Yeni savaş alanı, kimlik

Ulus devlet aktörleri kaynaklı siber saldırılar yükselişte. Ellerinde ne kadar geniş imkanlar olursa olsun bu gruplar çoğunlukla kolayca tahmin edilebilen parolaları ele geçirme gibi basit taktikler kullanıyor. Bu sayede müşterilerin hesaplarına hızlı ve kolay bir şekilde erişebiliyorlar. Kurumsal saldırılar söz konusu olduğundaysa bir kurumun ağına sızmayı başaran ulus devlet aktörleri, gerek dikey olarak benzer kullanıcı ve kaynaklar arasında hareket etmek gerekse yatay olarak daha değerli kimlik bilgilerine ve kaynaklara erişim elde etmek amacıyla bunu bir mevzi olarak kullanabilir.

Ulus devlet aktörlerinin parolaları çalmak veya tahmin etmek için kullandığı temel taktikler arasında hedefli kimlik avı, sosyal mühendislik saldırıları ve büyük ölçekli parola spreyleri yer alıyor. Microsoft, saldırganların hangi taktik ve tekniklere yatırım yaptığını ve hangilerinin başarılı olduğunu gözlemleyerek meslek ve başarı sırlarına ilişkin içgörüler elde ediyor. Kullanıcı kimlik bilgileri düzgün yönetilmediği veya çok faktörlü kimlik doğrulaması (MFA) ve parolasız güvenlik özellikleri gibi hayati tedbirlerden mahrum kaldığı sürece ulus devlet aktörleri aynı basit taktikleri kullanmaya devam edecektir.

Basitliği ve düşük maliyeti sayesinde kimlik odaklı saldırılar bu aktörler için hem kullanışlı hem de etkili olduğundan, MFA’yı zorunlu hale getirme veya parolasız bir çözüme geçme ihtiyacının altını ne kadar çizsek az. MFA, kurumların kimlik ve erişim yönetimi için kullanması gereken tek araç olmasa da güçlü bir caydırıcı faktör olabilir.

Rusya’ya bağlı bir ulus devlet aktörü olan NOBELIUM’un vazgeçilmez silahlarından biri, kimlik bilgilerinin kötüye kullanımıdır. Bununla birlikte, İran’a bağlı DEV 0343 gibi diğer saldırganlar tarafından parola spreyleri de kullanılıyor. Askeri radarlar, dron teknolojileri, uydu sistemleri ve acil durum iletişim sistemleri üreten savunma şirketlerini hedefleyen DEV-0343 faaliyetlerinde artış gözlendi. Basra Körfezi’ndeki bölgesel giriş limanlarının yanı sıra ticari faaliyetleri Orta Doğu odaklı olan çeşitli denizcilik ve yük taşımacılığı şirketlerine yönelik saldırılar da gerçekleşti.

Çok faktörlü kimlik doğrulamasını etkinleştirin: Bunu yaparak yanlış kişilerin parolaları ele geçirme riskini azaltabilirler. Hatta bununla da yetinmeyip parolasız MFA sayesinde parolaları tamamen devre dışı bırakabilirler.

Hesap ayrıcalıklarını sıkı denetleyin: Ayrıcalık erişim haklarına sahip hesaplar, ele geçirilmeleri halinde saldırganların ağlara ve kaynaklara daha fazla yetkiyle erişmek için kullanabileceği güçlü silahlara dönüşür. Güvenlik ekipleri, çalışanların işini yapması için gerekli en düşük ayrıcalık düzeyini aşmama prensibine bağlı kalarak erişim ayrıcalıklarını sık sık denetlemelidir.

Tüm kiracı yöneticisi hesaplarını gözden geçirin, sağlamlaştırın ve takibe alın: Güvenlik ekipleri, kiracı yöneticisi olan tüm kullanıcılarını veya temsilcili yönetim ayrıcalıklarıyla ilişkili hesapları kapsamlı bir incelemeden geçirerek kullanıcıların ve etkinliklerin gerçek olduğunu doğrulamalıdır. Sonra da kullanılmayan temsilcili yönetim ayrıcalıkları varsa bunları devre dışı bırakmaları veya kaldırmaları gerekir.

