Yazan: Trevor Hilligoss, Güvenlik Araştırması Direktörü, SpyCloud
Son 12 ay, kimlik bilgilerinin açığa çıkmasında endişe verici bir eğilimi ortaya çıkardı. SpyCloud’un 2023 Kimlik İfşa Raporu’na göre, 2022’de suç yeraltından kurtarılan 721,5 milyon kimlik bilgilerinin neredeyse yarısı, bilgi hırsızlığı yapan kötü amaçlı yazılımlar tarafından sızdırıldı.
Ele geçirilen kimlik bilgileri geleneksel olarak başarılı bir siber saldırı gerçekleştirmenin en basit giriş noktalarından biridir. Suçlular, yeni çalınan kimlik bilgilerini kullanarak, meşru kullanıcılar gibi davranarak ağlara sızarken alarmların çalmasını önleyebilir ve bu da onlara amaçlarını gerçekleştirme konusunda serbestlik kazandırabilir. Sıradan ihlal kimlik bilgilerinizin bir adım ötesinde, oturum çerezleri/belirteçleri, kimlik bilgileri, PII ve daha fazlası gibi yüksek kaliteli ve niceliksel kimlik doğrulama verilerini sızdırmak için tasarlanmış bilgi hırsızı kötü amaçlı yazılım vardır.
Güvenlik ekipleri, siber hijyeni vurgulayarak ve çok faktörlü kimlik doğrulama (MFA) ve son zamanlarda değerli kurumsal ve kullanıcı verilerini korumak için geçiş anahtarları gibi çözümler uygulayarak tehdidi ele alıyor. Ancak bu çözümler, geleneksel yöntemlere kıyasla gelişmiş güvenlik sunarken, yine de tehlikeye açıktır.
Kötü amaçlı yazılım bulaşmış cihazlardan alınan çalıntı veriler nedeniyle süregelen kimlik açığa çıkma tehdidini gerçek anlamda ele almak için kuruluşların, bilgi hırsızlığı yapan kötü amaçlı yazılımlardaki büyümeyi neyin tetiklediğini anlamaları ve tehdide karşı proaktif bir şekilde koruma sağlamalarına olanak tanıyan yeni güvenlik yaklaşımlarını benimsemeleri gerekir.
Kötü amaçlı yazılımların artan eğilimi
Bilgi hırsızlığı yapan kötü amaçlı yazılımların yükselişi, doğrudan suçlulara sağladığı yüksek yatırım getirisinden (ROI) ve izinsiz giriş önlemede günümüzün ilerlemelerine rağmen keşfedilmeden kalma yeteneğinden kaynaklanmaktadır.
Genellikle, kötü amaçlı yazılımlarla çalınan verileri karanlık ağda paketleyen ve satan bireyler ve gruplar olan İlk Erişim Aracıları (IAB’ler) için temel motivasyon, finansal kazançtır. Geçiş anahtarları gibi parolasız teknolojilerin yükselişi, daha güvenli kullanıcı kimlik doğrulaması sağlamayı ve siber suçlular için ek engeller oluşturmayı amaçlıyor. Ancak güvenlik liderlerinin bu çabalarına rağmen suçlular stratejilerini daha yüksek ödüle sahip yaklaşımlara odaklanacak şekilde uyarlamaya devam ediyor ve bu kimlik doğrulama yöntemlerinin de kendi güvenlik açıkları var.
Infostealer kötü amaçlı yazılımı neredeyse tespit edilemez ve genellikle kurbanın cihazında kalıcı olmayacak şekilde tasarlanmıştır; hassas verilerin saniyeler içinde yürütülmesine ve dışarı sızmasına olanak tanıyarak çok az iz bırakır veya hiç bırakmaz. Suçlulara yönelik bu düşük riskli (birçok bilgi hırsızı ayda birkaç yüz dolardan daha düşük bir fiyata çevrimiçi olarak satılıyor) yüksek ödüllü yatırım, ağ erişiminin parasal kazanç için silah haline getirildiği hareketli bir yeraltı pazarı yarattı.
