On yılı aşkın bir süredir, çok faktörlü kimlik doğrulama (MFA), çevrimiçi güvenlik politikalarının temel taşı olmuştur. Ancak Siber tehditler geliştikçe ve siber suçlular daha gelişmiş tekniklere yöneldikçe, Six Degrees Siber Güvenlik Güvencesi Teknik Direktörü Andy Swift, MFA’nın artık saldırılara karşı koruma sağlamak için tek başına yeterli olmadığını açıklıyor.
Siber tehdit ortamı her zaman gelişiyor; bu da savunmalarımızın da güncel kalması gerektiği anlamına geliyor. Endişe verici bir trend, saldırganların belirteçlerin onayını manipüle ederek MFA korumalarını atlamaya çalıştığı ortadaki saldırgan (AitM veya belirteç kimliğine bürünme) saldırılarının artmasıdır. Saldırganın kullanıcı adını/şifreyi başka yollarla zaten bildiğini varsayarsak, bu saldırılar çeşitli biçimlerde gerçekleşir: bilinen kimlik bilgileriyle kimlik doğrulaması yaparak ve hedef cihaza MFA istekleri göndererek gerçekleştirilen basit bir MFA yorgunluğuna dayalı saldırı. kullanıcı isteği onaylar; veya spektrumun daha gelişmiş ucunda, hedefin bir proxy aracılığıyla yeniden yönlendirildiği ve kimlik doğrulaması yapıldıktan sonra saldırganın kullanması için başarılı MFA tamamlaması için verilen kimlik doğrulama jetonunu soyan daha otomatik bir saldırı.
Her iki tekniğin de değeri vardır ve her ikisi de genellikle tanıdığımız ve sevdiğimiz tanıdık görünen kimlik avı kampanyaları aracılığıyla gerçekleştirilir. Aradaki en önemli fark, çalınan şeyin artık yalnızca şifreler ve kullanıcı adları değil, bizzat tokenlar olmasıdır.
Bu saldırılar özellikle MFA’nın savunmada hayati bir rol oynadığı Microsoft 365 ve benzeri platformlar için endişe vericidir. Bu nedenle soru, bu tür saldırılar karşısında MFA’nın sınırlamalarını nasıl azaltabileceğimiz ve mağdurları korumak ve veri kaybını önlemek için ek güvenlik önlemlerini nasıl uygulayabileceğimizdir.
Kimlik avı saldırılarının nasıl çalıştığını hepimiz biliyoruz: ikna edici bir URL kullanarak kurbanı görünüşte orijinal bir web sayfasına yönlendirin ve ardından oturum açmasını bekleyin, girilen tüm kimlik bilgilerini alın, durulayın ve tekrarlayın. Bu yaygın olgu, bir kullanıcı adı/şifrenin başarılı bir şekilde gönderilmesinin ardından erişimi yetkilendirmek için bir kod iletmek üzere anlık bildirimlerin, kısa mesajların, e-postanın ve diğer ortamların kullanılabileceği MFA’nın yükselişine yol açtı. Dakikalarca süren bu MFA kodlarının, düşük seviyeli siber suçlara karşı güçlü bir yanıt olduğu kanıtlanmıştır.
Ancak siber suçlular, savunma güvenliği profesyonellerinden daha yaratıcı olmayabilir. Kısa süre sonra, kimlik avı sayfası ile meşru hedef arasında bir vekil görevi görerek, hem girilen kimlik bilgilerini iletebileceklerini hem de bir MFA mücadelesinin başarıyla tamamlanması için hedef uygulama tarafından verilen belirteçleri ele geçirebileceklerini keşfettiler. Bu tokenlar daha sonra kötü aktör tarafından oturumu etkili bir şekilde ele geçirmek için kullanılabilir.
Böyle bir yaklaşım, Token Kimliğe Bürünme Saldırısı (TIA) veya Ortadaki Saldırgan (AitM) saldırısı olarak bilinir ve birçok uzman bunların artık Microsoft 365 gibi ortamları hedeflemek için başvurulacak kimlik avı taktiği olduğuna inanıyor.
MFA uzun süredir güvenlik açısından sihirli bir çözüm olarak görülüyor. Ancak TIA’ların yükselişi onların kurşun geçirmez olmadığını gösteriyor. Bu, koşullu erişim olarak bilinen ek kimlik katmanlarını dahil ederek kimlik doğrulamayı güçlendirmemiz gerektiği anlamına gelir. Bu, yöneticilerin normal kullanıcı adı, şifre ve belirtecin yanı sıra ekstra tanımlayıcı faktörler talep etmesine olanak tanır.
Bu tür ekstra faktörler, yetkili bir konumun doğrulanması olabilir: IP adresi aracılığıyla belirli ülkelerden veya belirli cihazlardan. Bu ek kontroller genellikle kapalı kapılar ardında gerçekleştirilir ve son kullanıcıya karşı şeffaftır.
Kullanıcıların, özellikle de yoğun seyahat ediyorlarsa, konum sınırlamasından her zaman memnun olmadıklarını da belirtmekte fayda var. Kalıcı/süre sınırlı istisnaların getirilmesi bir bakım yükü oluşturabilir ve bu gibi durumlarda, bunların yönlendirilmesi için kurumsal bir VPN’in konuşlandırılması, bilinen iyi bir ağ geçidine izin verilen erişimin kısıtlanmasına yardımcı olabilir.
Yetkilendirilmiş cihazlara erişimi kısıtlayarak TIA’lara karşı koruma sağlamak, söylendiğinden daha kolaydır: birçok kuruluş, güncel bir kurumsal varlık ve cihaz envanterine sahip değildir; biz de gerçekten başlamak istediğimiz yer burasıdır. Özellikle hibrit çalışmanın ve WFH’nin yükselişinden bu yana, önemli miktarda ‘gölge BT’ (kurumsal hesaplara erişim için kullanılan ancak kurumsal envanterde bulunmayan cihazlar) ortaya çıktı. İlk olarak, beş yıl önce sakladığınız o eski varlık listesinin güncellenmesi gerekebilir!
Kimin neyi, nerede kullandığını öğrendikten sonra, hem cihaz türlerine hem de konumlarına kısıtlamalar uygulamaya başlamaya hazırsınız demektir. Ancak koşullu erişimi dağıtmanın büyük bir adım olduğunu unutmayın. Değişiklikler iyi bir şekilde iletilmezse ve kullanıcılar ‘neden’ konusunda karanlıkta bırakılırsa, entegrasyon sorunlarının ve istisna isteklerinin kısa sürede gelen kutunuzu doldurmasını beklemelisiniz. Bu büyüklükteki değişiklikler, herkesi işin içine katmak için tepeden tırnağa liderlik ve bütçe gerektirir.
TIA’lar bağlamında MFA’nın artık tek başına amaca uygun olmadığı açıktır. Bu, koşullu erişimin şimdi ve gelecekte daha fazla rol oynaması gerektiği anlamına gelir. Kullanıcıların yetkili bir cihaz üzerinde ve yetkili bir konumda çalıştıklarını göstermelerini sağlayarak TIA’lar şimdilik durdurulabilir. Bilgisayar korsanları ve kötü aktörler yaklaşımlarını değiştirip yeni teknikler keşfettikçe, kimlik doğrulamaya yönelik yeni yaklaşımları benimsemek ve benimsemek hem yöneticilerin hem de kullanıcıların sorumluluğundadır.
