Microsoft, Octo Tempest Grubuna Karşı Savunma İçin Taktik Kitabı’nı Açıkladı


Microsoft, Ünlü Octo Tempest Grubuna Karşı Savunma İçin Taktik Kitabı'nı Açıkladı

Octo Tempest, bir ortama ilk erişim sağlamak için sosyal mühendislik ve kimlik uzlaşmasından yararlanan, finansal motivasyona sahip bir siber suç grubudur. Verileri çalmak ve fidye yazılımı dağıtmak için kimlik sistemlerindeki zayıflıklardan yararlanıyor.

Bu grup özellikle tehlikeli çünkü çok çeşitli işletmeleri hedef alıyorlar, saldırılarında anadili İngilizce olan kişileri kullanıyorlar ve taktiklerini hızlı bir şekilde adapte edebiliyorlar.

Kuruluşlar, adli tıpa ve kimlik ve erişim yönetimi sistemlerinin kontrolünü yeniden kazanmaya odaklanan bir müdahale taktik kitabı uygulayarak Octo Tempest’in oluşturduğu riskleri azaltabilir.

 Octo Tempest'in hedeflemesinin, eylemlerinin, sonuçlarının ve para kazanmanın evrimi.
Octo Tempest’in hedeflemesinin, eylemlerinin, sonuçlarının ve para kazanmanın evrimi.

Bir kimlik düzlemi ihlali sonrasında Microsoft Entra ID ortamının idari kontrolünün yeniden kazanılması; burada önemli adımlar arasında acil durum erişimi için kırılmaz hesapların kullanılması, saldırganlar tarafından daha fazla token basılmasını önlemek için federasyon kimlik doğrulamasının Federasyondan Yönetilene geçirilmesi ve hizmet sorumlularının gözden geçirilmesi yer alır. Gereksiz izinleri kaldırmak ve bunların kalıcılık amacıyla kötüye kullanılmamasını sağlamak.

Scan Your Business Email Inbox to Find Advanced Email Threats - Try AI-Powered Free Threat Scan

Microsoft Entra ID kaynaklarına erişimi güvenli hale getirmek için tüm kullanıcılar için çok faktörlü kimlik doğrulama (MFA) gerektiren Koşullu Erişim ilkelerini, özellikle de yöneticiler için kimlik avına karşı dayanıklı MFA’yı uygulayın, eski kimlik doğrulama protokollerini engelleyin ve yüksek riskli kullanıcılar için parola değişikliklerini zorunlu kılın.

 Koşullu Erişim ilkesi şablonları.
Koşullu Erişim ilkesi şablonları.

Ek olarak, şüpheli oturum açma işlemlerine meydan okumak, bulut yöneticisi hesaplarını ayırmak ve parola sıfırlama/MFA işlemlerini yetkili personelle sınırlamak için kullanıcı riskine dayalı Koşullu Erişim ilkeleri uygulayın.

Güvenlik olayları sırasında eski yönetici izinlerini iptal edin, modern MFA ile yeni güvenli hesaplar oluşturun ve cihaza bağlı geçiş anahtarlarını kullanın.

Azure ortamında meydana gelen Octo Tempest saldırısının etkisini hafifletmek için anında yanıt verilmesi gerekiyor.

Kötü amaçlı değişiklikleri belirlemek ve kaldırmak için Ağ Güvenlik Gruplarında (NSG’ler), Azure Güvenlik Duvarı kurallarında ve Azure Yönetim Grupları ve Aboneliklerine yönelik erişim denetiminde yapılan değişiklikleri inceleyin ve analiz edin.

Kritik eylemler için iki kişi onayını zorunlu kılmak ve daha fazla hasarı önlemek için Intune Çoklu Yönetici Onayı’nı (MAA) uygulayın.

Şirket içi kurtarma başucu kitabı.
Şirket içi kurtarma başucu kitabı.

İzinsiz giriş zaman dilimi boyunca tüm MFA kayıtlarını araştırın, güvenliği ihlal edilmiş hesapları yeniden kaydetmeye hazırlanın, şirket içi Active Directory’yi inceleyin ve gerekirse ormanın tamamını kurtarmayı düşünün.

Etki alanı denetleyicilerini yalıtın, aktif dizini temizleyin ve yönetici hesaplarının güvenliği ihlal edilirse ormanı yeniden oluşturun.

Son olarak, güvenliği ihlal edilmiş kimlik bilgilerini belirlemek ve döndürmek için Anahtar Kasalarına ve Gizli Sunuculara erişimi araştırın.

Ayrıcalıklı Access Enterprise erişim modelini güvence altına alma
Ayrıcalıklı Access Enterprise erişim modelini güvence altına alma

Microsoft, şirket içi Active’deki Karma Geçiş saldırılarını azaltmak için bir geçici önlem olarak AD Katmanlandırma modelini önerir

Uygulaması daha kapsamlı Kurumsal Erişim Modeline (EAM) göre daha kolay olan ve pratik rehberlik sunan dizin ortamları.

Katmanlama, farklı erişim düzeyleri için ayrılmış ayrıcalıklı hesaplar oluşturmayı ve kontrol düzlemi yalıtımının sağlanmasını içerir.

Potansiyel bir tehlikenin ardından hesapların elden çıkarılması, şifrelerin sıfırlanmasını, hesapların devre dışı bırakılmasını, erişim kontrollerinin gözden geçirilmesini ve toplu şifre sıfırlamayı içerir.

Free Webinar! 3 Security Trends to Maximize MSP Growth -> Register For Free



Source link