Ocak 2024'te Microsoft, Rus devleti korsanları Midnight Blizzard (bazen Nobelium olarak da bilinir) tarafından düzenlenen bir hacklemenin kurbanı olduklarını keşfetti. Bu davanın endişe verici detayı, yazılım devine sızmanın ne kadar kolay olduğudur. Sıfır gün güvenlik açığından yararlanan çok teknik bir saldırı değildi; bilgisayar korsanları eski, etkin olmayan bir hesabın kontrolünü ele geçirmek için basit bir parola sprey saldırısı kullandı. Bu, şifre güvenliğinin öneminin ve kuruluşların neden her kullanıcı hesabını koruması gerektiğinin açık bir hatırlatıcısıdır.
Şifre püskürtme: Basit ama etkili bir saldırı
Bilgisayar korsanları, Kasım 2023'te bir parola püskürtme saldırısı kullanarak giriş elde ettiler. Parola püskürtme, aynı parolayı birden fazla hesapta denemeyi içeren nispeten basit bir kaba kuvvet tekniğidir. Saldırganlar, kullanıcı hesaplarını bilinen zayıf ve güvenliği ihlal edilmiş parolalarla bombalayarak, Microsoft sistemi içindeki eski, üretim dışı bir test hesabına erişmeyi başardılar ve bu da onlara ortamda ilk tutunma noktası sağladı. Bu hesabın ya alışılmadık ayrıcalıkları vardı ya da bilgisayar korsanları bu ayrıcalıkları artırdı.
Saldırı yedi hafta kadar sürdü ve bu süre zarfında bilgisayar korsanları e-postaları ve ekteki belgeleri sızdırdı. Bu veriler, Siber Güvenlik ve Hukuk ekiplerindeki üst düzey yöneticilere ve çalışanlara ait olanlar da dahil olmak üzere kurumsal e-posta hesaplarının 'çok küçük bir yüzdesini' tehlikeye atıyordu. Microsoft'un Güvenlik ekibi, saldırıyı 12 Ocak'ta tespit etti ve bilgisayar korsanlarının faaliyetlerini kesintiye uğratmak ve daha fazla erişimlerini engellemek için derhal harekete geçti.
Ancak bilgisayar korsanlarının bu kadar hassas dahili bilgilere erişebilmesi, görünüşte önemsiz hesapların bile tehlikeye atılmasının yol açabileceği potansiyel hasarın altını çiziyor. Saldırganların ihtiyaç duyduğu tek şey kuruluşunuz içinde bir başlangıç noktasıdır.
Tüm hesapları korumanın önemi
Kuruluşlar genellikle ayrıcalıklı hesapların korunmasına öncelik verirken Microsoft'a yapılan saldırı, her kullanıcı hesabının saldırganlar için potansiyel bir giriş noktası olduğunu gösterdi. Ayrıcalık yükseltme, saldırganların giriş noktası olarak yüksek ayrıcalıklara sahip bir yönetici hesabına ihtiyaç duymadan hedeflerine ulaşabilecekleri anlamına gelir.
Etkin olmayan düşük ayrıcalıklı bir hesabı korumak, çeşitli nedenlerden dolayı yüksek ayrıcalıklı bir yönetici hesabını korumak kadar önemlidir. Birincisi, saldırganlar sıklıkla gözden kaçan bu hesapları ağa potansiyel giriş noktaları olarak hedefler. Etkin olmayan hesapların zayıf veya güncel olmayan parolalara sahip olma olasılığı daha yüksektir, bu da onları kaba kuvvet saldırıları için daha kolay hedef haline getirir. Saldırganlar bir kez ele geçirildikten sonra bu hesapları ağ içinde yanal olarak hareket etmek, ayrıcalıklarını artırmak ve hassas bilgilere erişmek için kullanabilirler.
İkincisi, etkin olmayan hesaplar genellikle güvenlik önlemleri açısından ihmal ediliyor ve bu da onları bilgisayar korsanları için çekici hedefler haline getiriyor. Kuruluşlar, bu hesaplar için güçlü parola politikaları veya çok faktörlü kimlik doğrulamayı uygulamayı gözden kaçırabilir ve bu da hesapları istismara karşı savunmasız bırakabilir. Saldırganın bakış açısına göre, düşük ayrıcalıklı hesaplar bile bir kuruluş içindeki belirli sistemlere veya verilere değerli erişim sağlayabilir.
