Siber saldırılar artık teknik olarak çok yetenekli saldırganlar tarafından nadiren gerçekleştiriliyor. Şifre çözme veya güvenlik duvarlarına sızma gibi geleneksel bilgisayar korsanlığı yöntemleri geçmişte kalıyor. Bir siber saldırının anatomisi değişiyor.
Suçlular artık içeri girmiyor; sadece oturum açarlar. Bunun nedeni, zayıf, çalınmış veya başka bir şekilde güvenliği ihlal edilmiş kimlik bilgilerinin, çok az teknik beceriye sahip olsalar bile kötü niyetli aktörler için kolay bir giriş noktası oluşturmasıdır.
Çalışanlardan çalınan girişler
Düzinelerce önde gelen kullanıcı hesabını ele geçiren son Twitter ihlali, günümüzde siber saldırıların nasıl gerçekleştirildiğine dair iyi bir örnek. Sosyal medya devinin araştırmasına göre, Florida'dan 17 yaşındaki bir genç, az sayıda Twitter çalışanının kimlik bilgilerini elde etmek için sosyal mühendislik tekniklerini kullandı. Saldırgan daha sonra önemli bir dahili sisteme erişim elde etmek için bu oturum açma bilgilerini kötüye kullanabildi. Ve Twitter yalnız değil: Forrester, güvenlik ihlallerinin yüzde 80'inin artık güvenliği ihlal edilmiş kimlik bilgilerinden kaynaklandığını tahmin ediyor. Bir saldırgan ayrıcalıklı bir hesabı ele geçirirse, hassas verileri sızdırmak veya kesintilere neden olmak için ağda uzun süre fark edilmeden kapsamlı bir şekilde hareket etmek için kullanabilir.
Siber suçluların saldırı rotası
Her siber saldırı, motivasyonu ve sonucunda ortaya çıkan hasar bakımından farklılık gösterir. Ancak tüm saldırılar, hem dış hem de içeriden gelen tehditler için geçerli olan üç önemli temel bileşen içerir. Aşağıda, modern siber saldırıların sıklıkla nasıl gerçekleştiğine ilişkin bir genel bakış yer almaktadır:
1. İçeri girmenin bir yolunu bulun
Belirtildiği gibi, günümüzde suçlular genellikle saldırıları için güvenliği ihlal edilmiş kimlik bilgilerini kötüye kullanır. Oturum açma kimlik bilgilerini çalmak için genellikle kimlik avı kampanyaları gibi sosyal mühendislik tekniklerini kullanırlar. Bilgisayar korsanları, karanlık ağda satışa sunulan milyonlarca sızdırılmış kimlik bilgisinden de yararlanıyor. Sonuç olarak, birden çok hesap için aynı veya benzer parolaları kullanan kullanıcılar, bir saldırganın kimlik bilgileri doldurma veya parola püskürtme gibi teknikler kullanması durumunda risk altındadır.
2. Sistemde gezinme
Saldırgan sisteme girdikten sonra çevresini keşfetmeye ve ayrıcalıklarını artırarak ağda yanal olarak hareket etmeye ve potansiyel olarak değerli verilerle daha kritik altyapılara erişmeye çalışır. Bu aşamada bilgisayar korsanları, BT programlarına, güvenlik önlemlerine veya ağ trafiği akışlarına bakarak ortamlarını anlamaya çalışır. Ağ kaynakları, ayrıcalıklı hesaplar, etki alanı denetleyicileri ve Active Directory, genellikle ayrıcalıklı kimlik bilgilerine sahip oldukları için saldırganlar için başlıca hedeflerdir.
3. Veri hırsızlığı ve iz bırakma
Saldırganlar, değerli verilere nereden erişeceklerini öğrendikten sonra, bu verileri çıkarmak ve izlerini gizlemek için erişim ayrıcalıklarını daha da artırmanın yollarını arayacaklar. Ayrıca, örneğin gelecekte daha fazla veriyi dışarı sızdırmak için bir SSH anahtarı oluşturarak bir arka kapı da oluşturabilirler.