Kötü amaçlı yazılımların sızdırdığı veriler, üstün kalitesi nedeniyle suçlular için oldukça çekicidir. Yalnızca geçen yıl SpyCloud, kötü amaçlı yazılımların sızdırdığı yaklaşık 22 milyar cihaz ve oturum çerezi kaydını yeniden ele geçirdi; bu sayının artmaya devam etmesi bekleniyor.
Çerezler, belirli bir süre boyunca bir platformdaki kullanıcıların kimliğini doğrular. Bunlar açığa çıkarsa, oturum ele geçirme olarak bilinen bir süreçte, tehdit aktörlerinin kimlik bilgilerine ihtiyaç duymadan MFA ve ortak şifreler gibi kimlik doğrulama yöntemlerini atlamasına olanak tanır.
Oturum ele geçirmeyle geçiş anahtarlarını ve MFA’yı kırma
Oturum ele geçirme, siber suçluların, kötü amaçlı yazılımların sızdırdığı çerezleri düşman tarafından kullanılan anti-deteksiyon tarayıcılarına aktararak etkin bir kimliği doğrulanmış web oturumunu ele geçirmek için çalıntı çerezleri/belirteçleri kullandığında meydana gelir. Bu süreç, kimlik doğrulama güvenlik mekanizmalarını atlar ve suçlulara erişim sağlayarak onların meşru kullanıcılar gibi görünmelerine olanak tanır ve alarm vermeden gerçek bir kullanıcının sahip olabileceği tüm izinleri sağlar.
Oturum ele geçirme, suçluların gizli iş verilerine erişmesine, ayrıcalıkları değiştirmesine veya yükseltmesine ve fidye yazılımı gibi takip eden saldırılar başlatmasına olanak tanıyabilir; çünkü geçerli, önceden kimliği doğrulanmış bir oturum kullanmak, tehdit aktörüne temelde dahili kurumsal sistemlere ve uygulamalara sınırsız erişim sağlar.
Çünkü bu çerezler, geçerli kaldıkları sürece, zaten kimliği doğrulanmış bir web oturumunu, orijinal kimlik doğrulama yöntemini (bir geçiş anahtarı, MFA tarafından doğrulanmış veya Tek Oturum Açma (SSO) çözümü kullanılarak oturum açılmış olsun) çalınan bir çerezi temsil eder. tüm kimlik doğrulama ve oturum açma sürecini atlamak için gereken tek şey budur.
Örneğin yakın zamandaki CircleCI ihlali, bir çalışanın 2FA destekli SSO oturum jetonunu çalmak için kötü amaçlı yazılım kullanan siber suçlular tarafından meydana getirildi. CircleCI’ye göre tehdit aktörü, aktör tarafından kontrol edilen altyapının çalışanı gibi görünmek için bu tokenı kullandı. Şirketin antivirüs koruması, kötü amaçlı yazılımın tespit edilmesi zor yapısı nedeniyle bulaşmayı tespit edemedi ve saldırgan, fark edilmeden çalışan gibi davranabildi.
İleriye giden yol: enfeksiyon sonrası iyileştirme
Geçiş anahtarları gibi çözümler her derde deva olmasa da tamamen etkisiz de değildir. Bunlar, parola yorgunluğunu azaltmak ve oturum açma sürecindeki genel sürtünmeyi azaltmak için güçlü bir seçenektir. SpyCloud araştırmasına göre tüketicilerin %72’sinden fazlası daha önce açığa çıkan şifreleri yeniden kullanıyor ve bu şifreler genel güvenliği artırmak için faydalı bir araç.
Ancak çalınan çerezler suçlular için popüler bir giriş yöntemi haline geldiğinden, önemli kuruluşlar tüm çabalarını tek bir araca yöneltmiyor. Bunun yerine, çalınan verileri aktif olarak izlemenin yanı sıra, oturum korsanlığına karşı korumalarını geliştiren süreç ve çözümlere bakmaları gerekiyor.
