İster karanlık ağda, ister açık web’de, yapıştırma sitelerinde veya siber suçlular tarafından paylaşılan veri dökümlerinde olsun, her yıl milyarlarca kimlik bilgisi çevrimiçi olarak görünür. Bu kimlik bilgileri genellikle hesap devralma saldırıları için kullanılır, kuruluşların ihlallere, fidye yazılımına ve veri hırsızlığına maruz kalmasına neden olur.
CISO’lar artan kimlik tehditlerinin farkında olsalar ve cephanelerinde potansiyel riski azaltmaya yardımcı olmak için birden fazla araca sahip olsalar da, gerçek şu ki mevcut metodolojilerin büyük ölçüde etkisiz olduğu kanıtlanmıştır. Göre 2022 Verizon Veri İhlali Araştırmaları Raporuihlallerin %60’ından fazlası güvenliği ihlal edilmiş kimlik bilgilerini içerir.
Saldırganlar, meşru kimlikleri tehlikeye atmak ve kurban kuruluşların sistemlerine ve kaynaklarına yetkisiz erişim elde etmek için sosyal mühendislik, kaba kuvvet ve karanlık ağda sızdırılmış kimlik bilgileri satın alma gibi teknikleri kullanır.
Düşmanlar genellikle bazı parolaların farklı kullanıcılar arasında paylaşılması gerçeğinden yararlanarak aynı kuruluştaki birden fazla hesabın ihlal edilmesini kolaylaştırır. Bazı çalışanlar parolaları yeniden kullanır. Diğerleri, çeşitli web siteleri arasında şifrelerinde paylaşılan bir kalıp kullanır. Bir düşman, parola hash edilmiş olsa bile, paylaşılan bir kalıptan yararlanarak parola permütasyonlarının üstesinden gelmek için kırma teknikleri ve sözlük saldırıları kullanabilir. Kuruluşun önündeki en büyük zorluk, bilgisayar korsanlarının içeri girmek için yalnızca tek bir parola eşleşmesine ihtiyaç duymasıdır.
Mevcut tehdit istihbaratı göz önüne alındığında, maruz kalma durumlarını etkili bir şekilde azaltmak için kuruluşların, düşmanın bakış açısından neyin istismar edilebileceğine odaklanması gerekir.
Kuruluşların kimlik bilgilerinin açığa çıkmasını azaltmak için atması gereken beş adım şunlardır:
Sızan Kimlik Bilgileri Verilerini Toplayın
Sorunu çözmeye başlamak için güvenlik ekiplerinin açık ağdan karanlık ağa kadar çeşitli yerlerde dışarıdan sızdırılmış kimlik bilgileri hakkında veri toplaması gerekiyor. Bu onlara, güncellenmesi gereken bireysel kimlik bilgilerinin yanı sıra, kuruluşları için riskin ilk göstergesini verebilir.
Verileri Analiz Edin
Oradan, güvenlik ekiplerinin gerçekten güvenlik açıklarına yol açabilecek kimlik bilgilerini belirlemesi gerekir. Saldırgan, kullanıcı adı ve parola kombinasyonlarını (açık metin veya karma) alır ve ardından bunları hizmetlere veya sistemlere erişmek için kullanmayı dener. Güvenlik ekipleri, risklerini değerlendirmek için benzer teknikleri kullanmalıdır. Bu içerir:
- Kimlik bilgilerinin, web hizmetleri ve veritabanları gibi kuruluşun harici olarak açığa çıkan varlıklarına erişime izin verip vermediğini kontrol etme
- Yakalanan parola karmalarını kırmaya çalışmak
- Sızan kimlik bilgileri ile kuruluşun Active Directory gibi kimlik yönetimi araçları arasındaki eşleşmeleri doğrulama
- Elde edilen güvenliği ihlal edilmiş kimlik sayısını artırmak için ham verileri manipüle etmek. Örneğin, kullanıcılar genellikle aynı parola kalıplarını kullanır. Sızan kimlik bilgileri, dışa dönük varlıklara erişime izin vermese veya Active Directory girişleriyle eşleşmese bile, varyasyonları test ederek ek eşleşmeler bulmak mümkün olabilir.
Kimlik Bilgileri Risklerini Azalt
Kuruluşlar, gerçek riskleri belirlemek için sızdırılan kimlik bilgilerini doğruladıktan sonra, bir saldırganın aynı şeyi yapma riskini azaltmak için hedefe yönelik eylemlerde bulunabilir. Örneğin, Active Directory’deki etkin olmayan sızdırılmış hesapları silebilir veya etkin kullanıcılar için parola değişikliklerini başlatabilirler.
Güvenlik Süreçlerini Yeniden Değerlendirin
Doğrudan azaltmadan sonra, güvenlik ekipleri mevcut süreçlerinin güvenli olup olmadığını değerlendirmeli ve mümkün olduğunda iyileştirmeler yapmalıdır. Örneğin, birçok eşleşen sızdırılmış kimlik bilgisi ile uğraşıyorlarsa, kuruluş genelinde parola politikasının tamamının değiştirilmesini önerebilirler. Benzer şekilde, Active Directory’de etkin olmayan kullanıcılar bulunursa, çalışanların işten ayrılma sürecini tekrar gözden geçirmek faydalı olabilir.
Otomatik Olarak Tekrarla
Saldırganlar sürekli olarak yeni teknikler benimsiyor. Saldırı yüzeyleri değişir, yeni kimlikler rutin olarak eklenir ve çıkarılır. Benzer şekilde, insanlar her zaman tesadüfi hatalara eğilimli olacaktır. Sonuç olarak, kimlik bilgilerini bulmak, doğrulamak ve azaltmak için tek seferlik bir çaba yeterli değildir. Son derece dinamik bir tehdit ortamında sürdürülebilir güvenlik elde etmek için kuruluşların bu süreci sürekli olarak tekrar etmesi gerekir.
Ancak, kaynak kısıtlı güvenlik ekipleri, tüm bu adımları yeterli bir kadansta manuel olarak gerçekleştirmeyi göze alamaz. Tehdidi etkin bir şekilde yönetmenin tek yolu doğrulama sürecini otomatikleştirmektir.
Pentera, kuruluşlara saldırganların tekniklerini otomatik olarak taklit etmek için bir yol sunar, sızdırılmış kimlik bilgilerini hem ağ dışında hem de ağ içinde kullanmaya çalışır. Doğrulama döngüsünü kapatmak için Pentera, kuruluşların kimlik güçlerini verimli bir şekilde en üst düzeye çıkarmasına olanak tanıyan eyleme geçirilebilir iyileştirme adımlarıyla birlikte tam saldırı yollarına ilişkin içgörüler sağlar.
Pentera’nın kuruluşunuzun kimlik bilgilerini yanlışlıkla ifşa etme riskini azaltmanıza nasıl yardımcı olabileceğini öğrenmek için, demo talep etmek için bugün bize ulaşın.