Push Security, güvenlik ekiplerinin kimlik tehditleriyle mücadele etme biçimini yeniden şekillendirmek için tasarlanan yeni bir özellik olan, doğrulanmış çalıntı kimlik bilgilerini tespit etme yeteneğini tanıttı.
Çalınan kimlik bilgilerine ilişkin tehdit istihbaratını (TI) analiz eden ve bunu müşteri ortamlarındaki etkin kimlik bilgileriyle karşılaştıran Push platformu, yanlış pozitifleri ortadan kaldırır ve kuruluşların tehlikeye atılmış iş gücü kimliklerini korumasına yardımcı olmak için yalnızca eyleme geçirilebilir uyarılar sunar.
Bu paradigma değişikliği, güvenlik ekiplerinin karşılaştığı gürültüyü büyük ölçüde azaltmayı vaat ediyor ve onlara güvenilmez veya gereksiz TI verileri arasında gezinmeden doğrulanmış tehditlere karşı hızlı bir şekilde harekete geçme gücü veriyor.
Çalınan kimlik bilgilerini tanımlamak için TI kullanırken güvenlik ekiplerinin karşılaştığı genel zorluklardan bazıları şunlardır:
- Çalınan şifreler istihbaratta yeni ihlaller olarak görünebilir, ancak veriler aslında yeni bir olaydan ziyade geri dönüştürülmüş bir birleşik listedir (toplu liste listesi).
- Infostealer tehdit istihbaratı, ele geçirilen ve bir kez kurumsal varlıklara erişilen ancak artık aktif olmayan veya bu şifreyi kullanmayan kişisel bir cihazdan kaynaklanabilir.
- TI kaynakları, bir ihlalin ardından belirli bir uygulamaya ait çalınan kimlik bilgileri konusunda uyarı verebilir ancak kimlik bilgileri artık orada kullanılmaz; ancak şifrenin yeniden kullanılması yaygın bir uygulama olduğundan, bunlar yine de farklı, yüksek değerli bir uygulamada kullanılabilir.
Push Security CPO’su Jacques Louw, “Birçok TI tedarikçisi, erişilmesi zor kaynaklardan veri toplama konusunda uzmandır, ancak güvenlik ekipleri genellikle yanlış pozitifler karşısında bunalır” dedi. “Düşük eyleme dönüştürülebilir istihbarat oranları ve suyu bulandıran geri dönüştürülmüş kimlik bilgileri nedeniyle, uyarılar sıklıkla göz ardı ediliyor veya beslemeler devre dışı bırakılıyor. Doğrulanmış çalıntı kimlik bilgilerini tespit etme yeteneğimiz, gürültüyü ortadan kaldırarak yalnızca ekiplerin hemen harekete geçebileceği doğrulanmış tehditleri sağlıyor.”
Push Security’nin yaklaşımı, potansiyel olarak çalınan şifrelerin parmak izlerini tuzlama, karma ve kesme yoluyla oluşturmak ve ardından bu parmak izlerini karşılaştırma için tarayıcı aracısına göndermektir. Bu şekilde hiçbir şifre materyali güvenli tarayıcı bağlamından asla ayrılmaz.
Push Security’nin yaklaşımı, potansiyel olarak çalınan şifrelerin parmak izlerini tuzlama, karma ve kesme yoluyla oluşturmak ve ardından bu parmak izlerini karşılaştırma için tarayıcı aracısına göndermektir. Bu şekilde hiçbir şifre materyali güvenli tarayıcı bağlamından asla ayrılmaz.
Kimlik bilgilerine dayalı siber saldırıların yükselişi son birkaç yılda endişe verici seviyelere ulaştı:
- IBM, çalınan veya ele geçirilen kimlik bilgilerinden yararlanan siber saldırılarda yıldan yıla %71 artış olduğunu bildiriyor ve bu durum, bunların siber saldırılar için en iyi ilk erişim yöntemi haline geldiğini gösteriyor.
