Bir dizi son derece karmaşık saldırı, çok faktörlü kimlik doğrulamaya (MFA) güvenen, özellikle de Okta gibi satıcıları kullanan kuruluşlar arasında önemli endişelere yol açtı. Bu saldırılar özellikle konaklama gruplarını ve kumarhaneleri hedef alarak sektörde alarm zillerinin çalmasına neden oldu. Özellikle endişe verici yöntemlerden biri, Amerika Birleşik Devletleri’ndeki birden fazla Okta müşterisini etkileyen kiracılar arası kimliğe bürünme saldırısıdır. Bu saldırılar, büyük kuruluşlar üzerindeki ciddi yansımaları nedeniyle küresel çapta ilgi topladı.
Etkilenen kuruluşlardan biri olan MGM Resorts, saldırının boyutunu henüz tam olarak açıklamadı. Bu nedenle, anlayışımız öncelikle BlackCat olarak da bilinen ALPHV bilgisayar korsanlarının MGM’nin olası ihlaline ilişkin sağladığı bilgilere dayanmaktadır. (Saldırıdan sorumlu olup olmadıkları konusunda tartışmalar var.) Resmi ayrıntılar açıklanmazken BusinessNews, MGM’nin bu saldırılar sonucunda günlük 8,4 milyon dolarlık şaşırtıcı bir kayıpla karşılaştığını bildirdi. Fidye yazılımı olaylarından kaynaklanan hasarlar da var. Wall Street Journal, oyun ve ağırlama hizmetleri sağlayıcısı Caesars’ın yakın zamanda ALPHV’ye 15 milyon dolarlık önemli bir fidye ödediğini bildirdi.
Kimlik Saldırıları Yükselişte
Çoğu zaman kimliğe bürünme ve ayrıcalık yükseltmeyi içeren kimlik saldırıları, dünya çapındaki kuruluşlar için giderek büyüyen kalıcı bir tehdittir. Ciddiyeti gerçekten anlamak için, kimliğe bürünme türü saldırıların geçmişini araştırmak ve sundukları aciliyetin farkına varmak çok önemlidir.
Kimliğe bürünme saldırılarının uzun ve sıkıntılı bir geçmişi vardır. Siber suçlular onlarca yıldır yanlış kimlik yapılandırmalarından (zayıf şifre politikaları, yetersiz MFA, hız sınırlamasının olmaması, eski kullanıcı hesaplarının işlenmesi vb.) yararlanıyor, ancak bu saldırıların yöntemleri ve karmaşıklığı önemli ölçüde gelişti. İnternetin ilk günlerinde, kimlik avı e-postaları gibi basit taktikler oturum açma bilgilerini çalmak için kullanılıyordu. Ancak teknoloji ilerledikçe saldırganlar da gelişti. Bugün, özellikle bir kuruluşun kimlik ve erişim yönetimi (IAM) sistemlerini hedef alan kimliğe bürünme saldırıları gibi çok çeşitli tehditlerle karşı karşıyayız.
Okta’yı Doğru Yapılandırmak Yeterli Olmayabilir
Birçok kuruluş, güvenlik duruşlarını geliştirmek için sağlam bir IAM platformu olan Okta’yı benimsemiştir. Okta, kullanıcı kimliklerini yönetmek, uygulamalara erişimi kontrol etmek ve güvenlik politikalarını uygulamak için kapsamlı bir araç seti sunar. Ancak Okta doğru yapılandırılsa, MFA açık olsa ve izinler titizlikle yönetilse bile mutlak güvenlik garanti edilmez. Nedeni? Hesap devralmaları ve ayrıcalık yükseltme, en iyi mimariye sahip sistemlerden bile kaçabilecek kalıcı tehditlerdir.
Hesap ele geçirmeleri, kötü niyetli aktörlerin genellikle kimlik avı veya kimlik bilgileri doldurma saldırıları yoluyla meşru bir kullanıcının kimlik bilgilerine erişim sağlamasıyla meydana gelir. İçeri girdikten sonra, kullanıcının kimliğine bürünmek, potansiyel olarak hassas verilere erişim kazanmak veya kuruluş içindeki ayrıcalıklarını yükseltmek için bu kimlik bilgilerinden yararlanabilirler. Ayrıcalık yükseltme, daha yüksek düzey hesaplara veya kaynaklara yetkisiz erişim elde etmek için IAM sistemindeki güvenlik açıklarından veya yanlış yapılandırmalardan yararlanmayı içerir.
