Son yıllarda, çalışanların Google veya Microsoft ile bağlantılı her yapay zeka aracı ve otomasyon uygulaması, gün geçtikçe daha büyük güvenlik tehditleri oluşturan kalıcı OAuth belirteçleri bıraktı. Bu durum, hem siber güvenlik uzmanları hem de organizasyon yönetimleri için kritik bir hal aldı, çünkü bu belirteçler, yaygın güvenlik kontrollerinin ötesinde tehlikeler barındıyor.

Saldırı Nasıl Çalışıyor?

OAuth belirteçleri, çalışanlar işten ayrıldığında ya da şifre değiştiğinde yenilenmediği için, güvenlik açıkları oluşturuyor. Çoğu organizasyonda bu belirteçler izlenmediğinden, potansiyel saldırganlar için bir hedef haline geliyor. OAuth’un çalışma yapısı gereği, güvenlik programları çoğu zaman bu durumla başa çıkacak şekilde tasarlanmamış durumda.

CISOs Bu Sorunun Farkında

Yeni bir araştırmaya göre, güvenlik liderlerinin %80’i yönetilmemiş OAuth belirteçlerini kritik veya önemli bir risk olarak değerlendiriyor. Ancak, organizasyonların %45’i OAuth belirteçlerini geniş ölçekli olarak izlemek için hiçbir şey yapmıyor; %33’ü ise manuel süreçlerle sınırlı kalıyor. Bu durum, güvenlik açığına karşı etkili bir yanıt mekanizması geliştirmekte yetersiz kalıyor.

Etkilenen Sistemler

OAuth belirteçleri, iş uygulamalarına ve hatta API entegrasyonlarına erişim sağladığından, organizasyonlar için büyük bir riski temsil ediyor. Drift olayı, güvenlik açıklarının nasıl bir tehdit oluşturabileceğine dair somut bir örnek sunuyor. Bu olayda, bir tehdit aktörü, birçok organizasyondaki Salesforce ortamına erişimi sağlamak için geçerli OAuth yenileme belirteçlerini ele geçirdi.

Çözüm ve Korunma

Etkili bir OAuth güvenliği için şu unsurların göz önünde bulundurulması gerekiyor:

• Sürekli davranış izleme: Uygulamanın, erişim verildiği andan itibaren ne yaptığını izlemek; API çağrılarındaki anomali ve beklenmedik davranışları tespit etmek önemlidir.
• Etki alanı analizi: OAuth belirtecinin bağlı olduğu hesabın erişim düzeyi, potansiyel bir tehditin etkisini belirlemede kritik bir rol oynar.
• Organizasyonel risk toleransına bağlı yanıt mekanizması: Şüpheli veya kötü niyetli bir uygulama için hızlı bir geri çekme işlemi yapılmalıdır. Ancak kritik uygulamalar için insan incelemesi gerektiren durumlar da göz önünde bulundurulmalıdır.

Sonuç

OAuth belirteçleri, üçüncü taraf uygulamaların ve AI araçlarının işletme ortamlarına bağlanmasının temel yolunu oluşturuyor ve bu durumun değişmeyeceği öngörülüyor. Çalışanlarınıza AI araçlarını kullanamazsınız demek, en iyi güvenlik stratejisi değil. Bunun yerine, mevcut belirteçlere daha iyi görünürlük sağlamak, davranışlarını sürekli izlemek ve hızlıca yanıt verme kapasitesine sahip olmak gerekiyor. Sonuç olarak, siber güvenlik ekipleri, ortamlarında nelerin bağlı olduğunu görmek ve değişikliklere hızlı yanıt vermek için gerekli araçlarla desteklenmelidir. Daha fazla bilgi ve demo talebi için Material Security ile iletişime geçebilirsiniz.

Tarayıcı Tabanlı Saldırılar Nedir?

