YORUM
Geçtiğimiz yıl boyunca alanlar arası tehditlerde keskin bir artış gördük. Bu etkinlik, bir kuruluşun BT mimarisindeki kimlik, bulut ve uç nokta. Bu saldırılar, her alanda ayrı yapboz parçaları gibi minimum düzeyde ayak izi bırakarak bunların tespit edilmesini zorlaştırır.
Etki alanları arası izinsiz girişlerin karmaşıklığı farklılık gösterse de ekibim ve ben giderek daha fazla saldırı gözlemliyoruz. kaldıraç çalındı kimlik bilgileri Bulut ortamlarını ihlal etmek ve uç noktalar arasında yanal olarak hareket etmek. Bu aktivite gelişmiş kimlik avı teknikleri ile desteklenmektedir ve çoğalması bilgi hırsızları. Saldırganlar kimlik bilgilerini aldıktan veya çaldıktan sonra, kötü yapılandırılmış bulut ortamlarına doğrudan erişim elde edebilir ve yoğun şekilde korunan uç noktaları atlayabilirler. Bu erişimle genellikle dağıtım yaparlar uzaktan izleme ve yönetim (RMM) aletler Kötü amaçlı yazılım yerine bu saldırıların tespit edilmesi ve engellenmesi özellikle zorlaşıyor.
Dağınık Örümcek: Alanlar Arası Ticaret Ustası
Etki alanları arası saldırılarda en yetkin rakiplerden biri, üretken e-suç grubudur Dağınık Örümcek. 2023 ve 2024 boyunca Scattered Spider, alanlar arası gelişmiş ticari becerileri sergiledi hedeflenen bulutun içinde ortamlarsıklıkla hedef odaklı kimlik avı, politika değişikliği ve şifre yöneticilerine erişim kullanma.
Mayıs 2024’te CrowdStrike, Scattered Spider’ın bir bulut hizmeti VM yönetim aracısı aracılığıyla bulutta barındırılan bir sanal makine (VM) örneği üzerinde bir dayanak oluşturduğunu gözlemledi. Düşman, bulut kontrol düzleminde kimlik doğrulaması yapmak için bir kimlik avı kampanyası aracılığıyla mevcut kimlik bilgilerini ele geçirdi. İçeri girdikten sonra kalıcılık sağladılar.
Bu saldırı üç operasyonel alanı kapsıyordu: e-posta, bulut yönetimi ve VM’nin kendisi. Sonuç olarak, herhangi bir alanda tespit edilebilir ayak izi minimum düzeydeydi ve geleneksel imza tabanlı tespit yöntemleriyle tanımlanması zordu. Bu saldırının belirlenmesi, kapsamlı tehdit istihbaratına ve Scattered Spider’ın taktiklerine ilişkin ön bilgiye dayanıyordu. Tehdit avcıları, bulut kontrol düzlemindeki telemetriyi sanal makine içindeki algılamalarla ilişkilendirerek, devam eden izinsiz girişi fark edip durdurabildi.
İçeriden Gelen Devasa Bir Plan: Kuzey Kore’nin Ünlü Chollima’sı
Kuzey Kore-nexus düşmanı Ünlü Chollima Teknoloji sınırlarının ötesine geçen son derece karmaşık bir saldırı kampanyasıyla tehdit avcılarına benzersiz bir meydan okuma sundu. Bu devasa içeriden tehdit planında, kötü niyetli aktörler, geçmiş kontrollerini atlamak için sahte veya çalınmış kimlik belgelerini kullanarak sözleşmeli veya tam zamanlı pozisyonlar ele geçirdiler. Özgeçmişlerinde sıklıkla önde gelen şirketlerde çalıştıkları hiçbir boşluk olmadan listeleniyordu, bu da onların meşru görünmesini sağlıyordu.
Nisan 2024’te, CrowdStrike yanıt verdi Ünlü Chollima’nın havacılık, savunma, perakende ve teknoloji sektörleri de dahil olmak üzere 30’dan fazla ABD merkezli şirketi hedef aldığı birkaç olaydan ilki. Tehdit avcıları, tek bir olaydan elde edilen verilerden yararlanarak, ortaya çıkan bu iç tehdidi tespit etmek için ölçeklenebilir bir plan geliştirdi ve iki gün içinde etkilenen 30’dan fazla müşteriyi belirledi.
