Makale, Token CEO’su ve Yeni Nesil MFA Evangelisti John Gunn tarafından yazılmıştır.
Dünya kuşatma altında. Bu haber değil. Devlet destekli siber suçlular ve karanlık ağdaki güçlü araçları kullanan büyüyen bir acemi ordusu, başta kullanıcılarımız olmak üzere siber güvenlik zincirlerimizin her zayıf halkasından yararlanıyor.
Bir zamanlar kırılmaz bir savunma olarak kabul edilen Çok Faktörlü Kimlik Doğrulama (MFA), eski teknolojisinin ağırlığı altında çöküyor. Kimlik avı saldırıları, fidye yazılımları ve karmaşık saldırılar, eski MFA’yı şaşırtıcı bir kolaylıkla atlıyor.
Bu makale, MFA hatalarının artan dalgasını, üretken yapay zekanın bu saldırıları güçlendirmedeki endişe verici rolünü, savunmamızı zayıflatan artan kullanıcı hoşnutsuzluğunu ve sıklıkla istismar edilen göze çarpan güvenlik açıklarını ele alıyor. Fırtına büyüyor ve en kötüsü henüz gelmedi.
Eski MFA: Kimlik Avı ve Fidye Yazılımlarına Yönelik Açık Kapı Politikası
Kimlik avı ve fidye yazılımı saldırıları dalgası tüm endüstrileri kasıp kavuruyor ve arkasında yıkım bırakıyor. Siber suçlular eski MFA çözümlerinin zayıf noktalarına saldırırken milyarlarca dolarlık kayıplar yaşanıyor.
Tek kullanımlık şifreler (OTP’ler) ve SMS kimlik doğrulaması gibi kolaylıkla mağlup edilebilecek ilkeler üzerine kurulu bu sistemler, amansız saldırılara karşı koyamaz.
Kimlik avı saldırıları, insanların saflığını hedef alan gelişmiş sosyal mühendislik taktikleriyle MFA’yı atlayarak rahatsız edici derecede etkili hale geldi.
Fidye yazılımı operatörleri, ağlara yetkisiz erişim sağlamak, kritik sistemleri rehin tutmak ve astronomik fidye talep etmek için eski MFA’nın zayıf noktalarından yararlanıyor.
Eski MFA, bir zamanlar bir engel olmaktan çıkıp siber suçlular için döner bir kapı haline geldi ve her geçen gün daha büyük felaketlere davetiye çıkarıyor.
Üretken Yapay Zeka: Siber Suçluların Favori Silahı
Üretken yapay zeka iki ucu keskin bir kılıçtır ve yanlış ellerde benzersiz güce sahip bir silahtır. Siber suçlular artık gerçek iletişimlerden neredeyse ayırt edilemeyen kimlik avı saldırıları gerçekleştirmek için yapay zekayı kullanıyor.
Tipografik ve gramer hataları ortadan kalktı. Aciliyet, gerçek olamayacak kadar iyi teklifler ve güven eksikliği de artık geride kaldı. Orijinallik saçan e-postalar ve mesajlar, en iyi eğitimli kullanıcıları bile siber suçlulara yanlışlıkla ağ erişimi sağlamaya teşvik ediyor.
Yapay zeka destekli araçlar, kurumsal iletişim modellerini analiz ederek bunları olağanüstü bir hassasiyetle kopyalar. Yapay zeka tarafından desteklenen sohbet robotları, uzun bir süre boyunca gerçek zamanlı etkileşimlere girebiliyor ve deepfake’ler, en ihtiyatlı kullanıcıları bile kolayca aldatan nihai siber suç silahı olarak ortaya çıkıyor.
Yapay zekayla kimlik avı artık basit bir sanat değil, tam bir bilim haline geldi. Eski MFA’nın zayıf yönleriyle birleştiğinde bu araçlar, siber suç ve kurumsal risk ortamını yeniden tanımlayan büyük ölçekli, yüksek başarılı kampanyalara olanak tanıyor.
E-kitap “Üretken Yapay Zeka: Güvenlik ve Hacker Stratejisinde Oyun Değiştirici“, yeni nesil giyilebilir çok faktörlü kimlik doğrulamanın (MFA) ihlallere karşı mücadeleyi nasıl dönüştürdüğünü araştırıyor. Bu temel kılavuz, artan yapay zeka odaklı kimlik avı tehdidini, insan hatasının kalıcı sorununu ve yeni nesil MFA’nın güvenlik açısından neden kritik olduğunu açıklıyor. ele geçirilen kimlik bilgilerini işe yaramaz hale getiriyor.
Kullanıcı Dikkatinin Çöküşü
Siber güvenliğin en acı dersi ve daha önce hafifletilmesi mümkün olmayan ders, siber güvenlik stratejilerinin ancak onları kullanması gereken insanlar kadar güçlü olduğudur. Ancak eski MFA tamamen kullanıcılara bağımlı olmaya devam ediyor ve bu, onun güvenlik açığının kalbidir.