Son yıllarda, web tarayıcılarını hedef alan saldırıların sayısında gözle görülür bir artış yaşanmıştır. Tarayıcı tabanlı saldırılar, kullanıcıların web tarayıcıları aracılığıyla saldırıya uğramasına sebep olan, genellikle iş uygulamalarını veya verilerini hedef alan saldırılardır. Saldırganların amacı, kullanıcıların bu uygulamalara erişimlerini sağlamak ve burada bulunan verileri ele geçirmektir.

X şirketinin verilerine göre, saldırganlar genellikle üçüncü parti hizmetlere sızarak burada saklanan verileri çalmak ya da bu verileri kullanarak hedef aldıkları kuruluşlara karşı şantaj gerçekleştirmektedir. Saldırganlar, kullanıcılara yönelik yöntemler geliştirdikleri için, çalışanların saldırılara daha açık hale geldiği söylenebilir. Bu durum, tarayıcı tabanlı saldırıların daha yaygın ve etkili hale gelmesine yol açmaktadır.

Tarayıcı Tabanlı Saldırıların Altı Temel Türü

1. Kimlik Bilgilerini ve Oturumları Ele Geçirme

Saldırganlar, iş uygulamalarına sızmanın en doğrudan yolunu, kullanıcıların kimlik bilgilerini veya oturumlarını ele geçirerek sağlamaktadır. Eskiden e-posta ile gerçekleştirilen oltalama saldırıları günümüzde tarayıcı bazında gerçekleşmektedir. Saldırganlar, sosyal medya, instant mesajlaşma uygulamaları veya SMS aracılığıyla zararlı bağlantılar göndermekte ve kullanıcıları kandırarak kimlik bilgilerini çalmaktadır.

Bu tür saldırılar, kullanıcının tarayıcısı üzerinden yapıldığı için özellikle tehlikeli hale gelmiştir. Saldırganlar, kullanıcıları zararlı sayfalara yönlendirirken, kimlik bilgilerini ele geçirme yöntemlerini oldukça geliştirerek zirai bir ölçeğe taşımaktadır.

2. Zararlı Kopyala & Yapıştır (ClickFix, FileFix vb.)

Son zamanlarda öne çıkan saldırı tekniklerinden biri de ClickFix olarak adlandırılan yöntemdir. Bu saldırılar, kullanıcıları web tarayıcıları üzerindeki doğrulama zorluklarını çözmeleri için kandırarak zararlı komutları çalıştırmalarına neden olmaktadır. Gerçekte, bu saldırılar kullanıcının zararlı kodları kopyalayıp çalıştırmasına yol açmaktadır.

Bu tür saldırılarda en sık karşılaşılan durum, zararlı yazılımların kurulumunu gerçekleştirmektir. Saldırılar genellikle çeşitli çekici unsurlar ile sunulmakta ve kullanıcıları hedeflenmektedir.

3. Zararlı OAuth Entegrasyonları

Saldırganlar, kullanıcıları kandırarak zararlı bir uygulama ile OAuth entegrasyonu yapmaya ikna edebilir. Bu, izin phishing olarak bilinir ve kullanıcıların izinsiz uygulamalarla etkileşime girmesine neden olur. Bu tür saldırılar, kullanıcıların hesaplarının ele geçirilmesine olanak tanır ve güçlü kimlik doğrulama kontrol sistemlerini aşabilir.

“Salesforce” gibi platformlarda yaşanan saldırılar, bu tür zararlı entegrasyonların nasıl kullanılabileceğini göstermektedir. Kullanıcıların bu tür riskli uygulamalarla iletişim kurmasını engellemek için, sıkı yönetim prosedürleri gereklidir.

4. Zararlı Tarayıcı Eklentileri

Bazı saldırganlar, zararlı tarayıcı eklentileri oluşturarak ya da mevcut bir eklentiyi ele geçirerek kullanıcıların bilgilerini toplamak için bu yöntemi kullanmaktadır. Bu tür eklentiler, kullanıcıların oturum bilgilerini ve kimlik bilgilerini çalmak için tasarlanmıştır.

