Hesap ele geçirme saldırıları, bulut tabanlı SaaS ortamlarına yönelik en kalıcı ve zararlı tehditlerden biri olarak ortaya çıkmıştır. Ancak geleneksel güvenlik önlemlerine önemli yatırımlar yapılmasına rağmen, birçok kuruluş bu saldırıları önlemekte zorlanmaya devam etmektedir. “Hesap Ele Geçirme Saldırıları Neden Hala Başarılı ve Tarayıcı Neden Onları Durdurmada Gizli Silahınız” başlıklı yeni bir rapor, hesap ele geçirme saldırılarının gerçekleştiği birincil savaş alanının tarayıcı olduğunu ve dolayısıyla bunların etkisiz hale getirilmesi gerektiğini savunmaktadır. Rapor ayrıca hesap ele geçirme riskini azaltmak için etkili rehberlik de sunmaktadır.
Raporda öne çıkan bazı önemli noktalar şöyle:
Hesap Devralmalarında Tarayıcının Rolü
Rapora göre, SaaS kill zinciri tarayıcıda bulunan temel bileşenlerden faydalanır. Hesap devralma için şunlar dahildir:
- Yürütülen Web Sayfaları – Saldırganlar kimlik bilgilerini toplamak ve erişmek için kimlik avı amaçlı oturum açma sayfaları oluşturabilir veya meşru web sayfaları üzerinden MiTM kullanabilir.
- Tarayıcı Uzantıları – Kötü amaçlı uzantılar hassas verilere erişebilir ve bunları sızdırabilir.
- Saklanan Kimlik Bilgileri – Saldırganlar, SaaS uygulamalarına erişmek için tarayıcıyı ele geçirmeyi veya depolanan kimlik bilgilerini sızdırmayı amaçlar.
Kullanıcının kimlik bilgileri tehlikeye atıldığında, saldırgan uygulamalara giriş yapabilir ve içeride cezasız bir şekilde işlem yapabilir. Bu, şirket içi öldürme zincirine kıyasla farklı ve çok daha kısa bir öldürme zinciridir, bu yüzden geleneksel güvenlik önlemleri buna karşı koruma sağlamada başarısız olur.
Hesap Devralma TTP’lerinin Parçalanması
Rapor daha sonra ana hesap devralma taktiklerini, tekniklerini ve prosedürlerini (TTP’ler) ayrıntılı olarak açıklar. Bunların nasıl çalıştığını, geleneksel güvenlik kontrollerinin bunlara karşı korumada neden etkisiz olduğunu ve bir tarayıcı güvenlik platformunun riski nasıl azaltabileceğini analiz eder.
1. Kimlik avı
Risk: Kimlik avı saldırıları, tarayıcının web sayfasını yürütme şeklini kötüye kullanır. Kimlik avı saldırılarının iki ana türü vardır: kötü amaçlı bir oturum açma sayfası veya oturum belirteçlerini ele geçirmek için meşru bir oturum açma sayfasını ele geçirme.
Koruma hatası: SSE çözümleri ve güvenlik duvarları, kötü amaçlı web sayfası bileşenleri ağ trafiğinde görülemediğinden bu saldırılara karşı koruma sağlayamaz. Sonuç olarak, kimlik avı bileşenleri çevreye ve kullanıcının uç noktasına girebilir.
Çözüm: Bir tarayıcı güvenlik platformu, web sayfalarının yürütülmesine görünürlük sağlar ve yürütülen her bileşeni analiz ederek kimlik bilgisi giriş alanları ve MiTM yönlendirmesi gibi kimlik avı etkinliklerini tespit eder. Daha sonra, bu bileşenler sayfa içinde devre dışı bırakılır.
2. Kötü Amaçlı Tarayıcı Uzantıları
Risk: Kötü amaçlı uzantılar, kullanıcıların tarayıcının etkinliğini ve verilerini kontrol etmek için sağladığı yüksek ayrıcalıkları suistimal ederek, depolanan kimlik bilgilerini ele geçirir.
Koruma hatası: EDR’ler ve EPP’ler genellikle tarayıcı süreçlerine örtük bir güven duyarlar ve bu da uzantıları güvenlik açısından kör bir nokta haline getirir.
Çözüm: Tarayıcı güvenlik platformu, tüm uzantıların görünürlüğünü ve risk analizini sağlar ve kötü amaçlı olanları otomatik olarak devre dışı bırakır.
3. Giriş Sayfası Üzerinden Kimlik Doğrulama ve Erişim
Risk: Saldırgan kimlik bilgilerini elde ettiğinde hedeflenen SaaS uygulamasına erişebilir.
Koruma hatası: Kimlik Sağlayıcılar kötü niyetli kullanıcılar ile meşru kullanıcıları ayırt etmekte zorlanıyor ve çok faktörlü kimlik doğrulama çözümleri çoğu zaman tam olarak uygulanmıyor ve benimsenmiyor.
Çözüm: Bir tarayıcı güvenlik platformu, tarayıcıda saklanan tüm kimlik bilgilerini izler, ek bir kimlik doğrulama faktörü olarak hareket etmek üzere IdP ile bütünleşir ve tehlikeye atılmış kimlik bilgileri aracılığıyla erişimi engellemek için tarayıcıdan erişimi zorunlu kılar.
Güvenlik Karar Alıcıları İçin Sırada Ne Var?
Tarayıcı, kuruluşlar için kritik bir saldırı yüzeyi haline geldi ve hesap ele geçirme saldırıları, riskini ve kurumsal güvenlik yaklaşımını uyarlama ihtiyacını örnekliyor. LayerX, bir tarayıcı güvenlik çözümünün bu değişimde anahtar bileşen olduğunu ve saldırganları adımlarını yeniden değerlendirmeye zorlayacak mevcut saldırı tekniklerine karşı koyduğunu tespit etti. Raporun tamamını okuyun.