Çalınan veya sahte kimlik bilgileri tarafından etkinleştirilen harici saldırganların dahil olduğu tüm ihlallerin neredeyse yarısı ile güvenlik firmaları, bu tür izinsiz girişler için yüksek kaliteli bir algılama mekanizmasını zorluyor: kanarya belirteçleri.
Bal belirteçlerinin bir alt kümesi olan Canary belirteçleri, kullanıldıklarında birinin sahte sırrı kullanmaya çalıştığına dair bir uyarı tetikleyen erişim kimlik bilgileri, API anahtarları ve yazılım sırları olarak üretilir. Kimlik bilgileri gerçek olmadığı için, meşru çalışanlar tarafından asla kullanılmayacaktır ve bu nedenle, kanarya belirtecini kullanarak bir kaynağa erişmeye yönelik herhangi bir girişim, bir uzlaşmanın yüksek güvenilir bir işaretidir.
Geçen hafta, sır yönetimi firması GitGuardian teknolojinin bir versiyonunu yayınladı, ggcanaryolarak GitHub’da açık kaynak projesi. GitGuardian’s Secrets Team’in baş geliştiricisi Henri Hubert, Amazon Web Services (AWS) kimlik bilgilerine göre uyarlanan projenin, geliştiricilere yazılım geliştirme boru hatlarına yönelik saldırıları tespit etmeleri için kullanımı kolay bir araç sağlamak üzere tasarlandığını söylüyor.
“Onları neredeyse her yere koyabilirsiniz” diyor. “Onları yerleştirmek için en iyi yer, CI/CD ardışık düzeni veya bu işlem hattında kullanılan Docker görüntüleri gibi yapıtlarınızdır. Ancak bunları özel havuzlarınıza ve yerel ortamınıza da koyabilirsiniz. Bunları hemen hemen her yere koyabilirsiniz. geliştiricilerinizin çalışmalarıyla ilgilidir.”
Bulut hizmetlerinin ve API’lerin kullanımının artmasıyla saldırganlar, çalıntı kimlik bilgileri ve API belirteçleriyle bu tür altyapıları giderek daha fazla hedef aldı. Nisan ayında yayınlanan araştırmaya göre, ortalama bir şirket 15.000’den fazla API kullanıyor ve geçen yıl üç katına çıktı ve bu API’lere yönelik kötü niyetli saldırılar yedi kat arttı. Ayrıca, Verizon’un “2022 Veri İhlali Araştırmaları Raporu”na (DBIR) göre, kullanıcı hatası veya yanlış kullanımdan kaynaklanmayan tüm ihlallerin yaklaşık %50’si kimlik bilgilerini kullanıyor.
Tripwires Saldırıları Yavaşlatıyor
Şaşırtıcı olmayan bir şekilde, daha fazla şirket, saldırganların dikkatli olması veya başka bir şekilde yakalanması gereken dijital mayın tarlaları oluşturmak için kanarya jetonlarını kullanıyor. Siber güvenlik danışmanlığı şirketi Thinkst’in kurucusu ve CEO’su Haroon Meer, şirketlerin dosya sunucuları, geliştirme sunucuları ve kişisel sistemlere kimlik bilgileri veya tripwire işlevi görebilecek bağlantılar içeren dosyalar ekleyerek, saldırganlar için yanal hareketi çok daha tehlikeli hale getirdiğini söylüyor. yaratılan kanarya cihazları ve jetonları için kendi altyapısısunucular, sensörler ve kimlik bilgileri dahil.
Yine de saldırganların gerçekten başka seçeneği yok: Bir izinsiz giriş sırasında potansiyel meşru kimlik bilgilerini görmezden gelemezler, diyor.
Meer, “AWS kimlik bilgilerini veya birinin Kubernetes kümesinin anahtarlarını bulurlarsa, saldırganların bunu denemesi gerekir – bunları kullanmamaları onlar için gerçekten zor” diyor. “Ve eğer denedikleri anda haberdar edilirseniz, maruz kalma penceresini o kadar dramatik bir şekilde küçültürsünüz çünkü size her şeyi yaptıklarından aylar sonra öğrenemezsiniz.”
Thinkst’ten Meer, penetrasyon testçilerinden ve kırmızı ekiplerden gelen ve kanarya jetonlarının faydasını vurgulayan yorumlarına işaret etmeyi sever. Saldırganlar, buldukları ve onları yavaşlatan herhangi bir kimlik bilgisi, API anahtarı veya yazılım sırrı önbelleğini her zaman ikinci kez tahmin etmek zorundalar, tweet attı, bir hata avcısı, penetrasyon test cihazı ve saldırı yüzeyi yönetimi başlangıcı Assetnote’ta baş teknoloji sorumlusu Shubham Shah.
“Kanarya jetonlarının konsepti ve kullanımı, bir hedef için alternatif yollar bulmak yerine, bir etkileşim sırasında kazanılan kimlik bilgilerini kullanmak konusunda beni çok tereddüt etti.” dedi Şah. “Amaç, saldırganlar için geçen süreyi artırmaksa, kanarya jetonları iyi çalışır.”
GitGuardian’ın ggcanary Amazon Web Servislerine odaklanıyor platformun ve kod olarak altyapı yönetim platformu Terraform’un popülaritesi nedeniyle. Amazon, en iyi uygulamalar belgesinde, AWS erişim anahtarlarının kontrolünün tüm AWS kaynaklarının kontrolüne eşit olduğunu vurgular.
Amazon, “Erişim anahtarlarınıza sahip olan herkes, AWS kaynaklarınıza sizinle aynı düzeyde erişime sahiptir” dedi. “AWS erişim anahtarlarını yönetmek için en iyi uygulamalar” belgesi. “Sonuç olarak, AWS, erişim anahtarlarınızı korumak için önemli adımlar atıyor ve paylaşılan sorumluluk modelimize uygun olarak, siz de yapmalısınız.”
Kanaryaları Herkes Sever
Thinkst, GitGuardian ve Microsoft Kanarya belirteçlerinin dağıtımını çok daha kolay hale getirmeyi amaçlıyorlar – genellikle dakikalar içinde.
Yine de, kanaryaların kullanım alanlarını bulanlar sadece savunucular değil. Saldırganlar ayrıca, savunucuların kötü amaçlı yazılımlarını ne zaman analiz ettiğini tespit etmenin bir yolu olarak kanarya belirteçlerini kullanmaya başladı.
İran bağlantılı grup MuddyWater tarafından yakın zamanda yapılan bir saldırı raporunda, Cisco’nun Talos Intelligence grubu, kanarya jetonlarının basit kullanımına dikkat çekti. İlk kötü amaçlı yazılım – bir Visual Basic komut dosyası – bir uzlaşmayı doğrulamak için aynı kanarya belirtecine iki istek gönderir. Korumalı alanda yürütme veya analiz sırasında gerçekleşmesi muhtemel olan yalnızca tek bir istek algılanırsa, kötü amaçlı yazılım çalışmaz.
Cisco’nun tehdit istihbarat ekibi, “Belirteç istekleri ile bir yük indirme talebi arasındaki süreye ilişkin makul bir zamanlama kontrolü, otomatik analizi gösterebilir” dedi. bir tavsiyede. “Otomatikleştirilmiş korumalı alan sistemleri, genellikle belirteç isteklerini üreten kötü amaçlı makroyu yürütür.”