Kimlik , siber güvenlik duruşunu iyileştirmenin anahtarıdır 

Kimlik , modern ağların yeni güvenlik hattı oldu. Bu hattı korumak kritiktir.

M&S ve Co-op Group’un ortak noktası nedir? İngiltere’nin en tanınmış perakende zincirleri olmalarının yanı sıra her ikisi de kısa süre önce büyük bir fidye yazılımı saldırısının kurbanı oldu. Ayrıca her ikisi de kurumsal parolaları ele geçiren vishing saldırılarının hedefi oldu ve bu saldırılar, saldırganlara ağda kritik bir yer edinme fırsatı sağladı.

Bu kimlikle ilgili saldırılar, iki perakendeciye 500 milyon sterlin (667 milyon ABD doları) üzerinde zarara mal oldu, bunun yanı sıra hesaplanamaz bir itibar kaybı ve son müşteriler üzerinde yarattığı etki de cabası. Kritik altyapı sağlayıcıları da dâhil olmak üzere çeşitli sektörlerde faaliyet gösteren kuruluşlar için kötü haber, bunların buzdağının sadece görünen kısmı olmasıdır.

Kimlik neden önemlidir?

Kimlik neden bu kadar popüler bir saldırı vektörü hâline geldi? Bunun bir kısmı, şirketlerin bugün çalışma şeklinden kaynaklanıyor. Bir zamanlar tüm kurumsal kaynaklar ağ çevresi içinde güvenli bir şekilde yer alıyordu ve güvenlik ekipleri bu çevreyi “kale ve hendek” stratejisiyle savunuyordu. Ancak günümüzün BT ortamı çok daha dağınık. Bulut sunucularının, şirket içi masaüstü bilgisayarların, evden çalışma dizüstü bilgisayarlarının ve mobil cihazların yaygınlaşması, eski kesinliğin ortadan kalktığı anlamına geliyor. 

Kimlik, etkili bir şekilde yeni ağ çevresi hâline gelmiştir ve bu da kimlik bilgilerini çok aranan bir meta hâline getirmiştir. Verizon’a göre, geçen yılki veri ihlallerinin neredeyse dörtte birinde (22%) kimlik bilgilerinin kötüye kullanımı etkili bir faktör oldu. 

İhlallerin yaşandığı durumlar

• Infostealer kötü amaçlı yazılımları, salgın boyutlarına ulaşmaktadır. Bu yazılımlar, kimlik avı, kötü amaçlı uygulamalar, drive-by-download’lar, sosyal medya dolandırıcılığı ve daha birçok yolla kurbanların cihazlarına yüklenebilir. Bir tahmine göre, geçen yıl çalınan 3,2 milyar kimlik bilgisinin %75’i (2,1 milyar) infostealer’lar aracılığıyla elde edilmiştir.
• Oltalama, smishing ve vishing, özellikle daha hedefli saldırılarda kimlik bilgilerini toplamak için popüler yöntemler olmaya devam ediyor. Genellikle, tehdit aktörleri başarı oranlarını artırmak için hedefledikleri kişiyi araştırırlar. M&S ve Co-op’un, dış kaynaklı BT yardım masasına yönelik vishing saldırıları yoluyla ihlal edildiği düşünülmektedir.
• Kuruluşlar veya dış kaynak sağlayıcıları tarafından tutulan parola veri tabanlarını hedef alan veri ihlalleri, tehdit aktörleri için başka bir değerli kimlik bilgisi kaynağı olabilir. Bilgi hırsızları gibi bunlar da siber suç forumlarında satışa sunulur ve daha sonra kullanılır. 
• Kaba kuvvet saldırıları, otomatik araçlar kullanarak büyük miktarda kimlik bilgisini dener ve bunlardan biri işe yarayana kadar devam eder. Kimlik bilgisi doldurma, daha önce ihlal edilmiş oturum açma (kullanıcı adı/parola) kombinasyonlarının listelerini çok sayıda hesaba karşı kullanır. Parola püskürtme, yaygın parolaların bulunduğu küçük bir listeyle aynı şeyi yapar. Sözlük saldırıları ise yaygın olarak kullanılan parolaları, ifadeleri ve sızdırılmış parolaları tek bir hesaba karşı kullanır.

Kimlik tabanlı saldırılardan kaynaklanan felaket niteliğindeki güvenlik olaylarının örneklerini bulmak zor değildir. M&S ve Co-op Group vakalarının yanı sıra Colonial Pipeline vakası da vardır. Bu vakada, muhtemelen brute-force saldırısı sonucu fidye yazılımı aktörleri eski bir VPN’deki tek bir parolayı ele geçirmiş ve Amerika’nın Doğu Kıyısı’nda büyük bir yakıt kıtlığına neden olmuştur. Ayrıca İngiliz lojistik firması KNP, hackerların bir çalışanın parolasını tahmin edip kritik sistemleri şifrelemesi sonucu iflas etmek zorunda kalmıştır.

