFA’larını Ciddi Şekilde Yeniden Düşünmeye Başlayacak
LUCR-3 gibi gelişmiş tehdit aktörü grupları, bulut ortamlarına yönelik saldırılarında bize bir şey öğrettiyse, o da MFA’nın, düşünmek istediğimiz güvenlik garantilerini sağlamadığıdır. SIM değiştirme, kimlik avı ve push yorgunluğu yoluyla MFA, gelişmiş tehdit aktörlerinin son birkaç yılda, özellikle de SMS’e ikinci bir faktör olarak izin veren mağdur kuruluşlarda, çareler bulduğu bir şey haline geldi. MFA bypass teknikleri yenilik yapmaya devam edeceğinden, muhtemelen daha fazla şirketin SMS tabanlı kimlik doğrulamadan uzaklaştığını ve biyometri veya donanım anahtarlarına dayanan çözümlere doğru ilerlemeyi hızlandırdığını göreceğiz. Örneğin yüz biyometrik teknolojisi ve Yubikeys gibi donanım anahtarları daha iyi güvenlik garantileri sunuyor ve atlanmayı önemli ölçüde zorlaştırıyor. Peki tehdit aktörleri nasıl uyum sağlayacak?
Tehdit Aktörü Grupları Kötülük İçin Yapay Zekadan Yararlanmaya Devam Edecek
MFA için biyometrik güvenliğin benimsenmesindeki artışla birlikte, ses veya video tabanlı doğrulama amacıyla derin sahtekarlıklar oluşturmaya yönelik araç kitlerinin kullanılabilirliğinde ve kimlik bilgileri sıfırlama iş akışlarında yer alan sosyal mühendislik personelinin sayısında bir artış olacak. Bu alet takımları, günümüzün diğer birçokları gibi, yer altı pazarlarında kolaylıkla satın alınabilecek. Bu derin sahte varlıklar, tehdit aktörlerinin daha büyük kampanyalarının bir parçası olarak sosyal mühendislik saldırılarında karmaşık kimliğe bürünme düzenlemelerine yardımcı olmak açısından kritik öneme sahip olacak. Gruplar, sosyal mühendislik saldırılarıyla daha cesur ve daha sofistike olmaya devam ediyor ve işletmelerde insan faktörünü kullanma başarısından güç alarak bunu yapmaya devam edecekler. Birçok ticari platform, LLM modellerinin kötüye kullanılmasını yasaklamak için büyük çaba harcadı; ancak bu, tehdit aktörlerinin bu tür güvenlik önlemleri olmayan kötü niyetli Chat-GPT eşdeğeri çözümlere yönelik yüksek talebine yol açacaktır. Güçlü açık kaynak modellerinin piyasaya sürülmesi ve kamuya açık araştırmaların hızlanmasıyla birlikte, kötü aktörlü Yüksek Lisans’ların oluşturulması, eğitimi ve sürdürülmesinin önündeki engel hiç bu kadar düşük olmamıştı.
Kısacası, 2023’te gördüğümüz saldırı modelleri büyük olasılıkla 2024’te de devam edecek. Modern bulut tehdit aktörleri, kripto madencilik gibi son bir yılda daha az kârlı olduğu kanıtlanmış faaliyetlerden uzaklaşıyor ve daha kazançlı girişimlere yöneliyor. fidye yazılımı ve gasp olarak. MFA bypass’ı bir ortama erişim sağlamanın kritik bir parçası olduğundan, tehdit aktörleri TTP’lerinin donanım anahtarları ve biyometri gibi daha güvenli MFA için uygulanan önlemlere ayak uydurmasını bekleyin. Pek çok gelişmiş tehdit aktörü grubunun bulutu ve kendi çıkarları için kullanılabilecek kaynakları anlamaya başladığı görülüyor. SaaS ve Bulut Hizmeti Sağlayıcılarına karşı, tek bir kurbana veya kiracıya yönelik tipik saldırılardan daha büyük kazançlar sağlayacak daha ayrıntılı kampanyalar düzenlemeye devam edecekler. Her zaman olduğu gibi, tehdit aktörlerinin TTP’lerinin nasıl geliştiğini açıklamak ve bu tehditlere daha iyi yanıt verecek politika ve planlar oluşturmak güvenlik ekiplerinin sorumluluğundadır.
yazar hakkında
Jason Martin ve ben Permiso Security’nin Kurucu Ortağı ve CEO’suyuz. Siber güvenlik alanında 25+ yıl. Konferans organizatörü (Shakacon), yazar, yatırımcı ve FireEye/Mandiant’ın eski Ürün ve Mühendislik Başkan Yardımcısı. LinkedIn’den ve şirketimizin web sitesi permiso.io’dan bana ulaşabilirsiniz.