Parola spreyi saldırılarına karşı savunma
Microsoft'un saldırısı, kuruluşların her kullanıcı hesabının güvenliğine öncelik vermeleri için bir uyandırma çağrısı görevi görüyor. Algılanan önemi ne olursa olsun, tüm hesaplarda güçlü şifre koruma önlemlerine duyulan kritik ihtiyacın altını çiziyor. Kuruluşlar, güçlü parola politikaları uygulayarak, çok faktörlü kimlik doğrulamayı etkinleştirerek, düzenli Active Directory denetimleri gerçekleştirerek ve ele geçirilen parolaları sürekli tarayarak aynı şekilde yakalanma riskini önemli ölçüde azaltabilir.
- Aktif Dizin denetimi: Active Directory'nin düzenli denetimlerinin gerçekleştirilmesi, kullanılmayan ve etkin olmayan hesapların yanı sıra parolayla ilgili diğer güvenlik açıklarının da görünürlüğünü sağlayabilir. Denetimler, Active Directory'nizin değerli bir anlık görüntüsünü sağlar ancak her zaman devam eden risk azaltma çabalarıyla tamamlanmalıdır. Kuruluşunuzun etkin olmayan ve eski kullanıcı hesaplarını göremiyorsanız etkileşimli, dışa aktarılabilir bir rapor sunan ücretsiz denetim aracımızla salt okunur bir denetim çalıştırmayı düşünün: Specops Parola Denetçisi.
- Sağlam şifre politikaları: Kuruluşlar, genel terimler veya 'qwerty' veya '123456' gibi klavye geçişleri gibi zayıf şifreleri engelleyen güçlü şifre politikaları uygulamalıdır. Uzun, benzersiz parolalar veya parola cümleleri uygulamak, kaba kuvvet saldırılarına karşı güçlü bir savunmadır. Organizasyon ve sektörle ilgili terimleri engelleyen özel sözlükler de dahil edilmelidir.
- Çok faktörlü kimlik doğrulama (MFA): MFA'nın etkinleştirilmesi, bilgisayar korsanlarının üstesinden gelmesi gereken bir kimlik doğrulama engeli ekler. MFA önemli bir savunma katmanı görevi görse de MFA'nın kusursuz olmadığını hatırlamakta fayda var. Güçlü şifre güvenliği ile birleştirilmesi gerekiyor.
- Güvenliği ihlal edilmiş şifre taramaları: Son kullanıcıların, güvenliği zayıf olan kişisel cihazlarda, sitelerde veya uygulamalarda yeniden kullanması durumunda, güçlü şifreler bile tehlikeye girebilir. Etkinleştirilmiş parolalara karşı Active Directory'nizi sürekli tarayacak araçların uygulanması, potansiyel risklerin belirlenmesine ve azaltılmasına yardımcı olabilir.
Bilgisayar korsanları için saldırı yollarını sürekli olarak kapatın
Microsoft'un saldırısı, kuruluşların tüm hesaplarda güçlü şifre koruma önlemleri uygulaması ihtiyacının altını çiziyor. Eski hesaplar, üretim dışı hesaplar ve test hesapları da dahil olmak üzere tüm hesapların gözden kaçırılmamasını sağlayan güvenli bir parola politikası önemlidir. Ayrıca, güvenliği ihlal edildiği bilinen kimlik bilgilerinin engellenmesi, aktif saldırılara karşı ekstra bir koruma katmanı ekler.
İhlal Edilen Parola Korumasına sahip Specops Parola Politikası, Active Directory'niz için otomatik, sürekli koruma sunar. Son kullanıcılarınızı, hem bilinen sızıntılardan hem de gerçek şifre sprey saldırılarında kullanılan şifreleri toplayan kendi bal küpü sistemimizden elde edilen veriler de dahil olmak üzere, 4 milyardan fazla bilinen, güvenliği ihlal edilmiş şifrelerin kullanımına karşı korur.
İhlal Edilen Parola Koruması API'sinin günlük güncellemesi ve bu parolaların ağınızda kullanımına yönelik sürekli taramalar, parola saldırısı tehdidine ve parolanın yeniden kullanılması riskine karşı çok daha kapsamlı bir savunmaya eşittir. Specops Şifre Politikasının kuruluşunuza nasıl uyabileceğini öğrenmek için bugün uzmanla konuşun.