Siber güvenlik manzarası önemli bir tehdit vektör dönüşümü gördü. Kötü amaçlı yazılım ve fidye yazılımı ilgili tehditler olmaya devam ederken, daha nüanslı bir saldırı sınıfı çekiş kazandı.
İhlallerin% 80’inden fazlası artık bu ortaya çıkan eğilimin altını çizerek tehlikeye atılmış kimlik bilgileri veya kimlik tabanlı saldırıları içeriyor. Meşru BT araçlarını kullanarak kimlik bilgisi doldurma, oturum kaçırma, kimlik kötüye kullanımı ve yanal hareket dahil olmak üzere kimlik doğrulama merkezli saldırılar geçerlidir. Çalıntı kimlik ve ayrıcalıklı erişim kimlik bilgileri artık tüm veri ihlallerinin% 61’ini oluşturmaktadır. Geleneksel tehditlerden farklı olarak, bu saldırılar güvenden yararlanır ve erişimi korumak ve üretkenliği sağlamak için tasarlanmış mekanizmaları kullanır.
Tehdit aktörleri arasında tercih edilen bir taktik olarak kimlik kötüye kullanımı sıklığı çeşitli faktörlerden kaynaklanmaktadır. Saldırganlar, kimlik avı kitleri ve otomasyon kullanımlarını rafine ettiler, bu da kimlik bilgilerini ve oturum çerezlerini artan kolaylık ve sofistike ile hasat etmelerini sağladı ve sağlam çok faktörlü kimlik doğrulama protokollerini bile atlamayı mümkün kıldı.
Doğrudan kimlik kötüye kullanımının ötesinde, tehdit aktörleri üçüncü taraf ilişkiler ve yazılım tedarik zincirleri aracılığıyla giderek daha fazla başlangıç erişimini elde ederler. Meyveden çıkarılmış CI/CD boru hatları, kod depolarındaki maruz kalan belirteçler ve aşırı bırakılan entegrasyonlar, kurumsal ortamlara gizli ve sıklıkla gözden kaçan bir yol sağlar. Bu dolaylı erişim noktalarının güvenilir satıcı ilişkilerine veya API odaklı otomasyona sarıldığında tespit edilmesi zordur.
Aynı zamanda, API’ler, özellikle mobil uygulamalarda ve giriş iş akışlarında kullanılanlar, captcha veya kısma gibi savunma mekanizmalarının eksikliğinden yararlanıyor ve sonuçta bunları otomatik saldırılar için ideal vektörlere dönüştürüyor. Bu kimlik doğrulama uç noktaları, sadece yaygınlıkları nedeniyle değil, aynı zamanda çoğu kuruluşun tespit stratejilerindeki nispeten sınırlı görünürlükleri nedeniyle cazip hale gelmiştir.
Açık görüşte saklanıyor
Kimlik doğrulama tabanlı saldırılar sessizce ortaya çıkma yeteneklerinde büyüdü. Burunlarımızın hemen altında, saldırganlar, çalınırsa geçerli olan kimlik bilgilerini ve meşru araçları kullanıyor. Düşmanlar, kötü amaçlı yazılım dağıtmak veya güvenlik uyarılarını anormal ikili dosyalarla tetiklemek yerine, şimdi PowerShell, uzaktan erişim araçları veya dahili SSO portalları gibi standart yardımcı programlara, ağlarda yanal olarak hareket etmek için güveniyor.
Kalıcılık oluşturarak ve uzun süreler için kaçınma tespiti yaparak, savunucular kötü niyetli davranışları yetkili kullanıcı etkinliğinden ayırt etmede artan zorluklarla karşı karşıyadır.
Bir Silah Olarak Güven
Hawaiian Havayolları ve Westjet’i ihlal eden dağınık örümcek grubu gibi kimlik sistemlerinden yararlanan kampanyalar, tehdit aktörlerinin MFA’yı yardım kanalı taktikleri ve MFA yorgunluk taktikleri aracılığıyla atladığını, federasyonlu erişim mekanizmalarının yanlış yapılandırıldığında organizasyonlara nasıl dönüştürülebileceğine ışık tuttuğunu gösteriyor.
