SpyCloud’a göre güvenlik liderleri, kötü amaçlı yazılımların sızdırdığı kimlik doğrulama verilerinden yararlanan saldırılardan endişe duyuyor; %53’ü aşırı endişelerini dile getiriyor ve %1’den azı hiç endişelenmediklerini itiraf ediyor.
Bununla birlikte, çoğu, bu bulaşmaların güvenlik ve organizasyonel etkisini araştırmak ve takip eden saldırıları etkili bir şekilde azaltmak için gerekli araçlara sahip değil.
BT güvenlik ekipleri için mücadele
SSO ve bulut tabanlı uygulamalar için çalınan kimlik doğrulama ayrıntılarına yönelik artan görünürlük üst sıralarda yer alırken, insan davranışı BT güvenlik ekiplerinin başına bela olmaya devam ediyor. Kötü amaçlı yazılımlar için en çok gözden kaçan giriş noktaları şunları içerir:
- Kuruluşların %57’si çalışanların tarayıcı verilerini kişisel ve kurumsal cihazlar arasında senkronize etmesine izin vererek, tehdit aktörlerinin çalışan kimlik bilgilerini ve diğer kullanıcı kimlik doğrulama verilerini virüslü kişisel cihazlar aracılığıyla fark edilmeden sifonlamasına olanak tanıyor.
- Kuruluşların %54’ü, çalışanların uygulamaları ve sistemleri izinsiz olarak benimsemesi nedeniyle gölge BT ile mücadele ediyor ve bu da yalnızca görünürlükte değil, aynı zamanda temel güvenlik kontrolleri ve kurumsal politikalarda da boşluklar yaratıyor.
- Kuruluşların %36’sı, yönetilmeyen kişisel veya paylaşılan cihazların iş uygulamalarına ve sistemlerine erişmesine izin vererek, hassas veri ve kaynaklara erişmek için sağlam güvenlik önlemlerine sahip olmayan cihazlar için kapıyı açar ve güvenlik ekiplerinin uygun izleme ve düzeltme için ihtiyaç duyduğu gözetimi en aza indirir.
Bunun gibi görünüşte zararsız eylemler, kuruluşları istemeden kötü amaçlı yazılımlara ve çalınan erişim ayrıntılarından kaynaklanan fidye yazılımları da dahil olmak üzere devam eden saldırılara maruz bırakabilir. Araştırmaya göre, her enfeksiyon ortalama 26 iş uygulamasına erişimi açığa çıkarıyor.
SpyCloud Güvenlik Araştırmaları Direktörü Trevor Hilligoss, “Çoğu kuruluş kötü amaçlı yazılımların genel ve yaygın tehdidini anlasa da, dijital dönüşüm ve hibrit çalışma modelleri, suçluların gizli güvenlik açıklarından yararlanmaları için mükemmel bir ortam yaratıyor” dedi.
“Suçlular, gevşek siber davranışlardan yararlanarak ve erişim ayrıntılarını parolaların ötesine hızla sızdırmak için tasarlanmış bilgi hırsızları kullanarak bu güvenlik açıklarından yararlanıyor. Bu günlerde, geçerli oturumlara erişim sağlayan kimlik doğrulama tanımlama bilgileri, parolaları, geçiş anahtarlarını ve hatta MFA’yı atlayarak, oturum ele geçirme yoluyla yeni nesil hesap devralma işlemi gerçekleştirmek için en değerli varlıklardan biridir,” diye ekledi Hilligoss.
Kötü amaçlı yazılım bulaşmaları
Açıkları hızlı bir şekilde tespit etmek ve bunlara göre hareket etmek, kuruluşa zarar vermeye çalışan kötü niyetli aktörleri engellemek için çok önemlidir. Yine de anket, birçoğunun kötü amaçlı yazılım bulaşmalarına yönelik rutin yanıtlarla mücadele ettiğini ortaya çıkardı: %27’si uygulama günlüklerini güvenlik ihlali belirtileri için düzenli olarak incelemiyor, %36’sı potansiyel olarak açığa çıkmış uygulamalar için parolaları sıfırlamıyor ve %39’u oturum çerezlerini sonlandırmıyor maruz kalma belirtisinde.
Saldırganın bekleme süresi son araştırmalara göre artmakta ve kötü amaçlı aktörlere kötü amaçlı yazılım tarafından sızan verileri operasyonel hale getirmek için yeterli zaman sağlamaktadır. Sınırlı görünürlük, işletmeye yönelik riskleri artıran ve kaynakları tüketen ortalama keşif süresi (MTTD) ve ortalama düzeltme süresi (MTTR) engeller.
“Kötü alışkanlıkları kırmak, çoğu kuruluşun karşılayamayacağı zaman ve kaynak gerektirir ve ilk etapta bulmakta zorlanır. Yetkisiz hesap erişimi, virüs bulaşmış cihazlar ve insan hatasının yarattığı riski azaltmak için kötü amaçlı yazılımları tespit etmeye ve düzeltmeye yönelik yeni bir yaklaşıma ihtiyaçları var. Birçok güvenlik ekibi için virüs bulaşmalarına yanıt vermek, kötü amaçlı yazılımın cihazdan izole edilmesini ve temizlenmesini içeren makine merkezli bir süreçtir. Bununla birlikte, nihai hedef, işi riske atan bireysel bir kullanıcıya bağlı büyüyen saldırı yüzeyini daha iyi ele almak olduğundan, kimlik merkezli bir yaklaşım daha kapsamlıdır,” diye açıkladı Hilligoss.
Kritik koruma boşluğu
2023’ün ilk yarısında araştırmacılar, yeniden ele geçirilen tüm kötü amaçlı yazılım günlüklerinin %20’sinde, başarılı bir kötü amaçlı yazılım yürütme sırasında bir virüsten koruma programının kurulu olduğunu buldu. Bu çözümler yalnızca saldırıyı önlememekle kalmadı, aynı zamanda sonrasında kullanılabilecek herhangi bir çalıntı veriye karşı otomatik koruma sağlama yeteneğinden de yoksun kaldı.
Görünürlük ve kapsamlı yanıt için verilen bu mücadeleyle, güvenlik ekiplerinin daha sağlam, kimlik merkezli bir Enfeksiyon Sonrası İyileştirme yaklaşımı uygulayarak suçluları işletmeye daha fazla zarar vermek için kötü amaçlı yazılımdan sızan verileri kullanmadan önce engellemeye açık bir ihtiyaç var.
Bu çerçevenin anahtarı, açığa çıkan kimlik bilgilerini sıfırlama ve bilgi hırsızları tarafından ele geçirilen etkin oturumları geçersiz kılma adımlarıyla mevcut kötü amaçlı yazılım bulaşma yanıtını artırmaktır.