Asla güvenme, her zaman doğrula

Araştırmalar,  çalınan kimlik bilgilerinin kullanımının siber suçluların ilk erişimi elde etmek için kullandığı en popüler yöntemlerden biri olduğunu ortaya koyuyor. Tahminlere göre, 2024 yılında küresel işletmelerden 3,2 milyardan fazla kimlik bilgisi çalındı ve bu rakam yıllık  yüzde 33 artış gösterdi. Bu kimlik bilgileri sayesinde kurumsal hesaplara erişim sağlayan tehdit aktörleri, bir sonraki hamlelerini planlarken etkili bir şekilde gölgede kalabiliyorlar.  Siber güvenlik şirketi ESET bu nedenle sağlam siber güvenlik hatlarının oluşturulmasının çok önemli olduğunun altını çizdi. 

 Siber suçlular ele geçirdikleri  kimlik bilgileri sayesinde bir sonraki adımda peşine düşülecek verileri, varlıkları ve kullanıcı izinlerini aramak için ağ keşfi yapabiliyorlar ya da komuta ve kontrol sunucusuyla gizlice iletişim kurarak kötü amaçlı yazılım indirme ve verileri sızdırma yoluna başvurabiliyorlar.

 Siber suçlular parolaları nasıl ele geçirirler?

Tehdit aktörleri, çalışanların kurumsal kimlik bilgilerini veya bazı durumlarda MFA kodlarını ele geçirmek için çeşitli yöntemler geliştirmiştir. 

Oltalama: Resmî bir kaynaktan (BT departmanı veya teknoloji tedarikçisi) gönderilmiş gibi görünen sahte e-postalar veya metin mesajları. Alıcı, sahte bir oturum açma sayfasına yönlendiren kötü amaçlı bir bağlantıya tıklamaya teşvik edilir.

Vishing: Kimlik avının bir çeşididir ancak bu sefer kurban tehdit aktöründen bir telefon alır. BT yardım masası gibi davranarak kurbandan bir parola vermesini veya hayali bir hikâye uydurarak yeni bir MFA cihazı kaydetmesini isteyebilirler. Ya da yardım masasını arayarak işini yapmak için acil bir parola sıfırlamasına ihtiyaç duyan bir yönetici veya çalışan olduğunu iddia edebilirler. 

Bilgi hırsızları: Kurbanın bilgisayarından veya cihazından kimlik bilgilerini ve oturum çerezlerini toplamak için tasarlanmış kötü amaçlı yazılımlar. Kötü amaçlı bir kimlik avı bağlantısı veya eki, güvenliği ihlal edilmiş bir web sitesi, tuzaklı bir mobil uygulama, sosyal medya dolandırıcılığı veya hatta resmî olmayan oyun modu aracılığıyla ulaşabilir. 

Kaba kuvvet saldırıları: Bunlar, saldırganların daha önce ele geçirilmiş kullanıcı adı/parola kombinasyonlarını kurumsal sitelere ve uygulamalara karşı denedikleri kimlik bilgisi doldurma saldırılarını içerir. Parola püskürtme ise farklı sitelerde yaygın olarak kullanılan parolaları kullanır. Otomatik botlar, bunlardan biri sonunda işe yarayana kadar bunu büyük ölçekte yapmalarına yardımcı olur.

Üçüncü taraf ihlalleri: Saldırganlar, MSP veya SaaS sağlayıcıları gibi müşterilerinin kimlik bilgilerini depolayan bir tedarikçiyi veya ortağı ele geçirir. Ya da sonraki saldırılarda kullanmak üzere, daha önce ele geçirilmiş oturum açma "kombinasyonlarını" toplu olarak satın alırlar.

MFA atlatma: Bu teknikler arasında SIM takası, hedefi push bildirimleriyle boğarak "uyarı yorgunluğu" yaratıp push onayı almayı amaçlayan MFA prompt bombing ve saldırganların kullanıcı ile meşru kimlik doğrulama hizmeti arasına girerek MFA oturum jetonlarını ele geçirdikleri “ortadaki düşman (AitM)” saldırıları yer alır.

Tüm bunlar, çalışanların parolalarını korumayı, oturum açma işlemlerini daha güvenli hâle getirmeyi ve BT ortamını ihlal belirtileri açısından daha yakından izlemeyi her zamankinden daha önemli hâle getiriyor. Bunun çoğu, "asla güvenme, her zaman doğrula" ilkesine dayanan Sıfır Güven yaklaşımını izleyerek gerçekleştirilebilir. Bu, çevrede ve ardından bölümlere ayrılmış bir ağ içinde çeşitli aşamalarda risk tabanlı kimlik doğrulama benimsemek anlamına gelir. Kullanıcılar ve cihazlar, oturum açma zamanı ve yeri, cihaz türü ve oturum davranışından hesaplanabilen risk profillerine göre değerlendirilmeli ve puanlanmalıdır. Kuruluşun yetkisiz erişimden korunmasını güçlendirmek ve düzenlemelere uyumu sağlamak için sağlam çok faktörlü kimlik doğrulama (MFA) da vazgeçilmez bir savunma hattıdır. 

Bu yaklaşımı, en son sosyal mühendislik tekniklerini kullanan gerçek dünya simülasyonları da dâhil olmak üzere, çalışanlar için güncellenmiş eğitim ve farkındalık programlarıyla tamamlamalısınız. Kullanıcıların riskli siteleri  ziyaret etmesini engelleyen katı politikalar ve araçlar da tüm sunucularda, uç noktalarda ve diğer cihazlarda bulunan güvenlik yazılımları ve şüpheli davranışları tespit etmek için sürekli izleme araçları kadar önemlidir. İkincisi, ele geçirilmiş kimlik bilgileri sayesinde ağınızın içinde bulunabilecek düşmanlarını tespit etmenize yardımcı olacaktır. Karanlık web izleme, siber suç dünyasında herhangi bir kurumsal kimlik bilgisinin satışa sunulup sunulmadığını kontrol etmenize yardımcı olabilir.  

Özellikle şirketinizin kaynakları kısıtlıysa Yönetilen Tespit ve Müdahale (MDR) hizmeti aracılığıyla uzman bir üçüncü tarafın yardımını almayı düşünün. Toplam sahip olma maliyetini düşürmenin yanı sıra saygın bir MDR sağlayıcısı, konu uzmanlığı, 24 saat izleme ve tehdit avcılığı ve kimlik bilgilerine dayalı saldırıların inceliklerini anlayan ve ele geçirilmiş hesaplar tespit edildiğinde olaylara müdahaleyi hızlandırabilen analistlere erişim sağlar.