Yaklaşık bir yıl önce, bir fidye yazılımı saldırısı, küçük bir Arizona kasabası için belediye sistemlerini kilitledi, topluluğu bir aydan fazla bir süredir hizmet dışı bıraktı, ciddi bir olay müdahale faturası ve vatandaşlar hassas bilgilerinin ele geçirildiğinden endişe etti. İhlal haberlerinin halka açıklanmasından haftalar önce, şehrin VPN portalı erişimiyle ilgili bilgiler popüler bir Rus hacker forumunda satışa sunuldu. Uyarılar oradaydı ve erişim komisyoncularını izleyen biri noktaları birleştirip çok geç olmadan bir alarm vermiş olabilir.
Bu olay gibi fidye yazılımı saldırıları, tek başına neredeyse hiç ortaya çıkmaz. Her yüksek profilli ihlal, bize saldırının nasıl ve ne zaman ortaya çıktığı hakkında hayati bilgiler veren bir ekmek kırıntısı izi bırakır. Erişim komisyoncularının rolü, bu bilgi bulmacasını çözmenin kilit parçalarından biridir.
Erişim Komisyoncuları Neden İzlemeye Değer?
Erişim komisyoncuları genellikle eSuç değer zincirinin başlangıcında yer alır. Kurbanların ağlarına erişim yöntemleri kazanma ve satma konusunda uzmanlaşmış aracılar olarak hareket ederler. Bu değerli erişim kimlik bilgileri daha sonra çeşitli yer altı forumlarında veya karanlık web pazarlarında diğer siber suçlulara duyurulur.
Komisyoncuların ürünlerinin reklamını yapmak için hangi forumların veya yeraltı pazaryerlerinin ziyaret ettiğini ve nelere bakmaları gerektiğini anlamak, fidye yazılımı saldırılarının önüne geçmenin anahtarıdır. Genesis, Russian Market ve Exploit Market, erişim komisyoncularının reklam verdiği bilinen birkaç forumdur. Bir gönderideki tipik nitelikler arasında konum, sektör sektörü, BT altyapısından yararlanma ayrıntıları, çalışan sayısı, gelir ve erişim aracısının takma adı yer alabilir.
Erişim komisyoncularının zemini hazırlayıp hayati bilgileri kötü amaçlı yazılım operatörlerine sattığı bu devir süreci, siber saldırıları artırdı. Bireysel saldırı bileşenlerinden artık daha hızlı para kazanılıyor ve suç aktörlerinin bunların satıldığı çeşitli yeraltı forumlarına katılmalarının önündeki engellerin karmaşıklığı önemli ölçüde azaldı.
Farklı erişim türlerinin emrettiği fiyatlar, mağdurun pazarlık yapma isteğine ve ihlalin potansiyel etkisine bağlı olarak değişir. Örneğin, bizim iç Falcon X Recon tehdit istihbaratı, e-posta kimlik bilgilerine sahip bir ticari finans hesabı 1.200 USD’den başlarken, BT altyapısı yönetici erişimi 20.000 USD’den başlar.
Erişim komisyoncularını izlemek için tekrarlanabilir ve optimize edilmiş bir süreç kurmak, işletmelerin ve devlet kurumlarının yaklaşan saldırılar veya mevcut erişim istismarı hakkında ilgili uyarıları almasına yardımcı olur.
Optimize İzleme Stratejisinde Beş Adım
Optimize edilmiş bir izleme stratejisi, erişim aracılarının kim olduğu ve nerede çalıştıkları hakkında bir tehdit istihbaratı temeli üzerine kuruludur. Güvenlik savunucuları, beş yinelemeli adımı izleyerek karanlık web erişim komisyoncusu ağında devriye gezebilir:
- Varlıklarınızı bilmek
- Kötü aktörlerin belirlenmesi
- Bilinen pazarları bulmak
- İpuçları için bu pazarları trollemek için uyarılar yazmak
- Meşru uyarıları takip etmek için ekip üyeleri atamak
Bu adımlar için bazı başlangıç noktaları:
Aşama 1: Neyi koruyacağınızı belirleyerek başlayın. Alan adları, IP alt ağları, konum ayrıntıları, ISP, dikey, açık kimlikler ve altyapınızın tanımlanabilir olmasına yardımcı olabilecek her şey gibi dijital varlıklarınızı ve özelliklerinizi listeleyin.
