Yıllarca, e -posta ana güvenlik savaş alanı oldu. Kimlik avı, dolandırıcılık ve hesap devralmaları, şirketlerin en azından teoride nasıl savaşacaklarını biliyorlardı. Güvenli e-posta ağ geçitleri, AI odaklı algılama, amansız kullanıcı eğitimi. Tüm endüstrileri, kötü e -postaların gelen kutulara ulaşmasını durdurmak etrafında inşa ettik.
Ama şimdi? Saldırganların gelen kutunuza bile ihtiyacı yoktur. İşletmelerin her gün güvendiği iletişim ve ağ platformlarına taşındılar. Kullanıcıların çok güvendiği yerler ve güvenlik ekiplerinin çok az düşündüğü yerler.
İşte gerçek: insanların çalışma şekli değişti. İşbirliği gerçek zamanlı, akıcı ve merkezi olmayandır. Ancak güvenlik devam etmedi. Çoğu kuruluş, e-posta ilk güvenlik stratejilerine odaklanan 2015 gibi savunmaktadır. Bu arada, saldırganlar zaten adapte oldular – Slack Interhing, takımların kimlik bilgilerini kaçırma, LinkedIn’de dolandırıcılık çalıştırdılar.
Sonuç? Savunmalarda büyük bir boşluk. Şu anda sömürülen bir tane.
Saldırı yüzeyi değişti – ancak savunmalar
E -postanın bir numaralı saldırı vektörü olduğunu söylerdik – ve uzun süre bu doğruydu. Ancak 2024’te siber suçluların artık e -posta ile başlamasına gerek yok. Doğrudan insanların çalıştığı yere giderler.
Sayılar bunu kanıtlıyor:
- Proofpoint, birçoğu Slack, Takımlar ve LinkedIn’i hedefleyen SMS aracılığıyla sağlanan URL tabanlı tehditlerde% 2.524’lük bir artış olduğunu bildirdi (Proofpoint).
-
Slashnext, 2024’ün ikinci yarısında (Slashnext) kimlik avı saldırılarında% 703’lük bir artış gördü.
Sorun sadece saldırıların değişmesi değil – şirketler savunmaları onlara uyacak şekilde değiştirmiyor.
Siber güvenlik son yirmi yılı sertleştirmek için harcadı. Güvenli e-posta ağ geçitleri (SEG’ler), kimlik avlamaya dayanıklı kimlik doğrulama, AI ile çalışan anomali algılama-e-posta güvenliği savaşta test edilir.
Slack Güvenlik? Yakın bile değil.
Neden Slack bir hacker’ın oyun alanı
Güvenlik ekipleri için Slack inşa edilmedi. Hız için inşa edildi. Tüm platform hızlı, sürtünmesiz iletişim-gerçek zamanlı mesajlaşma, açık kanallar, anında dosya paylaşımı etrafında tasarlanmıştır.
Ağustos 2024’te araştırmacılar, Slack’in AI özelliğinde, saldırganların istemi enjeksiyon (Promparmor blogu) yoluyla özel kanallardan veri çalmasına izin veren bir güvenlik açığı ortaya çıkardılar.
Slack’in tasarım felsefesi üretkenlik için harika – ama aynı zamanda saldırganlar için bir rüya.
- Kullanıcılar Slack’in “güvenli bir alan” olduğunu varsayarlar
Çalışanlar Slack’i güvenlik riski değil, dahili bir sohbet odası gibi davranırlar. Mesajları e -posta ile olduğu gibi incelemezler.
Bu bir sorun, çünkü Slack aslında içsel değil.
- Konuk hesapları: Harici yükleniciler, satıcılar ve hatta müşteriler kanallara davet edilebilir.
- OAuth Entegrasyonları: Üçüncü taraf botlar ve uygulamalar genellikle mesaj geçmişine ve dosyalara erişebilir.
- Kuvvetler Arası Mesajlaşma: Slack Connect, çalışanların farklı kuruluşlardaki kullanıcılarla sohbet etmelerine izin verir-güvenlik ekipleri için büyük bir kör yer yaratır.
Güvenlik ekipleri hangi kanallara davet edildiğini izlemiyor. Dosyaların çalışma alanları arasında nasıl hareket ettiği konusunda davranışsal analiz yapmıyorlar. Ve saldırganlar bunu biliyor.
