“Günün sonunda, kurumsal hesapları yanal olarak hareket etmek ve buluttaki diğer uygulamalara geçmek için nasıl kötüye kullanabileceğinizin esnekliği – saldırganların kurumsal kimlik bilgilerini kullanmasının pek çok farklı yolu var” diyor Crane Hassold. Abnormal Security’de tehdit istihbaratı ve FBI için eski bir dijital davranış analisti. “Bu nedenle kimlik avı, yatırım getirisi nedeniyle siber suçlular arasında son derece popüler.”
İki faktörlü kimlik doğrulamayı uygulamanın daha güçlü yolları vardır ve sektördeki FIDO2 standardından yeni nesil “parolasız” oturum açma şemaları veya “Parola Anahtarları”, çok daha az kimlik avı yapılabilir bir gelecek vaat etmektedir. Ancak kuruluşların, bir fidye yazılımı aktörü (veya huzursuz genç) ortalığı karıştırmaya başladığında yerinde olmaları için bu daha sağlam korumaları uygulamaya başlamaları gerekir.
Jim Fenton, “Kimlik avı açıkçası büyük bir sorundur ve normalde çok faktörlü kimlik doğrulama olarak düşündüğümüz, bir kod oluşturucu uygulaması kullanmak gibi, en azından bir şekilde kimlik avı yapılabilir, çünkü birisini kodu ifşa etmesi için kandırabilirsiniz,” diyor Jim Fenton, bağımsız bir kimlik gizliliği ve güvenlik danışmanı. “Ancak anlık bildirimlerle, insanları ‘kabul et’ butonuna tıklamaya ikna etmek çok kolay. Biyometrik sensör gibi uç noktanızla entegre bir şeyi doğrulamak veya kullanmak için doğrudan bilgisayarınıza bir şey takmanız gerekiyorsa, bunlar kimlik avına karşı dayanıklı teknolojilerdir.”
Ancak tek sorun, saldırganların kimlik avı yoluyla bir kuruluşa girmelerini engellemek değil. Uber olayının gösterdiği gibi, Lapsus$ erişim elde etmek için bir hesabı tehlikeye attığında, Uber’in sistemlerinde daha derine inmeyi başardılar, çünkü etrafta korumasız duran dahili araçlar için kimlik bilgileri buldular. Güvenlik, tüm tehditleri ortadan kaldırmak değil, giriş engelini yükseltmekle ilgilidir, bu nedenle dışa dönük hesaplarda güçlü kimlik doğrulama, Lapsus$ gibi bir grubu durdurmak için kesinlikle uzun bir yol kat etmiş olurdu. Ancak kuruluşların yine de birden fazla savunma hattı uygulaması gerekir, bu nedenle birinin ihlal edilmesi durumunda bir geri dönüş olur.
Geçtiğimiz haftalarda, eski Twitter güvenlik şefi Peiter “Mudge” Zatko, ABD Senatosu komitesinin önünde sosyal medya devinin son derece güvensiz olduğunu ifade ederek Twitter’a karşı bir ihbarcı olarak ortaya çıktı. Zatko’nun Twitter’ın reddettiği iddiaları, bir şirketin iç savunması eksik olduğunda maliyetin ne kadar yüksek olabileceğini aydınlatıyor.
Kendi adına, Lapsus$ tuhaf ve tuhaf bir oyuncu olarak ün yapmış olabilir, ancak araştırmacılar, büyük şirketlerden ödün vermedeki başarısının boyutunun sadece dikkate değer değil, aynı zamanda rahatsız edici olduğunu söylüyorlar.
Demirkapı, “Lapsus$, endüstrinin ortak kimlik doğrulama uygulamalarında bu zayıflıklara karşı harekete geçmesi gerektiğini vurguladı” diyor. “Kısa vadede, şu anda sahip olduklarımızı güvence altına alarak başlamalıyız, uzun vadede ise tasarımı gereği güvenli olan kimlik doğrulama biçimlerine geçmeliyiz.”
Hiçbir uyandırma çağrısı, büyük yatırımlar ve siber güvenlik savunmalarının hızlı, her yerde ve her yerde uygulanmasını sağlamak için yeterince korkunç görünmüyor, ancak Lapsus$ ile organizasyonlar, grubun dünyaya, yetenekli iseniz ve sahipseniz ne kadar çok şeyin mümkün olduğunu gösterdiğine göre, ek bir motivasyona sahip olabilir. ellerinde biraz zaman.
Emsisoft’tan Callow, “Siber suçlu kuruluşlar, diğer insanların ne yaptığına bakmaları ve başarılı olduklarını kanıtlayan stratejileri taklit etmeleri bakımından meşru işletmelerle tamamen aynıdır” diyor. “Yani fidye yazılımı çeteleri ve diğer operasyonlar, neler öğrenebileceklerini görmek için kesinlikle Lapsus$’ın ne yaptığına bakacaklar.”