Çevrimiçi kimlik hırsızlığının sorunlarını daha iyi anlamak için ‘dijital kimlik’ ile neyi kastettiğimizi düşünmemiz gerekiyor. Ulusal Standartlar ve Teknoloji Enstitüsü (NIST), yönergelerinin başında dijital kimliği “bir öznenin çevrimiçi kişiliği” olarak tanımlıyor; henüz geniş çapta kabul görmüş tek bir tanımın bulunmadığını kabul ediyor. Ancak burada dijital kimliği yalnızca çevrimiçi işlemlerde bir kişiyi temsil etmek için görebiliriz.
Dijital altyapıya erişim geleneksel olarak bu dijital kimlikle ilişkili bilgilere dayanır. Çoğu durumda, bir dijital hizmete erişmek için bir kişinin (veya “kişinin”) şifre, PIN veya API anahtarı gibi kimlik bilgisi görevi gören bir “sır” bilmesi gerekir. Bu sırrı verdiklerinde sistem, kişinin iddia ettikleri kişi olduğunu varsayar. Ancak bu kimlik bilgisi çalınırsa, kötü niyetli aktörler bunu o kişinin kimliğine bürünmek için kullanabilir ve etkili bir şekilde kimlik hırsızlığı yapabilir.
Bir kişinin gerçek kimliğini daha güvenilir bir şekilde doğrulamak için güvenlik sistemleri genellikle aşağıdaki gibi birden fazla faktörü (kimlik bilgileri) birleştirir:
- Bildikleri bir şey: Şifre veya PIN gibi bir sır.
- Sahip oldukları bir şey: güvenlik belirteci veya güvenilir platform modülü (TPM) gibi fiziksel bir cihaz gibi.
- Bunlar bir şey: Biyometri gibi, parmak izi veya yüz tanıma gibi.
Bu katmanlı yaklaşım, dijital kimlik doğrulamayı güçlendirerek kişinin kimliğinin çevrimiçi işlemlerde doğru şekilde temsil edilmesini sağlamaya yardımcı olur. Kimlik bilgilerinin çalınmasının kimlik hırsızlığına eşit olduğu açıktır.
Kimlik Bilgilerinin Kötüye Kullanımı artıyor
2024 Verizon Veri İhlali Soruşturma Raporu’na göre, veri ihlallerinde insan katılımı önemli olmaya devam ediyor. Rapor, ihlallerin %68’inin sosyal mühendislik saldırılarına kurban giden veya hata yapan bireyler gibi (kötü niyetli olmayan) insan unsurunu içerdiğini belirtiyor.
Raporda, son on yılda tüm ihlallerin neredeyse üçte birinde (%31) çalıntı kimlik bilgisi olaylarının görüldüğü belirtiliyor ve bu da kimlik bilgilerine dayalı saldırılarla ilişkili kalıcı riskin altını çiziyor.
Verizon, güvenlik açıklarından yararlanmayı içeren saldırılarda önemli bir artış gözlemliyor; bu artış bir önceki yıla göre neredeyse üç katına çıkarak tüm ihlallerin %14’ünü oluşturuyor. Bu artış, tehdit aktörlerinin gelişen taktiklerinin ve sağlam güvenlik önlemlerinin öneminin altını çiziyor.
ABD Siber Güvenlik ve Altyapı Güvenliği Ajansı’nın (CISA) Risk ve Güvenlik Açığı Değerlendirmesi (RVA) analizleri tarafından toplanan verilere göre, Geçerli Hesapların [T1078] Başarılı girişimlerin %41’inden sorumlu olan en yaygın başarılı saldırı tekniğiydi.”
Bu arada, 2024 Microsoft Dijital Savunma Raporu, kimlik bilgilerinin kötüye kullanılması ve kimlik hırsızlığında önemli bir artışa dikkat çekerek, siber suçluların gelişen taktiklerini ve sağlam güvenlik önlemlerinin gerekliliğini vurguluyor. Önemli bulgular, siber suçluların sistemlere ve verilere yetkisiz erişim sağlamak için giderek daha fazla kullanıcı kimlik bilgilerini hedef aldığını gösteriyor. Bu artış, kuruluşların güçlü kimlik doğrulama protokolleri uygulamaya ve şüpheli etkinlikleri izlemeye yönelik kritik ihtiyacın altını çiziyor.
Microsoft ayrıca, bireyleri hassas bilgileri açığa çıkaracak şekilde kandırmak için tasarlanmış karmaşık kimlik avı kampanyalarında da dikkate değer bir artış olduğunu bildiriyor. Bu saldırılar genellikle insan psikolojisinden yararlanır, bu da onları özellikle etkili ve tespit edilmesi zor hale getirir.
