Zayıf kimlik bilgileri politikaları ve yama uygulama konusunda gevşek bir yaklaşım, 2022’de kuruluşlar için BT güvenlik hatalarının en yaygın noktaları arasında yer alırken, araçların düzgün bir şekilde yapılandırılmaması, kuruluşları saldırılara açık bırakabilir.
Bu, siber güvenlik firması Horizon3.ai tarafından yakın zamanda yapılan ve yaklaşık 1 milyon varlığı değerlendiren yaklaşık 7.000 sızma testinin bulgularına dayanan bir araştırmaya göre.
Horizon3.ai’nin 2022’de tespit ettiği ilk 10 güvenlik açığı arasında, zayıf veya yeniden kullanılan kimlik bilgilerinin kullanımı listenin başında yer alırken, bunu protokollerde (SSH ve FTP) zayıf veya varsayılan kimlik bilgisi kontrolleri ve Windows veya Linux ana makinelerinden Dark Web kimlik bilgisi dökümlerini kullanan tehdit aktörleri izledi. .
CISA’nın Rutin Olarak İstismar Edilen İlk 15 Güvenlik Açıkları listesindeki kritik güvenlik açıklarından yararlanma ve kritik VMware güvenlik açıklarından yararlanma ilk beşi tamamladı.
Horizon3.ai’nin siber tehdit istihbaratı analisti Corey Sinclair, profesyonellerin güvenlik, işlevsellik ve kullanılabilirlik olmak üzere üç faktörü dengeleyerek zorlandığını açıklıyor. Son kullanıcının gereksinimleri, kullanılabilirlik ve işlevsellik, genellikle en iyi güvenlik uygulamalarıyla çelişir veya çelişir.
“Kendi yükümüzü hafifletmek için, biz bireyler olarak zordan çekinme ve kolay ve kullanışlı olana yönelme eğilimindeyiz” diyor. “Bu, daha az veya daha kolay kimlik bilgisi gereksinimlerine sahip olmak anlamına gelir.”
Bu nedenle bireyler, her şey için benzersiz parolalara sahip olmaları gerektiğini bildiklerinde kimlik bilgilerini yeniden kullanma eğilimindedir ve kuruluşlar, daha güçlü kimlik bilgisi gerekliliklerini uygulamakta veya şirket çapında bir parola çözümüne yatırım yapmakta başarısız olur.
Sinclair, bazen şirketlerin yeni bir teknoloji çevrimiçi duruma getirildiğinde geri dönüp varsayılan kimlik bilgilerinin değiştirilip değiştirilmediğini kontrol etmeyi bilmediklerini ekliyor.
Yakın zamanda bilgi hırsızı kötü amaçlı yazılım ortamını araştıran Accenture’ın Siber Tehdit İstihbarat ekibine (ACTI) göre, güvenlik ekipleri dikkat etmelidir: Ağları ihlal etmek için çalınan kimlik bilgilerini ve sosyal mühendisliği kullanmanın başarılı kombinasyonu, Dark Web’de bilgi hırsızlarına olan talebi artırıyor. 2022.
Bu rapor ayrıca, kötü niyetli aktörlerin yüksek profilli ihlaller gerçekleştirmek ve çok faktörlü kimlik doğrulama (MFA) yorgunluk saldırılarından yararlanmak için çalınan kimlik bilgilerini ve sosyal mühendisliği bir araya getirdiği konusunda uyarıda bulundu.
Yama Uygulaması ve Yanlış Yapılandırmalar Ağrılı Bir Noktadır
Anket ayrıca, bilinen kritik güvenlik açıklarından düzenli olarak yararlanıldığını, Docker ve Kubernetes dahil olmak üzere popüler DevOps araçları ve kaynaklarının yanlış yapılandırmalar ve güvenlik açıklarıyla dolu olduğunu da ortaya çıkardı.
Sinclair, “Yamalama ve yanlış yapılandırmalar, temelde ölçeklendirme ve önceliklendirmeye indirgenir,” diyor. “Bir şirketin BT departmanının boyutuna ve altyapısına bağlı olarak, bir şirketin yamalanması veya yapılandırılması gerekenleri ne kadar hızlı ve etkili bir şekilde bulabileceğini belirleyecektir.”
Ek olarak, tüm kuruluşlar neye yama yapılacağını ve önce neyin yamalanması gerektiğine nasıl öncelik verileceğini bilmiyor.
“Her gün yayınlanan çok sayıda CVE ve güvenlik açığıyla, çoğu şirket, tehdit aktörleri bunları istismar etmeden önce önemli olanları düzeltmek şöyle dursun, bunlara ayak uydurmakta zorlanıyor” diye ekliyor.
Onun bakış açısına göre şirketler, çevrelerine saldırganın gözünden baktıkları farklı bir güvenlik yaklaşımı benimsemelidir.
“Çevrelerini görmeleri ve önceliklerini belirlemeleri gerekiyor. [fixes] gerçekte neyin erişilebilir, savunmasız ve istismar edilebilir olduğunu temel alır” diyor. “Bu zihniyet değişikliği, şirketin rakiplerinin bir adım önünde kalmasını sağlarken, çevrelerinin güvenlik duruşunda sürekli bir nabız atmasını sağlıyor.”
Hatalı yapılandırmalara yama veya inceleme yapacak zamanı veya yeteneği olmayan kuruluşlar, güvenliği artırmanın bir hizmet olarak yama (PaaS) yöntemini bulabilir, ancak başarılı bir program doğru ve sağlam varlık yönetimi araçları gerektirecektir; müşterinin ortamı, diye ekliyor.
2023’te Multifactor Teknolojilerinin Kabulü
Sinclair, 2023’ün siber güvenlik savunma cephesine ne getireceğini söylemek için “çok erken” olsa da, kimlik bilgilerinin yeniden kullanılması ve zayıf kimlik bilgilerine karşı mücadeleye yardımcı olmak için yeni çok faktörlü teknolojileri benimseyen daha fazla şirket olacağına inanıyor. .
“Bu teknolojileri benimseyerek, siber tehdit aktörlerini sömürülecek başka güvenlik açıkları ve zayıflıklar bulmaya itecek” diyor. “Siber güvenlik dünyası her zaman değişiyor ve gelişiyorken, kötü niyetli siber tehdit aktörlerinden bir adım önde olmak çok önemli.”