Tehdit akışlarına abone olan güvenlik ekipleri, kara listeye almak ve bu kaynaklardan gelen saldırıları önlemek için kullanabilecekleri bilinen kötü amaçlı etki alanlarının, IP’lerin ve dosya imzalarının listelerini alır.
Güvenlik uzmanları, şüpheli iletişimleri tanıyan ağ trafiği analizini, saldırı tekniklerini tanımlayan veri ihlali raporlarını, saldırıları ortaya çıkarmak ve incelemek için tasarlanmış tuzakları, saldırgan forumlarını izlemeyi ve üçüncü taraf veri araştırmasını kullanarak, tehdit akışlarını tehdit ortamının eyleme dönüştürülebilir portreleri olarak derler. .
Ancak günümüzün istemci tarafı saldırıları son derece dinamik olduğundan bu listelerin nihai değeri giderek sınırlanıyor. Saldırılarda kullanılan istemci tarafı komut dosyaları yüksek oranda hedeflenebilir ve her istek farklı bir rastgele yanıt döndürebilir. Bu arada, tehdit akışları hala bu dinamik davranışı işaretleyemeyen tarama ve örneklemeyi kullanıyor. Bir işletme, hedefli bir müşteri tarafı saldırısıyla karşı karşıya kalırsa ve yalnızca tehdit beslemelerine dayanan bir müşteri tarafı güvenlik stratejisiyle korunuyorsa, saldırı tanınmayacaktır.
İşletmeler, tarayıcı tedarik zincirlerinde gizlenen ve web sitesi kullanıcılarının verilerini tehlikeye atan istemci tarafı saldırılara karşı güvenilir bir şekilde savunma yapmak için daha otomatik ve etkili korumaya ihtiyaç duyuyor. Tespit edilen güvenlik açıkları tehdit akışlarına manuel olarak eklendiğinden, korumalar yalnızca verilere giren ve verileri uygulayanların dikkatli ve doğru olması kadar etkilidir. Raporların yalnızca saldırganların kullandığı etki alanlarını adlandırdığı yerde, saldırganlar kara liste korumalarından kaçmak için aynı şekilde (birkaç dakika içinde) yeni bir etki alanına geçebilirler.
Ne yazık ki bazı olaylar, tehdit beslemelerinin, bilinen tehditlerin bile çok geç olana kadar gözden kaçmasına nasıl izin verebileceğini gösteriyor.
Konuyla ilgili bir örnek: Guyacave[.]fr istemci tarafı saldırısı
Yakın zamanda güvenlik araştırmacımız guyacave alan adını kullanarak istemci tarafında bir saldırı tespit etti[.]fr, kişisel tanımlanabilir bilgileri (PII) gözden geçiren bir komut dosyası sunmak için. İşin şok edici kısmı: Bu komut dosyası Ağustos 2022’den beri aktif ve belirli bir web sitesinin kullanıcılarını etkiliyor. Bu siteyi ve diğer siteleri saldırı konusunda uyardık ve bunu okuyan tüm site güvenlik ekibi üyelerine bu komut dosyasındaki etkinliği kontrol etmelerini ve bu alanı engellemelerini tavsiye ettik. .
Ancak bu saldırının kayıtlarını incelediğimizde, bunu ilk keşfedenin biz olmadığımızı öğrenince bir kez daha şok olduk. Bu kredi, tehdidi Kasım 2022’de açıklayan ve neredeyse 17.000 küresel kullanıcıyı kayma saldırısından koruduğunu belirten güvenlik sağlayıcısı Avast’a gidiyor.
Guy Mağarası[.]fr saldırı komut dosyası iki yılı aşkın bir süredir tamamen biliniyor ancak tehdit beslemeleri hâlâ tehdide yanıt verecek şekilde güncellenmedi. VirusTotal’da yapılan bir kontrol, 96 güvenlik sağlayıcısından yalnızca 13’ünün etki alanını kötü amaçlı olarak işaretlediğini ortaya koyuyor. İki tam yılın ardından, tehdit akışlarını en iyi şekilde sürdüren ve güncelleyen güvenlik ekiplerine sahip işletmeler, bu belgelenmiş riske karşı kör kalabilirler ve bu nedenle site kullanıcılarının verilerini ifşa ediyor olabilirler.
Modern tehditler modern yanıtlar gerektirir
Tehdit kaynaklarının kara listesini doğru ve güncel tutmanın zorluklarının yanı sıra, tehdit akışları günümüzde kuruluşları tehdit eden en kritik güvenlik açıklarını gideremez. Özellikle, tehdit akışları sıfır gün güvenlik açıklarını, sosyal mühendislik saldırılarını veya aktif gerçek zamanlı müdahaleleri gerektiren diğer potansiyel istismarları azaltmak için hiçbir şey yapmaz.
Tarayıcı oturumlarını mevcut yama uygulama güvenlik açıklarından koruyamaz veya güvenlik ekiplerinin güvenlik açığı risklerini önceliklendirmesine yardımcı olamazlar. Tehdit akışları açık kaynak olduğundan ve insan hatasına açık olduğundan, yanlış pozitifler de işaretlenmemiş tehlikeler kadar mümkündür.
Guy Mağarası[.]fr betiği birkaç akıllıca şey yapar. İmza tabanlı güvenlik yöntemleriyle tespit edilmesini önlemek için Math.random() işlevini kullanır. Gerçek ödeme formlarını gizlemek ve bunun yerine kullanıcılara sahte olanları göstermek için display:none işlevinden yararlanır. Oturum çerezlerini ve tarayıcıda saklanan diğer hassas verileri çalabilen işlevler içerir. Bununla birlikte, aynı komut dosyası başka bir bilinmeyen etki alanından istemci tarafı bir saldırı girişiminde bulunsa bile, daha modern algılama yetenekleri bunu tespit edip devam eden etkinlikleri engelleyebilir.
Daha iyi güvenlik tekniği, istemci tarafı komut dosyalarını bir proxy ortamına yüklemek ve bu komut dosyalarının yükünün şüpheli veya açıkça kötü amaçlı işlevler içerip içermediğini anlamak için güçlü bir algılama gerçekleştirmektir. Şüpheli scriptler yakından gözlemlenebilir ve tehlikeli davranışlar sergileyen scriptler, işlemleri zarar vermeden kapatılabilir. Bu komut dosyalarının eriştiği alanlar daha sonra tehdit farkındalığını artırmak ve paylaşmak için tehdit akışlarına eklenebilir, ancak kesinlikle ilk veya tek savunma hattı olarak değil.