Bir kuruluşun kimlik bilgileri sızdırıldığında, acil sonuçlar nadiren görülebilir-ancak uzun vadeli etki geniş kapsamlıdır. Kurguda görülen pelerin ve hançer taktiklerinden çok, birçok gerçek dünya siber ihlali aldatıcı bir şekilde basit bir şeyle başlar: bir kullanıcı adı ve şifre.
Verizon’un 2025 veri ihlali soruşturma raporuna göre, sızan kimlik bilgileri 2024’te ihlallerin% 22’sini oluşturdu ve kimlik avı ve hatta yazılım sömürüsünü geride bıraktı. Bu, sıfır gün veya gelişmiş kalıcı tehditler aracılığıyla değil, ön kapıdan giriş yaparak başlatılan tüm olayların neredeyse dörtte biri.
Bu sessiz ve kalıcı tehdit büyüyor. Yakın zamanda Check Point tarafından satın alınan bir dış risk yönetimi ve tehdit istihbarat şirketi olan Cyberint tarafından derlenen yeni veriler, 2025’te bir önceki yıla göre sızan kimlik bilgilerinde% 160 artış gösteriyor. Rapor, başlıklı Sızan kimlik bilgilerinin yükselişisadece bu sızıntıların hacmine değil, aynı zamanda nasıl sömürüldüğüne ve kuruluşların önüne geçmek için neler yapabileceğine bir bakış sağlar. Risk azaltmadan sorumlu olanlar için tam olarak okumaya değer.
Raporu okuyun: Sızan kimlik bilgilerinin yükselişi
Otomasyon ve erişilebilirlik ile beslenen bir artış
Sızan kimlik bilgilerindeki artış sadece hacim değil. Aynı zamanda hız ve erişilebilirlik ile ilgilidir. Yalnızca bir ay içinde Cyberint, şifre politikaları hala sağlam olan kuruluşlara bağlı olan ve aktif kullanım ve gerçek tehdit potansiyelini etkileyen kuruluşlara bağlı 14.000’den fazla kurumsal kimlik bilgisi maruziyeti tespit etti.
Otomasyon kimlik hırsızlığı daha kolay hale getirdi. Genellikle hizmet olarak satılan Infostealer kötü amaçlı yazılım, düşük vasıflı saldırganların bile tarayıcılardan ve bellekten giriş verilerini hasat etmesine izin verir. AI tarafından üretilen kimlik avı kampanyaları tonu, dil ve markayı esrarengiz doğrulukla taklit edebilir. Kimlik bilgileri toplandıktan sonra, ya yeraltı pazarlarında satılır veya telgraf kanallarında ve yasadışı forumlarda demetler halinde sunulur.
E -kitapta belirtildiği gibi, GitHub depoları aracılığıyla sızan kimlik bilgilerini düzeltmek için ortalama süre 94 gündür. Bu, bir saldırganın erişimden yararlanabileceği üç aylık bir pencere.
Kimlik bilgileri para birimi olarak nasıl kullanılır
Sızan kimlik bilgileri saldırganlar için para birimidir ve değerleri ilk girişin ötesine geçer. Aldıktan sonra, bu kimlik bilgileri bir dizi kötü niyetli etkinlik için bir vektör haline gelir:
- Hesap Alma (ATO): Saldırganlar, meşru bir kaynaktan kimlik avı e -postaları, verilere kurcalama veya finansal dolandırıcılık başlatmak için bir kullanıcının hesabına giriş yapar.
- Kimlik Bilgisi Dolması: Bir kullanıcı hizmetlerde şifreleri yeniden kullanırsa, bir hesabın ihlali başkalarının bir zincir reaksiyonuna düşmesine yol açabilir.
- Spam Dağıtım ve Bot Ağları: E -posta ve sosyal hesaplar, dezenformasyon, spam kampanyaları veya tanıtım kötüye kullanımı için lansman rampası olarak hizmet eder.