Günümüzün siber saldırılarına karşı korunmak için en iyi uygulamalar
Sağlam bir çevre oluşturmak ve iyi kurulmuş bir güvenlik ekibine yatırım yapmak hala çok önemlidir. Ancak, günümüzün saldırganları kötü parola uygulamalarından ve güvenli olmayan ayrıcalıklı hesaplardan giderek daha fazla yararlandıkça, kuruluşların güvenlik stratejilerini bu tehditlere göre uyarlamaları ve kimlikleri ve kimlik bilgilerini korumaya odaklanmaları gerekiyor.
Paylaşılan ayrıcalıklı kimlik bilgileri, uygun yönetim için önceliklendirilmeli ve bir parola kasasına yerleştirilmelidir. Ancak, dijital dönüşümle önemli ölçüde genişleyen ve bulut ya da DevOps gibi artan saldırı yüzeylerine sahip olan dinamik tehdit ortamına karşı savunma yapmak için kasa tek başına yeterli değildir.
En az ayrıcalık yaklaşımını uygula
Bu nedenle şirketler, bireysel insan ve makine kimliklerine dayalı en az ayrıcalık yaklaşımını uygulamalıdır. Ayrıca, hangi çalışanın veya hangi uygulamanın kaynaklara erişim talebinde bulunduğunu ve hangi nedenle olduğunu kontrol eden sistemler gerektirir. İlgili erişim ortamının riski belirlenmeli ve gereken minimum süre için yalnızca hedef nesne için izinler verilmelidir. Şirketlerin güvenlik stratejilerinde uygulamaları gereken üç nokta şunlardır:
- Sıfır güven yaklaşımı uygulamak: Sıfır güven modeli, saldırganların zaten ağda olduğunu varsayar. Bu nedenle, tamamen doğrulanana kadar hiçbir kullanıcıya veya isteğe güvenilmemelidir. O zaman, yalnızca gerektiği kadar çok izin verilerek, yalnızca en az ayrıcalıklı erişim verilmelidir. Güvenlik mimarileri bunu dikkate alacak şekilde yapılandırılmalıdır.
- Ayrıcalıklı Erişim Yönetimi için Çok Faktörlü Kimlik Doğrulamadan Yararlanma: Çok faktörlü kimlik doğrulama, basit bir güvenlik aracıdır ve ayrıcalığın yükseltildiği her yerde, bu savunmaya eklenen özel erişim bölgeleriyle birlikte kullanılmalıdır.
- Gerçek Zamanlı Risk Farkındalığı için Makine Öğrenimi: Makine öğrenimi algoritmaları, ayrıcalıklı kullanıcı davranışını izleyebilir, anormal ve riskli etkinliği belirleyebilir ve şüpheli işlemleri durdurmak için uyarılar verebilir.
Günümüzün siber suçluları, gelişmiş teknik becerilere veya yalnızca senaryo çocukları hakkında temel bilgilere sahip olabilir. Ancak, Sıfır Güven ilkelerine dayanan sağlam, kimlik merkezli, ayrıcalıklı bir erişim yönetimi planı uygulayan kuruluşlar, kritik varlıklarını artan saldırı dalgalarına karşı koruyabilir ve güvenlik ihlali riskini önemli ölçüde azaltabilir.
Daha fazlası Centrify.com'da
Thycotic Santrifüj Hakkında ThycoticCentrify, geniş ölçekte dijital dönüşüm sağlayan lider bir bulut kimliği güvenlik çözümleri sağlayıcısıdır. ThycoticCentrify'ın sektör lideri Privileged Access Management (PAM) çözümleri, bulut, şirket içi ve hibrit ortamlarda kurumsal verileri, cihazları ve kodu korurken riski, karmaşıklığı ve maliyeti azaltır. ThycoticCentrify, Fortune 14.000'ün yarısından fazlası dahil olmak üzere dünya çapında 100'den fazla lider şirket tarafından güvenilmektedir. Müşteriler arasında dünyanın en büyük finans kurumları, istihbarat teşkilatları ve kritik altyapı şirketleri yer alır. ThycoticCentrify ile insan veya makine, bulutta veya şirket içinde, ayrıcalıklı erişim güvenlidir.