Kimlik yeni para birimidir ve dijital düşmanlar servetin peşindedir. Verizon’a göre “Veri İhlal Araştırmaları Raporu,” Veri ihlallerinin %61’i, güvenliği ihlal edilmiş kimlik bilgilerine kadar izlenebilir. Neden? Meşru kullanıcı kimlik bilgilerine sahip sistemlere girmek, genellikle saldırganların istihbarat toplama, veri hırsızlığı, gasp ve daha fazlası için bir ağ üzerinde algılanmadan hareket etmesine olanak tanır.
Erişim kontrolü, savunma sistemleri için temeldir, ancak herhangi bir araç gibi onun da sınırları vardır. Motive olmuş saldırganlar, hesaplara erişim elde etmek için erişim kontrol sistemlerinin kenarlarında yollar bulmaya çalışır. Birçok şirket, oturum açma ve ödeme akışları gibi yüksek değerli hedeflere yönelik bu tür saldırıları tespit etmek ve azaltmak için dolandırıcılıkla mücadele teknolojilerine yatırım yaptı.
Ancak, dolandırıcıların taktikleri, oturum açma ve ödeme akışlarının dışındaki alanlarda da aynı şekilde çalışabilir. Bu nedenle, provizyon, cihaz kaydı, parola sıfırlama ve diğer hesap yönetim sistemleri gibi “kimlik oluşturma” sistemlerini hedef alan kalıcı saldırganlar görüyoruz.
Bu kimlik sağlayıcı sistemler tüm erişim denetiminin temelini oluşturduğundan, artık siber suçluların özel ilgisini çekiyorlar. Örneğin, LockBit, Avaddon, DarkSide, Conti ve BlackByte fidye yazılımı gruplarının tümü Dark Web forumlarında savunmasız kuruluşlara erişim satın almak için ilk erişim aracıları (IAB’ler). IAB’lerin popülaritesi son birkaç yılda arttı ve siber suç dünyasına girmenin önündeki engelleri önemli ölçüde azaltıyor.
Kimlikle İlgili Saldırılarda Artış
Okta ve Microsoft gibi büyük üçüncü taraf yazılımlara yönelik son saldırılar ve gasp girişimleri, hesabı ele geçirme (ATO) saldırılarını gerçekleştirmek için güvenliği ihlal edilmiş kimlik bilgileri kullanıldığında verilebilecek zararın açık örnekleridir. Lapsus$ fidye yazılımı grubu, tüm ATO etkinliklerini kullanarak elde edilen çalıntı kimlik bilgilerini kullanarak gerçekleştirdi. geleneksel olmayan ve sofistike araçlar. Son haberler öneriyor grubun, kaynak kodu erişimi olan birini bulana kadar güvenliği ihlal edilmiş hesap kimlik bilgilerini satın almaya devam etmesi.
Tüm çevrimiçi hesaplar ATO sahtekarlığına karşı savunmasız olsa da, kötü niyetli kişiler, banka hesapları ve depolanmış ödeme bilgilerine sahip perakende hesaplar gibi son derece değerli gördükleri hesapları hedef alma eğilimindedir. Kötü aktörler, tüketiciye yönelik web sitelerine karşı büyük ve devam eden saldırılara girişmek için genellikle botnet’ler ve makine öğrenimi (ML) gibi otomatik araçları kullanır. Otomatik araçlarla, Lapsus$ tarafından gösterildiği gibi, kimlik bilgisi doldurma ve kaba kuvvet saldırıları gibi teknikleri kullanarak ATO sahtekarlığı yaparlar.
Ancak dolandırıcılar, ATO dolandırıcılığı için her zaman otomatik araçlar kullanmazlar. Kimlik avı, çağrı merkezi dolandırıcılığı, ortadaki adam (MITM) saldırıları ve Dark Web pazar yerleri aracılığıyla erişim elde edebilirler. Hatta bazılarının, saldırıların otomatik oturum açma girişimleri arayan araçlar tarafından algılanmaması için oturum açma kimlik bilgilerini manuel olarak girmek için insan emeği (“tıklama çiftlikleri”) kullandığı bile bilinmektedir. Bununla birlikte, ATO, belki de pandemi tarafından hızlandırılan birçok sahtekar için tercih edilen silahtır. ATO dolandırıcılığı %282 arttı 2019 ve 2020 arasında.