- Recorded Future, geçen yıl toplanan kimlik bilgilerinde %135’lik bir artış ve çerezlerle birlikte verilen kimlik bilgilerinde de %166’lık bir artış gözlemleyerek saldırganların MFA korumalarını atlamasına olanak sağladı.
- Bu arada Mandiant’ın son iki M-Trends raporu, çalınan kredilerin son iki yılda en çok kullanılan üçüncü ve dördüncü ilk izinsiz giriş yöntemi olduğunu ortaya çıkardı.
- Cisco Talos araştırmacıları, 2023 bulgularında geçerli hesapların kullanımının ikinci en yaygın saldırı tekniği olduğunu buldu.
Bu tehdidin kritik doğasına rağmen, güvenlik ekipleri sıklıkla büyük miktarda çalıntı kimlik bilgisi uyarısıyla karşı karşıya kalıyor ve bunların çoğu hatalı, geri dönüştürülmüş veya güncelliğini kaybetmiş durumda. Push Security’nin doğrulanmış çalıntı kimlik bilgileri tespiti, bu zorluğun doğrudan üstesinden gelir.
Push Security, TI’ın hatalı pozitif oranlarını %99,5 olarak buldu
Push Security araştırmacıları tarafından yakın zamanda yapılan TI verileri incelemesi, çalınan kimlik bilgilerine ilişkin çok tedarikçili bir veri kümesindeki tehdit istihbaratının %1’den azının müşteri tabanı için eyleme dönüştürülebilir olduğunu ortaya çıkardı. Başka bir deyişle, inceleme sırasında kontrol edilen çalıntı kimlik bilgilerinin %99’undan fazlası hatalı pozitif sonuçlardı. Push araştırmacıları, çeşitli popüler satıcılardan gelen tehdit istihbaratı verilerini değerlendirdi ve Push müşteri çalışanlarıyla eşleşen 5.763 kullanıcı adı ve şifre kombinasyonunu buldu.
Şirket, birden fazla tedarikçiden gelen tehdit istihbaratı verilerini analiz ettikten sonra şunları buldu:
- Müşteri alan adlarıyla eşleşen 5.763 çalıntı kullanıcı adı ve şifre kombinasyonundan yalnızca %0,5’i hala geçerliydi müşteri ortamlarında.
- TI kaynakları sık sık geri dönüştürülmüş kimlik bilgisi listelerini veya etkin olmayan hesaplardan gelen verileri işaretleyerek eyleme geçirilebilir istihbaratı sulandırıyordu.
Louw, “Push Security’nin yeni doğrulanmış çalıntı kimlik bilgileri özelliği, yalnızca gerçek olumlu noktalara odaklanarak kuruluşların bu istihbarata başka bir çıkmazın peşinde olmadıklarından emin bir şekilde yanıt vermelerini sağlayarak, etkiyi önlemek için zamanında harekete geçme olasılığını artırıyor” dedi. “Bu yetenek, sürekli büyüyen kimlik bilgilerine dayalı kimlik saldırıları dalgasıyla karşı karşıya kalan güvenlik ekipleri için oyunun kurallarını değiştirecek bir özellik. Push platformu, ekiplerin sonsuz yanlış pozitifleri elemek yerine, zamanlarını doğrulanmış, eyleme geçirilebilir uyarıları ele almaya harcamasını sağlar.
Louw, “Kimlik bilgisi hırsızlığı artmaya devam ederken, bu yeni özellik, tehdit istihbaratı satıcılarının önemli çalışmalarını tamamlıyor ve güvenlik ekiplerine saldırganların önünde kalmaları ve kuruluşlarını korumaları için açık bir yol sağlıyor” diye ekledi.
Kullanılabilirlik ve entegrasyon
Bu yeni özellik, Push Security müşterileri için hiçbir ek maliyet olmaksızın dahil edilmiştir ve mevcut platforma sorunsuz bir şekilde entegre edilerek, operasyonel yük getirmeden güçlü TI verilerinden yararlanmayı her zamankinden daha kolay hale getirir.