Riski azaltmak için bir güvenlik temel hattı belirleyip buna bağlı kalmayı zorunlu hale getirin: Uzun vadeli hedefleri olan ulus devletler, sürekli yeni saldırı stratejileri ve teknikleri geliştirmek için gerekli finansman, irade ve ölçeğe sahiptir. Sınırlı bant genişliği veya bürokratik engeller nedeniyle ertelenen her ağ sağlamlaştırma girişimi bunların ekmeğine yağ sürer. Güvenlik ekiplerinin MFA ve parolasız yükseltmeleri gibi sıfır güven uygulamalarına öncelik vermesi gerekir. Bir an önce koruma altına almak istedikleri ayrıcalıklı hesaplardan başlayabilir, sonrasında kademeli ve sürekli aşamalar halinde kapsamı genişletebilirler.

Yeni fidye yazılımı tehditlerinin başa çıkılamayacak rakam ve boyutlara ulaştığı yönünde bir kanı hakim. Ne var ki Microsoft’un analizi, bunun doğru olmadığını gösteriyor. Belirli fidye yazılımı gruplarının yekpare bir yapıya ait olduğu yönündeki algı da gerçekleri yansıtmıyor. Gerçekler, metalaştırılmış saldırı zincirlerindeki farklı oyuncuların kasti seçimler yaptığı bir siber suç ekonomisine işaret ediyor. Her birinin ele geçirdiği bilgilerden ne kadar verimli şekilde yararlandığına bağlı olarak maksimum kar odaklı bir ekonomik modele göre hareket ediyorlar. Aşağıdaki grafikte, farklı grupların çeşitli siber saldırı stratejilerinden ve veri ihlalleri aracılığıyla elde ettikleri bilgilerden nasıl çıkar sağladığı gösterilmiştir.

Fidye yazılımlarının varsayılan veya ele geçirilmiş kimlik bilgilerinden beslendiğinin farkında olun: Bu nedenle güvenlik ekipleri, tüm kullanıcı hesaplarında parolasız MFA’yı devreye sokma ve başkan, yönetici gibi ayrıcalıklı rollere öncelik verme dahil olmak üzere gerekli önlemleri bir an önce almalı.

Bir sorun olduğuna dair erken belirtileri henüz vakit varken tespit edin: Erken saatlerde açılan oturumlar, dosya hareketleri ve fidye yazılımı yüklemek için başvurulan diğer davranışlar kolayca gözden kaçabilir. Yine de ekipler anomalileri takip ederek gerekirse anında harekete geçebilmelidir.

Fidye yazılımı yanıt planı oluşturun ve kurtarma tatbikatları yapın: Bulut üzerinden her şeyi eşitleyip paylaşabildiğimiz bir çağda yaşıyor olsak da veri kopyaları ile bir bütün halinde BT sistemleri veya veri tabanları farklı şeylerdir. Ekipler tam geri yükleme sürecini kafasında canlandırabilmeli ve alıştırma yapmalıdır.

Uyarıları yönetin ve risk azaltma konusunda çabuk davranın: Fidye yazılımları herkesin korkulu rüyası olsa da güvenlik ekiplerinin öncelikli odak noktası, saldırının başarıya ulaşmasını mümkün kılabilecek zayıf güvenlik yapılandırmalarının güçlendirilmesi olmalıdır. Uyarıların ve algılanan sorunların doğru şekilde ele alınabilmesi için güvenlik yapılandırmalarını düzgün yönetmeleri gerekir.

Uç nokta tehditleri:
Uç Nokta için Microsoft Defender, Ocak-Aralık 2021 tarihleri arasında kurumlara ve tüketicilere ait cihazları hedef alan 9,6 milyardan fazla kötü amaçlı yazılım tehdidini engelledi.

E-posta tehditleri:
Office 365 için Microsoft Defender, Ocak-Aralık 2021 tarihleri arasında kurumlara ve tüketicilere ait cihazları hedef alan 35,7 milyardan fazla kimlik avı girişimini ve kötü amaçlı e-postayı engelledi.

Kimlik tehditleri:
Microsoft (Azure Active Directory), Ocak-Aralık 2021 tarihleri arasında, çalıntı parolalarla deneme yanılma yöntemini uygulayarak kurumsal müşteri hesaplarını ele geçirmeyi hedefleyen 25,6 milyardan fazla girişimi engelledi.