Microsoft, özellikle modern siber tehditlerin temel taşı haline gelen ortadaki düşman (AITM) tekniklerine odaklanan kimlik avı saldırılarının artan sofistike olmasını ortaya koydu.
Kuruluşlar giderek artan bir şekilde çok faktörlü kimlik doğrulama (MFA), şifresiz çözümler ve sağlam e -posta korumaları benimsedikçe, tehdit aktörleri, özellikle kurumsal bulut ortamlarını hedeflemek için kimlik bilgilerini çalmak için gelişmiş yöntemlerle uyum sağlıyor.
Genellikle Hizmet Olarak Kimlik Yardımı (PHAA’lar) Platformları ile kolaylaştırılan AITM saldırıları, kullanıcılar ve meşru web siteleri arasında proxy sunucularını dağıtarak kimlik doğrulama süreçlerini ele geçirmeyi içerir.
.png
)
Sofistike kimlik avı tehditleri
Microsoft’un tehdit istihbarat ekibi raporu, ödeme havale ve sahte LinkedIn doğrulamaları etrafında temalı yemleri kullanarak Storm-0485 gibi üretken aktörleri izledi ve genellikle Google Hızlandırılmış Mobil Sayfalar (AMP) URL’leri aracılığıyla kötü niyetli bağlantıları engelledi.
Bu, sosyal mühendisliğin kullanıcıları hassas bilgileri ifşa etmek için aldatmak için güçlü bir araç olarak kaldığı kimlik avı manzarasında kritik bir değişimi vurgulamaktadır.
Bu gelişen tehditlerle mücadele etmek için Microsoft, çok katmanlı bir derinlemesine savunma yaklaşımını vurgulamaktadır.
Önemli bir öneri, kimlik bilgisi hırsızlığı riskini önemli ölçüde azaltan Passeys gibi kimlik avlamaya dayanıklı, şifresiz kimlik doğrulama yöntemlerinin benimsenmesidir.
Microsoft Entra ID korumasında MFA’yı riske dayalı koşullu erişim politikalarıyla tamamlamak da çok önemlidir, çünkü AITM kampanyalarında bulunan jeton tekrar ve oturum kaçırma için IP konumu ve cihaz durumu gibi kimlik odaklı sinyalleri kullanarak oturum açma denemelerini değerlendirir.
Ayrıca Microsoft, kuruluşlara mümkün olduğunca cihaz kodu kimlik doğrulama akışlarını devre dışı bırakmalarını veya koşullu erişim politikaları yoluyla bunları kısıtlamalarını tavsiye eder, çünkü Storm-2372 gibi aktörler bunları belirteç yakalama için kullanır.
Savunmaları güçlendirecek stratejiler
Bir başka yaygın taktik olan OAuth Onay Kimlik avı, kullanıcı izinlerini güvenilir uygulamalarla sınırlamak için uygulama onayı politikalarını yapılandırarak hafifletilebilir.
Teknik kontrollerin ötesinde, Microsoft, Emerald Squet gibi aktörlerin kimlik avı e-postalarını ikna etmek için büyük dil modellerinden yararlanan kampanyalarda görüldüğü gibi, AI tarafından üretilen içerik yoluyla giderek daha fazla cilalanan sosyal mühendislik cazibesini tanımak için kullanıcı farkındalık eğitiminin öneminin altını çiziyor.
Microsoft’un gözlemleri, Microsoft ekipleri ve sosyal medya gibi platformların Storm-1674 ve Mint Sandstorm gibi aktörler tarafından kimlik bilgisi hasadı için istismar edildiğini gösteren Microsoft’un e-postanın ötesine geçtiğini ortaya koyuyor.
Bunu ele almak için, Global Secure Access (GSA) gibi bir güvenlik hizmeti kenar çözümü dağıtmak, kimlik ve uç nokta kontrollerini kullanarak uygulamalara ve kaynaklara erişimi güvence altına alabilir.
Buna ek olarak, ortaklık sonrası stratejiler, Office 365 için Microsoft Defender aracılığıyla dahili olarak güvenli bağlantı politikaları uygulayarak ve kullanıcıları şüpheli etkinlikleri bildirmeleri için eğiterek yanal harekete karşı sertleşmeyi içerir.
Microsoft’un olay müdahale verileri, geçtiğimiz yıl boyunca belirlenen başlangıç erişim vektörlerinin yaklaşık dörtte birinin kimlik avı veya sosyal mühendislik içerdiğini ve daha geniş passkey devreleri planlarken kimlik avına dayanıklı MFA’yı ayrıcalıklı hesaplar için önceliklendirme aciliyetinin altını çizdiğini göstermektedir.
Bu teknik önlemleri sürekli uyanıklık ve kullanıcı eğitimi ile entegre ederek, kuruluşlar, AITM kimlik avı saldırılarının kalıcı ve uyarlanabilir doğasına karşı esnekliklerini önemli ölçüde destekleyerek sürekli değişen bir tehdit manzarasında sağlam bir güvenlik duruşu sağlayabilirler.
Bu haberi ilginç bul! Anında güncellemeler almak için bizi Google News, LinkedIn ve X’te takip edin!