- Disney İhlali: Slack Sömürü’nde Bir Vaka Çalışması
Disney, sofistike bir sıfır gün istismarı nedeniyle hacklenmedi. Bir çalışan, kimlik bilgilerini tehlikeye atan ve saldırganlara Slack’e erişim sağlayan bir AI aracı olarak gizlenen kötü amaçlı yazılımları indirdikleri için saldırıya uğradı. Sonuç? 44 milyondan fazla dahili mesaj açıklandı ve kamuya açıklandı (Wall Street Journal).
Çalınan veriler sadece rastgele gevşek konuşmalar değildi – yayınlanmamış proje detayları, kaynak kodu, oturum açma kimlik bilgileri ve dahili API’leri içeriyordu. Slack’in yapısı saldırganlara daha fazla yükseliş gerektirmeden erişim sağladı.
Disney’in yanıtı? Tamamen Slack’i kapattılar (Business Insider).
Çoğu şirket o kadar ileri gitmeyecek. Ancak ders açıktır: Saldırganların aciliyeti ile gevşek davranın – çünkü saldırganlar zaten yapıyor.
- Gevşeklik içinde yanal hareket
Bir saldırgan e -postanıza girerse, diğer çalışanları değiştirebilirler – ancak çoğu kimlik avı filtresi onu yakalar.
Bir saldırgan gevşekleşirse? Bir çalışanı gerçek zamanlı olarak taklit edebilir, hassas kanallara katılabilir ve geleneksel güvenlik uyarılarını tetiklemeden kötü amaçlı yazılım yayabilirler.
Slack, saldırı tespiti göz önünde bulundurularak tasarlanmamıştır. Bu yüzden yanal hareket saldırganlar için çok kolaydır – bir kez bulunduklarında görünmezler.
Neden Çalışan Bu platformlara güveniyor (ve neden yapmamaları gerektiği)
Güvenlik eğitimi, e -posta söz konusu olduğunda çalışanlara şüphecilik yapmıştır. Bağlantıların üzerine gelin. Gönderenleri doğrulayın. Tehlike varsayalım.
Ama işbirliği araçlarının içinde? Aynı inceleme kaybolur.
Bir düşünün-bir iş arkadaşı size Slack’te mesaj attı ve “Hey, bu ödemeyi çok hızlı işleme yardımına ihtiyacım var” dediyse, muhtemelen ikinci tahmin etmeden yaparsınız. E-posta ile iki kez kontrol edebilirsiniz. Slack’te dahili bir istek gibi geliyor. Bu yüzden bu saldırılar işe yarıyor.
Saldırganlar silahı silahlandırıyor ve işe yarıyor.
Güvenlik ekipleri nasıl yetişiyor
Eski oyun kitabı – kötü niyetli e -postaları engellemek, spam filtreleme, güvenli e -posta ağ geçitleri dağıtmak – yeterli değildir. Kuruluşlar, e -postanın ötesinde gerçek işin gerçekleştiği yere uzanan bir güvenlik modeline ihtiyaç duyarlar.
Bu yüzden güvenliğin geleceği platformlar arası korumadır.
Şirketler:
- Slack, ekipler ve LinkedIn içindeki anomalileri tespit eden AI odaklı davranışsal izleme.
- Olağandışı giriş kalıplarını ve yetkisiz veri hareketlerini işaretlemek için sürekli erişim izleme.
- İşbirliği platformlarında proaktif tehdit avı – sadece e -posta değil.
Güvenlik endüstrisi hızla gelişiyor, birçok kuruluş uyarlanabilir esnekliği 2025’te birinci öncelik haline getiriyor. Çünkü bu vardiyanın önüne geçen şirketler mi? Başlamadan önce saldırıları durduracaklar. Olmayanlar? İhlalleri temizleyecekler.
Yazar hakkında
Şu anda, Global Systems Integrator Myriad360’daki CISO olarak, Jeremy Ventura, bilgi güvenliği en iyi uygulamaları, savunma stratejileri ve kuruluşları gelişen tehditlere karşı koruyan deneyimli bir siber güvenlik uzmanı ve danışmanıdır. Güvenlik açığı yönetimi, API güvenlik, e -posta güvenliği, olay yanıtı ve güvenlik merkezi operasyonlarında kapsamlı deneyime sahip olarak, uzmanlığını önde gelen güvenlik satıcıları ve iç güvenlik ekiplerindeki rollerle geliştirdi. LinkedIn’de Jeremy’yi takip edin.