Dört Kimlik ve erişim yönetimi sağlayıcısına göre, Okta müşterileri bu yaz, tehdit aktörlerinin BT hizmet masası personelini yüksek ayrıcalıklı kullanıcıların tüm çok faktörlü kimlik doğrulama faktörlerini sıfırlamaya ikna etmesiyle sosyal mühendislik saldırılarının kurbanı oldu.
Okta, saldırıların yeni yanal hareket ve savunmadan kaçınma yöntemlerini gösterdiğini söyledi. 31 Ağustos ile dosyalama Menkul Kıymetler ve Borsa Komisyonu.
29 Temmuz’da “Bu faaliyetleri izlemeye başladığımızdan bu yana geçen üç haftalık süre içinde dört müşteri etkilendi”, Okta CSO’su David Bradbury e-posta yoluyla söyledi.
Kampanya, birden fazla ABD merkezli şirketi hedef aldı ve BT hizmet masası personeline yapılan aramaları içeren ve Okta süper yönetici hesaplarının ele geçirilmesiyle sonuçlanan tutarlı bir model izledi. Okta’ya göre bu erişim, ele geçirilen kuruluşlardaki yüksek ayrıcalıklı kullanıcıların kimliğine bürünmek için kullanıldı.
Şirket, dosyada, tehdit aktörünün meşru kimlik bilgilerine sahip göründüğünü veya hedeflenen kuruluşun BT hizmet masasını aramadan önce Active Directory aracılığıyla kimlik doğrulama akışını değiştirdiğini belirtti.
Okta, bu saldırılardan kaynaklanabilecek veri hırsızlığı, gasp veya şifreleme gibi olası zararları belirtmedi.
“Bu saldırılar sırasında yardımcı olmak için müşterilerle el ele çalıştık ve önleyici tedbirleri ve iyileştirmeleri müşterilerimizle hem doğrudan hem de blogumuz aracılığıyla paylaşıyoruz, bu nedenle müşterilerimizle ilişkimizin her zamankinden daha güçlü olduğunu hissediyoruz.” Bradbury sorulara yanıt olarak şunları söyledi.
Bu saldırılar sırasında Okta’nın sistemleri tehlikeye girmedi ancak tek oturum açma sağlayıcısı bu tehditlere yabancı değil. Okta kimlik avı saldırısına uğradımA çiğneme ve onun vardı GitHub kaynak kodu çalındı geçen sene.
“Bu kesinlikle IAM ve SSO çözümleri müşterilerinin ciddi şekilde dikkate alması gereken bir sürekli risk modelidir.” Michela Menting, ABI Research’ün kıdemli araştırma direktörüe-posta yoluyla söyledi.
Menting, “Bu tür tedarik zinciri saldırıları, tehdit aktörleri için çok kazançlı çünkü bunlar dikey ve farklı bölgelerdeki birçok farklı şirkette tutarlı bir şekilde uygulanabiliyor” dedi.
Kimlik araçlarının işletmeleri koruma konusunda mutlaka başarısız olduğu söylenemez. Zane Bond, Keeper Security’nin ürün müdürü. Risk, kuruluşların bu hizmetleri nasıl kullandığı ve yönettiğinde yatmaktadır.
Bond, e-posta yoluyla şunları söyledi: “Gelişmiş sosyal mühendislik saldırıları, siber suçluların bir kuruluş yeterince güvenli olduğunda ve temel kimlik avı e-postaları veya zayıf kimlik bilgilerini tehlikeye atmak gibi daha basit yöntemler kullanarak onu ihlal edemeyecekleri durumlarda kullandıkları bir saldırıdır.”
Bradbury, bulut ve kimlik sağlayıcılarının her gün yeni istismar girişimleri yöntemleriyle karşı karşıya kaldıklarını söyledi.
Bradbury, “Güvenlik ekipleri ve kullandıkları araçlar gelişmeye devam ettikçe, saldırganların bu karşı önlemleri bozmanın yeni ve özgün yollarını araması gerekiyor” dedi. “Saldırganların değişen taktiklerini izlemeye devam edeceğiz ve müşterilerimizi zarardan korumak için her adımı attığımızdan emin olacağız.”
Okta, müşterilerini kimlik avına karşı dayanıklı kimlik doğrulaması uygulamaya, yüksek ayrıcalıklı hesapların kullanımını kısıtlamaya ve bu işlevlerin anormal kullanımını araştırmaya teşvik etti.
Menting, “Sosyal mühendislik, özellikle de yüksek hedefli aramalar, kapıları tehdit aktörlerine açma konusunda uzun bir yol kat edebilir” dedi. “BT sistemlerine kaba kuvvetle girmek için karmaşık ve pahalı yöntemler kullanmanıza gerek yok; kapı bekçilerinin kapıyı açmasını sağlamak daha kolay. Bu tür dolandırıcılık insanlık kadar eskidir.”