Genellikle güvenlik için sihirli bir çözüm olarak selamlanan MFA, bu tehditlere karşı her derde deva değildir. MFA, birden fazla kimlik doğrulama biçimi gerektirerek ek bir güvenlik katmanı sağlarken kararlı saldırganlar yine de bunu atlamanın yollarını bulabilir. Örneğin, mobil cihaz gibi ikinci faktörü hedefleyebilir veya kullanıcıları erişimi onaylamaları için kandırmak amacıyla sosyal mühendislik taktiklerini kullanabilirler.
Kimliğe Bürünme Saldırısı Taktikleri
Okta’nın dahil olduğu son güvenlik olaylarında ALPHV ve Scattered Spider gibi bilgisayar korsanlığı grupları, MGM ve Caesars da dahil olmak üzere birden fazla kuruluşu hedef aldı. Bu tehdit aktörleri bir dizi beş taktik, teknik ve prosedür (TTP) kullandı:
- Ayrıcalıklı kullanıcı hesabı erişimi: Saldırganlar, MFA faktörlerini sıfırlamak için ayrıcalıklı kullanıcı hesaplarına veya değiştirilmiş kimlik doğrulama akışlarına erişim elde etti.
- Anonimleştirme proxy hizmetleri: Kimliklerini ve konumlarını gizlemek için anonimleştirici vekiller kullandılar.
- Ayrıcalık artışı: Daha yüksek ayrıcalıklar atamak, kimlik doğrulayıcıları sıfırlamak ve kimlik doğrulama politikalarını değiştirmek için güvenliği ihlal edilmiş “süper yönetici” hesaplarından yararlandılar.
- İkinci kimlik sağlayıcı aracılığıyla kimliğe bürünme: Tehdit aktörleri, kullanıcıların kimliğine bürünmek ve ele geçirilen kuruluşlardaki uygulamalara erişmek için ikinci bir kimlik sağlayıcısını yapılandırdı.
- Kullanıcı adı manipülasyonu: Uygulamalarda tek oturum açma (SSO) gerçekleştirmek için kullanıcı adlarını değiştirerek hedeflenen kullanıcıları etkili bir şekilde taklit ettiler.
Bu TTP’ler, kimlik saldırılarının gelişen karmaşıklığını ve Okta istemcileri de dahil olmak üzere kuruluşların sistemlerini korumak için kimlik tehdidi tespitini ve yanıt önlemlerini destekleme ihtiyacını vurguluyor. IAM içindeki en iyi uygulamalar şunları içerir:
- En az ayrıcalık: Kullanıcıların rollerini gerçekleştirmek için gerekli minimum izinlere sahip olduğundan emin olun.
- Düzenli denetim: İzinleri ve erişim günlüklerini sürekli olarak izleyin ve denetleyin.
- Koşullu erişim politikaları: Erişimi cihazın konumu gibi belirli koşullara göre kısıtlayın.
- Kimlik tehdidi algılama ve yanıt (ITDR): Yukarıdaki en iyi uygulamalar yeterli değilse son savunma hattı, IAM günlüklerini analiz ederek kimlik hesaplarındaki şüpheli etkinlikleri tespit eden gerçek zamanlı bir ITDR çözümüdür.
Hiçbir Çözüm Mutlak Güvenliği Garanti Edemez
Kimlik saldırıları, özellikle de kimliğe bürünme saldırıları, kuruluşlar için önemli ve büyüyen bir tehdit oluşturmaktadır. Okta gibi sağlam IAM çözümlerinin uygulanmasına rağmen hiçbir sistem mutlak güvenliği garanti edemez. Hesap devralmaları, ayrıcalık yükseltme ve kimlikle ilgili diğer tehditler gelişiyor.
Bu zorluğun üstesinden gelmek için kuruluşların, kapsamlı kullanıcı eğitimi ve en iyi uygulamalarla desteklenen ITDR stratejilerine öncelik vermesi gerekir. Kimlik saldırıları, baş bilgi güvenliği görevlileri (CISO’lar) için en önemli önceliktir çünkü erişim kontrolünden ödün vermek, yıkıcı veri ihlallerine ve ciddi mali ve itibar kaybına yol açabilir. Bu sorunun aciliyetinin farkında olmak ve proaktif önlemler almak, kimliğin siber suçlular için yeni savaş alanı olduğu bir çağda kuruluşunuzun hassas verilerinin ve varlıklarının korunması açısından çok önemlidir.