Expel Güvenlik Operasyonları Direktörü Ben Brigida tarafından
Siber güvenlik dünyasında neler olup bittiğini bilmek istiyorsanız, güncel bilgilere sahip olmanıza yardımcı olur. Bu, güvenlik alanındaki daha geniş eğilimleri tartışan yıllık raporları takip etmek anlamına gelir, ancak aynı zamanda daha zamanında raporlamaya dalmak anlamına gelir. Expel’in yeni Üç Aylık Tehdit Raporu, 2022’nin üçüncü çeyreğinde (3. Çeyrek) Expel güvenlik operasyonları merkezi (SOC) tarafından belirlenen olayları inceleyerek tam da bunu yapma fırsatı sunuyor. uyarıları, e-posta gönderimlerini ve diğer tehdit avlama ipuçlarını içerir.
Rapor, kimliğe dayalı olaylarda devam eden artış ve saldırganların çok faktörlü kimlik doğrulamayı (MFA) yenmek için yeni yollar bulmaya artan odaklanması dahil olmak üzere, siber güvenlik ortamında ortaya çıkan ve devam eden bazı eğilimlerin vurgulanmasına yardımcı oluyor. Raporun tamamına buradan ulaşabilirsiniz, ancak aşağıda, şirketlerin bu yılın üçüncü çeyreğinde karşılaştığı en acil tehditlerden bazılarını gözler önüne seren bazı önemli noktalar yer almaktadır.
Saldırganlar Kullanıcıların MFA Yorgunluğunu İstismar Ediyor
Açık olmak gerekirse, MFA önemlidir; rapora dahil edilen iş uygulaması güvenliği ihlali (BAC) olaylarının yaklaşık yarısı, MFA veya koşullu erişim ilkeleri tarafından durduruldu ve bu da değerini açıkça ortaya koydu. Ne yazık ki, bu diğer yarının çatlaklardan kayıp gittiği anlamına geliyor. MFA, kuruluşların güvenlik stratejilerinde önemli bir araç olsa da tek başına yeterli değildir. Saldırganlar, onun bazı zayıflıklarından yararlanmanın yollarını belirlemeye devam ediyor. Bunların en önemlisi, çoğu kullanıcının sonunda telefonlarını çıkarıp MFA bildirimleriyle uğraşmaktan yorulması ve bu da kötü muhakemelere yol açmasıdır. Araştırma, başarılı güvenlik ihlallerinin %80’inden fazlasında, MFA ve koşullu erişim ilkelerinin uygun şekilde yüklendiğini ve yapılandırıldığını gösteriyor; saldırgan, meşru kullanıcıyı MFA isteğini yerine getirmesi için kandırmayı başardı.
Saldırganlar, tekrarlanan MFA istekleriyle hedeflerini ezici bir başarı elde ettiler. Veriler, kullanıcıların önemli bir yüzdesinin, yalnızca bildirimleri durdurmak için bile olsa sonunda isteği kabul ettiğini gösteriyor. Birçoğu güncelleme veya değişiklik yapanın muhtemelen BT ekibinin bir üyesi olduğunu düşünür ve bu konuda iki kez düşünmez. Ancak talihsiz gerçek şu ki, saldırganlar kullanıcıları potansiyel olarak ciddi bir ihlale neden olmaları için rahatsız ediyor. Bu, insan doğasını besleyen kurnazca bir taktik.
Bunu durdurmak, MFA kullanıcılarının kötü aktörlerin yanında uyum sağlamasını gerektirir. Nasıl? Kuruluşlar, bunalmış bir çalışanın düşünmeden erişim verme riskini azaltmaya yardımcı olan Hızlı Kimlik Çevrimiçi (FIDO) uyumlu bir çözüm lehine anında bildirimleri devre dışı bırakabilir. Diğer seçenekler, kimlik doğrulama talebini onaylamak için kullanıcının kimlik platformundan MFA uygulamasına numara girmesini gerektiren numara eşleştirmeyi içerir. Daha az sorunsuz olsa da, bu seçenek kullanıcının aktif katılımını gerektirir ve bu da riski büyük ölçüde azaltır.
Kimlik Saldırıları Yavaşlamıyor
Siber güvenlik endüstrisinde neredeyse bir mantra haline geldi, ancak -bir süredir olduğu gibi- kimlik tabanlı saldırılar artmaya devam ediyor. 3. Çeyrek’te, Expel SOC tarafından tespit edilen tüm olayların %59’unu oluşturdular; bu oran, 2. Çeyrek’teki %56’dan arttı; bu zaten oldukça yüksek bir sayı. İş e-postası ele geçirme (BEC) ve BAC saldırıları en yaygın taktikler arasında yer aldı ve tanımlanan tüm olayların %55’ini oluşturdu, bu da saldırganların sosyal mühendislik taktikleriyle başarıya ulaşmaya devam ettiğinin altını çiziyor.
