Google’ın Tehdit İstihbarat Grubu (GTIG), kuruluşların SaaS güvenlik duruşlarını, özellikle Salesforce’u güçlendirmelerine yardımcı olmak için kapsamlı bir rehber yayınladı.
Kimlik sertleştirme, SaaS’a özgü kontroller ve ileri günlük ve algılama birleştirerek, güvenlik ekipleri kimlik bilgisi uzlaşma ve büyük ölçekli veri açığa çıkma riskini önemli ölçüde azaltabilir.
Hizmet Olarak Yazılım (SaaS) platformlarının korunması, insanlara, süreçlere ve teknolojiye odaklanan katmanlı bir yaklaşım gerektirir.
UNC6040’ın Salesforce müşterilerine karşı kampanyalardaki kampanyalarda ele alınan başarısından yararlanan Google’ın Kılavuzu, üç yönlü bir savunma çerçevesini özetlemektedir: proaktif sertleştirme önlemleri, kapsamlı günlük protokolleri ve hedeflenen algılama özellikleri.
Salesforce birincil odak noktası olmasına rağmen, OKTA, Microsoft Entra ID gibi merkezi kimlik sağlayıcılarına dayanan herhangi bir SaaS ekosisteminde birçok öneri uygulanır, Microsoft Entra ID, kamu önizlemesinde PassKey (FIDO2) desteği veya Google Cloud Identity ekler.
UNC6040, çokuluslu firmaların İngilizce konuşan şubelerine karşı sesli kimlik avı konusunda uzmanlaşmıştır. Operatörler, BT destek personelini telefon görüşmelerini ikna ederek taklit ederek, çalışanları kötü amaçlı bağlı bir uygulamayı onaylamaya kandırıyor – Salesforce’un veri yükleyicisinin sahte bir sürümü.
Yetkili olduktan sonra, saldırganlar doğrudan bağlı uygulamanın API kimlik bilgileri aracılığıyla doğrudan hassas kayıtları sorgulayabilir ve dışarı atabilir. Özellikle, UNC6040 asla Salesforce kod güvenlik açıklarından yararlanmaz; Her saldırı, sosyal mühendislik ve meşru platform özelliklerinin kötüye kullanılması üzerine menteşeler.
Bazı durumlarda, gasp ilk erişimden aylar sonra ortaya çıktı – çalınan verilerden fidye talepleri yoluyla para kazanan diğer tehdit aktörleriyle (örn. Shinyhunters) ortaklıkları desteklemek.
Saldırganlar ayrıca aynı VPN veya Tor-Exit IP’lerinden diğer bulut hizmetlerini (OKTA, Microsoft 365) hedeflemek için hasat edilen kimlik bilgilerini kullanarak yanal olarak döner.
Proaktif Sertleştirme Önerileri
1. Kimlik doğrulaması ve korumaları
Sosyal mühendisliği engellemek için olumlu kimlik kanıtları uygulayın. Kurumsal rozet veya devlet tarafından verilen kimlik kontrolleri, çapraz referans çalışanları kayıtları ile canlı video görüşmeleri gerektirir.
Yüksek riskli istekler için (MFA sıfırlama, ayrıcalıklı şifre değişiklikleri), yönetici onayı veya geri dönme yoluyla bant dışı doğrulamayı kurumsal telefon numaralarına uygulayın.
Kolayca tehlikeye atılan tanımlayıcılardan kaçının (DOB, SSN’nin son dördü, süpervizör isimleri).
Bunun yerine, kimlik avına dirençli MFA’yı (FIDO2 tuşları) benimseyin ve kurumsal IDP’ler aracılığıyla tek oturum açma (SSO) uygulayın. Aygıt duruşuna göre erişimi kısıtlayın: Domain-katılma durumu, geçerli ana bilgisayar sertifikaları, onaylanmış işletim sistemi sürümleri ve aktif EDR aracıları.
2. SaaS uygulaması sertleştirme
Salesforce örnekleri için ağ ve API erişim kontrollerini sıkın:
- Geçerli kimlik bilgileriyle bile corp erişimini engelleyerek giriş IP aralıklarını profil düzeyinde zorlayın.
- Bağlı uygulamalar için “varsayılan olarak redded” duruşuna geçin; Veteriner uygulamaların minimum izin verilmesini koruyun.
- “API etkinleştirilmiş” iznini yalnızca kontrollü izin setleri ile verin ve yerel hesapları SSO lehine devre dışı bırakın.
- En az müstehcen profiller ve izin setleri uygulamak; Kurulum menüsünü ADMMINS’ten gizleyin.
- Veri maruziyetini en aza indirmek için satır seviyesi kısıtlamasını ve özel kuruluş çapında varsayılanlardan (OWD) yararlanın.
Günlük ve algılama özellikleri
UNC6040’ın “Onaylama → Tahliye” modelini tespit etmek için Salesforce Kalkanı’nı yutun ve SIEM’inize etkinlik izleme günlükleri. Anahtar günlük kaynakları giriş geçmişi, kurulum denetim izi, toplu API sonuçları ve API olay akışlarını içerir. Hızlı uyarılma için gerçek zamanlı akış (RTEM) etkinleştirin ve tarihsel analiz için düzenli toplu ihracat planlayın.
- OAUTH → Veri Defiltrasyonu 10 dakika içinde: Şüpheli bağlı uygulama yetkilerini ve ardından aynı kullanıcı tarafından kurumsal olmayan IP’lerden toplu indirmeler veya yüksek hacimli SOQL sorguları işaretleyin.
- OAuth → Yanal Hareket: Salesforce OAuth başarılarını bir saat içinde aynı riskli çıkış IP’den sonraki OKTA veya Microsoft 365 girişleri ile ilişkilendirin.
- REST API Pagination Patlamalar ve Büyük Rapor İhracatı: Entegrasyon olmayan hesaplarla sorgu patlamalarını ve büyük boyutlu rapor indirmelerini belirleyin.
Gürültüyü en aza indirmek için bilinen entegrasyon kullanıcıları, kurumsal çıkış CIDR’leri ve onaylanmış bağlı uygulama adlarını-tutma ve ayarlayın. Yaptırılan veri geçişleri veya satıcı işe alım etkinlikleri sırasında kuralları bastırın.
Kuruluşlar, bu sertleştirme önlemlerini, SaaS’a özgü konfigürasyon kontrolleri ve gelişmiş algılama kurallarını entegre ederek UNC6040 ve benzer sosyal mühendislik tehdit kümelerine karşı esnek bir savunma oluşturabilir.
Google’ın Kılavuzu, kimlik, uygulama sertleştirme ve sürekli izleme konusunda güvenceyi artıran eyleme geçirilebilir adımlar sunar-güvenlik ekipleri gelişen vishing ve veri-hırsızlığı tekniklerinin önünde kalır.
Anında güncellemeler almak ve GBH’yi Google’da tercih edilen bir kaynak olarak ayarlamak için bizi Google News, LinkedIn ve X’te takip edin.