2023’te siber saldırılar oldukça yaşandı, ancak diğerlerinden daha belirgin olan bir saldırı vektörü var: insan dışı erişim. İle 13 ayda 11 yüksek profilli saldırı ve giderek büyüyen yönetilmeyen saldırı yüzeyi, insan dışı kimliklerin yeni çevreyi oluşturduğu ve 2023’ün yalnızca başlangıç olduğu belirtiliyor.
Neden insan dışı erişim siber suçlular için cennettir?
İnsanlar istediklerini elde etmenin her zaman en kolay yolunu ararlar ve bu siber suçlar için de geçerlidir. Tehdit aktörleri en az direnç gösterecek yolu arıyor ve görünen o ki 2023’te bu yol, kullanıcı olmayan erişim kimlik bilgileri (API anahtarları, tokenlar, hizmet hesapları ve sırlar) idi.
“Salesforce ile üçüncü taraf uygulamaları birbirine bağlayan aktif erişim jetonlarının %50’si kullanılmıyor. GitHub ve GCP’de rakamlar %33’e ulaşıyor.”
Kullanıcı olmayan bu erişim kimlik bilgileri, uygulamaları ve kaynakları diğer bulut hizmetlerine bağlamak için kullanılır. Onları gerçek bir bilgisayar korsanının rüyası yapan şey, kullanıcı kimlik bilgileri (MFA, SSO veya diğer IAM politikaları) gibi güvenlik önlemlerine sahip olmamaları, çoğunlukla aşırı hoşgörülü olmaları, yönetilmemeleri ve asla iptal edilmemeleridir. Aslında Salesforce ile üçüncü taraf uygulamaları birbirine bağlayan aktif erişim tokenlarının %50’si kullanılmıyor. GitHub ve GCP’de bu oran %33’e ulaşıyor.*
Peki siber suçlular bu insan dışı erişim kimlik bilgilerinden nasıl yararlanıyor? Saldırı yollarını anlamak için öncelikle insan dışı erişim türlerini ve kimliklerini anlamamız gerekiyor. Genel olarak iki tür insan dışı erişim vardır: harici ve dahili.
İnsan dışı harici erişim, süreçleri kolaylaştırmak ve çevikliği artırmak için üçüncü taraf araçları ve hizmetleri Salesforce, Microsoft365, Slack, GitHub ve AWS gibi temel iş ve mühendislik ortamlarına bağlayan çalışanlar tarafından oluşturulur. Bu bağlantılar, üçüncü taraf uygulama veya hizmetin (insan olmayan kimlik) sahip olduğu API anahtarları, hizmet hesapları, OAuth belirteçleri ve web kancaları aracılığıyla yapılır. Aşağıdan yukarıya yazılımın benimsenmesi ve ücretsiz bulut hizmetlerinin artan eğilimiyle birlikte, bu bağlantıların çoğu düzenli olarak farklı çalışanlar tarafından herhangi bir güvenlik yönetimi olmadan ve daha da kötüsü denetlenmemiş kaynaklardan yapılıyor. Astrix araştırması, Google Workspace ortamlarına bağlı uygulamaların %90’ının pazar dışı uygulamalar olduğunu, yani bunların resmi bir uygulama mağazası tarafından incelenmediğini gösteriyor. Slack’te bu oran %77’ye, Github’da ise %50’ye ulaşıyor.*
“GitHub ortamlarındaki Kişisel Erişim Jetonlarının %74’ünün son kullanma tarihi yoktur.”
İnsan dışı dahili erişim de benzerdir ancak dahili erişim kimlik bilgileri – ‘sırlar’ olarak da bilinir. Ar-Ge ekipleri düzenli olarak farklı kaynakları ve hizmetleri birbirine bağlayan sırlar üretir. Bu sırlar genellikle birden fazla gizli yöneticiye (kasalara) dağılmış durumda olup, güvenlik ekibinin nerede olduklarını, ifşa olup olmadıklarını, neye erişime izin verdiklerini ve yanlış yapılandırılıp yapılandırılmadıklarını göremezler. Aslında GitHub ortamlarındaki Kişisel Erişim Tokenlarının %74’ünün son kullanma tarihi yoktur. Benzer şekilde GitHub’daki web kancalarının %59’u yanlış yapılandırılmıştır; yani şifrelenmemiş ve atanmamış durumdadır.*
İnsan olmayanların kimlik güvenliğinde lider olan Astrix’in canlı demosunu planlayın
2023’ün insan dışı erişimden yararlanan yüksek profilli saldırıları
Bu tehdit teorik olmaktan çok uzaktır. 2023 yılı, bazı büyük markaların insan dışı erişim istismarlarının kurbanı olduğu ve binlerce müşterinin etkilendiği bir yıl oldu. Bu tür saldırılarda saldırganlar, kuruluşların en hassas çekirdek sistemlerine sızmak için açıkta kalan veya çalınan erişim kimlik bilgilerinden yararlanır ve harici erişim durumunda müşterilerinin ortamlarına ulaşır (tedarik zinciri saldırıları). Bu yüksek profilli saldırılardan bazıları şunlardır:
- Okta (Ekim 2023): Saldırganlar, Okta’nın destek vaka yönetimi sistemine erişmek için sızdırılmış bir hizmet hesabını kullandı. Bu, saldırganların son destek vakalarının bir parçası olarak bir dizi Okta müşterisi tarafından yüklenen dosyaları görüntülemesine olanak tanıdı.
