Kimliğe dayalı saldırılara karşı gerçek zamanlı olarak savunun

14. Haziran 2022
| Yorum yok
Kimliğe dayalı saldırılara karşı gerçek zamanlı olarak savunun

Gönderiyi paylaş

Kaynaklara erişmek için güvenliği ihlal edilmiş kimlik bilgilerini kötüye kullanan kimlik tabanlı saldırılar, kurumsal güvenlik savunmalarında bir kör noktadır. Örneğin, kötü amaçlı yazılım, kötü amaçlı veri erişimi ve bunların sızdırılması gibi çeşitli saldırı türlerine karşı gerçek zamanlı koruma çözümleri bulunurken, saldırganların geçerli ancak güvenliği ihlal edilmiş kimlik bilgileriyle kimlik doğrulaması yaptıkları bir senaryoya karşı koruma yoktur.

Bu nedenle, bu saldırılara etkili bir şekilde karşı koymak için bir paradigma değişikliği gereklidir. Kullanıcı kimlikleri, belirli özelliklere ve niteliklere sahip farklı saldırı vektörleri olarak ele alınmalıdır. Bu makale, mevcut güvenlik portföylerinin kimliğe dayalı saldırılara karşı neden başarısız olduğunu ve şirketlerin kendilerini bu tehditlere karşı korumak için hangi önlemleri alabileceklerini incelemektedir.

Yaygın kimlik tabanlı saldırılara genel bakış

Hedef kaynaklara erişmek için güvenliği ihlal edilmiş kimlik bilgilerini kullanan kimlik tabanlı saldırılar, bir SaaS uygulamasını kaba kuvvetle zorlamak gibi bağımsız bir eylem olabilir veya bir bilgisayar korsanının şirket içi ağda yanal hareketi gibi daha geniş bir saldırının parçası olabilir. Aşağıdaki diyagram, kuruluşların tipik olarak karşılaştığı ortak kimlik tabanlı saldırıları özetlemektedir.

Hızlı büyüyen saldırı vektörü

Güvenlik firması Digital Shadows'un 2020 tarihli From Exposure to Takeover raporuna göre, dark web'de satılık 15 milyardan fazla kimlik bilgisi var. Bu sayı, dünya çapında şirketlerin karşı karşıya olduğu sorunun büyüklüğünün bir göstergesidir.

IBM Bir Veri İhlalinin Maliyeti Raporu 2021, 2021'deki en yaygın ilk saldırı vektörünün güvenliği ihlal edilmiş kimlik bilgileri olduğunu da ortaya koyuyor. Bunlar, güvenlik ihlallerinin yüzde 20'sinden sorumluydu ve geçen yılki liderliğini koruyordu. Ek olarak rapor, çalınan/tehlikeye atılan kimlik bilgilerinin neden olduğu güvenlik ihlallerinin, tespit edilmesinin (250 gün ile) ve muhafaza altına alınmasının (91 gün) ve toplamda ortalama 341 gün sürdüğünü belirtmektedir. Ayrıca, raporun en maliyetli saldırı vektörü olarak bulduğu iş e-postası güvenliğinin aşılmasının, esasen güvenliği ihlal edilmiş kimlik bilgilerinin özel bir durumu olduğu da belirtilmelidir.

Tutarsız korumalar ve kör noktalar

Kimlik tabanlı saldırılar, günümüz güvenlik sistemindeki zafiyetlerle karşılaşmaktadır. İlk olarak, koruma farklı ürünlere ve ekiplere dağıtılır – SaaS uygulamalarına ilk kez erişime karşı CASB, yerel yanal harekete karşı Uç Nokta Koruma Platformu (EPP), kötü niyetli uzak bağlantılara karşı Yeni Nesil Güvenlik Duvarları vb. İkinci olarak, bu güvenlik önlemlerinin hiçbiri, güvenliği ihlal edilmiş kimlik bilgileriyle kötü niyetli kimlik doğrulamaya karşı gerçek zamanlı koruma sağlama konusunda doğası gereği yetersizdir. Bunun nedeni basit: Bu ürünler bunun için tasarlanmamıştır.

Gerçek zamanlı koruma çok önemlidir

Herhangi bir siber korumanın özü, aşağıdaki yeteneklere dayanır:

  • BT ortamındaki belirli bir etkinliğin izlenmesi.
  • Bu aktivitede kötü niyetli davranışın tespiti.
  • Kötü amaçlı olarak algılanırsa etkinliğin sonlandırılması.

Bu nedenle temel güvenlik gereksinimi, kötü niyetli etkinliği tespit edilir edilmez bloke ederek gerçek zamanlı koruma yeteneğidir.