Kullanıcıların yalnızca güvenilir eklentileri yüklemesi ve gereksiz eklentilerden kaçınması çok önemlidir. Fakat pek çok işletme, çalışanlarının kullanmakta olduğu eklentiler üzerindeki kontrolsüzlüklerinden dolayı büyük riskler taşımaktadır.

5. Zararlı Dosya Dağıtımı

Zararlı dosyalar, uzun yıllardır zararlı yazılım dağıtmanın ve kimlik bilgisi çalmanın ana unsuru olmuştur. Saldırganlar, çeşitli yollarla zararlı dosyaları dağıtarak kullanıcıları hedef almakta ve bilgi çalmaktadır. Özellikle HTML Uygulamaları (HTA) gibi dosyalar, kullanıcıları kandırarak kimlik bilgilerini çalmaya yönelik kullanılmaktadır.

Bu dosyaların güvenli bir şekilde tespit edilmesi, birkaç temel kontrol mekanizması ile mümkün olmaktadır. Ancak zararlı içeriğin tespiti her zaman kolay değildir.

6. Çalınan Kimlik Bilgileri ve MFA Açıkları

Son olarak, bu tür saldırılar sonucunda ele geçirilen kimlik bilgileri, Çok Faktörlü Kimlik Doğrulama (MFA) olmadığı durumlarda kullanılabilmektedir. Bu, oldukça etkili bir saldırı tekniğidir. Birçok işletmenin, farklı uygulamalarında MFA uygulamadığı gözlemlenmektedir; bu durum, saldırganlar için bir fırsat yaratmaktadır.

Tarayıcılar üzerinden mükemmel bir görüş elde etmek, güvenlik ekiplerinin kullanıcıların hangi uygulamalara girdiğini ve MFA’nın varlığını tespit etmelerine olanak tanımaktadır. Bu şekilde, güvenlik açıkları, saldırganlar tarafından kullanılmadan önce tespit edilebilir.

Saldırılar gün geçtikçe tarayıcıda daha fazla gerçekleşmektedir. Bu nedenle, güvenlik ekiplerinin tarayıcı tabanlı saldırılara karşı daha proaktif bir yaklaşım benimsemesi gerekmektedir. Push Security gibi çözümler, tarayıcı tabanlı saldırıları engelleme konusunda etkili potansiyele sahiptir ve güvenlik açıklarını tespit etme yeteneği sunmaktadır.

Güncel Siber Güvenlik Haberleri – 1

Günümüz dijital dünyasında, tarayıcı tabanlı saldırılar siber güvenlik için ciddi tehditler oluşturmaktadır. Bunun altında yatan başlıca nedenlerden biri, iş uygulamalarının ve verilerinin hedef alınmasıdır. Saldırganlar, kullanıcıları kelime oyunları, sosyal mühendislik taktikleri ve çeşitli zayıf noktaları kullanarak manipüle etmektedir. Bu saldırıların amacı ise, işletmenizin üçüncü parti uygulamalarına erişim elde etmek ve burada saklanan verileri çalmaktır.

Tarayıcı Tabanlı Saldırı Türleri

Saldırganların kullandığı en yaygın tarayıcı tabanlı saldırı teknikleri şunlardır:

1. Kimlik Bilgileri ve Oturum Avı

Kimlik avı, kullanıcıların oturum bilgilerini çalmak için kullanılan en eski yöntemlerden biridir. Gelişmiş kimlik avı araçları sayesinde, saldırganlar artık kullanıcıların hesaplarına daha kolay ulaşmaktadır. Bu tür saldırılar, e-posta ve çeşitli mesajlaşma uygulamaları üzerinden bağlantılar göndererek gerçekleştirilir. Özellikle, MFA (çok faktörlü kimlik doğrulama) sistemlerinin bypass edilmesi, bu tür saldırıların etkisini artırmaktadır.

