Siber savunmacılar açıkları tıkıyor, böylece saldırganlar bir adım önde olmak için yenilik yapıyor.
Yazan: Aaron Walton, Tehdit Inteli Analisti, Expel
Çoğu siber saldırgan tekerleği yeniden icat etmeye çalışmaz: Bir şey çalıştığı sürece onu yapmaya devam ederler. Ne yazık ki siber güvenlik ekipleri sorunları teşhis etme, düzeltme ve gelecekteki saldırıları önlemek için (veya en azından onları değerinden daha fazla güçlük haline getirmek için) süreçler geliştirmek konusunda çok başarılı; özellikle de siyah şapkalar onlara çok şey verdiğinde. pratik.
Bilgisayar korsanlarının bakış açısına göre iyi haber şu ki, daha çalışkan meslektaşlarından bazıları yeni taktikler, teknikler ve prosedürler (TTP'ler) aramaktan asla vazgeçmiyorlar ve çabalarından para kazanmanın yollarını aramayı da bırakmıyorlar. Bu yenilikçiler yeni saldırılar hazırlayıp uygulamaya koyuyorlar ve birdenbire güvenlik operasyon merkezlerimiz (SOC'ler) bir sonraki trendleri görmeye başlıyor.
Expel, her üç ayda bir, hangi saldırı eğilimlerinin yükselişte olduğunu ve kuruluşların hangi taktiklerle yüzleşmeye hazır olması gerektiğini belirlemek için SOC'mizde gözlemlenen tehditleri inceliyor. Bu yılın 2023 2. Çeyreği Üç Aylık Tehdit Raporu (QTR), ortadaki düşman (AiTM) saldırıları ve hizmet olarak siber suçlar gibi zorlukların, günümüz işletmelerinin en çok ilgisini çeken tehditler arasında olduğunu ortaya çıkardı.
Eski protokollerden çıkın, AiTM'ye girin.
Microsoft, eski protokolleri devre dışı bıraktığında standart bir uzlaşma taktiğine diz çöktü Ekim 2022'de. Ancak kimlik avı çok kazançlı olduğundan saldırganların yeni bir giriş yoluna ihtiyacı vardı. (2022'de yarım milyardan fazla kimlik avı saldırısı rapor edildi – 2021'deki rakamın iki katından fazla – bu nedenle ilginin yakın zamanda azalmasını beklemek saflık olur.)
Ortaya çıkan hacker tepkisi: ortadaki rakip (AiTM) saldırıları yoluyla oturum çerezi hırsızlığı. İlk erişim için oturum açma kimlik bilgilerini ve oturum çerezlerini çalmak ve daha sonra çok faktörlü kimlik doğrulamayı (MFA) atlamak için Evilginx2 gibi çerçeveler kullanan kimlikle ilgili olaylar üç kat arttı; 2. çeyrekte tüm kimlik avı saldırılarının %15'ine ulaştı.
Kimlik avına yönelik bu yeni yaklaşım (uzun zamandır her yerde SOC'lerin başına bela olan bir bela) daha karmaşıktır, ancak iyi haber şu ki etkili savunmalar mevcuttur. Güvenlik ekipleri, yeni kaydedilen MFA cihazlarının yanı sıra proxy, sanal özel ağ (VPN) kullanılarak kaydedilen veya şüpheli bir konumdan gelen cihazlara da dikkat etmelidir. (Bu tespitlerin otomatikleştirilmesi oldukça basit bir süreçtir ve kimlik avı savunmalarının etkinliği üzerinde önemli bir etkiye sahip olabilir.)
Fast ID Online 2 (FIDO2) ve sertifika tabanlı kimlik doğrulama gibi daha güçlü kimlik doğrulama yöntemleri de oldukça faydalıdır. FIDO'nun tüm kuruluşlar için uygun olmadığı doğrudur ve bu durumlarda bunun yerine kimlik avına karşı dayanıklı MFA dağıtımını öneriyoruz. FIDO kadar kapsamlı olmasa da, kimlik avına karşı dayanıklı MFA yine de saldırganların üzerinde çalışması gereken değerli bir savunma katmanı ekliyor. SOC'ler ayrıca e-posta, SMS, ses veya zamana dayalı tek seferlik şifreler (TOTP'ler) yoluyla MFA gerçekleştirmek yerine anlık bildirimleri tercih edebilir. Bildirim tabanlı MFA, MFA'nın en güvenli yöntemi olduğunu kanıtlamış ve hızla tercih edilmeye başlamıştır.
SOC'mizin 2. çeyrekte daha fazla gördüğü bir diğer şey: hizmet olarak daha fazla siber suç
Kuruluşların yüzde sekseni bir veya daha fazla hizmet olarak yazılım (SaaS) teklifi kullanıyor ve bunun iyi bir nedeni var. Erişilebilir, uygun maliyetli, ölçeklenebilirdirler ve veri raporlama ile istihbarat araçlarını içerirler. Suçlular bu duruma dikkat ediyor ve bunun sonucunda hizmet olarak siber suç (CaaS) tekliflerinin popülaritesi artıyor.
Bunu henüz duymadıysanız, CaaS'ı siber suçlular için Amazon olarak düşünün (hizmet olarak erişim, hizmet olarak fidye yazılımı, kurşun geçirmez barındırma, hizmet olarak kimlik avı vb.). Ticari amaçlı kötü amaçlı yazılımlar çıldırtıcı derecede etkilidir ve potansiyel saldırganların havuzunu önemli ölçüde artırır: Uygun fiyatlarla sunulan otomatik ve kullanıma hazır araç kitleri sayesinde, küçük çaplı, deneyimsiz tehdit aktörleri bile büyük ölçekli saldırılar gerçekleştirebilir.
Aslında, bazı suç örgütleri abonelik seçenekleri bile sunuyor (ve eğitim gibi profesyonel hizmetler ve – bunu alın – bazı hizmet olarak fidye yazılımı sağlayıcıları, müşterileri adına kurbanlarla bile pazarlık yapacak). Korkunç, değil mi?
İkinci Çeyrek QTR'de, birden fazla aktör ve uzaktan erişim araçları tarafından kullanılan en yaygın sosyal mühendislik araçlarından bazıları vurgulanıyor. Kuruluşlar, saldırganların kullandığı taktikler hakkında ne kadar çok bilgi sahibi olursa, onlara karşı başarılı bir şekilde savunma yapma şansları da o kadar artar.
Ve dahası da var.
Yeni Üç Aylık Tehdit Raporu'nda anlatılanlar yalnızca bunlar değil. Saldırganların bu yıl kullandığı taktikler hakkında daha fazla bilgi edinmek isteyenler, daha fazla bilgi ve öneri için rapora göz atmalı. Umarız bu bulgular kuruluşunuz için de faydalıdır. Bu arada, SOC'nizin yılın geri kalanında huzurlu ve sıkıcı geçmesini umuyoruz.
yazar hakkında
Aaron Walton, Expel'de Tehdit İstihbaratı Analistidir. Expel'in operasyonlarını desteklemek için tehdit aktörlerinin eğilimlerini ve davranışlarını izliyor. Kendisi veya ekibi tarafından yayınlanan makaleler için X'te @ExpelSecurity'yi takip etmenizi tavsiye ediyor.
Daha fazla bilgiyi http://www.expel.com/ adresinde bulabilirsiniz.