Tehdit aktörleri, bulut tabanlı sistemlere ve uygulamalara sızmak için kampanyalarına giderek daha fazla kötü amaçlı OAuth uygulamaları dahil ediyor. Microsoft, büyüyen bu sorunu çözmek için, kötü amaçlı OAuth uygulamalarını otomatik olarak devre dışı bırakabilen genişletilmiş algılama ve yanıt (XDR) teklifine otomatik saldırı engelleme yetenekleri ekliyor.
OAuth (Açık Kimlik Doğrulama standardı), API belirteçleri aracılığıyla uygulamalara ve sistemlere otomatik oturum açma olanağı sağlar. OAuth kimlik doğrulaması, API belirteçleri aracılığıyla uygulamalara ve sistemlere otomatik oturum açmaya izin vererek kullanıcıların kimliğini doğrulamak ve verilerini korumak için güvenli bir yol sağlar. OAuth, kullanıcıların her oturum açtıklarında kimlik bilgileri girmeden birden fazla hesaba erişmesine olanak tanır.
Ancak aynı zamanda istismara da maruz kalıyorlar. Aralık ayında, Microsoft Tehdit İstihbaratı, Microsoft bulut hizmetlerine ilişkin kullanıcı hesaplarının güvenliğini ihlal eden ve bu kişilerin geniş ayrıcalıklı erişim oluşturmasına, değiştirmesine ve vermesine olanak tanıyan çeşitli saldırılar keşfetti. Saldırganlar, ilk başta ihlal ettikleri hesaba erişimi kaybettikten sonra bile uygulamalara erişimlerini koruyabildiler. Bu erişimle tehdit aktörleri, güçlü kimlik doğrulaması olmayan kullanıcı hesaplarına kimlik avı ve parola püskürtme saldırıları gerçekleştirebildi. Saldırganlar, yükseltilmiş izinlerle kurbanların kaynakları ve alan adlarıyla spam kampanyaları başlatabilir veya başka bir şekilde kurban ortamında kalıcılık sağlayabilir.
“Bir OAuth uygulamasına giriş izni verildiğinde birçok şey yapabilir. Ayrıca kötü amaçlı bir OAuth uygulamasına izin verirseniz, sizin adınıza giriş yapabilir ve sistem içinde sanki sizmişsiniz gibi çalışabilir ve bu kötü niyetli etkinliği durdurabilir. Microsoft’un tehdit istihbaratı stratejisi direktörü Sherrod DeGrippo, “bu gerçekten çok önemli” diyor.
Daha geçen hafta çevrimiçi depolama hizmeti Dropbox uyarıldı bir saldırganın sahip olduğu Dropbox Sign hizmetinin müşteri kimlik bilgilerine erişildi ve güvenlik uzmanlarına API ve OAuth anahtarlarını ve belirteçlerini rotasyona tabi tutmalarını tavsiye etti.
Defender XDR Yeteneklerini Genişletme
Geçen yıl Microsoft, fidye yazılımını, iş e-postası ele geçirmeyi (BEC) ve ortadaki saldırgan saldırılarını düzeltmek ve aynı zamanda kullanan yıkıcı kaba kuvvet saldırılarını tespit etmek için Defender XDR’ye (eski adıyla Microsoft 365 Defender) otomatik saldırı engelleme yetenekleri ekledi. kimlik bilgisi doldurma ve şifre püskürtme yöntemleri. DeGrippo, Defender XDR’nin artık birçok fidye yazılımı ve BEC saldırısını üç dakika içinde durdurduğunu söylüyor.
Microsoft’un bu hafta San Francisco, Kaliforniya’daki RSA Konferansı sırasında ön izlemesini yaptığı en yeni özellik, kötü amaçlı OAuth uygulamaları kullanan SaaS tabanlı uygulamalara yönelik saldırıları engellemeye odaklanıyor. Microsoft, bu özelliği duyuran bir gönderide Defender XDR’nin tehlikeye atılan OAuth uygulamasını otomatik olarak devre dışı bırakacağını ve böylece saldırganın daha fazla istismar edilmesini engelleyeceğini yazdı. Şirket, “Saldırı kesintisi artık yalnızca OAuth uygulama saldırılarını durdurmakla kalmıyor, aynı zamanda kimlik bilgilerinin sızdırılması, doldurma ve tahmin etme gibi güvenliği ihlal edilmiş bir kullanıcıyı içeren daha fazla senaryoyu da önemli ölçüde bozabilir” dedi.
Microsoft ayrıca Defender XDR’ye operasyonel teknoloji (OT) ve endüstriyel kontrol sistemleri (ICS) için yerel koruma ekledi. Microsoft’a göre, savunmacılar artık Defender XDR portalından OT sistemlerindeki tehditleri tespit edip bunlara yanıt verebiliyor ve endüstriyel kontrol sistemlerinin güvenlik durumunu analiz edebiliyor.
Saldırganlar saldırılarının hızını artırmak için yapay zekayı kullandığından Microsoft yetkilileri, buna ayak uydurmak için yapay zekanın gerekli olduğunu söylüyor. Forrester Research’e göre bir saldırıyı tespit etmek, yanıt vermek, ortadan kaldırmak ve saldırıdan kurtulmak için geçen ortalama süre ortalama 63 gün. Microsoft’un yakın zamanda yaptığı bir analize göre saldırganlar bir kuruluş içinde yatay harekete beş dakika içinde başlarken, tüm saldırı zincirini iki saat içinde tamamlayabiliyor.
DeGrippo, “Yapay zekadan yalnızca tespit yeteneğimiz kapsamında değil, aynı zamanda bu kesinti yeteneği kapsamında da yoğun bir şekilde yararlanılıyor” diyor. “Yaptığımız her şey gibi, bir tehdit aktöründen daha hızlı olmak istiyoruz ve yapay zeka size kesinlikle hızın gücünü veren şeylerden biri.”