YORUM
Kimlik doğrulama belirteçleri elbette gerçek fiziksel belirteçler değildir. Ancak bu dijital tanımlayıcıların süresi düzenli olarak dolmadığı veya yalnızca belirli bir cihaz tarafından kullanılmak üzere sabitlenmediği takdirde, tehdit aktörlerinin elinde altından yapılmış olabilirler.
Kimlik doğrulama belirteçleri (veya yaygın olarak adlandırıldıkları şekliyle “oturum belirteçleri”) siber güvenliğin önemli bir parçasıdır. Uygulama doğrulamalarını ve ağlarda, hizmet olarak yazılım (SaaS) uygulamalarında, bulut bilişimde ve kimlik sağlayıcı (IdP) sistemlerinde veya her yerde bulunan şirketler için tek oturum açmada (SSO) güvenli, kimliği doğrulanmış oturum açma işlemlerini etkinleştirmek için oturum açma yetkilendirme verilerini kapsarlar. sistem erişimi. Bu, token sahibi olan herkesin, çok faktörlü kimlik doğrulama (MFA) zorluğuna gerek kalmadan, kurumsal sistemler için altın anahtara sahip olduğu anlamına gelir.
Çalışan Rahatlığının Riskleri
Bir belirtecin ömründen genellikle güvenlik ve çalışanların rahatlığı arasında bir denge sağlamak için yararlanılır; bu da kullanıcıların belirli bir süre boyunca uygulamalara kalıcı erişimi sürdürmek için bir kez kimlik doğrulaması yapmasına olanak tanır. Bununla birlikte, tehdit aktörleri bu belirteçleri, saldırganın kimlik bilgilerini veya belirteçleri çalmak için kullanıcı ile meşru uygulamalar arasında ortada konumlandırıldığı ortadaki rakip (AitM) saldırıları ve çerezleri geçirme saldırıları yoluyla giderek daha fazla elde ediyor. , tarayıcılarda depolanan oturum çerezleri.
Kişisel cihazların da tarayıcı önbellekleri vardır ancak kurumsal sistemlerin güvenlik titizliğini geçmek zorunda değildir. Belirteçleri doğrudan güvenliği zayıf kişisel cihazlardan ele geçirebilen tehdit aktörleri tarafından daha kolay ele geçirilirler. Ancak kişisel cihazların kurumsal SaaS uygulamalarına erişmesine sıklıkla izin veriliyor ve bu da kurumsal sistemler için tehdit oluşturuyor.
Bir tehdit aktörü bir tokena sahip olduğunda, kullanıcıya verilen tüm haklara ve yetkilere de sahip olur. Bir IdP jetonu ele geçirdilerse, MFA sorunu olmadan tüm kurumsal uygulamaların IdP ile entegre SSO özelliklerine erişebilirler. İlgili ayrıcalıklara sahip yönetici düzeyinde bir kimlik bilgisiyse, sistemlere, verilere ve yedeklemelere karşı büyük bir yıkıma yol açma potansiyeli vardır. Token ne kadar uzun süre aktif olursa, o kadar çok şeye erişebilir, çalabilir ve zarar verebilirler. Ayrıca, devam eden ağ erişimi için artık token kullanımına ihtiyaç duymayan yeni hesaplar oluşturabilirler.
Oturum belirteçlerinin süresinin daha sık dolması bu tür saldırıları durdurmasa da, bir belirtecin işlev görmesi için fırsat penceresini kısaltarak risk ayak izini büyük ölçüde en aza indirecektir. Ne yazık ki, sıklıkla tokenların süresinin düzenli aralıklarla dolmadığını görüyoruz ve bazı ihlal raporları, varsayılan tokenların son geçerlilik sürelerinin kasıtlı olarak uzatıldığını da öne sürüyor.
Token Saldırıları Ön Planda
Geçen yıl, ele geçirilen kimlik doğrulama tokenlarını içeren birkaç ihlal vakası haberlerde yer aldı. İki vaka, güvenliği ihlal edilmiş IdP tokenlarıyla ilgiliydi. Okta’ya göre, kişisel Gmail hesabının ele geçirilmesi nedeniyle tehdit aktörleri 28 Eylül’den 17 Ekim’e kadar sistemlerinde bulunuyordu. Gmail hesabında kayıtlı bir şifre Chrome tarayıcıda senkronize edildi ve büyük olasılıkla MFA zorunluluğu olmadan bir hizmet hesabına erişim sağlandı. Hizmet hesabına girdikten sonra tehdit aktörleri, ServiceNow’da depolanan HAR dosyalarından diğer müşteri oturumu belirteçlerini ele geçirmeyi başardı. İhlal sonuçta herkesi etkiledi Okta müşteri desteği kullanıcıları.
Özellikle 23 Kasım 2023’te, Bulut parlaması algılandı Okta ihlalinden elde edilen oturum belirteçlerini kullanarak sistemlerini hedef alan bir tehdit aktörü. Bu, bu oturum belirteçlerinin süresi dolmamıştı Okta ihlalinden sonraki tam 30 ila 60 gün arasında; rutin bir iş akışı olarak veya ihlalin kendisine tepki olarak değil.
Eylül 2023’te, Microsoft da haber yaptı Tehdit aktörlerinin bir Windows kilitlenme dökümünden tüketici imzalama anahtarı elde ettiğini açıklayarak. Daha sonra bunu, kurumsal sistemlerin tüketici imzalama anahtarıyla imzalanan oturum belirteçlerini kabul etmesine izin veren bilinmeyen bir hatadan yararlanarak Exchange ve Active Directory hesaplarını tehlikeye atmak için kullandılar. Bu, 60.000 ABD Dışişleri Bakanlığı e-postasının çalınmasına yol açtı. Tokenların süresi daha agresif bir şekilde dolmuş olsaydı (veya sabitlenmiş olsaydı), bu ihlalin bu kadar etkili olmaması mümkündü.
Şirketler Ne Yapmalı?
Kuruluşlar için alınacak en önemli ders, tokenlerin risk taşıdığıdır; ancak bu riskleri en aza indirmenin ve daha agresif bir token yönetimi programı yürütmenin yolları vardır:
-
Kuruluşların, personelin bulunduğu coğrafyalarda kimlik doğrulama belirteçlerinin süresinin en az yedi günde bir (en azından) sona ermesi gerekir.
-
Ofis personelinin bulunmadığı bölgelerde tokenlerin kullanım süresinin çok daha sık dolması (24 saatte bir veya konumun tamamen engellenmesi) gerekir.
-
Kişisel cihazlardan SaaS uygulamalarında oturum açmayı etkinleştirmeyin. Bu cihazların güvenlik kontrollerini kontrol edemezsiniz ve bu, çok fazla tokenin kurumsal erişimin dışında kalmasına neden olur.
-
Kurumsal cihazlardan kişisel e-posta erişimini engelleyin.
-
Kimlik bilgilerinin tarayıcılara kaydedilmesini engelleyin.
-
Kaydedilen kimlik bilgilerinin Gmail, Google Drive ve OneDrive ile senkronizasyonunu engelleyin.
Daha uzun token son kullanma tarihleri kullanıcıya kolaylık sağlar, ancak yüksek bir güvenlik fiyatıyla. Tokenlar tehdit aktörleri tarafından aktif olarak hedef alınıyor; bu nedenle, bir ihlalin toplam maliyetinin çok yüksek olduğu göz önüne alındığında, kullanıcılardan haftalık olarak yeniden kimlik doğrulaması yapmalarını istemek küçük bir rahatsızlıktır.