Tekrarlanan OTP istemleri, güvenliği ihlal edilmiş son kullanıcı cihazlarına bağımlılık ve sürekli iş akışı kesintileri, hayal kırıklığı ve yorgunluğa neden olur.
Gallup, çalışan bağlılığının son 10 yılın en düşük seviyesine ulaştığını ve çalışanların yalnızca %31’inin bağlı olma kriterlerini karşıladığını ortaya koyan en son ulusal istihdam anketinin sonuçlarını yayınladı. Aktif olmayan diğer %61’in kurumsal ağ erişiminin ideal koruyucuları olduğunu düşünen var mı?
Daha da kötüsü, kullanıcıların yüzde 20 ila 40’ı işlerini bırakmayı planlıyor ve zaten bir ayağı kapının dışında, ancak karmaşık siber saldırıları durdurmak için güvendiğimiz kişi bu; neyin yanlış gidebileceği ve neden yanlış gidebileceği açık. yapmak.
Tek çözüm, kullanıcılara güvenmeyi bırakıp onları hacklenmeye karşı korumalı hale getirmenin bir yolunu bulmaktır; eski MFA bunu yapmaz.
Eski MFA’daki Açık Delikler
Siber suçlular, eski MFA sistemlerinin göze çarpan güvenlik açıklarından yararlanma becerilerini geliştirdiler. Tercih ettikleri taktikler arasında şunlar yer alıyor:
- Kimlik avı: Kullanıcıları oturum açma kimlik bilgilerini, OTP kodlarını ve MFA uygulama onaylarını ifşa etmeleri konusunda kandırmak
- Ortadaki Adam (MitM) Saldırıları: Yetkisiz erişim elde etmek için aktarım halindeki kimlik doğrulama verilerine müdahale edilmesi.
- MFA İstemi Bombalaması: Karışıklık veya hayal kırıklığı nedeniyle erişim izni verene kadar kullanıcıları isteklerle boğmak.
- SIM Değiştirme: SMS tabanlı kodları ele geçirmek için cep telefonu numaralarının ele geçirilmesi.
- Kimlik Bilgisi Doldurma: MFA korumalarından fark edilmeden geçmek için güvenliği ihlal edilmiş kimlik bilgilerini kullanma.
Bu saldırılar, güncelliğini yitirmiş eski kimlik doğrulama sistemlerinin kırılgan doğasını açığa çıkarıyor. Eski MFA, statik savunmalara ve paylaşılan sırlara güvenerek onu modern tehditlere karşı savunmasız bırakıyor. Bunun kanıtı, CISA’nın fidye yazılımı saldırılarının %90’ının nedeninin kimlik avı e-postaları olduğunu belirtmesi ile çok kuvvetlidir. Bu güvenlik açığı ortadan kaldırıldığında saldırı yüzeyinin %90’ı buharlaşır.
Çözüm
Eski MFA’nın doğasında bulunan zayıflıklar her geçen gün daha sorunlu ve maliyetli hale geliyor ve sonuçları da vahim. Manşetlere konu olan milyonlarca dolarlık fidye yazılımı ve veri ihlali saldırılarının büyük çoğunluğu, eski MFA’nın başarısızlıklarının sonucuydu. Başarısız oluyor çünkü kullanıcıların etkili olmasına güveniyor. Bunlar, yirmi yıl önce var olan bir tehdit ortamı için yirmi yıl önce tasarlanmış zayıf kilitlerdir.
Saat hepimiz için işliyor. Kimlik avına karşı dayanıklı, kullanıcı titizliğine dayanmayan yeni nesil MFA’ya geçiş her kuruluş için bir zorunluluktur. Bu büyük riski azaltan çeşitli çözümlere sahip birçok yenilikçi start-up var. Sonuçta cevap oldukça basit: Eğer suçlular kilitlerinizi alt ediyorsa, daha iyi kilitler alın, ideal olarak bu on yılın kilitlerini.
Token’in Yeni Nesil MFA’sının, kimlik avı ve fidye yazılımlarının kuruluşunuza zarar vermesini tokenring.com adresinden nasıl durdurabileceği hakkında daha fazla bilgi edinin.
John Gunn, tüm fidye yazılımı saldırılarının %90’ını oluşturan kimlik avı ile başlayan fidye yazılımı saldırılarının yol açtığı yıkıcı kayıplara ve iş kesintilerine karşı kuruluşların kendilerini koruma biçimini değiştiren bir şirket olan Token’ın CEO’su ve Yeni Nesil MFA Evangelistidir. Token, 20 yıllık bir teknoloji olan eski MFA’nın insani zafiyetlerini ortadan kaldıran biyometrik, şifresiz, giyilebilir Yeni Nesil MFA cihazı geliştirdi. John, 30 yılı aşkın süredir teknoloji segmentindeki kuruluşlara liderlik ediyor ve siber suçlularla mücadelede yirmi yıllık deneyime sahip. Önceki görevinde, en büyük 100 küresel bankanın 70’ini koruyan dolandırıcılık önleme çözümleri sağlıyordu. Bundan önce ilk USB donanım kilidi tabanlı PKI çözümünü pazara sundu.
Token sponsorluğunda ve yazılmıştır.