Asla güvenme, her vakit doğrula

Araştırmalar,  çalınan kimlik bilgilerinin kullanımının siber hatalıların birinci erişimi elde etmek için kullandığı en tanınan yollardan biri olduğunu ortaya koyuyor. İddialara nazaran, 2024 yılında global işletmelerden 3,2 milyardan fazla kimlik bilgisi çalındı ve bu sayı yıllık  yüzde 33 artış gösterdi. Bu kimlik bilgileri sayesinde kurumsal hesaplara erişim sağlayan tehdit aktörleri, bir sonraki atılımlarını planlarken tesirli bir biçimde gölgede kalabiliyorlar.  Siber güvenlik şirketi ESET bu nedenle sağlam siber güvenlik sınırlarının oluşturulmasının çok kıymetli olduğunun altını çizdi. 

Siber hatalılar ele geçirdikleri  kimlik bilgileri sayesinde bir sonraki adımda peşine düşülecek dataları, varlıkları ve kullanıcı müsaadelerini aramak için ağ keşfi yapabiliyorlar ya da komuta ve denetim sunucusuyla gizlice irtibat kurarak makus gayeli yazılım indirme ve dataları sızdırma yoluna başvurabiliyorlar.

Siber hatalılar parolaları nasıl ele geçirirler?

Tehdit aktörleri, çalışanların kurumsal kimlik bilgilerini yahut birtakım durumlarda MFA kodlarını ele geçirmek için çeşitli usuller geliştirmiştir. 

Oltalama: Resmî bir kaynaktan (BT departmanı yahut teknoloji tedarikçisi) gönderilmiş üzere görünen uydurma e-postalar yahut metin iletileri. Alıcı, uydurma bir oturum açma sayfasına yönlendiren makus hedefli bir ilişkiye tıklamaya teşvik edilir.

Vishing: Kimlik avının bir çeşididir fakat bu sefer kurban tehdit aktöründen bir telefon alır. BT yardım masası üzere davranarak kurbandan bir parola vermesini yahut hayali bir kıssa uydurarak yeni bir MFA aygıtı kaydetmesini isteyebilirler. Ya da yardım masasını arayarak işini yapmak için acil bir parola sıfırlamasına muhtaçlık duyan bir yönetici yahut çalışan olduğunu sav edebilirler. 

Bilgi hırsızları: Kurbanın bilgisayarından yahut aygıtından kimlik bilgilerini ve oturum çerezlerini toplamak için tasarlanmış berbat maksatlı yazılımlar. Makûs maksatlı bir kimlik avı ilişkisi yahut eki, güvenliği ihlal edilmiş bir web sitesi, tuzaklı bir taşınabilir uygulama, toplumsal medya dolandırıcılığı yahut hatta resmî olmayan oyun modu aracılığıyla ulaşabilir. 

Kaba kuvvet akınları: Bunlar, saldırganların daha evvel ele geçirilmiş kullanıcı adı/parola kombinasyonlarını kurumsal sitelere ve uygulamalara karşı denedikleri kimlik bilgisi doldurma ataklarını içerir. Parola püskürtme ise farklı sitelerde yaygın olarak kullanılan parolaları kullanır. Otomatik botlar, bunlardan biri sonunda işe yarayana kadar bunu büyük ölçekte yapmalarına yardımcı olur.

Üçüncü taraf ihlalleri: Saldırganlar, MSP yahut SaaS sağlayıcıları üzere müşterilerinin kimlik bilgilerini depolayan bir tedarikçiyi yahut ortağı ele geçirir. Ya da sonraki hücumlarda kullanmak üzere, daha evvel ele geçirilmiş oturum açma “kombinasyonlarını” toplu olarak satın alırlar.

MFA atlatma: Bu teknikler ortasında SIM takası, amacı push bildirimleriyle boğarak “uyarı yorgunluğu” yaratıp push onayı almayı amaçlayan MFA prompt bombing ve saldırganların kullanıcı ile yasal kimlik doğrulama hizmeti ortasına girerek MFA oturum jetonlarını ele geçirdikleri “ortadaki düşman (AitM)” hücumları yer alır.

Tüm bunlar, çalışanların parolalarını müdafaayı, oturum açma süreçlerini daha inançlı hâle getirmeyi ve BT ortamını ihlal belirtileri açısından daha yakından izlemeyi her zamankinden daha değerli hâle getiriyor. Bunun birden fazla, “asla güvenme, her vakit doğrula” prensibine dayanan Sıfır İtimat yaklaşımını izleyerek gerçekleştirilebilir. Bu, etrafta ve akabinde kısımlara ayrılmış bir ağ içinde çeşitli etaplarda risk tabanlı kimlik doğrulama benimsemek manasına gelir. Kullanıcılar ve aygıtlar, oturum açma vakti ve yeri, aygıt tipi ve oturum davranışından hesaplanabilen risk profillerine nazaran değerlendirilmeli ve puanlanmalıdır. Kuruluşun yetkisiz erişimden korunmasını güçlendirmek ve düzenlemelere ahengi sağlamak için sağlam çok faktörlü kimlik doğrulama (MFA) da vazgeçilmez bir savunma çizgisidir. 

Bu yaklaşımı, en son toplumsal mühendislik tekniklerini kullanan gerçek dünya simülasyonları da dâhil olmak üzere, çalışanlar için güncellenmiş eğitim ve farkındalık programlarıyla tamamlamalısınız. Kullanıcıların riskli siteleri  ziyaret etmesini engelleyen katı siyasetler ve araçlar da tüm sunucularda, uç noktalarda ve öbür aygıtlarda bulunan güvenlik yazılımları ve kuşkulu davranışları tespit etmek için daima izleme araçları kadar değerlidir. İkincisi, ele geçirilmiş kimlik bilgileri sayesinde ağınızın içinde bulunabilecek düşmanlarını tespit etmenize yardımcı olacaktır. Karanlık web izleme, siber cürüm dünyasında rastgele bir kurumsal kimlik bilgisinin satışa sunulup sunulmadığını denetim etmenize yardımcı olabilir.  

Özellikle şirketinizin kaynakları kısıtlıysa Yönetilen Tespit ve Müdahale (MDR) hizmeti aracılığıyla uzman bir üçüncü tarafın yardımını almayı düşünün. Toplam sahip olma maliyetini düşürmenin yanı sıra saygın bir MDR sağlayıcısı, mevzu uzmanlığı, 24 saat izleme ve tehdit avcılığı ve kimlik bilgilerine dayalı hücumların inceliklerini anlayan ve ele geçirilmiş hesaplar tespit edildiğinde olaylara müdahaleyi hızlandırabilen analistlere erişim sağlar. 

Kaynak: (BYZHA) Beyaz Haber Ajansı