Bu Help Net Security röportajında Push Security CEO’su Adam Bateman, kimliğe dayalı saldırılardaki artıştan, bunların her yıl nasıl daha karmaşık hale geldiğinden ve hem yapay zeka hem de makine öğreniminin bu tehditleri nasıl körüklediğinden ve bunlara karşı savunmaya nasıl yardımcı olduğundan bahsediyor. onlara.
Bateman ayrıca çalışan eğitiminin rolünü ve işletmelerin güçlü güvenliği kullanıcı dostu deneyimlerle nasıl dengeleyebileceğini tartışıyor.
Kimlik temelli saldırıların günümüzdeki boyutu nedir?
Kimlik temelli saldırılar her geçen yıl daha büyük bir sorun haline geliyor. 2023 yılında dünya çapında 22 milyardan fazla kimlik bilgisi doldurma saldırısı gerçekleşti. Her ne kadar çok faktörlü kimlik doğrulama bir süredir ortalıkta olsa da, 2024 yılına gelindiğinde siber olayların neredeyse %80’i çalınan veya ele geçirilen kimlik bilgilerinden kaynaklanıyordu.
Sadece yaygınlaşmakla kalmıyor, saldırganların kullandığı teknikler ve araçlar da daha karmaşık hale geliyor. Kimlik avı saldırıları artık MFA mevcut olduğunda güvenilir bir şekilde atlıyor ve saldırganlar endüstriyel ölçekte oturum çalan bilgi hırsızlarından yararlanıyor.
2024’teki kimlik saldırıları açısından dönüm noktası, 2020 yılına kadar uzanan bilgi hırsızlığı enfeksiyonlarında çalınan kimlik bilgilerini kullanarak dünya çapında 165 kuruluşu hedef alan Snowflake müşterilerine yönelik saldırılardı. Toplamda, ihlalin ardından halka açık 9 kurbanın adı belirlendi ve bu mağdurların yüz milyonlarcası toplu olarak etkilendi. müşteriler. Bu sadece yılın en büyük ihlali değildi, muhtemelen şimdiye kadarki en büyük ihlallerden biriydi.
Bu değişen manzaraya ilişkin farkındalığı artırmak için araştırma ekibimiz, özellikle bulut kimliklerini ve ilgili SaaS hizmetlerini hedefleyen en yeni kimlik tabanlı tekniklerden bahseden açık kaynaklı bir matris oluşturdu. Bu ihlallerin çoğunun yüksek profilli şirketleri kapsaması, kimlik tabanlı saldırıların boyutunun ne kadar ciddi hale geldiğini gösteriyor.
Yapay zeka ve makine öğrenimi gibi yeni ortaya çıkan teknolojiler hem kimlik saldırılarının ilerlemesinde hem de savunmaların geliştirilmesinde nasıl bir rol oynuyor?
AI ve ML, siber güvenlikte iki ucu keskin bir kılıçtır. Bir yandan siber suçlular, saldırılarını daha hızlı ve daha akıllı hale getirmek için bu teknolojileri kullanıyor. Son derece ikna edici kimlik avı e-postaları oluşturabilir, derin sahte içerik oluşturabilir ve hatta geleneksel güvenlik önlemlerini atlamanın yollarını bulabilirler. Örneğin, üretken yapay zeka, neredeyse gerçek gibi görünen e-postalar veya videolar hazırlayarak insanları dolandırıcılık tuzağına düşürebilir.
Öte yandan AI ve ML de defans oyuncularına yardımcı oluyor. Bu teknolojiler, güvenlik sistemlerinin büyük miktarlardaki verileri hızlı bir şekilde analiz etmesine ve kimlik bilgilerinin tehlikeye girdiğine işaret edebilecek olağandışı davranışları tespit etmesine olanak tanır. Makine öğrenimini kullanan uyarlanabilir kimlik doğrulama, risk düzeyine göre güvenlik önlemlerini bile ayarlayabilir. Dolayısıyla güvenilir bir cihazdan oturum açmak kolay olacaktır ancak yeni bir cihaz kullanıyorsanız sizi güvende tutmak için ekstra güvenlik adımları tetiklenebilir.
