Tehdit Aktörlerinin Önünde Nasıl Kalınır


SaaS Kill Zinciri

Modern öldürme zinciri, işletmelerin modern işletmelerin altyapısını korumaması nedeniyle kaçınıyor: SaaS.

SaaS, yazılım benimsemesinde baskın olmaya devam ediyorve genel bulut harcamalarının en büyük payını oluşturuyor. Ancak işletmeler ve KOBİ’ler güvenlik programlarını gözden geçirmediler veya SaaS için oluşturulmuş güvenlik araçlarını benimsemediler.

Güvenlik ekipleri şirket içi sabitleyicileri SaaS güvenlik açıklarına sıkıştırmaya devam ediyor

CISO’ların ve ekiplerinin şirket içi hakimiyet çağında güvendiği olgun güvenlik kontrolleri ortadan kalktı. Güvenlik duvarları artık küçük bir çevreyi koruyor, görünürlük sınırlı ve SaaS satıcıları günlükler sunsa bile, güvenlik ekiplerinin bunları sindirmek ve SIEM’lerine aktarmak için yerel bir ara yazılıma ihtiyacı var.

SaaS satıcıları ürünleri için iyi tanımlanmış güvenlik kapsamlarına sahiptir, ancak müşterilerinin SaaS uyumluluğunu ve veri yönetimini, kimlik ve erişim yönetimini (IAM) ve uygulama kontrollerini yönetmesi gerekir; bunlar en çok olayın meydana geldiği alanlardır. Bu SaaS paylaşımlı sorumluluk modeli SaaS uygulamaları arasında evrensel olsa da, hiçbir iki SaaS uygulamasının güvenlik ayarları aynı değildir.

SaaS Kill Zinciri
Şekil 1. SaaS güvenlik endişeleri bağlamında, uygulama sağlayıcısı tüm fiziksel altyapının yanı sıra ağ, işletim sistemi ve uygulamadan da sorumludur. Veri güvenliği ve kimlik yönetiminden müşteri sorumludur. SaaS paylaşılan sorumluluk modeli, SaaS müşterilerinin tehdit aktörlerinin en sık saldırdığı bileşenlerin sahipliğini üstlenmesini gerektirir. İllüstrasyon AppOmni’nin izniyle.

AppOmni araştırması ortalama olarak tek bir SaaS örneğinin 256 SaaS’tan SaaS’a bağlantıBunların çoğu artık kullanılmıyor, ancak Salesforce, Okta ve GitHub gibi temel iş uygulamalarına yönelik aşırı izinlere sahipler.

Çok sayıda farklı SaaS güvenlik ayarı ve bunları değiştiren sürekli güncellemeler arasında, güvenlik ekipleri bu bağlantıları etkili bir şekilde izleyemez. Çalışanlar SaaS-to-SaaS (ayrıca “üçüncü taraf” veya “makine” olarak da adlandırılır) bağlantılarını etkinleştirdiğinde giriş noktalarının sayısı katlanarak artar. Makine kimlikleri, makinelerin birbirleriyle iletişim kurmasını sağlamak için API anahtarlarını, sırları, oturumları, dijital sertifikaları, bulut erişim anahtarlarını ve diğer kimlik bilgilerini kullanabilir.

Saldırı yüzeyi ağ çevresinin dışına çıktıkça öldürme zinciri de değişti — Tehdit aktörlerinin saldırılarının çeşitli aşamalarını düzenleme şekli.

Modern SaaS öldürme zinciri genellikle şunları içerir:

  1. Başarılı bir kimlik avı kampanyası yoluyla IdP’deki bir kimliği tehlikeye atmak, karanlık web’den çalıntı kimlik bilgileri satın almak, kimlik bilgisi dizeleri, kimlik bilgisi doldurma, yanlış yapılandırılmış SaaS kiracılarından faydalanmak veya benzeri yöntemler.
  2. Kimlik doğrulama sonrası keşif aşamasının yürütülmesi. Bu adım, saldırganların geçmişin kurumsal ağlarına sızmasını anımsatıyor. Ancak şimdi ayrıcalıklı yükseltme giriş noktalarını bulmak için belge depolarını, kaynak kodu depolarını, parola kasalarını, Slack’i, Teams’i ve benzer ortamları tarıyorlar.
  3. Bulgularından yararlanarak diğer SaaS kiracılarına, PaaS’a veya IaaS’ye ve bazen de hedef kuruluş için en değerli verileri bulabilecekleri kurumsal altyapıya yatay olarak geçiş yapın.
  4. Taç mücevherlerini şifrelemek veya fidye notunu iletmek ve tespit edilmekten kaçınmaya çalışmak.
SaaS Öldürme Zinciri
Şekil 2. Başarılı SaaS öldürme zincirleri genellikle dört kapsayıcı adımı içerir: ilk erişim, keşif, yanal hareket ve kalıcılık, fidye yazılımı yürütme ve güvenlikten kaçınma. İllüstrasyon AppOmni’nin izniyle.