- GitHub Dependabot (Eylül 2023): Bilgisayar korsanları GitHub Kişisel Erişim Belirteçlerini (PAT) çaldı. Bu tokenlar daha sonra Dependabot olarak hem genel hem de özel GitHub depolarına yetkisiz taahhütlerde bulunmak için kullanıldı.
- Microsoft SAS Anahtarı (Eylül 2023): Microsoft’un yapay zeka araştırmacıları tarafından yayınlanan bir SAS belirteci, üzerinde oluşturulduğu tüm Depolama hesabına tam erişim sağladı ve 38 TB’tan fazla son derece hassas bilginin sızmasına yol açtı. Bu izinler saldırganların kullanımına 2 yılı aşkın bir süre boyunca sunuldu(!).
- GitHub Depolarının Gevşekliği (Ocak 2023): Tehdit aktörleri, “sınırlı” sayıda çalıntı Slack çalışan tokenı aracılığıyla Slack’in harici olarak barındırılan GitHub depolarına erişim sağladı. Oradan özel kod depolarını indirebildiler.
- CircleCI (Ocak 2023): Bir mühendislik çalışanının bilgisayarına, antivirüs çözümünü atlatan kötü amaçlı yazılımlar girdi. Güvenliği ihlal edilen makine, tehdit aktörlerinin oturum belirteçlerine erişmesine ve bunları çalmasına olanak tanıdı. Çalınan oturum belirteçleri, hesaplar iki faktörlü kimlik doğrulamayla korunsa bile tehdit aktörlerine hesap sahibiyle aynı erişimi sağlar.
GenAI erişiminin etkisi
“Google Workspace ortamlarına bağlı GenAI uygulamalarının %32’si çok geniş erişim izinlerine (okuma, yazma, silme) sahip.”
Beklenebileceği gibi, GenAI araçlarının ve hizmetlerinin geniş çapta benimsenmesi, insan dışı erişim sorununu daha da kötüleştiriyor. GenAI 2023’te muazzam bir popülerlik kazandı ve muhtemelen daha da büyüyecek. İle ChatGPT tarihin en hızlı büyüyen uygulaması oluyorve AI destekli uygulamalar indiriliyor Geçen yıla göre %1506 daha fazlaGenellikle incelenmemiş GenAI uygulamalarını kullanmanın ve iş çekirdek sistemlerine bağlamanın güvenlik riskleri, güvenlik liderleri için şimdiden uykusuz gecelere neden oluyor. Astrix Research’ün rakamları bu saldırı yüzeyine başka bir kanıt daha sunuyor: Google Workspace ortamlarına bağlı GenAI uygulamalarının %32’si çok geniş erişim izinlerine (okuma, yazma, silme) sahiptir.*
GenAI erişiminin riskleri endüstri çapında dalgalara çarpıyor. Adı geçen yeni bir raporda “Gelişen Teknoloji: GenAI’nin En Önemli 4 Güvenlik Riski“, Gartner, GenAI araç ve teknolojilerinin yaygın kullanımıyla birlikte gelen riskleri açıklıyor. Rapora göre, “Özellikle dışarıdaki üçüncü taraf çözümlere bağlı olarak üretken yapay zeka (GenAI) büyük dil modellerinin (LLM’ler) ve sohbet arayüzlerinin kullanımı Kuruluşun güvenlik duvarı, kuruluşlara yönelik saldırı yüzeylerinin ve güvenlik tehditlerinin genişlemesini temsil ediyor.”
Güvenlik kolaylaştırıcı olmalı
İnsan dışı erişim, bulutun benimsenmesi ve otomasyonun doğrudan sonucu olduğundan – her ikisi de büyümeye ve verimliliğe katkıda bulunan trendleri memnuniyetle karşıladı, güvenliğin de bunu desteklemesi gerekiyor. Güvenlik liderlerinin sürekli olarak engelleyici olmak yerine etkinleştirici olmaya çabalamasıyla, insan olmayan kimliklerin ve erişim kimlik bilgilerinin güvenliğini sağlamaya yönelik bir yaklaşım artık bir seçenek değil.
Hem harici hem de dahili olarak insan dışı erişimin uygun şekilde güvence altına alınmaması, tedarik zinciri saldırıları, veri ihlalleri ve uyumluluk ihlalleri olasılığını büyük ölçüde artırır. Güvenlik politikaları ve bunları uygulamaya yönelik otomatik araçlar, bu değişken saldırı yüzeyini güvence altına alırken aynı zamanda işletmenin otomasyon ve hiper bağlantı avantajlarından yararlanmasına olanak sağlamak isteyenler için bir zorunluluktur.
İnsan olmayanların kimlik güvenliğinde lider olan Astrix’in canlı demosunu planlayın
*1000-10.000 çalışanı olan kuruluşların kurumsal ortamlarından toplanan Astrix Research verilerine göre