Bu kavramın nasıl gösterilebileceğine bir örnek, bir Uç Nokta Koruma Platformu (EPP) çözümüdür: Bir iş istasyonuna veya sunucuya bir EPP aracısı yüklenir ve çalışan tüm işlemleri izleyebilir, belirli bir işlemin kötü niyetli davranış sergilediğini algılayabilir ve sonlandırabilir. gerekirse tamamen işleyin. Çözüm bunun için geliştirildi. Ve gerçekten de EPP, istismarları, kötü amaçlı yazılımları, komut dosyalarını, kötü amaçlı makroları ve anormal işlem davranışı olarak kendini gösteren tüm tehditleri durdurma konusunda harika bir iş çıkarıyor.

EPP'nin temel değeri, kötü amaçlı etkinliği gerçek zamanlı olarak durdurabileceği bir yere yerleştirilmiş olmasıdır. Bu, her biri kendi alanında olan diğer güvenlik ürünleri için de geçerlidir - ağ trafiği için güvenlik duvarları, dosya erişimi için DLP ve daha fazlası.

Kimliğe dayalı saldırılara karşı gerçek zamanlı koruma

Kimlik tabanlı saldırılar, meşru kimlik doğrulaması gibi görünen işlemleri gerçekleştirmek için güvenliği ihlal edilmiş kimlik bilgilerini kullanır. Bu nedenle, bu tür bir tehdide karşı gerçek zamanlı koruma sağlamak için, yalnızca bir kimlik doğrulama girişimini güvenilir bir şekilde kötü amaçlı olarak işaretleyebilmekle kalmayıp, aynı zamanda proaktif olarak önleyebilmeniz gerekir. Hiçbiri kimlik doğrulama sürecine katılmak üzere tasarlanmadığından, bu görev herhangi bir klasik güvenlik ürününün kapsamı dışındadır.

Örneğin, bir bilgisayar korsanı hasta sıfır bilgisayarından ek bilgisayarlara yayılmak için PsExec kullanarak bir yanal hareket saldırısı gerçekleştirirse, bir uç nokta koruma platformunun aracısı bir PsExec işleminin çalıştığını algılayabilir. Ancak ajan, Patient Zero makinesindeki saldırganın başka bir makinede oturum açmak için güvenliği ihlal edilmiş kimlik bilgilerini Active Directory'ye gönderdiği tam kimlik doğrulama döngüsünde hiçbir rol oynamaz. Aracı, belirli bir kimlik doğrulamanın gerçekten kötü amaçlı olduğunu tespit etse bile, bu konuda hiçbir şey yapamaz.

Gerçek zamanlı kimlik koruması, kimlik sağlayıcıyla başlar

Aslında, günümüz ortamında bu tür bir korumayı uygulayabilen yegane bileşenler, tüm kimlik doğrulama etkinliklerinin merkezinde yer aldıkları için kimlik sağlayıcıların kendileridir. Ve bu her türlü kaynak için geçerlidir: SaaS uygulamalarında hesapların ele geçirilmesini önlemek için mevcut bulut kimlik sağlayıcısı kullanılmalıdır. Fidye yazılımının otomatik olarak yayılmasını önlemek için şirket içi dizin (çoğu durumda Active Directory) kullanılmalıdır.

🔎 Kimlik tabanlı saldırı dizisi (Resim: Silverfort).

Sorun şu ki çoğu durumda kimlik sağlayıcılar aldıkları şifreyi doğrulamaktan öteye geçmiyor. Hasta Sıfır makinesindeki saldırgan, güvenliği ihlal edilmiş kimlik bilgileriyle başka bir bilgisayara erişmeye çalışırsa, Active Directory sağlanan geçerli kimlik bilgilerinin kötüye kullanıldığını tespit edemez.
Örneğin, kimlik sağlayıcılar, kimliğe dayalı saldırılara karşı gerçek zamanlı koruma sağlamada kilit bir bileşen olsa da, mevcut haliyle bu korumayı tam olarak sağlayamazlar.

Yeni teknoloji güvenlik açığını kapatıyor

Unified Identity Protection, kimlik sağlayıcı tarafından ilk oturum açma doğrulamasına ek olarak hem risk analizi hem de proaktif önleme özellikleri eklemek için tüm mevcut kimlik sağlayıcılarla yerel olarak entegre olan yeni bir teknolojidir. Bir kimlik sağlayıcı bir erişim talebi aldığında, doğrulama için Unified Identity Protection çözümüne iletilir.

