Siber suçlular sistemlerinizi hackliyor mu, yoksa sadece giriş mi yapıyor?

Siber suçlular genellikle şirketlerin dijital ön kapılarından anahtarla kolayca içeri giriyorlar. İşte kendi kapınızı sıkıca kilitli tutmanın yolu

Anahtarınız ve parolanız varken neden kapıyı kırıp evin alarmını çalıştırasınız ki? Bu, siber güvenlik alanında, düşmanların giderek daha fazla parola ve hatta kimlik doğrulama jetonlarını ve oturum çerezlerini çalarak MFA kodlarını atlatmaya ve meşru kullanıcılar gibi davranarak ağlara erişmeye çalıştıkları bir eğilimin ardındaki mantıktır.  

Verizon’a göre, “çalınan kimlik bilgilerinin kullanımı” son yıllarda ilk erişim elde etmek için en popüler yöntemlerden biri olmuştur. Raporda, çalınan kimlik bilgilerinin kullanımı geçen yıl veri ihlallerinin üçte birinde (32%) görülmüştür. Ancak tehdit aktörlerinin kimlik bilgilerini ele geçirebilecekleri birkaç yol olsa da onları durdurmak için de birçok fırsat vardır. 

Kimlik bilgileri neden siber suçlular için başlangıç noktası? 

Bir tahmine göre, 2024 yılında küresel işletmelerden 3,2 milyardan fazla kimlik bilgisi çalınmış ve bu rakam yıllık %33 artış göstermiştir. Bu kimlik bilgileri sayesinde kurumsal hesaplara erişim sağlayan tehdit aktörleri, bir sonraki hamlelerini planlarken etkili bir şekilde gölgede kalabilirler. Bu, daha gelişmiş suçlu istismar biçimlerini içerebilir, örneğin: 

• Bir sonraki adımda peşine düşülecek verileri, varlıkları ve kullanıcı izinlerini aramak için ağ keşfi yapmak, 

• Yüksek değerli veri depolarına/sistemlerine ulaşmak için yanal hareket etmek amacıyla örneğin güvenlik açığı istismar yoluyla ayrıcalıkları artırmak, 

• Komuta ve kontrol (C2) sunucusuyla gizlice iletişim kurarak ek kötü amaçlı yazılım indirmek ve verileri sızdırmak. 

Bu adımları uygulayarak bir düşman son derece başarılı fidye yazılımı ve diğer kampanyalar da gerçekleştirebilir. 

Siber suçlular parolaları nasıl ele geçirirler? 

Tehdit aktörleri, çalışanlarınızın kurumsal kimlik bilgilerini veya bazı durumlarda MFA kodlarını ele geçirmek için çeşitli yöntemler geliştirmiştir. Bunlar arasında şunlar yer alır: 

• Oltalama: Resmî bir kaynaktan (ör. BT departmanı veya teknoloji tedarikçisi) gönderilmiş gibi görünen sahte e-postalar veya metin mesajları. Alıcı, sahte bir oturum açma sayfasına (ör. Microsoft) yönlendiren kötü amaçlı bir bağlantıya tıklamaya teşvik edilir. 

• Vishing: Kimlik avının bir çeşididir ancak bu sefer kurban tehdit aktöründen bir telefon alır. BT yardım masası gibi davranarak kurbandan bir parola vermesini veya hayali bir hikâye uydurarak yeni bir MFA cihazı kaydetmesini isteyebilirler. Ya da yardım masasını arayarak işini yapmak için acil bir parola sıfırlamasına ihtiyaç duyan bir yönetici veya çalışan olduğunu iddia edebilirler.  

• Bilgi hırsızları: Kurbanın bilgisayarından/cihazından kimlik bilgilerini ve oturum çerezlerini toplamak için tasarlanmış kötü amaçlı yazılımlar. Kötü amaçlı bir kimlik avı bağlantısı/eki, güvenliği ihlal edilmiş bir web sitesi, tuzaklı bir mobil uygulama, sosyal medya dolandırıcılığı veya hatta resmî olmayan oyun modu aracılığıyla ulaşabilir. Bilgi hırsızlarının geçen yıl güvenliği ihlal edilen kimlik bilgilerinin %75’inden sorumlu olduğu düşünülmektedir. 

• Kaba kuvvet saldırıları: Bunlar, saldırganların daha önce ele geçirilmiş kullanıcı adı/parola kombinasyonlarını kurumsal sitelere ve uygulamalara karşı denedikleri kimlik bilgisi doldurma saldırılarını içerir. Parola püskürtme ise farklı sitelerde yaygın olarak kullanılan parolaları kullanır. Otomatik botlar, bunlardan biri sonunda işe yarayana kadar bunu büyük ölçekte yapmalarına yardımcı olur. 

• Üçüncü taraf ihlalleri: Saldırganlar, MSP veya SaaS sağlayıcıları gibi müşterilerinin kimlik bilgilerini depolayan bir tedarikçiyi veya ortağı ele geçirir. Ya da sonraki saldırılarda kullanmak üzere, daha önce ele geçirilmiş oturum açma “kombinasyonlarını” toplu olarak satın alırlar. 

