Siber Suçlar, Dolandırıcılık Yönetimi ve Siber Suçlar
Siber Güvenlik İnceleme Kurulu, Ses ve Metin Kimlik Doğrulaması için Yeterince Güvenli Değil Diyor
Mathew J. Schwartz (euroinfosec) •
11 Ağustos 2023
Bazıları gençlerden oluşan “gevşek bağlantılı bir bilgisayar korsanı grubu”nun “düşük karmaşıklık düzeyine sahip saldırılarla düzinelerce iyi savunulan şirketi” tehlikeye atabilmesi, kolektif siber güvenliğimizin durumu için ne anlama geliyor?
Ayrıca bakınız: Ayrıcalıklı Erişim Yönetimine Öncelik Vermek İçin En Önemli 5 Neden
Bu gergin bir özet, Google güvenlik şefinin izniyle Heather Adkins2021’in sonlarından 2022’nin sonlarına kadar düzinelerce iyi kaynağa sahip kuruluşun savunmasına sızan Lapsus$ siber suç grubunun etkisi.
Adkins, Perşembe günü ikinci eylem sonrası raporunu yayınlayan kamu-özel ABD Siber Güvenlik İnceleme Kurulu’nun başkan yardımcısıdır ve bu kez Lapsus$ grubunun saldırılarının başarısından çıkarılacak derslere odaklanmıştır.
İç Güvenlik Bakanlığı’nın strateji, politika ve planlardan sorumlu müsteşarı Robert Silvers, “Şirketlerin satıcılarının güvenliğini nasıl sağladığına, cep telefonu taşıyıcılarının müşterilerini SIM takasından nasıl koruduğuna ve kuruluşların sistemlerinde kullanıcıların kimliğini nasıl doğruladığına ilişkin eksiklikleri ortaya çıkardık” dedi. ve CSRB başkanı.
“Kurul, en önemli siber olayların kapsamlı eylem sonrası incelemelerini yürütme yetkisine uygun olarak, bu sorunları ve daha fazlasını ele almak için özel önerilerde bulundu” dedi.
‘Sistemik Sorunları’ Ele Alma
Başkan Joe Biden, görev süresinin başlarındaki yüksek profilli bilgisayar korsanlığı telaşının ardından 2021’de DHS liderliğindeki Siber Güvenlik İnceleme Kurulu’nu bir yürütme emriyle kurdu ve onu ülkenin güvenliğini iyileştirmek için öneriler üretmekle görevlendirdi. Pek çok siber güvenlik uzmanı, kurul tarafından vaat edilen analizi memnuniyetle karşıladı, ancak bazıları, ülkenin siber güvenlik dayanıklılığını gerçekten iyileştirmek için değişimi zorlama yeteneğinin gerekli olacağı konusunda uyarıda bulundu.
Bu, siber güvenlikle ilgili ortak bir nakarat ve meydan okuma olmaya devam ediyor. Kurbanlar temelleri yapmadığı için çok fazla saldırı başarılı olmaya devam ediyor.
2012’de, o zamanlar Mandiant’ta olan siber güvenlik uzmanı Grady Summers, ünlü bilgisayar korsanlığı kolektifinden ve ardından harap eden ağlardan bahsederken bu durumu şöyle özetliyordu: “Anonim saldırılar ihmalimize bir ayna tutuyor.”
Doğru, bazı saldırı kampanyalarının cüretkar olduğu ve yenilikçi yollarla sınırları zorladığı ortaya çıktı. SolarWinds’in kaynak kodunu veya Clop grubunun çok sayıda kurbanı bir kerede şantaj yapmak için yaygın olarak kullanılan dosya aktarım yazılımındaki sıfır gün güvenlik açıklarını bulma ve bunlardan yararlanma becerisini hackleyen Rusya kaynaklı tedarik zinciri kampanyasını ele alalım.
Sonra, gelişmiş bir tedarik zinciri hack’i veya sıfır gün ile başarılı olan Lapsus$ var. Kurul, “CSRB, Lapsus$ ve ilgili tehdit aktörlerinin, şirketlere ve onların özel verilerine erişim elde etmek için öncelikle cep telefonu numaralarını çalmak ve çalışanları dolandırıcılık yapmak gibi basit teknikler kullandığını tespit etti.”
Kurul, özellikle birçok mağdur organizasyonun, bilgisayar korsanlığı grubunun düzenli olarak kolaylıkla yendiği iki faktörlü kimlik doğrulama için kısa mesaj ve sesli aramalar kullandığını tespit etti.