APT tarzı Tradecraft’tan metalaştırılmış uzaktan erişim yazılımının kullanımına kadar değişen saldırgan TTP’lerin harmanlanması, özellikle saldırganların sık sık BT yöneticileri ve destek personeli için kullanılabilir altyapıyı ve araçları kullandıkları için atıfta bulunmuştur.
Bilinen kötü amaçlı yazılım imzalarını izlemek veya taramak için tasarlanmış geleneksel savunmalar, meşru kullanıcılara benzeyen ve hareket eden tehditlerle mücadele etmek için kötü donanımlı ve temelde hazırlıksızdır. Gelişmiş algılama özelliklerine sahip uç nokta çözümleri bile davranışsal bağlam eksikse ince uzlaşma belirtilerini göz ardı edebilir. Başarılı bir saldırı, kötü amaçlı yazılım içermeyebilir, daha çok alışılmadık bir coğrafyadan veya ayrıcalık değişikliklerinde artıştan giriş denemelerinde bir artış içerebilir. Bu sinyaller, küçük olmasına rağmen, daha geniş bir davranış modelinde ilişkili olduğunda kritiktir.
Güvenlik artık çalışamıyortek başına yedik
Güvenlik operasyonları gelişmeli ve kendilerini daha istihbarat odaklı ve davranış farkında hale getirmelidir. Saldırganların nasıl işleyeceğini anlamak ve tahmin etmek için yapılandırılmış bir rehber sağlamak için MITER ATT & CK gibi yaygın olarak erişilebilir çerçeveler olduğunda, hazırlanmak için zaman ayırmamak neredeyse ihmal edilir. İleride, güvenlik ekipleri bu modelleri olası düşman davranışları hakkında hipotezler oluşturmak ve bunları çevrelerinin telemetrisine karşı test etmek için kullanmalıdır. Proaktif olarak kalarak, kuruluşların duruşu, tehdit istihbaratını statik bir referanstan, algılama mühendisliği, uyarı ayarı ve olay tepkisini bilgilendirebilecek operasyonel bir varlığa dönüştürebilir.
İyi bir örnek olarak, savunucular gerçek düşman davranışını yansıtan desenler etrafında tespitler oluşturabilir: API’lara anormal erişim, tekrarlanan başarısız girişler ve ardından nadir cihaz parmak izlerine bağlı ani bir başarı veya kimlik doğrulama olayları. Bu göstergeler genellikle API Ağ Geçidi Günlükleri, Kimlik Sağlayıcı Analytics veya OAuth Jeton Yayın Etkinlikleri gibi geleneksel güvenlik araç setinin dışında oturan günlüklerde bulunur. Bu verilere etkili bir şekilde erişmek ve yorumlamak için DevOps ve IAM ekipleri gerekli hale gelir.
Körün eşlenmesi Lekeler
Saldırganlar ayrıca, özellikle mobil uygulama ve API merkezli kimlik doğrulama iş akışlarında yenileme jetonu hırsızlığı ve jeton tekrar oynatma tekniklerini giderek daha fazla kullanıyor. Bu jetonlar genellikle geleneksel kimlik bilgisi tabanlı kimlik doğrulama kontrollerini atladığından, meşru kullanıcıları taklit etmek ve alarmları tetiklemeden kalıcı erişimi sağlamak için sessizce yeniden kullanılabilirler.
Daha esnek ve riske uyumlu bir savunma stratejisi geliştirmek, tespit ve analitikte mevcut boşlukları ortaya çıkaran tespit yeteneklerini haritalamaya odaklanan güvenlik liderlerine bağımlıdır. Kimlik bilgisi doldurma, jeton hırsızlığı ve uzaktan erişim araçlarının kötüye kullanılması gibi yüksek etkili kullanım durumlarına öncelik vermek, kuruluşların en zararlı kimlik tabanlı saldırıları ele alan oyun kitaplarını uyarlamasını sağlar.
