Siber Güvenlik

Yeni bir şifre alabilir miyim? 400 milyon dolarlık soru.

teknomers
teknomers

Clorox’un Siber Saldırısı: Olayın Detayları

2023 yılının Ağustos ayında, Scattered Spider grubuna bağlı saldırganlar, Clorox’u hacklemek için sıfır gün açığını kullanmadılar. Bunun yerine, Cognizant tarafından yönetilen hizmet masasına telefonla ulaşarak kilitli çalışanlar olduklarını iddia ettiler ve şifre ile MFA (çok faktörlü kimlik doğrulama) sıfırlamaları talep ettiler. Mahkeme dilekçelerine ve raporlara göre saldırganlar, Cognizant’ın hizmet masasına yeniden tekrar telefon açarak, bu sıfırlamaları tekrar tekrar yaptırdılar. Ciddi bir doğrulama olmadan elde ettikleri erişimi kullanarak, hızlı bir şekilde alan yöneticisi (domain-admin) pozisyonuna doğru hareket ettiler.

Contents

Clorox, bu saldırının yaklaşık 380 milyon dolar zarara yol açtığını bildirdi. Bu miktar arasında yaklaşık 49 milyon dolar iyileştirme maliyetleri ve “yüzlerce milyon” dolarlık iş kesintisi kayıpları yer aldı. Saldırının nasıl gerçekleştiğini, üçüncü taraf hizmet masalarının güvenliğini nasıl sağlayabileceğimizi ve doğru teknoloji ile doğrulamaları nasıl zorlayabileceğimizi inceleyeceğiz.

Saldırı Nasıl Gerçekleşti?

Sosyal mühendislik saldırıları, insanların zaaflarını hedef alarak başarılı olur. Saldırganlar, önce hedef üzerinde keşif yapar (isimler, unvanlar, son işe alımlar, iç bilet referansları toplar) ve ardından sakin, senaryolu bir telefon görüşmesi ile meşru kullanıcı davranışını taklit eder. Buradaki amaç, hizmet masası çalışanını baskı altında hissedip güvenlik süreçlerini atlamaya itmek.

Clorox’un durumunda, yasal şikayette, ilk hat yöneticilerinin telefonla ikna edilerek kimlik bilgilerini ve MFA’yı sıfırladıkları belirtiliyor. Bu işlemlerin, Cognizant ile varılan prosedürlere aykırı olarak, kimlik doğrulama yapılmadan gerçekleştirildiği iddia ediliyor. Sonuç olarak, tek bir kompromize olmuş kimlik, yan hareketler yapmak ve büyük kesintilere neden olmak için bir sıçrama tahtası oldu.

Verizon’un Veri İhlali Soruşturma Raporu, çalınan kimlik bilgilerinin ihlallerin %44.7’sinde yer aldığını bulmuştur. Bu bağlamda, güçlü parola politikaları ile Active Directory‘yi zahmetsizce güvence altına almak, 4 milyardan fazla kompromize olmuş parolayı engellemekte, güvenliği artırmakta ve destek sıkıntılarını azaltmaktadır.

Etki: Operasyonel Felç ve Veri Kaybı

Clorox, üretim sistemlerinin çevrimdışı hale geldiğini, üretimin durakladığını, manuel sipariş işleme ve sevkiyat gecikmeleri yaşandığını bildirdi. Bu tedarik zinciri ve yerine getirme etkileri (savcılık ve iyileştirme maliyetleri de dahil olmak üzere) davada belirtilen kayıpların büyük bir kısmını oluşturdu. Basit bir yetkisiz şifre sıfırlamanın geniş kapsamlı sonuçlar doğurabileceği bu olayla tekrar hatırlatılmış oldu.

CISA ve diğer ajanslar, bu tarz bir saldırı patternini gündeme getirdiler. Scattered Spider ve benzeri gruplar, dışarıda çalışan yardım masalarını hedef alıyorlar çünkü bu dış kaynaklı masalar, sıklıkla birden fazla müşterinin ortamına yüksek ayrıcalıklı köprülerden geçerek erişim sağlıyor. Bu gruba karşı savunma tavsiyeleri, tehdit aktörlerinin kullanıcıları taklit edeceği ve zayıf doğrulamaları kullanarak MFA’yı aşacağı konusunda uyarıda bulunuyor. Bu bağlamda, sağlam arayıcı doğrulamanın yalnızca iyi bir uygulama değil, aynı zamanda temel bir tedarik zinciri kontrolü olduğu anlaşılmaktadır.

Dış Kaynak Kullanımının Riskleri Nasıl Artıyor?

Yardım masası işlevlerini dış kaynak kullanmak bir güvenlik açığı oluşturmaz; eğer satıcı süreçleri güçlü ise bu seçenek birçok kuruluş tarafından tercih ediliyor. Ancak, satıcının doğrulama süreci zayıf veya kötü uygulanıyorsa, risk artmaktadır. Dış kaynak kullanımının risklerini artıran üç temel yapı şu şekilde:

  1. Yoğun güven: Satıcılar geniş çaplı, çok kiracılı ayrıcalıklara ve hızlı işlem akışlarına sahip olabilirler; bu durum, kötüye kullanıldığında tüm bir kuruluşa yayılabilecek ayrıcalıklı sistemlere ulaşılmasını sağlayabilir.