Çoğu durumda, saldırgan, yetkisiz erişimi kolaylaştırmak için şirket ağ kimlik bilgilerini kullanarak verileri sızdırmaya ve RMM araçlarını yüklemeye çalıştı. CrowdStrike tehdit avcıları, ek verileri ortaya çıkarmak ve şüpheli davranışları belirlemek için şüpheli ağ bağlantılarıyla eşleştirilmiş RMM araçlarını aradı. 2024 yılının ortalarında, ABD Adalet Bakanlığı’na dava açıldı Muhtemelen Kuzey Kore vatandaşlarının Kuzey Kore hükümeti ve silah programları için fon toplamasına olanak tanıyan bu plana birkaç kişi dahil oldu. CrowdStrike’ın kolluk kuvvetleri ve istihbarat topluluğuyla koordineli çabaları, bu kötü niyetli faaliyetlerin gün ışığına çıkarılmasında ve büyük tehdidin ortadan kaldırılmasında etkili oldu.
Yapbozun Parçalarını Bir Araya Getirmek: Alanlar Arası Saldırıları Durdurmak
Kapsamlı alanlar arası tehditlere karşı koymak, davranışsal ve operasyonel değişiklikler konusunda sürekli farkındalık gerektirir, bu da istihbarat odaklı avcılığı zorunlu kılar. Bu yeni saldırıları durdurmak; insanları, süreci ve teknolojiyi içeren çok yönlü bir yaklaşımı gerektirir. Kuruluşların bu saldırılara karşı korunmaları için aşağıdaki yaklaşımları benimsemeleri gerekmektedir:
-
Tam görünürlük: Etki alanları arası saldırıları tespit etmek ve ilişkilendirmek için kuruluş genelinde (bulut, uç noktalar ve kimlikler) birleşik görünürlük önemlidir. Bu yaklaşım, saldırganların ortamlarda yanal hareket etmesini önler, yanıt süresini iyileştirir ve olayların ihlallere dönüşme olasılığını azaltır.
-
Alanlar arası avcılığı entegre edin: 7/24 gerçek zamanlı tehdit avcıları, kötü amaçlı davranışlara karşı güvenlik düzlemlerinde proaktif olarak arama yapabilir. Çalışan faaliyetlerini sürekli izleyerek, RMM araçlarının anormal kullanımı gibi normal davranışlardan sapmaları tespit edebilirler.
-
Kimliğe odaklanın: Kimlik, en hızlı büyüyen tehdit vektörlerinden biridir. Riskleri azaltmak için işletmelerin çok faktörlü kimlik doğrulama ve biyometrik kontrol gibi gelişmiş kimlik doğrulama süreçlerini uygulaması gerekir. Güçlü kimlik doğrulama prosedürleri oluşturmanın yanı sıra, anormal kimlik doğrulama olaylarını ihlale dönüşmeden önce yakalamak için kimlik koruması uygulanmalıdır.
Etki alanları arası saldırıların giderek karmaşıklaştığı bir dönemde, yalnızca otomatik çözümlere güvenmek yeterli değildir. Bu gizli tehditler kimlik, bulut ve uç nokta genelinde faaliyet gösterdiğinden, proaktif karar alma sürecini bilgilendirmek için ileri teknolojinin, yeri doldurulamaz insan uzmanlığı içgörülerinin ve son teknoloji telemetrinin bir karışımını gerektirir. Son teknoloji araçlarla birlikte çalışan tehdit avcıları ve istihbarat analistleri, sürekli gelişen bu tehlikelerin zarara yol açmadan önce tanımlanması, anlaşılması ve etkisiz hale getirilmesi için hayati öneme sahiptir.
Son gelişmeleri kaçırmayın Dark Reading Gizli podcast’i, NIST’in kuantum sonrası kriptografi standartları ve siber güvenlik uygulayıcıları için sırada ne olacağı hakkında konuştuğumuz yer. General Dynamics Bilgi Teknolojisi (GDIT) ve Carnegie Mellon Üniversitesi’nden konuklar her şeyi ayrıntılı olarak anlatıyor. Şimdi dinle!