Yine de BEC cephesinde umut var. SOC’mizin Microsoft 365’i hedef aldığını tespit ettiği tüm BEC saldırıları ve birçok uzman, Microsoft’un 4. çeyrekte Temel Kimlik Doğrulamayı varsayılan olarak devre dışı bırakma kararının sorunun çözülmesine yardımcı olabileceğine inanıyor. Saldırganlar, Temel Kimlik Doğrulamanın doğasında bulunan zayıflıklardan yararlanma konusunda son derece ustalaştılar ve Microsoft’un kararı, onları büyük olasılıkla yeni tekniklere geçmeye zorlayacaktır. Uzun vadeli bir çözüm olmayabilir, saldırganları engelleyen herhangi bir şey doğru yönde atılmış bir adımdır.
Saldırganlar Eski Taktiklere Yeni Bir Dönüş Yaptı
Özellikle saldırganların taktiklerini geliştirdiği alanlarda dikkate değer birkaç ek bulgu daha var. Fidye yazılımı önemli bir sorun olmaya devam ediyor, ancak saldırganlar, daha önce Windows’a giriş elde etmenin en popüler yolları olan Visual Basic for Application (VBA) makroları ve Excel 4.0 makrolarının kullanımını bırakarak sıkıştırılmış JavaScript veya ISO dosyalarına giderek daha fazla yöneliyor. tabanlı ortamlar. Aslında, sıkıştırılmış JavaScript dosyaları tüm fidye yazılımı öncesi olayların %46’sını oluşturuyordu ve bu da şüpheli dosyalara karşı dikkatli olunması gerektiğinin altını çiziyordu. (Bu arada, bu değişiklik büyük olasılıkla Microsoft’un Microsoft 365 uygulamalarında makroları varsayılan olarak engelleme kararı sayesinde olmuştur.)
Saldırganlar ayrıca sosyal mühendislik taktiklerini geliştirdiler ve “faturalar”, “sipariş onayları”, “ödeme” ve “istekler” ile ilgili temalar artık kimlik avı girişimlerinde e-posta konu satırlarında en sık kullanılanlar arasında. Yine de en yaygın olanı? Boş konu satırları. Bu terimler, alıcılarda bir aciliyet veya korku duygusu yaratarak muhakemelerini bulandırır ve hata yapma olasılıklarını artırır. E-posta saldırıları söz konusu olduğunda, saldırganlar ABD merkezli kuruluşları hedeflerken ABD içinde coğrafi olarak konumlanmış IP’leri de giderek daha fazla kullanıyor. Bu, koşullu erişim hafifletme çabalarını atlamalarına yardımcı olur ve güvenlik ekiplerinin ilerlemeye dikkat etmesi gereken bir şeydir. Denizaşırı IP’leri engellemek veya bunlara ek inceleme eklemek artık yeterli değil.
Saldırganların Değişen Stratejilerini Tanıyın
Bu Üç Aylık Tehdit Raporu bulguları, saldırganların yeni güvenlik önlemlerine yanıt olarak taktiklerini değiştirme yollarını vurgulamaktadır. Daha fazla kuruluş MFA’yı uyguladıkça, onu atlatmak için yöntemler buluyorlar. Kullanıcılar sosyal mühendislik taktiklerinin farkına vardıkça, düşüncelerini bozmanın yeni yollarını buluyorlar. Kuruluşlar, kimlik tabanlı saldırıları tutarlı bir şekilde durdurma yeteneğini gösterene kadar, hiçbir yere gitmiyorlar. Güvenlik ekipleri ve saldırganlar arasındaki savaş, her biri diğerinin taktiklerine geliştikçe uyum sağlayan sürekli bir kedi-fare oyunudur. Her güvenlik sorununu çözecek sihirli bir değnek yoktur, ancak bu tehditleri anlamak onları durdurmanın ilk adımıdır.
yazar hakkında
Ben Brigida, Expel’de SOC Operasyonları Direktörüdür. Bu rolde, Expel’in müşterilerin beklediği teslimat kalitesini koruduğundan emin olmaktan sorumludur. Ben, şirketin 2016’daki başlangıcından beri Expel’de çalışıyor. Expel’den önce Ben, FireEye’da güvenlik operasyonları merkezinde (SOC) çalışıyordu.
Ben’e LinkedIn aracılığıyla çevrimiçi olarak ve şirketimizin web sitesi https://expel.com/ üzerinden ulaşılabilir.