• MFA atlatma: Bu teknikler arasında SIM takası, hedefi push bildirimleriyle boğarak “uyarı yorgunluğu” yaratıp push onayı almayı amaçlayan MFA prompt bombing ve saldırganların kullanıcı ile meşru kimlik doğrulama hizmeti arasına girerek MFA oturum jetonlarını ele geçirdikleri “ortadaki düşman (AitM)” saldırıları yer alır. 

Son birkaç yıl, parolaların ele geçirilmesinin büyük güvenlik olaylarına yol açtığı gerçek dünya örnekleriyle doludur. Bunlar arasında şunlar yer almaktadır: 

• Change Healthcare: 2024 yılının en önemli siber saldırılarından birinde, fidye yazılımı grubu ALPHV (BlackCat), ABD’nin önde gelen sağlık teknolojisi sağlayıcısı Change Healthcare’i felce uğrattı. Çete, çalınan bir dizi kimlik bilgisini kullanarak çok faktörlü kimlik doğrulama (MFA) özelliği etkinleştirilmemiş bir sunucuya uzaktan erişim sağladı. Ardından ayrıcalıklarını artırarak sistemler içinde yatay olarak hareket ettiler ve fidye yazılımı yerleştirdiler. Bu da sonuçta sağlık sisteminde benzeri görülmemiş bir kesintiye ve milyonlarca Amerikalının hassas verilerinin çalınmasına yol açtı. 

• Snowflake: Finansal amaçlı tehdit aktörü UNC5537, birden fazla müşterinin Snowflake müşteri veri tabanı örneklerine erişim sağladı. Yüz milyonlarca alt müşteri, bu büyük veri hırsızlığı ve şantaj kampanyasından etkilendi. Tehdit aktörünün, daha önce bilgi hırsızı kötü amaçlı yazılım aracılığıyla çalınan kimlik bilgileriyle ortamlarına eriştiği düşünülüyor.  

Gözlerinizi dört açın 

Tüm bunlar, çalışanlarınızın parolalarını korumayı, oturum açma işlemlerini daha güvenli hâle getirmeyi ve BT ortamını ihlal belirtileri açısından daha yakından izlemeyi her zamankinden daha önemli hâle getiriyor. 

Bunun çoğu, “asla güvenme, her zaman doğrula” ilkesine dayanan Sıfır Güven yaklaşımını izleyerek gerçekleştirilebilir. Bu, “çevrede” ve ardından bölümlere ayrılmış bir ağ içinde çeşitli aşamalarda risk tabanlı kimlik doğrulama benimsemek anlamına gelir. Kullanıcılar ve cihazlar, oturum açma zamanı ve yeri, cihaz türü ve oturum davranışından hesaplanabilen risk profillerine göre değerlendirilmeli ve puanlanmalıdır. Kuruluşunuzun yetkisiz erişimden korunmasını güçlendirmek ve düzenlemelere uyumu sağlamak için sağlam çok faktörlü kimlik doğrulama (MFA) da vazgeçilmez bir savunma hattıdır. 

Bu yaklaşımı, en son sosyal mühendislik tekniklerini kullanan gerçek dünya simülasyonları da dâhil olmak üzere, çalışanlar için güncellenmiş eğitim ve farkındalık programlarıyla tamamlamalısınız. Kullanıcıların riskli siteleri (bilgi hırsızlarının gizlenebileceği siteler) ziyaret etmesini engelleyen katı politikalar ve araçlar da tüm sunucularda, uç noktalarda ve diğer cihazlarda bulunan güvenlik yazılımları ve şüpheli davranışları tespit etmek için sürekli izleme araçları kadar önemlidir. İkincisi, ele geçirilmiş kimlik bilgileri sayesinde ağınızın içinde bulunabilecek düşmanlarını tespit etmenize yardımcı olacaktır. Gerçekten de kuruluşların, en az ayrıcalık ilkesi gibi yöntemlerle, ele geçirilmiş bir hesabın verebileceği zararı azaltmanın bir yolunu bulması gerekir. Son olarak, karanlık web izleme, siber suç dünyasında herhangi bir kurumsal kimlik bilgisinin satışa sunulup sunulmadığını kontrol etmenize yardımcı olabilir.  

Daha genel olarak, özellikle şirketinizin kaynakları kısıtlıysa Yönetilen Tespit ve Müdahale (MDR) hizmeti aracılığıyla uzman bir üçüncü tarafın yardımını almayı düşünün. Toplam sahip olma maliyetini düşürmenin yanı sıra saygın bir MDR sağlayıcısı, konu uzmanlığı, 24 saat izleme ve tehdit avcılığı ve kimlik bilgilerine dayalı saldırıların inceliklerini anlayan ve ele geçirilmiş hesaplar tespit edildiğinde olaylara müdahaleyi hızlandırabilen analistlere erişim sağlar.