2. Kötü Amaçlı Kod Teslimi

ClickFix gibi saldırı teknikleri, kullanıcıları sahte CAPTCHA çözümleri aracılığıyla kötü amaçlı kod çalıştırmaya ikna eden yöntemlerdir. Kullanıcıların dikkatini dağıtmak için tasarlanan bu tür saldırılar, kötü amaçlı yazılımlarını hedef cihazlara bulaştırmak için etkili bir yöntemdir. Saldırganlar, özellikle bu tür dikkat çekici lüfeleri kullanarak kullanıcıları manipüle etmeye çalışmaktadır.

3. Kötü Amaçlı OAuth Entegrasyonları

Saldırganlar, kullanıcılara kötü amaçlı bir uygulama ile entegrasyon izni verdirerek hesaplarını ele geçirebilirler. Bu tür saldırılar, kullanıcıların normal oturum açma işlemlerini atlatmalarına olanak tanır ve özellikle Salesforce gibi popüler platformlarda yaygındır.

4. Kötü Amaçlı Tarayıcı Uzantıları

Kullanıcıların tarayıcılarına yüklediği uzantılar, saldırganların şifreleri çalmasına olanak tanıyabilir. Siber güvenlik konusunda dikkatsiz olan kullanıcılar, güvenilmeyen uzantıları indirerek ciddi risklerle karşı karşıya kalmaktadır. Bu tür uzantılar, kullanıcıların tarayıcı geçmişine ve çerezlerine erişim sağlayarak oturum bilgilerini ele geçirebilmektedir.

5. Kötü Amaçlı Dosya Teslimi

Kötü amaçlı dosyalar, çeşitli zararlı yazılımların tarayıcı üzerinden dağıtılması için kullanılabilir. HTML Uygulamaları (HTA) gibi dosyalar, kullanıcıları sahte giriş sayfalarına yönlendirerek kimlik bilgilerini çalmaktadır.

6. Çalınmış Kimlik Bilgileri ve MFA Açıkları

Çalınmış kimlik bilgileri, MFA (çok faktörlü kimlik doğrulama) olmayan hesapları ele geçirmek için kullanılabilir. Snowflake gibi platformlarda yaşanan hesap ihlalleri, bu tür saldırıların ne kadar yaygın olduğunu göstermektedir. Kullanıcıların hangi uygulamalara giriş yaptıkları ve MFA durumları hakkında bilgi edinmek, güvenlik ekipleri için kritik bir öneme sahiptir.

Tarayıcı Tabanlı Güvenlik Çözümleri

Günümüzde, tarayıcı tabanlı saldırıları önlemek ve tespit etmek için bazı çeşitli çözümler bulunmaktadır. Güvenlik ekipleri, tarayıcı seviyesinde görünürlük elde ederek, kötü amaçlı uygulamaları ve uzantıları teşhis edebilir. Bu tür çözümler, kullanıcıların tarayıcıda gerçekleştirdikleri eylemleri izleyerek, potansiyel tehditleri önceden tespit etme olanağı sunmaktadır.

Ayrıca, tarayıcılar üzerinden gerçekleştirilen OAuth işlemlerinin izlenmesi, güvenlik açığı olan uygulamaların tespit edilmesine yardımcı olabilir. Modern güvenlik araçları, çalışanların kullandığı uygulamalar arasındaki zayıf noktaları bulmayı ve düzeltmeyi kolaylaştırmaktadır.

Sonuç Olarak

Tarayıcı, siber saldırıların en çok gerçekleştiği yer haline geldiği için güvenlik ekiplerinin bu alana daha fazla dikkat etmesi gerekmektedir. Tarayıcı tabanlı saldırılara karşı etkili bir koruma sağlamak, ilgili güvenlik çözümlerinin entegrasyonu ile mümkündür. Push Security gibi tarayıcı tabanlı güvenlik platformları, bu tür tehditlerle mücadele etmenin en etkili yolunu sunmaktadır.

Güncel Siber Güvenlik Haberleri – 2

siber-1