Siber Saldırılar ve İnanılmaz Değişim
Son on yıl içerisinde siber saldırıların metodolojisi büyük ölçüde değişim göstermiştir. İlk başlarda saldırılar, bir noktayı (endpoint) ele geçirmek, malware (zararlı yazılım) yüklemek ya da kullanıcıları sosyal mühendislik yoluyla kandırmak üzerine kuruluydu. Ancak günümüzde siber saldırılarda odak noktası büyük ölçüde değişti. Artık yerel ağlar yerine SaaS (Hizmet Olarak Yazılım) hizmetleri hedef alınmakta. Bu hizmetler, web tarayıcıları aracılığıyla erişilmektedir ve bu durum, saldırganların yeni taktikler geliştirmesine neden olmuştur.
İşletmeler, SaaS hizmetlerini kullanırken büyük ölçüde kimlik yönetimine dikkat etmelidir. Bu durum, saldırganların hedef almaktan çekinmediği zafiyetler arasında yer almaktadır. Son yıllarda yaşanan büyük veri ihlalleri, örneğin 2024 yılındaki kapsamlı Snowflake kampanyası ve 2025’teki Scattered Spider’e atfedilen suç dalgası, bu durumu net bir şekilde ortaya koymaktadır. Bu tür saldırıların başarılı olmasının nedeni, saldırganların yeni koşullara uyum sağlarken, güvenlik sistemlerinin aynı hızda gelişememesidir.
Tarayıcı: Yeni Savaş Alanı
Saldırganların ilk hedefi, bir organizasyonun çalışan kimliklerini ele geçirmektir. Bu saldırılar, genellikle web tarayıcıları üzerinden gerçekleştirilmektedir. Kullanıcı kimlikleri ve oturum bilgileri burada saklandığından, saldırganların ulaşmak istediği asıl kaynak burasıdır. Çalınan kimlik bilgileri, hedefli saldırılarda ya da daha geniş çaplı kimlik bilgisi doldurma (credential stuffing) saldırılarında kullanılabilir.
Saldırganlar, çalıntı kimlik bilgilerini çeşitli yerlerden elde edebilir. Bu kaynaklar arasında veri ihlalleri, geniş çaplı kimlik bilgisi phishing kampanyaları ve kötü niyetli tarayıcı uzantıları bulunur. 2024’teki yüksek profilli Snowflake ihlalleri, kimlik odaklı saldırılarda bir dönüm noktası olmuştur. Saldırganlar, çalıntı kimlik bilgileri aracılığıyla yüzlerce müşteri hesabına erişim sağlamıştır. Çalınan kimlik bilgilerinin önemli bir bölümü ise daha önceki bir veri ihlaline dayanıyordu.
Tarayıcıdaki Saldırılar ile Tarayıcıya Yönelik Saldırılar
Tarayıcılara yönelik saldırıları iki ana kategoride incelemek mümkündür: Tarayıcı içindeki saldırılar ve tarayıcıya karşı yapılan saldırılar. Tarayıcılar, geleneksel endpoint’lere göre daha sınırlı bir saldırı yüzeyine sahiptir. Tarayıcıları hedef alan saldırılar, genellikle kötü niyetli uzantılar aracılığıyla gerçekleşmektedir. Kullanıcıların, zararlı bir uzantıyı yüklemeleri ya da daha önce yüklenmiş bir uzantının saldırganlar tarafından ele geçirilmesi gibi durumlar söz konusudur.
Bir organizasyonun tarayıcı ortamında uzantı izinleri sıkı bir şekilde kontrol edilmelidir. Kullanıcıların rastgele uzantılar yüklemelerine izin verilmemesi gerekir. Çalışanlar yalnızca gerekli olan az sayıda uzantıyı kullanabilmelidir. Bu tür kontroller, özellikle bir Chrome Enterprise müşterisi iseniz, yerel araçlar kullanılarak sağlanabilir.
Kimlik: Hedef, Tarayıcı: Platform, Phishing: Tercih Edilen Silah
Modern saldırıların en etkili yolu hâlâ phishing yöntemleridir. Credential’lar, session’lar ve OAuth onay kodları için yapılan phishing, genellikle tarayıcı üzerinden gerçekleşmektedir. Phishing saldırılarına karşı koyabilmek için oluşturulmuş çeşitli teknikler bulunmaktadır. Ancak, son dönemdeki phishing saldırıları, endüstriyel bir boyuta ulaşmış ve ihlal önleyici yöntemleri atlatacak çeşitli teknikler geliştirilmiştir.
Bu alandaki en son trendler, saldırganların MFA (Multi-Factor Authentication) ve geçiş anahtarı (passkeys) gibi güvenlik tedbirlerini aşmak için alternatif phishing teknikleri kullandıklarını göstermektedir. Bu da, kullanıcıların eski ve daha düşük güvenlikteki kimlik doğrulama yöntemlerine yönelmesini kolaylaştırmaktadır.
Kimlikler: Saldırganların Kolay Hedefi
Modern saldırganların ana hedefi, kimlikleri ele geçirmektir. Kullanıcı kimlikleri, phishing saldırıları, kötü niyetli uzantılar veya infostealer malware gibi yöntemlerle ele geçirilebilir. Kuruluşlar, yüzlerce uygulama ve bu uygulamalara bağlı binlerce hesapla her zaman büyük bir saldırı yüzeyiyle karşı karşıyadır. Bu durumu daha da karmaşık hale getiren unsurlar arasında, zayıf, tekrar kullanılan veya ihlal edilen şifreler yer almakta ve MFA eksiklikleri bu durumu ağırlaştırmaktadır.
Bir organizasyonda, 1,000 kullanıcıdan fazlası, farklı konfigürasyon ve zafiyetlere sahip 15,000’den fazla hesapla birlikte gelmektedir. Uygulama bazında kimliklerin güvenliğini sağlamak, özellikle de her uygulamanın kendine özgü güvenlik kontrol seviyeleri bulunduğunda, zorlu bir süreçtir.
Çözüm: Tarayıcıyı Telemetri Kaynağı ve Kontrol Noktası Olarak Kullanmak
Kimlik saldırıları tarayıcıda gerçekleştiği için, güvenlik ekiplerinin bu saldırıları izlemesi, kesmesi ve durdurması için ideal bir alan sunmaktadır. Tarayıcı, kimliklerin korunduğu yer olarak birçok avantaj sağlar. Diğer uygulamalarla sınırlı kalmadan, tarayıcı üzerinden geçen tüm oturum girişlerini gözlemleme imkânı tanır. Bu sayede, güvenlik ekipleri potansiyel saldırıları anlık olarak tespit edebilir.
Kimlik zafiyetlerini belirlemek ve düzeltmek, zorlu bir süreçtir; ancak modern güvenlik sistemleri, tarayıcıda kullanıcı davranışlarını izleyerek bu sorunların üstesinden gelebilir. Tarayıcı, phishing sayfalarının etkinliğini kontrol etmek ve kullanıcı bilgilerinin izlenmesini sağlamak için en uygun yerdir.