Gerçek dünyadaki bir SaaS öldürme zincirinin parçalanması: Dağınık Örümcek/Yıldız Dolandırıcılığı

SaaS güvenlik lideri AppOmni’nin son tehdit istihbarat brifingi web seminerinde, Scattered Spider/Starfraud tehdit aktörü gruplarının (ALPHV’nin iştirakleri) Eylül 2023’te açıklanmayan bir hedefe yönelik başarılı saldırısının ölüm zinciri şöyle anlatıldı:

  • Bir kullanıcı, sahte bir IdP giriş sayfasına bağlantılar içeren bir kimlik avı e-postasını açtı ve farkında olmadan sahte IdP sayfasına giriş yaptı.
  • Tehdit aktörleri grupları derhal bu kullanıcıyı aradı ve sosyal mühendislik yoluyla zamana dayalı, tek kullanımlık şifre (TOTP) belirteçlerini sağlamaya ikna etti.
  • Kullanıcının oturum açma kimlik bilgilerini ve TOTP jetonunu aldıktan sonra tehdit aktörleri, MFA protokolünü meşru kullanıcı olduklarını düşünerek kandırdılar.
  • Keşif modundayken tehdit aktörleri ayrıcalıklı bir yükseltmeye erişebiliyordu ve bu sayede Amazon S3’e, ardından Azure AD’ye ve son olarak Citrix VDI’ya (sanal masaüstü altyapısı) kimlik bilgilerini elde edebiliyorlardı.
  • Tehdit aktörleri daha sonra kendi kötü amaçlı sunucularını IaaS ortamında konuşlandırdılar ve burada ayrıcalıklı bir Azure AD yükseltme saldırısı gerçekleştirdiler.
  • Saldırganlar erişebildikleri tüm verileri şifreleyip fidye notu gönderdiler.
SaaS Kill Zinciri
Şekil 3. Dağınık Örümcek/Yıldız Dolandırıcılığı tehdit aktörü grupları tarafından kullanılan öldürme zinciri. İllüstrasyon AppOmni izniyle.

Dağınık Örümcek/Yıldız Dolandırıcılığı muhtemelen bu olaylar dizisini birkaç gün içinde gerçekleştirdi. SaaS giriş noktası olarak hizmet ettiğinde, ciddi bir saldırı kurumsal ağı ve altyapıyı içerebilir. Bu SaaS/yerinde bağlantı, günümüzün kurumsal saldırı yüzeylerinde yaygındır.

Bilinen ve bilinmeyen tehdit aktörlerinin SaaS saldırı faaliyetleri artıyor

SaaS ihlallerinin çoğu manşetlerde yer almıyor ancak sonuçları önemli. IBM bunu bildiriyor 2023’teki veri ihlallerinin ortalama maliyeti 4,45 milyon dolardı örneğin, üç yılda %15’lik bir artışı temsil ediyor.

Tehdit aktörleri, yetkisiz erişim elde etmek ve yapılandırma sorunlarının daha sonra erişim sağlamak üzere değiştirilebileceği Salesforce ve M365 dahil SaaS kiracılarını taramak için sürekli olarak aynı TTP’lere ve Dağınık Örümcek/Starfraud öldürme zincirinin taktik kitabına güveniyor.

Diğer saldırganlar oturum ele geçirme ve imkansız seyahat ile ilk erişimi elde eder. Ele geçirilen oturumu farklı bir ana bilgisayara aktardıktan sonra, yanal hareketleri genellikle SharePoint, JIRA, DocuSign ve Slack gibi iletişim platformlarının yanı sıra Confluence gibi belge depolarını içerir. GitHub’a veya diğer kaynak kodu depolarına erişebilirlerse, tehdit aktörleri bu kaynak kodunu indirir ve hedef uygulama içindeki güvenlik açıklarını analiz eder. Hedef uygulamanın verilerini sızdırmak için bu güvenlik açıklarından yararlanmaya çalışırlar.

AppOmni tehdit istihbarat brifingi ayrıca izin paylaşımı yoluyla veri sızdırmanın ciddi bir SaaS güvenlik endişesi olmaya devam ettiğini bildiriyor. Bu, örneğin Google Workspace’te yetkisiz kullanıcı dizinleri çok açık bir izin düzeyine değiştirdiğinde meydana gelir. Saldırgan, e-posta yönlendirme veya koşullu kuralları değiştirerek saldırganların bir dağıtım listesinde BCC alıcıları olarak dahil edilmesini sağlayarak bunları başka bir harici varlıkla paylaşabilir.