Sosyal mühendislik ve kimliğe dayalı saldırıların önlenmesinde çalışanların eğitimi ne kadar kritiktir ve kuruluşlar hangi en iyi uygulamaları benimsemelidir?
İnsan hatası büyük bir sorundur, dolayısıyla en iyi güvenlik sistemlerine sahip olabilirsiniz, ancak çalışanlar eğitilmezse hâlâ risk altındasınız: Verizon’un 2024 DBIR’i, ihlallerin %69’unun insan unsurunu içerdiğini ortaya çıkardı.
Hedefli güvenlik eğitimi faydalı olabilir ancak genel olarak insana bağımlılığı mümkün olduğunca azaltmak istersiniz. Bu nedenle kullanıcıyı bulunduğu yerde karşılayabilecek kontroller kritik önem taşıyor. Belirli bir zamanda rehberlik sunabilir veya bir kullanıcının şifresini bir kimlik avı sitesine girmesi gibi bir şeyi teknik olarak doğrudan engelleyebilirseniz, bu, her seferinde yardım almadan doğru kararı vermek için insana olan bağımlılığı önemli ölçüde azaltır. Güvenlik profesyonellerinin bile daha karmaşık kimlik avı sitelerini tespit etmesinin ne kadar zor olabileceğini düşündüğünüzde, teknik kontrollerle insanlara mümkün olduğunca yardımcı olmamız çok önemlidir.
İnsanlar dünyadaki tüm eğitimlerde bile kaçınılmaz olarak hata yapıyorlar; örneğin gördüğümüz şifre yeniden kullanım miktarı bunu gerçekten vurguluyor. Birden fazla hizmette tek oturum açma (TOA) için kullanılan en hassas IdP kimlik bilgileri bile şifrenin yeniden kullanımına karşı güvenli değildir. Çalışan eğitimi ve teknolojinin el ele gidebileceği yer burasıdır. Çalışanlar, parolaları yeniden kullanmayı bırakma konusunda eğitilebilir ancak güvenlik ekiplerinin, otomatik parola sıfırlamaları veya MFA dağıtımını zorunlu kılmak veya kimlik avı sitesine kimlik bilgilerini girmeye çalıştıklarında müdahale etmek gibi, onlara rehberlik edecek araçlara sahip olması gerekir.
İşletmeler güvenlik ile kullanılabilirliği nasıl dengeleyebilir ve savunmalarının meşru kullanıcı faaliyetlerine engel oluşturmamasını nasıl sağlayabilir?
Bu elbette zor bir denge. Sıkı güvenlik, kullanıcıları sinirlendirebilir ve iş akışlarını yavaşlatabilir; çok fazla erişim kolaylığı ise sistemleri saldırılara karşı savunmasız bırakabilir. Üstelik güvenlik önlemleri çok sıkı olursa insanlar sinirlenir ve güvenliği zayıflatacak kısayollar ararlar. SSO ve parolasız kimlik doğrulama gibi araçlar, güçlü korumayı sürdürürken oturum açmayı kolaylaştırır.
Kuruluşların saldırı yüzeylerine (kullandıkları uygulamalara, çalışanların nasıl giriş yaptığına, bu kimliklerin nasıl birbiriyle bağlantılı hale geldiğine) bakmalarının ve bu kontrolleri veya kısıtlamaları buna göre uyarlama yetkisine sahip olmalarının önemli olduğunu düşünüyorum.
Örneğin, bazı uygulamalar her zaman diğerlerinden daha yüksek hassasiyete sahip olacaktır; bu nedenle kesinlikle güçlü şifreler, kimlik bilgilerinin yeniden kullanılmaması, kimlik avına karşı dayanıklı MFA vb. sağlamak istersiniz. Öte yandan, diğer durumlarda biraz daha hoşgörülü olabilirsiniz. ancak bu uygulamalardan birini etkileyen, devam eden bir üçüncü taraf ihlali bağlamında bu durum çok hızlı değişebilir. Felsefemizin büyük bir kısmı, şirketlere ihtiyaç duydukları kadar kullanıcı dostu olmalarını sağlayacak araçlar vermek, aynı zamanda bu güvenlik önlemlerini gerektiği gibi ve zamanda alma gücüne sahip olmaktır.