Microsoft’un Azure Active Directory hizmetinden alınan yeni telemetri, Microsoft Active Directory’ye (AD) sahip kuruluşların dörtte üçünden fazlasının (%78) şu anda kullanıcı hesapları için çok faktörlü kimlik doğrulama (MFA) kullanmadığını gösteriyor.
Microsoft’un yeni üç aylık sayısında bugün yayınlanan veriler “Siber Sinyaller” raporuayrıca kimlik saldırısı girişimlerinin hacmi hakkında göz kamaştırıcı bir istatistik içerir: 2021’de Azure Active Directory, kullanıcı hesaplarına yönelik 25,6 milyardan fazla kaba kuvvet girişimini algıladı ve engelledi.
“Her saniye yaklaşık 580 ila 600 şifre saldırısı görüyoruz. [attempted]Microsoft CISO’su Bret Arsenault, Dark Reading ile yaptığı röportajda, “Yani bu, her yıl yaklaşık 18 milyar olduğu anlamına geliyor.”
Arsenault, çok faktörlü kimlik doğrulamanın kuruluşları siber saldırılardan, özellikle de fidye yazılımlardan korumak için önemli bir savunma olduğunu belirtti ve benimsemenin yavaş olduğunu ve “MFA’yı yeni uygularsanız ihlallerin %99,9’unun önleneceğini” de sözlerine ekledi.
“Bu sistemlere baktığımızda ve herkesin MFA’yı uygulamadığını gördüğümüzde, bence bu benim için en şaşırtıcı şeylerden biri, bu varlıkların gitmelerinin ne kadar sürdüğü. [MFA deployed]”dedi.
A Okta’dan yeni araştırma Saldırganların, MFA korumalı olmayan Microsoft 365 hesaplarını, sözde eski kimlik doğrulamayı veya geleneksel tek faktörlü parola yöntemini kullanmayan hesaplardan 10 kat daha fazla veya daha fazla hedeflediğini buldu.
Okta siber güvenlik stratejisi kıdemli direktörü Brett Winterford, “Çıkarmamız gereken sonuç, saldırganların ağırlıklı olarak eski protokoller aracılığıyla Office 365’i hedef almasıdır” diyor. “Yalnızca bir kullanıcı adı ve parola gerektiren hesaplar varken neden MFA’yı atlama zahmetine giresiniz?”
AD sunucularının kendileri siber suçlular için cazip bir hedef haline geldi. Daha sonra kurban bir kuruluşta birden fazla makineyi şifrelemek için kullanılan çalıntı kimlik bilgilerini besleyen fidye yazılımı saldırılarını gerçekleştirin.
“Etki alanı denetleyicileri [such as AD] fidye yazılımı aktörlerinin birincil hedefidir. Saldırgan, bu tek sunucudan ağdaki her cihazı keşfedip erişebilir ve bir kuruluşu çok hızlı bir şekilde durma noktasına getirebilir,” diyor Winterford. “Rutin olarak, güvenliği ihlal edilmiş tek bir hesaptan etki alanı yöneticisine geçen fidye yazılımı gruplarının raporlarını okuyoruz. sadece birkaç saat içinde.”
Winterford, AD hesaplarını doğru şekilde yapılandırmanın bazı kuruluşlar için zor olabileceğini ve yanlış yapılandırmaların onları saldırıya açık hale getirebileceğini söylüyor.
Uzak ve hibrit çalışmaya geçiş – işten istifalardaki bir dalga ve pandeminin ortasındaki hareketlerle birleştiğinde – kullanıcı hesaplarının yönetimini ve güvenliğini de karmaşık hale getirdi.
Bireysel kimliklere bağlı erişim hakları, örneğin, Omdia analisti Don Tait’e göre, bir kullanıcı şirkette farklı bir gruba taşındığında veya terfi aldığında genellikle değişir.
“Bu nedenle, merkezi olarak yönetilebilen bu hareketlere, eklemelere ve değişikliklere ihtiyaç duyuyorlar. Ancak yüksek düzeyde dağıtılmış kuruluşlarda, farklı düzeylerde yönetici erişimi anlamına gelen bireysel iş birimine yetkilendirme olabilir. [that] Coğrafyaları ve zaman dilimlerini geçebilir” diyor Tait. “Dijital ve hibrit çalışma tarzlarının patlaması [and] makine ve insan kimliklerinin miktarı çarpıcı biçimde arttı. Hibrit çalışmaya hızlı geçiş, birçok kuruluşu siber suçlara karşı duyarlı hale getirdi. [that] erişim elde etmek için kaldıraçlı kimlikler.”
AD sunucuları ayrıca kişisel olarak tanımlanabilir bilgileri depolayabilir, bu da sunucuların ihlali durumunda bir kuruluşu yasal tehlikede bırakabilir, fidye yazılımı veya gasp saldırılarından kaynaklanan mali yansımadan bahsetmiyorum bile, diye ekliyor.
Üç “F”
Arsenault, Microsoft’taki ekibinin MFA’nın benimsenmesi için risk temelli bir yaklaşım benimsediğini ve bunu üç temel adımda özetlediğini söyledi: bul, düzelt ve takip et.
İlk olarak, potansiyel kimlik güvenliği risklerini bulun, dedi. Arsenault, “Çoğu varlıkta aşırı izin verilen kişiler var. Yüksek erişime meşru ihtiyaç olan yerlere bakın – Active Directory sunucusu gibi,” dedi.
Bu adım, örneğin, kimin neye okuma erişimine ihtiyacı olduğunu kontrol etmeyi ve veri veya erişimin “fazla paylaşımının” olduğu alanları bulmayı gerektirir, diye açıklıyor.
Arsenault, “O zaman MFA’nın çalışması gerçekten önce risk alanlarını hedefliyor,” yani “düzeltme” aşaması için dedi. Bu statik bir süreç değildir, bu nedenle başka kullanıcı erişim sorunlarının ortaya çıkmamasını sağlamak için düzenli olarak kimlik güvenliğinin izlenmesini önerir.
Microsoft, MFA ve cihaz sertleştirme dahil olmak üzere AD ortamı için birden fazla savunma katmanına sahip olduğunu söyledi. Henüz bunlardan yararlanmayan kuruluşlara, son kullanıcılar için en azından iki faktörlü/çok faktörlü kimlik doğrulamayı başlatmalarını önerdi.
“İdari bir şeyle başlayamıyorsanız, [user identity-wise] … bu yüksek ayrıcalıklara kimin ihtiyacı olduğunu bulun”, diye açıkladı.
Omdia’nın Tait’ine göre, AD sunucusu ayrıcalıklarını korumak, bir etki alanı için kullanıcı hesapları oluşturmakla görevli yönetici sayısını sınırlamakla başlar.
“Tüm insanların ve makinelerin güçlü, itibarsız dijital kimliklere sahip olduğundan emin olun” diyor. “Bugün piyasada kanıtlanmış yaklaşım dijital sertifikalardır.”
Bu arada Microsoft’un yeni raporu, satıcının Defender for Endpoint’in 2021’de 9,6 milyardan fazla kötü amaçlı yazılım bulaşma girişimini engellediğini, Office 365 için Defender’ın ise geçen yıl yaklaşık 35,7 milyar kimlik avı ve diğer kötü amaçlı e-posta trafiği gördüğünü gösteriyor. Her iki veri noktası da kurumsal ve tüketici hesaplarını kapsar.