Rapor, kimlik bilgileri hırsızlığına karşı temel bir savunma olarak MFA’nın yaygın şekilde uygulanmasını savunuyor. MFA ek bir güvenlik katmanı ekleyerek saldırganların kimlik bilgileri alınsa bile hesapların güvenliğini aşmasını zorlaştırır.
Ayrıca tehditlerin hem iç hem de dış olabileceğini varsayan ‘Sıfır Güven’ yaklaşımının benimsenmesinin gerekliliğini vurguluyor. Bu model, kullanıcı kimliklerinin ve cihaz sağlığının sürekli olarak doğrulanmasını gerektirerek yetkisiz erişim riskini azaltır.
Bu bilgiler, artan kimlik bilgilerinin kötüye kullanılması ve kimlik hırsızlığı tehdidiyle mücadele etmek için proaktif güvenlik stratejilerinin, sürekli izlemenin ve kullanıcı eğitiminin öneminin altını çiziyor.
MFA’yı atlamak mı?
Çok faktörlü kimlik doğrulama (MFA), gerekli tüm faktörler doğrulanmadıkça sisteme erişimi engelleyerek kullanıcının kimliğinin doğrulanmasını sağlar. Örneğin tipik bir MFA kurulumu, kullanıcılardan kullanıcı adı ve parolalarına ek olarak SMS yoluyla gönderilen Tek Kullanımlık Parolayı (OTP) girmelerini ister.
Daha fazla faktör eklemek güvenliği güçlendirirken, sistemin yanlış yapılandırılması veya yazılım veya donanım bileşenlerinde güvenlik açıklarının bulunması durumunda sistem yine de tehlikeye girebilir.
Kimlik bilgisi hırsızlığıyla ilgili olaylara bir örnek, Yönetilen Tespit ve Yanıt hizmetlerimizin koruması altındaki bir müşterinin, güvenliği ihlal edilmiş bir iş ortağından kimlik avı e-postası almasıdır.
E-posta, M365 kimlik avı sayfasına yönlendiren bir Google bağlantı yönlendirme zinciri içeriyordu. E-postayı gönderenin alıcıyla iletişim kurmadan önce gözlemlenmesi ve postaların DMARK, DKIM ve SPF kontrollerinden geçmesi nedeniyle bu tür kimlik avı bağlantılarının tespit edilmesi çok daha zordur. Bu kontroller normalde kullanıcıların böyle bir bağlantıyı almasını engeller ancak bu teknik kullanılarak bu durum atlanmıştır.
Sonuç olarak geriye çok az savunma kaldı ve yalnızca e-posta güvenlik çözümü CSIS’in harekete geçmesi için bir uyarı verdi.
Bir sonraki aşama, Ortadaki Adam saldırısını içeriyordu; kullanıcının oturum açma oturumu ele geçirildi ve hesaba kalıcı erişim sağlamak için fail tarafından ikincil bir MFA seçeneği kaydedildi.
Neyse ki CSIS, saldırıyı durdurmayı başardı ve ilk erişim aşamasında tehdidi hafifletmek için önleyici tedbirler alarak failin eli boş kaldı.
Kimlik hırsızlığına karşı daha fazla koruma sağlamak için Kısıtlayıcı Koşullu Erişim Politikalarının uygulanması, yalnızca güvenilir kullanıcıların ve cihazların hassas sistemlere erişmesini sağlayarak ek bir güvenlik katmanı sağlayabilir. Cihazları yöneten kuruluşlar için, yönetim için Microsoft Intune’a kaydolmayı zorunlu kılmak, gözetim ve kontrolü artırır; ancak Kendi Cihazınızı Getirin (BYOD) politikalarının bu durumlarda zorluklar yaratabileceğini unutmamak önemlidir.
Güvenilir Platform Modülleri (TPM) ile donatılmış cihazlarda Windows Hello for Business’a geçmek başka bir etkili alternatiftir. Bu yaklaşım, uç noktaların genel güvenlik duruşunu geliştirirken kimlik avı saldırılarına karşı direnci artırmak için biyometri veya PIN’ler gibi gelişmiş kimlik doğrulama yöntemlerinden yararlanır. Bu önlemler, sağlam bir siber güvenlik çerçevesine entegre edildiğinde kimlik hırsızlığı riskini önemli ölçüde azaltabilir.
CSIS, güçlü iki faktörlü, çok faktörlü ve parolasız kimlik doğrulama sağlayan donanım tabanlı bir güvenlik anahtarı olan YubiKey veya benzeri güvenlik cihazlarını içeren kimlik avına karşı çok faktörlü bir politika oluşturulmasını şiddetle tavsiye eder. Bu tür önlemlerin uygulanması yalnızca korumayı artırmakla kalmaz, aynı zamanda oturum çalma gibi kötü amaçlı etkinliklerin kurbanı olmayı da imkansız hale getirir.