Farklı suç gruplarının gelişmiş taktikleri ve rastgeleliği göz önüne alındığında, kimlik temelli dolandırıcılığı tespit etmek son derece zor olabilir. Haberlerde duyduğumuz ihlallerin çoğu, olağandışı davranışları hızlı bir şekilde tespit etmek için kullanıcı hesaplarını izlemek yerine otomatik erişim kontrol araçlarına güvenen işletmelerin bir sonucudur.
Erişim Kontrol Katmanları Yeterli Değil
Tarihsel olarak, erişim denetimi, kimliği doğrulamak için kimlik doğrulama ve yetkilendirme hizmetleri uygular. Kimlik doğrulama, bir kullanıcının kim olduğuna odaklanır. Yetkilendirme, ne yapmalarına izin verilmesi gerektiğine odaklanır.
Bu tür erişim denetimi katmanları, kimlik tabanlı dolandırıcılığa karşı iyi bir ilk savunmadır, ancak Okta ve Microsoft gibi son saldırılarda açıkça görüldüğü gibi, dolandırıcılar bu araçları oldukça kolay bir şekilde atlayabilir. Öğrenen ve uyum sağlayan bir algılama sistemi şeklinde ikinci bir savunma hattı olmalıdır. Bu nedenle şirketler, bir kullanıcının kim olduğunun ve ne yapmasına izin verildiğinin ötesine geçmeyi düşünmeli ve kimlik sisteminizin kullanıcının ne yaptığını izleyip öğrenmesini sağlamalıdır. aslında yapıyor.
Daha Dinamik Bir Sistem İhtiyacı
Siber suçluların kullandığı tekniklerin çoğu, güvenlik ve kullanılabilirliğin kesiştiği noktada yer alır. Basitçe ya güvenliğe ya da kullanılabilirliğe bakmak meseleyi kaçırır. Sadece güvenlik protokolünün nasıl olduğuna bakarsak meli işe yararsa, kullanıcıların onu gerçekçi bir şekilde nasıl kullanacaklarını kaçırıyoruz. Ve sadece kullanımı nasıl kolaylaştıracağımızı düşünürsek, kötü insanları nasıl dışarıda tutacağımızı kaçırırız. Erişim kontrolünden koruma katmanı, “izin verildi/izin verilmedi” kararını oluşturur, ancak sistemin nasıl kullanıldığını ve kötüye kullanım girişimlerini temel alarak gözlemleyen ve öğrenen başka bir algılama katmanı tarafından geri durdurulmalıdır. Bu ikinci katmanın görevi, hesapları kaba kuvvet, yeniden yönlendirme, kurcalama ve diğer yollarla ele geçirmek için kullanılan taktikleri tanımlamayı içerir.
Yukarıda bahsedildiği gibi, kimlik doğrulama bildiğiniz bir şey, olduğunuz bir şey ve sahip olduğunuz bir şeyin statik bir kümesidir. Ancak dinamik olan saldırganlara karşı bir savaşta, statik bir “kalkan” savunma adına pek bir şey yapmaz. Bu boşluğu gidermek için, dinamik olarak değişen saldırgan taktiklerini belirlemek ve engellemek için sağlam bir öğrenme sistemi gereklidir.
Şirketler, birçok kimlik doğrulama ve yüksek değerli akış için kimlik grafiği teknolojilerine yatırım yapıyor. Kimlik grafikleri, güvenlik ekiplerinin kullanıcı hesaplarından olağandışı davranışları hızlı bir şekilde belirleyebilmesi için, kişiler ve davranış kalıpları dahil olmak üzere bir milyardan fazla kimlik hakkında veri toplayan gerçek zamanlı bir önleme tekniğidir. [Note: The author’s company is one of a number using identity graph technology.] Bu tür gerçek zamanlı, veriye dayalı yaklaşımla ekipler, botlar ve ML algoritmaları gibi otomatikleştirilmiş araçlardan oluşturulan davranış ve etkinlikleri belirleyebilir ve olağandışı davranışları hırsızlık veya sahte satın almalar gibi herhangi bir zarara yol açmadan önce tespit edebilir.
Dinamik siber suçlulara karşı başarılı olmak için kuruluşların birden fazla adım daha ileri gitmesi ve saldırgan taktiklerine ayak uydurmak için zamanla gelişen bir öğrenme sistemi oluşturması gerekir. Kimlik grafiği teknolojileri, kuruluşların, sağlama ve hesap bakımı da dahil olmak üzere tüm kimlik yaşam döngüsü boyunca saldırgan taktiklerini tanımasına yardımcı olabilir. Bu teknikler, bugün tanık olduğumuz karmaşık tehdit ortamıyla birlikte gelgitler yapabilir.