Kimlik tehditlerine genel bakış

Kimlik ihlallerinin oluşturduğu riskler, birkaç başka faktör tarafından daha da artmaktadır. En az ayrıcalık, bireylere rollerini yerine getirmeleri için yeterli erişim ayrıcalıkları verilen ve genellikle sınırlı bir süre için geçerli olan kritik bir en iyi uygulamadır. Ne yazık ki bu uygulama genellikle doğru şekilde uygulanmaz ve aşırı ayrıcalıklı hesaplara yol açar. 

Sonuç olarak, ele geçirilen kimlik bilgilerini kullanan tehdit aktörleri, ihlal edilen kuruluşun daha derinlerine ulaşabilir, yatay olarak hareket edebilir ve hassas sistemlere erişebilir. Bu durum, bir ihlalin ardından çok daha büyük bir “patlama yarıçapı” ve potansiyel olarak daha büyük hasara yol açar. Aynı sorun, kötü niyetli veya içerideki ihmalkâr kişilerin oluşturduğu riski de artırabilir.

Kimlik yayılması da bir başka büyük sorundur. BT, kullanıcılarının ve makinelerinin hesaplarını, kimlik bilgilerini ve ayrıcalıklarını doğru bir şekilde yönetmezse güvenlik kör noktaları kaçınılmaz olarak ortaya çıkar. Bu, tehdit aktörleri için saldırı yüzeyini, kaba kuvvet saldırılarının daha başarılı olmasını ve aşırı ayrıcalıklı hesapların ortaya çıkma olasılığını artırır. AI ajanlarının ortaya çıkışı ve IoT’nin sürekli büyümesi, merkezi olarak yönetilmesi gereken makine kimliklerinin sayısını büyük ölçüde artıracaktır.

Son olarak, ortaklar ve tedarikçilerden kaynaklanan tehditleri de dikkate almak gerekir. Bu, kurumsal sistemlerinize erişimi olan bir MSP veya dış kaynak sağlayıcıları, hatta bir yazılım tedarikçisi anlamına gelebilir. Fiziksel ve dijital tedarik zincirleriniz ne kadar büyük ve karmaşıksa kimlik güvenliğinin tehlikeye girme riski de o kadar artar.

Kimlik güvenliğini nasıl artırabilirsiniz? 

Kimlik güvenliğine yönelik düşünülmüş, çok katmanlı bir yaklaşım, ciddi ihlal riskini azaltmaya yardımcı olabilir. Aşağıdakileri göz önünde bulundurun:

• En az ayrıcalık ilkesini benimseyin ve bu izinleri düzenli olarak gözden geçirin/değiştirin. Bu, saldırıların etki alanını en aza indirecektir.
• Tüm çalışanlar için parola yöneticisinde saklanan güçlü, benzersiz parolalar politikası ile en az ayrıcalık ilkesini uygulayın.
• Çok faktörlü kimlik doğrulama (MFA) ile parola güvenliğini artırın, böylece bir hacker şirket kimlik bilgilerini ele geçirse bile o hesaba erişemez. Kolayca ele geçirilebilen SMS kodları yerine kimlik doğrulama uygulamaları veya anahtar tabanlı yaklaşımları tercih edin.
• Çalışanların işe alımı ve işten ayrılması sırasında hesapların otomatik olarak sağlanıp kaldırıldığı güçlü kimlik yaşam döngüsü yönetimi uygulayın. Düzenli taramalar, genellikle tehdit aktörleri tarafından ele geçirilen atıl hesapları tespit edip silmelidir.
• Kimlik bilgilerinin otomatik olarak değiştirilmesi ve tam zamanında erişim içeren ayrıcalıklı hesap yönetimi (PAM) yaklaşımıyla ayrıcalıklı hesapları güvence altına alın.
• CEO’dan aşağıya doğru tüm çalışanlar için güvenlik eğitimini yeniden gözden geçirerek kimlik güvenliğinin önemini bildiklerinden ve en son kimlik avı taktiklerini tanımlayabildiklerinden emin olun. Simülasyon alıştırmaları bu konuda yardımcı olabilir.

Sonuç

Yukarıdaki önerilerin çoğu, siber güvenliğe yönelik Sıfır Güven yaklaşımını oluşturur: “Asla güvenme, her zaman doğrula” kavramı etrafında şekillenen bir yaklaşımdır. Bu, her erişim girişiminin (insan ve makine) ağ içinde veya dışında, kimlik doğrulaması, yetkilendirme ve geçerlilik kontrolünden geçirilmesi anlamına gelir. Sistemler ve ağlar, şüpheli etkinlikler açısından sürekli olarak izlenir. 

Yönetilen tespit ve müdahale (MDR) aracı, bu noktada büyük bir değer katabilir. 7/24/365 çalışan uzman ekibi, ağınızı yakından izler ve olası saldırıları hızla tespit ederek bunların kontrol altına alınmasını ve yönetilmesini sağlar. En iyi kimlik güvenliği uygulamaları, öncelikle önleme odaklı bir yaklaşımla başlar.