Oturum ele geçirilmesine karşı korunmanın en etkili yolu, tehdidi tam anlamıyla bir güvenlik olayına dönüşmeden önce proaktif olarak ele almak için enfeksiyon sonrası iyileştirme (PIR) yaklaşımından yararlanmaktır.
PIR, kuruluşunuzu riske sokan açığa çıkan verileri tam olarak ele almaya yönelik bir dizi adımdan oluşan, kötü amaçlı yazılım bulaşmalarına yönelik kimlik merkezli bir yaklaşımdır. Kötü amaçlı yazılımların sifonladığı çerezler çalındıktan sonra aylarca etkin kalabildiğinden, kötü amaçlı yazılımların bulaştığı cihazlara ilişkin bütünsel bir görünüm elde etmek, sorunu çözmenin ilk adımıdır.
Karanlık ağdan yeniden ele geçirilen, uygun şekilde alınan, seçilen, analiz edilen ve otomatikleştirilen veriler aracılığıyla suçluların işletmeniz hakkında bildiklerinin görünürlüğü, güvenlik ekiplerinin bir adım önde kalmasının mükemmel bir yoludur. Güvenlik ekipleri, bu eyleme geçirilebilir verilerle, değerli verilerin tehlikeye atıldığını hızlı ve sorunsuz bir şekilde görüntüleyebilir, bunları kullanıcıya göre ayarlayabilir ve ardından uygun düzeltme için kötü amaçlı yazılım bulaşmış orijinal cihaza bağlayabilir.
Daha sonra ekipler, çalışanların güvenliği ihlal edilmiş SSO oturumlarını ve verilerini geçersiz kılmasını gerektirmeden önce, etkilenen cihazı izole edebilir ve kötü amaçlı yazılımı kaldırabilir. Ekipler, erişilen cihazlara ve veri suçlularına ilişkin kesin bilgiler sayesinde tüm etkinlikleri inceleyebilir ve eylemlerin yetkili bir kullanıcı tarafından yürütüldüğünü doğrulamak için günlüklere erişebilir. Beklenip beklenmediğine bakılmaksızın, hassas verilere gelecekteki erişim de yetkili bir kullanıcı tarafından başlatıldığından emin olmak için izlenebilir. Bu adımlar, kuruluşlara en yüksek risk altındaki kullanıcılara ilişkin kapsamlı bir anlayış sunarak gelişmiş bir koruma katmanı sağlar.
Etkili bir PIR yaklaşımı, siber suçluları kullanıcılara ve işletmelere zarar vermeden önce engeller. Geçiş anahtarları ve MFA, güvenlik sektörü için büyük ilerlemeler olsa da siber suçlular yenilik yapmaya devam ediyor. Yetkisiz kullanıcıların müşteri ve çalışan hesaplarına erişmesini hızlı ve proaktif bir şekilde önleyen kuruluşlar, mevcut güvenlik çerçevelerindeki güvenlik açıklarını etkili bir şekilde giderebilir. Bu yaklaşım çalışanları, müşterileri, marka itibarını ve genel şirket kârını korur.
yazar hakkında
Trevor Hilligoss, SpyCloud’da Kıdemli Araştırmacıdır ve federal kolluk kuvvetleri alanında geçmişi olan deneyimli bir güvenlik araştırmacısıdır. Trevor, hükümet hizmetinden ayrılmadan önce neredeyse on yıl boyunca Savunma Bakanlığı ve FBI için hem siber suçluları hem de ulus devlet aktörlerini takip ederek geçirdi ve ABD’de ve uluslararası toplantılarda tehdit istihbaratı uzmanı olarak sunum yaptı. Sosyoloji alanında lisans derecesine, siber araştırmalar alanında birden fazla federal sertifikaya ve iki Küresel Bilgi Güvencesi Sertifikasına (GIAC) sahiptir.
Trevor’a çevrimiçi olarak https://www.linkedin.com/in/thilligoss/ adresinden ve SpyCloud’un şirket web sitesi https://spycloud.com/ adresinden ulaşılabilir.