MGM Resorts International ve Caesars Entertainment’a yapılan siber saldırılar, veri ihlallerinin bir kuruluş üzerinde operasyonel, itibar ve finansal açıdan sahip olabileceği yaygın etkileri ortaya çıkardı. Her ne kadar spesifik saldırıyla ilgili birçok soru hala mevcut olsa da, raporlar diyor ki Bilgisayar korsanlarının, yardım masasını aramak ve çalışanın kimliğine bürünmek için kendilerini doğru bilgilerle donatmak için LinkedIn’de bir MGM çalışanının yeterli verisini bulduğunu ve MGM’nin BT yardım masasını bu çalışanın oturum açma kimlik bilgilerini almaya ikna ettiğini.
Bu ihlalin temel nedeni nedir? Bu saldırı ve geçtiğimiz birkaç yıldaki diğer birçok yüksek profilli ihlal, parolalar ve SMS tek seferlik geçiş kodları gibi kolayca verilip yeniden kullanılabilen eski oturum açma kimlik bilgilerine sürekli güvenmemiz nedeniyle gerçekleşti.
Kimlik Avı Saldırıları Yeni Değil Ama Daha Başarılı
Kullanıcıların şifrelerini ele geçirmeye yönelik kimlik avı ve sosyal mühendislik saldırıları elbette yeni bir şey değil. Ancak artık çok faktörlü kimlik doğrulama (MFA) bypass araç takımları ve üretken yapay zeka çağında, bu tür saldırıların siber suçlular arasında başarısı ve popülerliği arttı. Saldırılar otomatikleştirilebilir ve e-postalar ve kısa mesajlar çok daha meşru görünebilir, bu da daha fazla kandırılmış kurban anlamına gelir. MGM’de olan da budur; bir bilgisayar korsanının güven oluşturarak bir kuruluşun yardım masasını kandırarak kimlik bilgilerini teslim etmesi yalnızca birkaç dakika alır.
Geçmişte birçok kuruluş, kimlik avı ve diğer sosyal mühendislik saldırılarına karşı savunma sağlamak için eğitime güveniyordu. Bu çabalar kesinlikle iyi niyetlidir, ancak gerçek şu ki çalışanlara kimlik avı e-postasının göstergeleri olarak zayıf dilbilgisi, yanlış yazılmış kelimeler ve garip boşlukları tespit etmeleri konusunda koçluk yapmak gibi önlemler günümüz koşullarında etkili değildir.
Üretken yapay zekanın yükselişi, MFA’nın kolayca atlatılabilen eski biçimleriyle birleştiğinde, eğitilemeyecek bir siber güvenlik tehdidi yarattı. Bu siber suçluların çaresizce vermek istedikleri oturum açma kimlik bilgilerini vermediğimiz sürece, tehdidin üstesinden gelinemez. İmkansız olmasa da çok daha zordur.
Kimlik Doğrulama Parolalardan Daha Fazlasını Gerektirir
Siber Güvenlik İnceleme Kurulu (CSRB) yakın zamanda yayımlanan raporunda da benzer bir sonuca vardı. rapor Lapsus$ saldırılarından elde edilen bulgular, büyük kuruluşları vuran bir başka sosyal mühendislik saldırıları dizisidir. Benzer saldırılara karşı korunmaya yönelik tavsiyelerinde CSRB, kuruluşların kimlik avına karşı dayanıklı kimlik doğrulamasına, yani Fast Identity Online (FIDO) şifresiz kimlik doğrulamaya geçmelerini öneriyor.
Kimlik avına karşı korumalı kimlik doğrulama, oturum açma veya hesap kurtarma için bir cihaza sahip olmayı gerektiren şifreleme tekniklerini kullanır. Bu yaklaşım, bir yardım masasının veya başka bir çalışanın (veya tüketici ortamlarındaki bir aile üyesinin veya arkadaşının) bir sosyal mühendislik saldırısına düşse bile oturum açma kimlik bilgilerini vermemesini sağlar. Kuruluşlar, BT departmanlarını güçlendirmek ve masa çalışanlarının neyin meşru hesap kilitleme ve neyin saldırı olduğunu gerçekten anlamalarına yardımcı olmak için kimlik avına karşı kimlik doğrulamayı daha gelişmiş kimlik doğrulama yöntemleriyle birleştirebilir.
Lapsu$’ın yüksek profilli yapısı ve bu son fidye yazılımı saldırıları (açık CSRB kılavuzuyla birlikte) göz önüne alındığında, kullanıcı kimlik doğrulaması için parolalara ve diğer bilgi tabanlı kimlik bilgilerine geniş ölçüde güvenmeye devam eden herhangi bir kuruluş, en iyi ihtimalle şüpheli bir seçim yapıyor demektir ve en kötü ihtimalle kendisini kurumsal ihmal suçlamalarına açıyor.
Kuruluşlar, siber güvenlik ortamının son birkaç yılda önemli ölçüde değiştiğini ve üretken yapay zeka çağında hızla gelişmeye devam ettiğini kabul etmelidir. MGM ihlalinin gösterdiği gibi, şifrelere ve bilgiye dayalı kimlik bilgilerine bağımlılıklarını ortadan kaldırmakla işe başlayarak sağlam bir güvenlik stratejisi uygulamayan şirketler, sonunda kaybedecekleri gereksiz bir kumar oynuyorlar.