Devlet destekli bilgisayar korsanlığı ve siber casusluğa ayrılan günlük haberlerde genellikle daha fazla sütun bulunduğunda, güvenlik ihlallerinin en büyük nedenini gözden kaçırmak şaşırtıcı değildir. Karşılaştırıldığında, bilgisayar korsanları için açık ara en kolay yol olan, güvenliği ihlal edilmiş kimlik bilgileri yoluyla işletmelere yönelik saldırılar muhtemelen sıradan görünüyor. Ancak bu, Crowdstrike’ın 2022 Tehdit Avcılığı Raporu’nda da vurgulandığı üzere en popüler yöntemdir. Rapor, kötü amaçlı yazılım içermeyen etkinliklerin tüm saldırıların %71’ini oluşturduğuna dikkat çekiyor.
Kimlik bilgileri neden kolay seçiliyor?
Kötü niyetli aktörler, geleneksel siber savunma sistemlerinin çalınan kimlik bilgilerini tespit edemediğini ve bunları ele geçirmenin herhangi bir tehlike işareti oluşturmadan bir kuruluşun ağına tartışmasız erişim sağlayacağını biliyor. Ne yazık ki suçlular, onları çalmak için bir dizi gizli teknik kullanma konusunda oldukça deneyimlidir. Favori taktikler arasında sosyal medyada, e-postalarda ve metinlerde kimlik avı girişimleri veya bir kullanıcıyı, oturum açma şifresinden vazgeçmesi veya MFA’yı atlaması için sahte anlık bildirimlerle bombardıman etmek yer alıyor. Bir başka yüksek profilli kurban da Gardiyan Ocak ayında bir fidye yazılımı saldırısına uğradığında manşetlere çıkan ve olası neden olarak kimlik avını gösteren site.
Geçerli kimlik bilgilerini ele geçiren saldırganlar, değerli veya hassas bilgilere erişim sağlamak için ayrıcalıkları yükseltmek ve potansiyel olarak fidye yazılımı yüklemek olan ana hedefi takip etmeye başlayabilir. Sorun, sahtekarın ağa girdikten sonra meşru bir kullanıcı gibi görünmesi ve fark edilmeden dolaşabilmesidir.
Görünüşte görünmez olan bu kimlik bilgilerine dayalı saldırıları, ciddi bir hasar meydana gelmeden önce ortaya çıkarmak ve durdurmak, saldırıların her zaman önlenebileceği inancından farklı bir zihniyet gerektirir. Bunun yerine kuruluşların beş temel gerçeklik kontrolünü üstlenmeleri gerekiyor.
Beş gerçeklik kontrolü
Birincisi, bir noktada saldırıya uğramanın kaçınılmaz olduğunu kabul etmektir. Bir felaketi önleyecek olan, bu olayın nasıl ele alındığıdır. 2022’deki LAPSUS$ saldırılarının en rahatsız edici sonuçlarından biri, birçok işletmenin ihlale uğradığından o sırada habersiz kalmasıydı. Bir saldırganı hızlı bir şekilde tespit edebilmek ve anında harekete geçebilmek hayati öneme sahiptir.
Bir sonraki adım, herkesin potansiyel hedef olabileceğini ve herkesin bazen hata yapmaya eğilimli olduğunu anlamaktır. Sürekli eğitim, personelin kimlik avı e-postalarındaki veya sosyal medyadaki bağlantılara tıklamak gibi riskli davranışlardan kaçınmasına yardımcı olacaktır; bu kişiler kimden olursa olsun (iş arkadaşları, müşteriler, tedarikçiler veya arkadaşlar ve aileden olabilir). Fakat sorunu tamamen ortadan kaldırmaz.
Bir başka gerçeklik kontrolü de düşmanların hem akıllı hem de ısrarcı olduğunu kabul etmektir. Suçlular sürekli olarak yöntemlerini geliştirecek, zayıf yönleri bulacak ve yeni yaklaşımlar geliştireceklerdir. Örneğin, kişisel e-posta hesaplarını hacklemek için Facebook ve LinkedIn gibi sosyal medya hesaplarını kullanmanın yanı sıra, hoşnutsuz çalışanların Glassdoor gibi sitelerdeki gönderilerini de internette tarıyorlar. Daha sonra bu çalışanlara, kimlik bilgileri için ödeme yapmayı ve çok faktörlü kimlik doğrulama (MFA) istemlerinin devam eden yetkilendirmesini teklif ederek doğrudan yaklaşırlar. Bu nedenle, MFA dağıttıkları için güvenliğin kapsam dahilinde olduğunu düşünen kuruluşların tekrar düşünmesi gerekiyor.
Her siber saldırının bir noktada kimlik bilgilerine bağlı olacağını da unutmayın. Saldırgan, dikkat çekmeden erişim sağlamak için bunları kullandıktan sonra, aradığı şeye ulaşana kadar yönetici hakları veya daha yüksek ayrıcalıklar elde etmek için yanlış yapılandırmalardan, zayıf güvenlik uygulamalarından veya yama yapılmamış yazılımlardan nasıl yararlanacağını çözecektir.
Son olarak, geleneksel SIEM’lerin kimlik bilgilerine dayalı saldırıları hızlı bir şekilde tanımlayıp tam olarak tespit edemediğini unutmayın. Güvenlik ekiplerinin, sonu gelmeyen yanlış tespitler arasında gezinmekten vazgeçmesi ve sahtekarlarla meşru kullanıcıları anında ayırt edebilecek çözümlere geçmesi gerekiyor.
Farklı bir yaklaşımı benimsemek
Mücadele, eski SIEM platformlarını akıllı proaktif bir yaklaşımla değiştiren Kullanıcı ve Varlık Davranış Analizi (UEBA) çözümleri tarafından yönetiliyor. Makine öğrenimi UEBA’yı kullanmak, her kullanıcı, cihaz ve eş grup için normal davranışı temel alır. Neyin normal olduğuna ilişkin sürekli gelişen bir profil oluşturmak, herhangi bir anormal davranışın anında vurgulanması anlamına gelir. Örneğin, normal davranışın özellikleri arasında konum, zaman, cihaz, VPN kullanımı ve belirli uygulamalara düzenli erişim yer alabilir ve bu faktörlerden herhangi biri toleransların dışına çıktığı anda potansiyel tehdit anında artar. Bu, kimlik bilgilerinin tehlikeye atılmış kullanımının ve ihlallerin güvenlik ekipleri tarafından erkenden tespit edilebilmesini ve ciddi hasara yol açma şansına sahip olmadan otomatik olarak kapatılabilmesini sağlar.
Bilinmeyene hazırlıklı olmak
Geleneksel olarak güvenlik uzmanları, virüs imza dosyalarının, korelasyon kurallarının, güvenlik duvarlarının, izin verilenler listelerinin veya yazılım yamalarının güncellenmesi yoluyla bilinen tehditlere karşı hazırlıklı olmaya güvenmişlerdir. Hepsi öncelikle kötü şeylerin olmasını engellemeyi amaçlıyor. Tehditlerin sürekli olarak büyüyüp değiştiği bir ortamda, kötü niyetli aktörlerden her zaman bir adım önde olmak için baskı altındaki güvenlik ekiplerine güvenmek gerçekçi değildir. Kuruluşlar, UEBA’yı güvenlik programlarına dahil ederek kendilerini bilinmeyene karşı donatabilir ve kullanıcı kimlik bilgilerinin nasıl, ne zaman ve nerede ele geçirildiğine bakılmaksızın saldırıları hızlı bir şekilde devre dışı bırakma yeteneklerine güvenebilirler.