BLACK HAT USA – Las Vegas – Perşembe, 8 Ağustos – SaaS uygulamalarının kullanımını genişleten kuruluşlar, siber saldırı zincirine ilişkin kavramlarını ve yaklaşımlarını gözden geçirmek isteyebilirler.
SaaS uygulamaları modern kuruluşların iş yapış şekillerini dönüştürdü saldırı yüzeyi AppOmni’deki araştırmacılar, Black Hat USA 2024’te yaptıkları bir konuşmada, saldırganların başarılı bir saldırı gerçekleştirmek için geleneksel olarak ihtiyaç duyduğu adımlardan birkaçını ortadan kaldırdıklarını veya kolaylaştırdıklarını söyledi. Güvenlik ekiplerinin, yeni gerçekliğin önünde kalmak için savunmalarını gözden geçirmeleri ve yeniden ayarlamaları gerekiyor.
SaaS Kill Zinciri
Araştırmacılar, “MITRE ATT&CK taktikleri açısından ele alındığında, SaaS destekli öldürme zinciri kısaltılmıştır” dedi. “Bir saldırının hedeflerine ulaşması için genellikle birkaç adım atlanır veya tamamen gereksizdir ve savunmaların çoğu ilk erişim aşamasına odaklanır.”
Yazılım-hizmet-olarak modeli neredeyse her yerde bulunur hale geldi. Araştırma Üretken Geçtiğimiz yıl yapılan bir araştırma, kuruluşların ortalama olarak 2023’ün sonunda 342 SaaS uygulaması kullandığını ve en büyük kullanıcıların operasyon ekipleri olduğunu, ardından BT, satış ve ürün ekiplerinin geldiğini ortaya koydu. En popüler SaaS ürünleri arasında Confluence, Salesforce, Tableau, Atlassian Cloud ve Jira yer aldı.
AppOmni, bu tür uygulamaların artan kullanımının saldırganlara kurumsal uygulama ve verileri hedeflemek için daha önce olduğundan daha yeni ve genellikle daha hızlı yollar sağladığını buldu. Şirketteki araştırmacılar, altı aylık bir süre boyunca 24 farklı SaaS hizmeti genelinde yaklaşık 230 milyar normalleştirilmiş SaaS denetim günlüğü olayını ve 1,9 milyon uyarıyı analiz ederek SaaS ortamlarındaki saldırgan taktikleri, teknikleri ve prosedürleri (TTP’ler) hakkında fikir edindiler.
Yapılan analizler, saldırganların başarılı bir SaaS saldırısı başlatmak için genellikle geleneksel zincirin yedi adımını birden yürütmesine gerek olmadığını gösteriyor. Lockheed Martin’in siber öldürme zinciri — uzun zamandır bir temel olarak kullanılmıştır saldırılara karşı savunma — keşif, silahlandırma, teslimat, istismar, kurulum, komuta ve kontrol ve hedeflere yönelik eylemleri, bir düşmanın başarılı bir saldırı gerçekleştirmek için tamamlaması gereken eylemler olarak tanımlar.
AppOmni’de tehdit tespiti ürün müdürü Brandon Levene, Dark Reading’e yaptığı açıklamada, SaaS ortamlarına yönelik saldırılarda “bir saldırganın bakış açısından öldürme zinciri, ilk erişim ve kimlik bilgilerine erişim ile toplama ve sızdırma olmak üzere birkaç noktaya kadar merkezileştirilmiştir” diyor.
Ön Kapıdan İçeriye Girmek
AppOmni’nin analiz ettiği saldırıların çoğunda, saldırganlar bir kuruluşun SaaS uygulamalarına dışarıdan bakan bir kimlik sağlayıcısı aracılığıyla erişim sağladı. Levene, “Genellikle, geçerli hesaplarla ön kapıdan içeri giriyorlar,” diyor. Saldırganlar genellikle bulut hesaplarına ait kullanıcı kimlik bilgilerini ele geçirmek için bilgi hırsızlarını veya bulut hesaplarına ait kimlik bilgilerini elde etmek için kimlik bilgisi doldurma, kaba kuvvet ve parola püskürtme gibi taktikleri kullanırlar — veya bunları basitçe Dark Web pazarlarından satın alırlar, diyor Levene.
“IdP’yi geçtikten sonra [identity provider] “Okta, Ping veya Entra gibi, bunların ardındaki tüm uygulamalar saldırgan olarak sizin için serbestçe kullanılabilir,” diyor. Bu, saldırganların hedef ortamda bilgi toplamak için keşif yapması gerekmediği anlamına geliyor çünkü zaten erişimleri var.
Benzer şekilde, bir saldırganın tehlikeye atılmış bir ortamda kalıcılık kurması veya yanal hareketi etkinleştirmesi için çok az zamana ve kaynağa ihtiyacı vardır çünkü geçerli bir kimlik bilgisi onlara ihtiyaç duydukları her şeye kalıcı ve geniş erişim sağlar. Levene, “Okta gibi dışarıya bakan bir kimlik sağlayıcısını tehlikeye attığınızda kalıcılığa veya yanal harekete ihtiyacınız kalmaz” diyor.
AppOmni’nin, saldırganların SaaS ortamlarını nasıl hedef aldığına dair örnekler olarak analiz ettiği iki büyük saldırıya işaret ediyor. Bunlardan birinde, tehdit aktörü geçerli bir belirteç kullanarak IdP’ye giriş yaptı ve ardından çeşitli uygulamalara kimlik doğrulaması yapmasına izin verilen IP aralıklarını değiştirdi. Sadece 10 dakika içinde, tehdit aktörü bulut depolama ve bilgi depolarından 100’den fazla dosya indirdi. Ayrıca, bazı uygulamalar için kimlik doğrulama politikalarını değiştirdiler ve muhtemelen fonları yeniden yönlendirmek için doğrudan para yatırma ödeme seçeneklerini değiştirdiler. Levene, “VPN kullanmak zorunda kalmadılar. Gerçek konumlarını gizlemeye bile zahmet etmediler. Yaptıkları şey temelde kırıp kapmaktı,” diyor.
AppOmni’nin gözlemlediği kaba kuvvet, parola püskürtme ve kimlik bilgisi doldurma saldırılarının çoğunun Microsoft O365’i hedef aldığını ve Çin’deki iki büyük ağdan (ChinaNet ve China Unicon) geldiğini ekliyor.
SaaS ortamlarında daha iyi görünürlük sağlamanın, bu tür saldırılara karşı korunmanın önemli bir ilk adımı olduğunu belirtiyor. Kuruluşların saldırı yüzeylerini anlamaları, SaaS uygulamalarının nasıl yapılandırıldığına bakmaları ve bunları izlemeleri gerekiyor. Ayrıca, MFA ve donanım belirteçleri gibi IdP’lerinin yeteneklerinden ve özelliklerinden tam olarak yararlanmaları gerekiyor. Levene, hedefin SaaS uygulamalarına sıfır güven erişim modeli uygulamak olması gerektiğini ekliyor.