SaaS ortamlarınızı nasıl koruyorsunuz?

1. SaaS sistemlerinin hijyenine odaklanın

Şirketinizde hangi SaaS’a izin vereceğinizi belirlemek için bir SaaS alım ve inceleme süreci oluşturun. Bu süreç şu gibi güvenlik sorularının yanıtlanmasını gerektirir:

  • Tüm SaaS’ın SOC 2 Tip 2 sertifikalı olması gerekiyor mu?
  • Her kiracı için optimum güvenlik yapılandırması nedir?
  • Şirketiniz konfigürasyon kaymasını nasıl önleyecek?
  • Otomatik SaaS güncellemelerinin güvenlik kontrol ayarlarını değiştirmeyi gerektirip gerektirmediğini nasıl belirleyeceksiniz?

Shadow IT SaaS’ı (veya) tespit edebildiğinizden emin olun onaylanmamış SaaS uygulamaları) ve uyarıların boşuna oluşturulmaması için bir yanıt programınız olsun.

SaaS kiracılarınızı izlemiyor ve onlardan gelen tüm günlükleri birleşik bir yöntemle almıyorsanız, şüpheli davranışları asla tespit edemez ve bunlara dayalı uyarılar alamazsınız.

2. Makine hesaplarını/kimliklerini envanterleyin ve sürekli olarak izleyin

Tehdit aktörleri, ayrıcalıklı erişimleri ve gevşek kimlik doğrulama standartları nedeniyle makine kimliklerini hedef alır ve genellikle nadiren MFA gerektirir.

2023’te tehdit aktörleri, başlıca CI/CD araçlarını Travis CI, CircleCI ve Heroku’yu başarıyla hedef alıp ihlal ederek bu sağlayıcıların tüm müşterilerinin OAuth token’larını çaldı. Bu durumlarda patlama yarıçapı önemli ölçüde genişler.

Ortalama bir işletmede 256 makine kimliği bulunduğundan hijyen genellikle eksiktir. Birçoğu bir veya iki kez kullanılır ve sonra yıllarca durgun kalır.

Tüm makine kimliklerinizi envanterleyin ve bu kritik riskleri sınıflandırın. Bunları azalttıktan sonra, şunları öngören politikalar oluşturun:

  • Hangi tür hesaplara makine kimlikleri verilecek ve bu satıcıların erişim izni alabilmek için hangi gereksinimleri karşılamaları gerekiyor.
  • Erişimlerinin/tokenlerinin iptal edilmeden, yenilenmeden veya yeniden verilmeden önce ne kadar süre aktif kalacağına dair zaman çerçevesi.
  • Bu hesapların kullanımını nasıl izleyeceksiniz ve uykuda kalma dönemleri yaşamaları durumunda hala ihtiyaç duyulduklarından nasıl emin olacaksınız.

3. SaaS sisteminizde gerçek bir Sıfır Güven mimarisi oluşturun

Sıfır Güven mimarisi, “asla güvenme, her zaman doğrula” yaklaşımıyla en az ayrıcalık (PLP) ilkesi üzerine kuruludur. Geleneksel ağlarda Sıfır Güven oluşturulmuş olsa da SaaS ortamlarında buna nadiren ulaşılır.

Sıfır Güven Ağ Erişimi’nin (ZTNA) ağ merkezli yaklaşımı, binlerce hatta milyonlarca harici kullanıcının verilere erişebildiği SaaS platformları içindeki ve bu platformlara yönelik yanlış yapılandırmaları, makine entegrasyonlarını veya istenmeyen kullanıcı erişim yetkilerini tespit edemez.

Ortaya çıkan bir SaaS güvenlik aracı olan Zero Trust Posture Management (ZTPM), Zero Trust’ı SaaS mülkünüze genişletir. SASE’nin yarattığı SaaS güvenlik açığını şu şekilde kapatır:

  • Yetkisiz ZTNA baypasını önleme
  • İnce ayarlı erişim kararlarına izin verme
  • Güvenlik politikalarınızı sürekli geri bildirim döngüleriyle uygulayın
  • Sıfır Güven’i makine entegrasyonlarını ve bulut bağlantılarını kapsayacak şekilde genişletme

SSPM, ZTPM ve a ile SaaS güvenlik programı Ekibiniz, öldürme zincirinizin düşük riskli aşamalarındaki davetsiz misafirleri tespit etmek ve bir ihlal yıkıcı hale gelmeden önce onları durdurmak için ihtiyaç duyduğu görünürlüğü ve istihbaratı kazanacak.

Bu makaleyi ilginç buldunuz mu? Bu makale değerli ortaklarımızdan birinin katkılarıyla hazırlanmıştır. Bizi takip edin Twitter ve yayınladığımız daha özel içerikleri okumak için LinkedIn.





Source link