- Şantaj ve gasp: Bazı aktörler, ödeme yapılmadıkça kimlik bilgilerini ortaya çıkarmakla tehdit ederek mağdurlarla temasa geçer. Şifreler değiştirilebilirken, ihlalin kapsamı net değilse kurbanlar genellikle paniğe kapılır.
Akış aşağı etkileri her zaman açık değildir. Örneğin, tehlikeye atılan kişisel bir Gmail hesabı, saldırganlara kurumsal hizmetler için kurtarma e -postalarına erişim sağlayabilir veya hassas eklerle paylaşılan bağlantıları ortaya çıkarabilir.
Başkalarının neyi özlediğini görmek
Şimdi Check Point’in bir parçası olan Cyberint, açık, derin ve karanlık web’deki çok çeşitli kaynakları izlemek için otomatik toplama sistemleri ve AI ajanları kullanıyor. Bu sistemler, kaçınılan kimlik bilgilerini ölçekte tespit etmek için tasarlanmıştır, etki alanı kalıpları, şifre yeniden kullanımı ve organizasyonel meta veriler gibi ayrıntıları korumak için, olası pozlamayı tanımlamak için – kimlik bilgileri anonim olarak gönderilse veya başkalarıyla birlikte gönderilse bile. Uyarılar, hızlı triyajı destekleyen bağlamla zenginleştirilmiştir ve SIEM ve Soar platformları ile entegrasyonlar, kimlik bilgilerini iptal etme veya şifre sıfırlamalarını uygulama gibi anında işlem sağlar.
Ardından, Cyberint analistleri devreye giriyorlar. Bu ekipler kapalı forumlarda hedeflenen soruşturmalar yapıyor, tehdit aktör iddialarının güvenilirliğini değerlendiriyor ve kimlik ve ilişkilendirme sinyallerini bir araya getiriyor. Makine güdümlü kapsamı yeraltı topluluklarına doğrudan erişimle birleştirerek, Cyberint hem ölçek hem de hassasiyet sağlar-ekiplerin sızdırılmış kimlik bilgileri aktif olarak kullanılmadan önce harekete geçmesine izin verir.
Kimlik bilgisi sızıntıları sadece izlenen iş istasyonlarında gerçekleşmez. Cyberint verilerine göre, kurumsal kimlik bilgisi sızıntılarına bağlı cihazların% 46’sı uç nokta izleme ile korunmadı. Bunlar, çalışanların iş uygulamalarına eriştiği ve birçok takım için kör noktalar olarak hizmet edebilecek iş uygulamalarına eriştiği yönetilmeyen cihazlar içerir.
Cyberint’in tehdit algılama yığını SIEM ve Soar araçlarıyla entegre olur ve erişimi iptal etme veya parola zorlama gibi otomatik yanıtların bir ihlalin tespit edildiği anda sıfırlamasına izin verir. Bu, tespit ve eylem arasındaki boşluğu kapatır – her saat önemli olduğunda önemli bir faktör.
Raporun tamamı, bu süreçlerin nasıl çalıştığı ve kuruluşların bu zekayı ekipler arasında nasıl işleyebileceğine daha derinlemesine dalmaktadır. Ayrıntılar için raporun tamamını buradan okuyabilirsiniz.
Maruz kalma tespiti artık rekabet avantajı
Güvenli şifre politikaları, MFA ve modern e -posta filtreleme ile bile, kimlik bilgisi hırsızlığı istatistiksel bir olasılık olmaya devam etmektedir. Kuruluşları farklılaştıran şey, pozlamayı ne kadar hızlı tespit ettikleri ve iyileştirme iş akışlarının ne kadar sıkı bir şekilde hizalandığıdır.
E-Kitap’ta yer alan iki oyun kitabı, hem çalışan hem de üçüncü taraf satıcı kimlik bilgileri için takımların nasıl etkili bir şekilde yanıt verebileceğini gösterir. Her biri algılama, kaynak doğrulama, erişim iptali, paydaş iletişimi ve sonuç sonrası inceleme prosedürlerini özetlemektedir.