Rapor, “Lapsus$, faaliyet gösterdiği suç ortamında benzersiz değildi” diyor. “Ancak Lapsus$, etkinliği, hızı, yaratıcılığı ve cesareti açısından benzersizdi; yönetim kuruluna, dijital ekosistemdeki” özellikle “kimlik ve erişim yönetimindeki” sistemik sorunları görebileceğimiz uygun bir mercek verecek şekilde çalıştı. ekosistem.”
Grubun taktiklerini analiz eden yönetim kurulu, “kuruluşların FIDO Alliance standartlarına uyan araçlar gibi tasarım gereği daha güvenli, kullanımı kolay, şifresiz çözümlere hemen geçmesi” çağrısında bulunuyor.
Bu, BT enerjisi ve yatırımı gerektirecek ve potansiyel olarak kullanıcıların geri çevirmesine yol açacak olsa da, bunun alternatifi, gençler veya ateş etmeye gelebilecek başka herhangi biri tarafından hacklenmektir.
Kurul ayrıca, mobil hizmetler sağlayan telekomünikasyon firmalarının, SIM değiştirmenin tehlikelerinin uzun yıllardır iyi bilinmesine ve belgelenmesine rağmen, kullanıcıların kimliğini doğrulamak için sağlam yöntemler uygulamada başarısız olduğunu tespit etti. Buna rağmen, çok sayıda telekomünikasyon şirketi daha sağlam savunmalara yatırım yapmakta başarısız oluyor.
Buna göre kurul, Federal İletişim Komisyonu ve Federal Ticaret Komisyonu’nu SIM takasını önlemek için en iyi uygulamaları detaylandırmaya ve taşıyıcıları bunlara uymaya zorlamaya çağırıyor.
Log4Shell’den Dersler
Lapsus$ saldırılarına ilişkin yeni rapor, yönetim kurulunun Temmuz 2022’de Apache açık kaynaklı kayıt çerçevesi Log4j’de bulunan her yerde bulunan Log4Shell kusuruyla ilgili ilk raporunu takip ediyor.
Kurul, “endemik güvenlik açığının” kurumsal ağlarda muhtemelen on yıl veya daha uzun süre mevcut olacağı konusunda uyardı ve kuruluşları daha iyi güvenlik açığı müdahale programları oluşturmaya çağırdı. Ayrıca satıcıları güvenlik açığı ifşasını ve iyileştirmeyi daha sorunsuz bir şekilde ele almaya çağırdı.
Bu tür düzeltmeler bir gecede, hatta geçen yıl olmadı. Geçen hafta, ABD’deki siber güvenlik yetkilileri ve Five Eyes istihbarat ittifakı ortakları, kusurların düzeltilmesi için tekrarlanan ve güçlü çağrılara rağmen, Log4j’nin bilgisayar korsanları tarafından kurumsal ağlarda en çok yararlanılan ilk 12 kusurdan biri olmaya devam ettiği konusunda uyardı.
Temelleri Yapın, Sonra Tekrarlayın
Nelerin değiştirilmesi gerektiğine dair tavsiyeleri de dahil olmak üzere her iki CSRB raporu da, siber güvenlik temellerini doğru almanın kulağa seksi gelmeyebileceğini ancak hala gerekli olduğunu hatırlatıyor. Yine de birçoğu bunu başaramıyor.
ABD Ulusal Standartlar ve Teknoloji Enstitüsü, yaklaşık on yıl önce, ses veya SMS yoluyla iletilen tek seferlik kodların ele geçirilmesinin çok kolay olduğu konusunda uyarıda bulundu ve bunun yerine kimlik doğrulayıcıların kullanılması önerildi. Yedi yıl sonra, Lapsus$, bu tavsiyeye henüz kulak asmamış olan şirketlerle kıyasıya mücadele etti.
İyi bir siber güvenlik hijyeni, ister Rusya, Çin veya Kuzey Kore ile bağlantılı gelişmiş kalıcı tehdit grupları olsun, tüm tehditlere karşı koruma sağlar; bu ve diğer coğrafyalarda faaliyet gösteren suçlular; otoriter rejimler veya vicdansız rakipler tarafından kullanılan ticari casus yazılımlar; artı hacktivistler, senaryo çocukları veya başka bir şekilde sıkılmış gençler.
Sofistike bilgisayar korsanları, daha hızlı, daha basit veya daha ucuz taktikler yeterli olacaksa, gelişmiş bir bilgisayar korsanlığı tekniği veya sıfır günlük kusurdan yararlanma kullanmayacaklardır. CSRB’nin son raporu, toplu olarak, her türden bilgisayar korsanı için hayatı zorlaştırmak için işe yaradığını hatırlatıyor.