Dijital kimlikleri yönetme
Çevrimiçi ortamda kurumsal güvenliği daha iyi yönetmenin ve personelin kimlik saldırılarıyla ilgili sorunlardan kaçınmasına yardımcı olmanın, bunlarla sınırlı olmamak üzere, çeşitli yolları vardır:
Uygun Erişim Kontrolünü Uygulamak
Yalnızca yetkili kullanıcıların belirli verilere ve sistemlere erişebilmesini sağlamak ve yetkisiz erişim riskini azaltmak için sağlam erişim kontrol mekanizmalarının uygulanması çok önemlidir. Bu, rol tabanlı erişim denetimlerinin (RBAC) ayarlanmasını ve kullanıcı izinlerini yalnızca rolleri için gerekli olanlarla sınırlayan en az ayrıcalık ilkesinin uygulanmasını içerir. CSIS, kuruluşların erişim kontrol sistemleri içindeki karmaşık riskleri ve tehditleri tanımlamasına ve düzeltmesine yardımcı olmak için Active Directory (AD) Güvenlik Değerlendirmeleri gibi hizmetler sunar.
Altyapıyı izleme – denetim günlükleri
Denetim günlüklerinin düzenli olarak izlenmesi, olağandışı etkinliklerin erkenden tespit edilmesi ve kimin neye, ne zaman ve nereden eriştiğine ilişkin öngörüler sağlanması açısından çok önemlidir. Bu günlüklerin analiz edilmesi, yetkisiz erişim, ayrıcalık artışı veya kimlik bilgilerinin kötüye kullanılmasına yönelik girişimlere ilişkin işaretleri ortaya çıkararak hızlı müdahaleye olanak sağlayabilir. CSIS Yönetilen Tespit ve Yanıt (MDR) hizmetleri, güvenlik olaylarının 7/24 izlenmesini ve analizini sunarak potansiyel tehditlerin anında tespit edilmesini ve bunlara yanıt verilmesini sağlar.
CSIS Güvenliği Tehlikeye Uğramış Kimlik Bilgileri hizmeti, kuruluşunuza karşı kullanılabilecek çalıntı kimlik bilgileri verilerinin sürekli olarak gerçek zamanlı izlenmesini sağlar. 2024 yılı boyunca CSIS, 1. Çeyrek ile 3. Çeyrek arasında yaklaşık 24 milyar kimlik bilgisi kombinasyonu (yani kullanıcı adları ile ilgili şifreler ve URL’ler) veya ayda ortalama 3 milyar kimlik bilgisi kombinasyonu gözlemledi.
Bir siber olay müdahale planı geliştirin ve sürdürün
Bir siber olay müdahale planının geliştirilmesi ve sürdürülmesi, güvenlik olaylarının tanımlanması, kontrol altına alınması ve çözülmesi için net bir yol haritası sağlayarak hasarın ve iyileşme süresinin azaltılmasına yardımcı olur. Planın düzenli olarak güncellenmesi ve test edilmesi, gelişen tehditlere karşı etkili kalmasını sağlar. CSIS, kuruluşlara siber olaylara hazırlanma ve müdahale etme konusunda yardımcı olmak için Acil Durum Müdahale Danışmanlığı hizmetleri sunmaktadır.
Bir Acil Durum Müdahale ortağınız olsun
Harici bir acil durum müdahale ekibiyle ortaklık kurmak, ihlal durumunda uzman uzmanlığa erişim sağlar. Bu profesyoneller, kontrol altına alma, soruşturma ve iyileştirme çabalarına yardımcı olarak operasyonların hızlı ve güvenli bir şekilde geri yüklenmesine yardımcı olabilir. CSIS, olaya müdahale ve güvenlik ekiplerine yönelik küresel forum olan FIRST’ün bir üyesidir ve NCSC Assured in Incident Response, birinci sınıf acil olay müdahalesine anında ve 24 saat erişimi garanti eden Acil Durum Müdahale Hizmetlileri sunmaktadır.
Kuruluşlar, çok faktörlü kimlik doğrulamanın uygulanması, erişim kontrollerinin güçlendirilmesi ve proaktif izleme ve olay müdahale önlemlerinin oluşturulması yoluyla yetkisiz erişim riskini azaltabilir ve kimlik hırsızlığına karşı koruma sağlayabilir.
Sürekli izleme, erişim kontrolü değerlendirmeleri ve özel acil müdahale hizmetleri de dahil olmak üzere CSIS tarafından sağlananlara benzer çözümler kullanan şirketler, dijital altyapılarını karmaşık saldırılara karşı savunmak için daha donanımlıdır. Herhangi bir kuruluşun günümüzün dijital ortamında başarılı olabilmesi için sağlam ve çok yönlü bir güvenlik stratejisine güçlü bir bağlılık şarttır.
Reklam