  2. Süreç saptırma ve ölçek: Büyük satıcılar yüksek çağrı hacimlerini yönetmektedir. Eğer senaryolar belirsiz veya kalite kontrol zayıfsa, acenteler “kullanıcıyı çalışır duruma getirme” davranışına geri dönebilirler. Bu durumda, Clorox’un davasında, doğrulama için şartların yerine getirilmediği iddia edilmektedir.

  3. Görüş boşlukları: Üçüncü taraf masaları, kendi sistemlerinde veya biletleme uygulamalarında gerçekleştirdikleri işlemleri kaydedebilirler; bu durum, müşteri SIEM veya ayrıcalıklı erişim telemetrisine tamamen entegre edilmediğinden, tespit edilmesini geciktirebilir.

Defansif Önlemler Almak

Yardım masası sıfırlamalarını ayrıcalıklı işlemler olarak ele almak ve bu süreçleri aşağıdaki beş uygulanabilir adımla düzenlemek önemlidir:

  1. Uzak sıfırlamalar için dış kanaldan doğrulama zorunluluğu: Bir şirket tarafından sahip olunan bir telefon numarasına geri arama, iş e-postasına gönderilen bir miktar zamanlı token veya bilgiye dayalı sorular yerine kısa bir kriptografik meydan okuma talep edilmelidir.

  2. Onay eşiklerinin belirlenmesi: Yüksek riskli sıfırlamalar (MFA, ayrıcalıklı gruplar, hizmet hesapları) için iki kişilik onay gerekmeli ve bilet ID’sine bağlı otomatik yöneticiler bildirilmelidir.

  3. Geçici ayrıcalıklı oturumların kullanımı: İyileştirme görevleri için geçici ayrıcalıklı oturumlar kullanılmalı ve tespit edildiğinde uzun ömürlü admin oturumları iptal edilmelidir.

  4. Otomatik telemetri ve sınırlama: Her sıfırlama, değiştirilemeyen bir denetim kaydına (bilet ID’si, acent ID’si, arayanın geri arama numarası) kaydedilmeli, olağan dışı sıfırlama kalıplarında alarm olmalı ve şüpheli dizilerde otomatik olarak yenileme jetonları iptal edilmelidir.

  5. Tespiti kurallara dönüştürmek: “Birden fazla belirgin kullanıcı sıfırlaması için aynı harici geri arama numarasının kullanılması” veya “X dakika içinde aynı iş birimindeki kullanıcılara yönelik birden fazla MFA sıfırlaması” gibi kalıpları izlemek. Bu tür yüksek sinyal olayları, otomatik oturum iptali ve SOC escalasyonu tetikleyen olaylar olmalıdır.

Operasyonel Yönetim: Sözleşme Dili ve Denetimler

Eğer dış kaynak kullanıyorsanız, sözleşmeniz, satıcı tarafındaki teknik kontrolleri ve denetlenebilirliği zorunlu kılmalıdır. Satıcının, iki kanallı doğrulamayı, değiştirilemeyen sıfırlama günlüklerini ve SIEM ile entegrasyonu sağladığını kanıtlamasını talep edin. Şüpheli hesap ihlalleri için MTTD/MTTR konusunda ölçülebilir SLA’lar oluşturun ve sosyal mühendislik testlerinin simülasyonlarını isteyin.

Teknoloji yardımcı olabilir, ancak insanlar hala sosyal mühendislik saldırılarına maruz kalabilirler. Düzenli olarak, yardım masası (ve satıcılarınız) üzerinde simüle edilmiş kırmızı takım telefon tabanlı testleri gerçekleştirin, hataları ölçün ve düzeltici eğitimleri operasyonlara dahil edin. Sıfırlama ile tespit arasındaki süreyi izleyin ve azaltın; bu metrik, pahalı, tek seferlik güçlendirme projelerinden daha fazla fark yaratacaktır.

Güncel Siber Güvenlik Haberleri – 2

Google ve Renault ‘yazılım tanımlı bir araç’ üzerinde çalışıyor
“En güvenilir Ford” ve “en güzel Honda” bir arada satışa sunuldu
BelAZ, 2030 yılına kadar 100 tonluk hibrit bir hidrojen damperli kamyonu piyasaya sürecek ve Rusya’dan ayrılan MAN, halihazırda hidrojen içten yanmalı motora sahip MAN hTGX kamyonları üretiyor.
Broadcom, VMware AVI Yük Dengeleyici’de Yüksek Teslim SQL enjeksiyon kusurunu uyarıyor
Bu şaşırtıcı %82 indirimle PIA VPN’i inanılmaz bir fiyata edinin
ETİKETLENDİ:
Bu Makaleyi Paylaş
Önceki Makale Satışları Tükendi: Adam Devine ve Kaley Cuoco ile John Ritter’ı Anma
Sonraki Makale Thinking Machines Lab, yapay zeka modellerinin tutarlılığını artırmak istiyor.

Sanal Medya

Son Eklenenler

IBM’in Gölgelerindeki Veri İhlalleri Ortaya Çıktı
Genel
Yaz dönemi Oyun Festivali 2026: En Büyük Haberler ve Tanıtımlar
Liste
Acil: Dark Web Nemesis Market Satıcısına 26 Yıl Hapis Cezası
Siber Güvenlik
Vatandaş Bilimi ile Ekoturizmi Birleştirerek Doğayı Koruma Stratejileri
Genel
Startup Battlefield 200 başvuruları 3 gün içinde kapanıyor
Yapay Zeka
Seattle, bir yıl süreli AI veri merkezi moratoriumu geçirecek – topluluk etkisini inceleyecek
Donanım