Kimlik tabanlı saldırı yolları bugün çoğu ihlalin arkasında, ancak birçok kuruluş aslında bu yolların nasıl oluştuğunu göremiyor. . 2025 Saldırı Yolu Yönetimi Durumu Specterops’tan gelen rapor, kimlik yönetişim, Pam ve MFA gibi geleneksel araçların yeterli olmadığını ortaya koyuyor. Erişimi yönetmeye yardımcı olurlar, ancak daha büyük sorunu kaçırırlar: saldırganların bir araya gelebileceği şekilde çevre genelinde nasıl kimlik ve ayrıcalık yayılımı.
Saldırı Yolu Yönetimi (APM), bir kerelik bir proje değil, sürekli bir güvenlik uygulamasıdır. Kuruluşların, saldırganların sömürdüğü erişim ve kontrol zincirlerini haritalamasına, anlamasına ve sökmesine yardımcı olur.
Asıl sorun ayrıcalık zincirleme
Araştırmacılar iki modeli kontrast oluşturur: Grafiklere Erişim ve Saldırı Grafikleri. Erişim grafikleri, genellikle denetim veya uyumluluk için neye erişebileceğini gösterir. Ancak saldırganlar kimin yetkili olduğunu umursamıyorlar, neyin ulaşılabilir olduğunu önemsiyorlar. Saldırı grafikleri, her bir bağlantı kendi başına zararsız görünse bile, kritik varlıklara ulaşmak için kimliklerin, oturumların ve izinlerin birlikte nasıl zincirlenebileceğini gösterir.
Perspektifteki bu değişim, kimlik uzlaşmasının neden tespit edilmesinin veya önlemenin bu kadar zor olduğunu açıklamaya yardımcı olur. Çoğu araç, bir kimlik bilgisinin kullanılıp kullanılmadığını söyleyebilir. Çok az, bu kimlik bilgisinin etki alanı yöneticisinden sadece bir atlama olup olmadığını gösterebilir.
Daha fazla kimlik, daha fazla saldırı yolu
Rapor, kimliklerde, özellikle insan olmayan kimliklerde (NHI) hizmet hesapları, otomasyon aracıları ve şimdi AI sistemleri gibi patlayıcı büyümeye işaret ediyor. Kimliklerin çalışanlara 1:20 oranı artık yaygındır ve bazı ortamlar 1: 40’a doğru ilerler. Kimlikler çoğaldıkça saldırı yolları katlanarak büyüdüğünden, bu daha iyi görünürlük olmadan yönetilemez bir risk yüzeyi yaratır.
Veriler, 10.000 kimliğe sahip kuruluşların tipik olarak 22 milyondan fazla potansiyel saldırı yoluyla karşı karşıya olduğunu göstermektedir. Bazı durumlarda, tek bir yeni hizmet hesabı veya yanlış yapılandırılmış grup kritik yükseltme yollarını açabilir.
Transit’teki kimlikler kör nokta
Birçok güvenlik kontrolü, kimlik bilgilerinin korunması (REST’deki kimlikler) üzerine oluşturulur. Ancak saldırganlar giderek daha fazla transit kimliklerinin peşinden gidiyor: aktif oturumlar, jetonlar ve bellekte veya tarayıcılarda yaşayan çerezler. Bu jetonlar kimlik doğrulamasını tamamen atlar.
Son olaylar bunu göstermektedir. Kar tanesi ihlalinde, saldırganlar bir yüklenicinin makinesinden statik kimlik bilgilerini topladı. Savunma eylemleri MFA ve şifre rotasyonuna odaklandı, ancak gerçek risk, makinede zaten aktif olabilecek oturumlarda idi. Başka bir durumda, Rusya bağlantılı grup boş Blizzard, oturum jetonlarını çalmak, MFA’yı atlamak ve normal kullanıcılar olarak görünmek için ortada düşman kimlik avı altyapısı kullandı.
Mevcut araçlar neden yetersiz kalıyor
Rapor, yaygın olarak kullanılan araçları eleştiriyor:
- IGA, atanmış erişimi gösterir, ancak izinlerin nasıl birleştiğini gösterir.
- Pam, ilk kimlik bilgisi kullanımını korur, ancak bir oturum başladıktan sonra ne olur.
- EDR ve ITDR kötü niyetli davranışları izler, ancak riskli kombinasyonlarda meşru erişimin geçerli kullanımını kaçırabilirler.
Saldırı yollarına görünürlük olmadan, bu araçlar genellikle organizasyonları maruz kalmayı önlemek yerine uyarılara tepki veriyor.