Çözüm, kuruluşun tüm kimlik sağlayıcılarından bu verileri alarak, tüm kaynaklarda her kullanıcının tam kimlik doğrulama etkinliğini elde eder. Bu eksiksiz verilerle, teknoloji daha sonra her kimlik doğrulama girişiminin riskini analiz edebilir. Analiz sonuçlarına bağlı olarak, bir risk motoru, kullanıcının istenen kaynağa erişmesine izin verilip verilmeyeceğine ve çok faktörlü kimlik doğrulamasından geçip geçmeyeceğine karar verir. Buna dayanarak, sorumlu kimlik sağlayıcı, kullanıcıya erişim izni verir veya reddeder. Bu birleşik yaklaşım, her türlü kimlik tabanlı saldırıya karşı korumanın merkezileştirilmesini sağlar.

Bugünün savunmasındaki kör nokta, saldırganın yanal hareketini bir uç nokta sorunu, SaaS hesabının ele geçirilmesini bir SaaS erişim sorunu ve bir ağa kötü niyetli uzaktan erişimi bir ağ sorunu olarak görme zihniyetinden kaynaklanmaktadır. Bununla birlikte, özünde, bu örneklerin tümü, güvenliği ihlal edilmiş bir kimlik bilgisi tehdidinin farklı tezahürleridir. Yalnızca kimlik doğrulama ve erişim girişimlerinin gerçekleştiği yerlere güvenlik kontrolleri yerleştirilerek çözülebilecek bir sorun.

Daha fazlası Silverfort.com'da

 

Silverfort Hakkında

Silverfort, kimliğe dayalı saldırıları azaltmak için kurumsal ağlar ve bulut ortamları genelinde IAM güvenlik kontrollerini birleştiren ilk birleşik kimlik koruma platformunu sağlar. Yenilikçi aracısız ve proxy'siz teknolojiyi kullanan Silverfort, tüm IAM çözümleriyle sorunsuz bir şekilde entegre olur, risk analizlerini ve güvenlik kontrollerini birleştirir ve kapsamlarını yerel ve eski uygulamalar, BT altyapısı, dosya sistemleri, komut satırı gibi daha önce korunamayan varlıkları kapsayacak şekilde genişletir. araçlar, makineden makineye erişim ve daha fazlası.

 

Konuyla ilgili makaleler

5G ortamları için koruma sağlayan siber güvenlik platformu

Siber güvenlik uzmanı Trend Micro, kuruluşların sürekli genişleyen saldırı yüzeyini korumaya yönelik platform tabanlı yaklaşımını açıklıyor. ➡ Devamını oku

Veri manipülasyonu, hafife alınan tehlike

Her yıl 31 Mart Dünya Yedekleme Günü, güncel ve kolay erişilebilir yedeklemelerin öneminin bir hatırlatıcısıdır ➡ Devamını oku

Güvenlik riski olarak yazıcılar

Kurumsal yazıcı filoları giderek kör nokta haline geliyor ve verimlilikleri ve güvenlikleri açısından çok büyük sorunlar yaratıyor. ➡ Devamını oku

Yapay Zeka Yasası ve veri korumasına ilişkin sonuçları

Yapay Zeka Yasası ile yapay zekaya yönelik ilk yasa onaylandı ve yapay zeka uygulamaları üreticilerine altı ay ila ➡ Devamını oku

Windows işletim sistemleri: Neredeyse iki milyon bilgisayar risk altında

Windows 7 ve 8 işletim sistemleri için artık herhangi bir güncelleme bulunmamaktadır. Bu, açık güvenlik boşlukları anlamına gelir ve bu nedenle değerli ve ➡ Devamını oku

Kurumsal Depolamadaki yapay zeka, fidye yazılımlarıyla gerçek zamanlı olarak savaşır

NetApp, fidye yazılımlarıyla mücadele etmek için yapay zekayı (AI) ve makine öğrenimini (ML) doğrudan birincil depolamaya entegre eden ilk şirketlerden biridir ➡ Devamını oku

Sıfır Güven Veri Güvenliği için DSPM ürün paketi

Veri Güvenliği Duruş Yönetimi - kısaca DSPM - şirketlerin çokluğa karşı siber dayanıklılık sağlamaları açısından çok önemlidir ➡ Devamını oku

Veri şifreleme: Bulut platformlarında daha fazla güvenlik

Son zamanlarda Trello gibi çevrimiçi platformlar sıklıkla siber saldırıların hedefi oluyor. Bulutta daha etkili veri şifrelemeyi sağlayan 5 ipucu ➡ Devamını oku

Halkla İlişkiler Mesajları
, , ,