Egzersizler yoluyla gerçek dünyadaki düşman davranışlarının düzenli simülasyonu, ekiplerin hazırlıklarını güçlendirmesine ve algılama yeteneklerini rafine etmelerine yardımcı olur. Aynı derecede önemli olan, kimlik doğrulama iş akışlarındaki güvenlik açıklarını belirlemek ve yaygın yanlış yapılandırmaları ortadan kaldırmak için geliştirme ve altyapı ekipleriyle çapraz işlevsel işbirliğini teşvik etmektir. Son olarak, mobil API’ler, giriş davranışı ve oturum jeton etkinliği gibi kimlik sistemlerine görünürlüğün genişletilmesi, anormal kullanıcı ajanları veya şüpheli jeton yenilemeleri gibi ince uzlaşma göstergelerinin fark edilmemesini sağlar.
Düşman ED Avantajı
Bu stratejileri takip eden kuruluşlar, birkaç kritik alandaki gelişmeleri inkar edilemez bir şekilde görecektir. Saldırı zincirinin başlarında kimlik temelli saldırıları ve yanal hareketi tespit edebilecek ve veri açığa çıkma veya kalıcı erişim fırsatını sınırlayabilecekler. Yanıt stratejileri gerçek dünya riskiyle daha uyumlu hale gelecek, uyarı yorgunluğunu azaltacak ve ortalama çözünürlük süresini iyileştirecektir. Belki de en önemlisi, takımları korku veya tahmin yerine düşman davranışlarına dayanan bir anlayış yerinden çalışacaktır.
Bu evrim isteğe bağlı değildir. Saldırganlar taktikleri değiştirdi ve savunucular ayni yanıt vermelidir. Güvenlik ekipleri, eski tespitin ötesine geçip düşmanca bilgilendirilmiş stratejileri benimseyerek girişimi geri alabilir. Kimlik katmanını korumak artık işi korumak için merkezi bir şeydir ve bu gerçeğe göre hareket eden kuruluşlar, giderek daha sofistike tehditler karşısında uzlaşmaya ve bozulmaya direnmek için en iyi konumlandırılmış olan kuruluşlar olacaktır.
Yazar hakkında
Randolph Barr, Siber Güvenlik, BT ve risk yönetiminde yirmi yılı aşkın deneyime sahip Cequence Security’de Tecrübeli Baş Bilgi Güvenliği Görevlisi (CISO). Güvenlik programlarının çeşitli endüstrilerde geliştirilmesine ve genişlemesine öncülük ederek, sadece acil tehditleri ele almakla kalmayıp, aynı zamanda iş büyümesi ile ölçeklendiren temel çerçeveler oluşturmuştur. Randolph’un uzmanlığı, kuruluşların tanınmış güvenlik sertifikaları ve üçüncü taraf onaylamaları elde etmelerini sağlayarak güvenlik yönetişimi ve uyumluluğu sağladı. Güvenlik topluluğu içinde işbirlikçi bir ortamı geliştirmeye kararlı olan, kötü aktörlere karşı kolektif savunmaları güçlendirmek için deneyimlerden paylaşmaya ve öğrenmeye odaklanır. Aynı şekilde, Randolph, güveni artırmak ve müşteri çıkarlarını korumak için güçlü bir taahhüt göstermek için güvenlik programları içinde şeffaflık oluşturmayı vurgular. Saldırgan güvenlik ve risk yönetimindeki stratejik girişimleri, güvenlik esnekliğini önemli ölçüde güçlendirmiştir. Randolph, CISSP sertifikasına, bilgisayar bilimi ve işletme alanında çift lisans derecesine sahiptir ve UC Berkeley’de yapay zeka (AI) konusunda ileri çalışmalar tamamlamıştır. Randy’ye LinkedIn’de ve şirket aracılığıyla çevrimiçi olarak ulaşılabilir: https://www.cequence.ai/