Dalış Özeti:
- Google Cloud Çarşamba günü yaptığı açıklamada, zayıf veya mevcut olmayan kimlik bilgilerine sahip bulut hizmetleri hesaplarının, 2024’ün ikinci yarısında saldırganlar için en yaygın giriş noktası olduğunu söyledi. Tehdit Ufukları Raporu.
- Zayıf kimlik bilgileri içeren veya hiç kimlik bilgisi içermeyen saldırılar, Google Tehdit İstihbaratı Grubu, Mandiant, Google Cloud’un CISO Ofisi ve diğer Google istihbarat ve güvenlik ekipleri tarafından geçen yılın ikinci yarısında gözlemlenen veya incelenen izinsiz girişlerin neredeyse yarısını oluşturuyordu.
- Bulut hizmetlerindeki yanlış yapılandırmalar, ikinci en yaygın ilk erişim vektörüydü ve Google Cloud’un incelediği 3 saldırıdan 1’inden fazlasını temsil ediyordu. Raporda, yılın ikinci yarısında neredeyse 5 saldırıdan 1’ine karşılık gelen, güvenliği ihlal edilmiş uygulama programlama arayüzleri ve kullanıcı arayüzlerinde keskin bir artış olduğu belirtildi.
Dalış Bilgisi:
Yetersiz kimlik bilgisi yönetimi kronik durum Bu durum, siber suçlara ve ulus devlet gruplarıyla bağlantılı saldırılara karşı mücadelede işletmeleri ve güvenlik profesyonellerini dezavantajlı konuma getiriyor.
Çok faktörlü kimlik doğrulaması olmayan müşteri hesaplarının kimlik bilgileri, bir sorunun temelinde yer alıyordu. saldırı serisi Nisan ayında hedefleme 160’tan fazla Snowflake müşteri ortamı. Saldırılar büyük veri ihlallerine yol açtı AT&T, Gelişmiş Otomobil Parçaları, Saf Depolama ve diğer kuruluşlar.
Google Cloud’un araştırması, saldırganların hedeflediği hesap türlerinde, özellikle de aşırı ayrıcalıklı hizmet hesaplarında bir değişiklik olduğunu buldu. Raporda, “Aktörler, bu hesapları kullanarak bir kuruluşun sistemleri içinde daha kolay yatay hareket edebilir ve potansiyel olarak izinsiz girişlerden daha fazla zarar görebilirler” denildi.
Saldırganların kurban ortamlarına ilk erişim sağladıktan sonra gerçekleştirecekleri tercih edilen bir eylemi de vardır. Google Cloud’un 2024’ün ikinci yarısında gözlemlediği 5 saldırgan hareketinden 3’ünden fazlası yanal hareket girişimlerini içeriyordu.
Saldırganların bu takip çabaları, kötü kimlik bilgisi yönetimi nedeniyle bulut hizmetlerinin saldırılara karşı savunmasız kalmasıyla neden olabilecekleri hızlı ve geniş çaplı hasarın altını çiziyor.
Google Cloud araştırmacıları raporda, “Çalınan tek bir kimlik bilgisi, hem şirket içi hem de buluttaki uygulamalara ve verilere erişim sağlayan bir zincirleme reaksiyon başlatabilir” dedi. “Bu erişim, uzaktan erişim hizmetleri yoluyla altyapıyı tehlikeye atmak, MFA’yı manipüle etmek ve sonraki sosyal mühendislik saldırıları için güvenilir bir varlık oluşturmak için daha da kötüye kullanılabilir.”