Ancak kilit paket şudur: proaktif keşif reaktif adli tıptan daha önemlidir. Tehdit aktörlerinin ilk hareketi yapmasını beklemek, bekleme süresini uzatır ve hasar kapsamını arttırır.
Yeraltı forumlarında göründükten kısa bir süre sonra kimlik bilgilerini belirleme yeteneği – otomatik kampanyalarda paketlenmeden veya silahlanmadan önce başarılı savunmayı reaktif temizlikten ayıran şeydir.
Kuruluşunuzun derin veya karanlık web’de yüzen kimlik bilgilerini açıp açmadığını merak ediyorsanız, tahmin etmeniz gerekmez. Kontrol edebilirsiniz.
Kuruluşunuzun kimlik bilgileri için Açık, Derin ve Karanlık Web’i şimdi kontrol edin
Azaltma sadece önleme ile ilgili değil
Hiçbir kontrol kimlik bilgisi maruz kalma riskini tam olarak ortadan kaldıramaz, ancak çoklu katmanlar etkiyi azaltabilir:
- Güçlü Şifre Politikası: Düzenli şifre değişikliklerini uygulayın ve platformlar arasında yeniden kullanılmayı yasaklayın.
- SSO ve MFA: Parolanın ötesinde bariyerler ekleyin. Temel MFA bile kimlik bilgisi doldurmayı çok daha az etkili hale getirir.
- Oran Sınırlama: Kaba kuvvet ve kimlik bilgisi püskürtme taktiklerini bozma girişimi için eşikleri ayarlayın.
- Polp: Kullanıcı erişimini yalnızca ihtiyaç duyulanlarla sınırlayın, bu nedenle tehlikeye atılan hesaplar daha geniş bir giriş sağlamaz.
- Kimlik Yardım Farkındalık Eğitimi: İlk sızıntıları azaltmak için kullanıcıları sosyal mühendislik teknikleri hakkında eğitin.
- İzleme maruziyeti: Tespiti forumlar, pazar yerleri arasında uygulayın ve kurumsal kimlik bilgilerinden bayraklara işaret etmek için siteleri yapıştırın.
Bu kontrollerin her biri yararlıdır, ancak birlikte bile, pozlama haftalar veya aylar boyunca fark edilmezse yeterli değildir. Cyberint’ten algılama zekası devreye giriyor.
Raporun tamamını okuyarak daha fazla yöntem öğrenebilirsiniz.
Bir sonraki şifre çalınmadan önce
Etki alanınızla ilişkili bir hesabın ortaya çıkıp açılmayacağı mesele değil – zaten oldu. Asıl soru şu: Bulundu mu?
Aktif hesaplara bağlı binlerce kimlik bilgisi şu anda pazarlar, forumlar ve telgraf sohbetleri etrafında aktarılıyor. Birçoğu hala kurumsal kaynaklara erişimi olan kullanıcılara aittir. Bazıları cihaz türü, oturum çerezleri ve hatta VPN kimlik bilgileri gibi meta verilerle paketlenir. Paylaşıldıktan sonra, bu bilgiler hızlı yayılır ve geri çekilmesi imkansız hale gelir.
Kullanılmadan önce maruziyetlerin belirlenmesi, savunucuların sahip olduğu birkaç anlamlı avantajdan biridir. Ve nereye bakacağını bilmekle başlar.
Tehdit istihbaratı, özellikle maruz kalan kimlik bilgileri söz konusu olduğunda, tespit ve yanıtta merkezi bir rol oynamaktadır. Ceza ağları boyunca yaygın dolaşımları göz önüne alındığında, kimlik bilgileri odaklanmış izleme ve hafifletme için net süreçler gerektirir.
Şirketinizin kimlik bilgilerinin açık, derin ve karanlık web’de maruz bırakılıp gösterilmediğini kontrol edin. Ne kadar erken bulunurlarsa, daha sonra yanıt verecek ne kadar az olay olacaktır.