Makale, Adaptive Shield Ürün Pazarlama Müdürü Hananel Livneh tarafından yazılmıştır.
Microsoft Teams veya Slack gibi SaaS sohbet uygulamalarının siber güvenlik riskleri genellikle hafife alınır. Çalışanlar, kurumsal ağlarına bağlı uygulamalarda iletişim kurarken kendilerini güvende hissediyorlar. Çok çeşitli kötü amaçlı faaliyetler kullanan suç teşkil eden tehdit aktörlerinin karmaşık saldırılarına kapıyı açan da tam olarak kurum içi mesajlaşmadaki bu yanlış güvendir.
Tehdit aktörleri, SaaS sohbet uygulamalarında hazırlıksız yakalanan çalışanlarla iletişime geçerek kimlik avı kampanyaları yürütebilir, kötü amaçlı yazılım saldırıları başlatabilir ve gelişmiş sosyal mühendislik taktikleri kullanabilir.
Bu karmaşık taktikler, güvenlik ekiplerinin tehditleri tespit etmesini zorlaştırıyor. Siber eğitim esas olarak e-posta yoluyla kimlik avına odaklandığından, çalışanlar mesajlaşma uygulamalarıyla ilgili siber güvenlik farkındalığı konusunda da eğitimden yoksundur.
Microsoft Teams sohbetleri, devasa kullanıcı tabanının siber suçlular için cazip bir hedef olması nedeniyle artan sayıda olaya karşı hassas olan bir platformdur.
En son bildirilen vakada AT&T Cybersecurity, DarkGate kötü amaçlı yazılım saldırısında Microsoft Teams üzerinden Yönetilen Tespit ve Yanıt (MDR) müşterilerine karşı yürütülen kimlik avını keşfetti.
Bu makale, bu saldırının kaynaklarına ışık tutacak, önceden belirlenen güvenlik açıklarıyla paralellikler kuracak ve kuruluşunuzu bu tür tehditlere karşı güçlendirmek için uygulanabilir iyileştirme adımları sunacaktır.
Ekiplerdeki Güvenlik Açıklarını Ortaya Çıkarma
Yakın zamanda Microsoft Teams üzerinde gerçekleştirilen bir saldırıda saldırganlar, uygulamayı kullanarak 1.000’den fazla grup sohbeti daveti gönderdi. Hedefler daveti kabul ettiğinde, DarkGate kötü amaçlı yazılımını içeren bir dosyayı indirmeleri için yönlendirildiler. DarkGate, 2018’den bu yana sınırlı sayıda siber suç amaçlı kötü amaçlı yazılım saldırılarında kullanılıyor ancak kullanımı mesajlaşma uygulamaları aracılığıyla geniş çapta yayılıyor.
AT&T Siber Güvenlik ekibinin raporunda belirttiği gibi Microsoft, varsayılan olarak Harici Erişimi etkinleştirir; bu, bir kuruluşun üyelerinin Ekip sohbetlerine kuruluş dışındaki kullanıcıları eklemesine olanak tanır.
Microsoft Teams’te daha önce belirlenen güvenlik açıkları ve yanlış yapılandırmalar ışığında, platformun birden fazla saldırı vektörüne açık olduğu açıktır.
Yakın zamanda yaşanan diğer olaylar arasında, Storm 0324 saldırısı ve GIFShell güvenlik açığı da dahil olmak üzere, iç kullanıcılarla iletişim kurmak için harici erişim ayarlarından yararlanan tehdit aktörlerinin benzer taktikleri yer alıyordu.
JUMPSEC’in Kırmızı Ekibinden Max Corbridge ve Tom Ellson tarafından başka bir güvenlik açığı, tehdit aktörlerinin dosya paylaşım kısıtlamalarını aşmasına ve kötü amaçlı yazılımı doğrudan hedefin Teams gelen kutusuna göndermesine olanak tanıdı.
Bu harici erişim ayarı güvenlik açıklarının birbirine bağlı yapısını anlamak, SaaS mesajlaşma uygulamaları için kapsamlı bir güvenlik stratejisi oluştururken çok önemlidir.