Adım 2: Sektörünüzü veya varlıklarınızı hedefleyebilecek erişim komisyoncularını belirleyin. Hangi takma adlar altında çalıştıklarını ve genellikle hangi erişim bilgilerini sattıklarını öğrenin. Bu alandaki yerleşik satıcılar, bu araştırmalar için size bir başlangıç noktası sağlayabilir.
Aşama 3: İzlemeniz gereken karanlık web forumları ve pazarlarının bir çamaşırhane listesini yapın. Erişim verilerini toplamak için en çok hangi kötü amaçlı yazılım araçlarının kullanıldığını öğrenin. “Redline” veya “gizemli” hırsızlar gibi ürün adlarını bilmek, izleme süreçleri için doğru hunilerin oluşturulmasına yardımcı olabilir.
4. Adım: Tehdit istihbaratı, uyarıları bağlama göre önceliklendirmek ve yerleştirmek için çok önemlidir. Öğrenilen bilgileri kullanarak kuralları kodlayın ve uyarılar oluşturun. Huni uyarıları, büyük hacimli uyarıları gözden geçirmenize ve en alakalı olanlara odaklanmanıza yardımcı olabilecek, kolayca görselleştirilebilen bir biçime dönüştürülür.
Adım 5: Sorumlulukları atayın. İstihbarat ekipleri, kimlik ve erişim yöneticileri, güvenlik açığı risk yöneticileri, SOC analistleri ve olay müdahale ekipleri, özel varlık istismarlarını azaltmak, ilgili olaylara ve yakıt araştırmalarına öncelik vermek için oluşturulan uyarıları kullanabilir. Bu ekip üyeleri ayrıca, sürecin daha odaklı ve alakalı hale gelmesi ve değişen bir erişim aracısı ekosistemine tepki verebilmesi için anahtar kelimeleri zaman içinde iyileştirmeye yardımcı olabilir.
Umut Veren Bir Program
Erişim komisyoncusu forumlarını izlemek bilgi sağlar, ancak işletmelerin kapsamlı azaltma stratejilerine ihtiyacı olacaktır. Yöntem, izlenecek yüzlerce bireysel gönderi ile çok konuşkan olabilir. Erişim aracısı gönderileri genellikle, süreci karmaşıklaştırabilecek, yapılandırılmış ve yapılandırılmamış verilerin bir karışımını içerir. Diğer dillerdeki gönderileri izlemek için çevirilere de ihtiyaç duyulabilir. Bu zorluklar, işletmelerin üçte birinden daha azının neden erişim aracılarını izlediğini açıklayabilir. Bizim Fal.Con 2021’de sunulan dahili araştırma bu yılın başlarında, çoğu programın üç yaşından küçük olduğunu gösterir.
Karanlık web forumlarından uyarı işaretlerini keşfedilmemiş bırakmak bir hatadır. Aracılara erişen ekmek kırıntılarını takip etmek izin, siber güvenlik cephaneliğinde hayati bir araçtır. Sızan erişim bilgileri açısından yangın çıkmış olabilir, ancak patlama henüz gerçekleşmedi. Optimize edilmiş bir izleme stratejisi kullanarak, güvenlik savunucuları yalnızca açıkta kalan kurumsal tehdit risklerini ortaya çıkarmakla kalmaz, aynı zamanda erişim istismarında azaltmayı önceliklendirebilir ve fidye yazılımı saldırılarını -tamamen engellemese bile- köreltebilir.
Deep dark web’i izlemeye yönelik Falcon X teklifleri hakkında daha fazla bilgi edinin >