SaaS güvenlik şirketi Adaptive Shield’ın araştırma ekibi, kuruluşunuzu bu kimlik avı saldırılarına ve güvenlik açıklarına karşı güçlendirmek için aşağıdaki iyileştirme önlemlerini uygulamanızı önerir.
1. Harici Erişimi İnceleyin
Kuruluşunuzun üyelerine mesaj göndermek için harici kiracıların ihtiyacını değerlendirin. Gerekli değilse Microsoft Teams Yönetici Merkezi’nde harici erişimi devre dışı bırakın. “Kullanıcılarınızın hangi harici alanlara erişebileceğini seçin” yapılandırmasını “Tüm harici alanları engelle” olarak ayarlayın.
Teams aracılığıyla harici iletişim gerekiyorsa, kuruluşun iletişim ihtiyaçları ile güvenliği arasında bir denge kurmak için yalnızca Teams aracılığıyla kullanıcılarla düzenli olarak etkileşim kuran belirli etki alanları için erişimi etkinleştirin.
2. Harici Kullanıcıların Paylaşılan Kanallara Davetlerini Engelleyin
Paylaşılan Kanal sahipleri, harici kullanıcıları kanallarına katılmaya davet etme olanağına sahiptir. Bu, harici kullanıcıların mesaj okumasına ve yazmasına olanak tanır. Microsoft Teams Yönetim Merkezi’nde, ekipler ilkesi altında “Harici kullanıcıları paylaşılan kanallara davet et” seçeneğini kapalı konuma getirin.
3. Konuşma Başlatanları Sınırlayın
Yönetilmeyen harici Teams kullanıcılarının kuruluşunuz içinde konuşma başlatmasını önleyin. Microsoft Teams Harici Erişim yapılandırmalarında “Bir kuruluş tarafından yönetilmeyen Teams hesaplarına sahip harici kullanıcılar, kuruluşumdaki kullanıcılarla iletişim kurabilir” seçeneğini devre dışı bırakın. Konuşmayı kimin başlatabileceğini sınırlayarak yetkisiz erişim ve iletişim olasılığını azaltırsınız.
4. Takımlar için Defender’ı kullanın
Office 365 için Microsoft Defender kullanan kuruluşlar, kullanıcıların OneDrive ve SharePoint+OneDrive’da yanlışlıkla kötü amaçlı dosyalar paylaşmasını önlemek amacıyla genel ayarlarda Office 365 için Güvenli Ekler’i etkinleştirebilir. Güvenli Ekler etkinleştirildiğinde kullanıcıların kötü amaçlı olduğu belirlenen dosyaları açmasını veya indirmesini engeller.
5. Personeli Eğitin
Microsoft Teams gibi üretkenlik uygulamalarını kullanan sosyal mühendislik kampanyaları hakkında personel arasında farkındalığı artırın. Kimlik avı saldırılarının geleneksel e-postaların ötesinde çeşitli biçimlerde olabileceğini vurgulayın. Güvenlik bilincine sahip bir zihniyeti teşvik edin ve çalışanların şüpheli etkinlikleri fark edip bildirmeleri için sürekli eğitim sağlayın.
Sonuç: Proaktif Kalın
Tehdit ortamı geliştikçe kuruluşların iletişim SaaS platformlarının güvenliğini sağlama konusunda proaktif kalmaları gerekiyor. En son kimlik avı saldırılarından ve güvenlik açıklarından ders alarak siber tehditlere karşı savunmanızı güçlendirebilirsiniz.
Önerilen iyileştirme önlemlerinin uygulanması, kuruluşunuzu ve hassas verilerini kötü niyetli aktörlerden koruyarak daha güvenli bir Microsoft Teams ortamına katkıda bulunacaktır.
SaaS verilerinizin dayanıklılığını sağlamak için bilgi sahibi olun, dikkatli olun ve SaaS güvenliğine öncelik verin.
Kuruluşunuzu SaaS uygulamalarındaki tehditlere karşı nasıl güçlendireceğiniz hakkında daha fazla bilgi edinin
Adaptive Shield tarafından desteklenmiş ve yazılmıştır.