2024’teki en büyük bulut güvenliği riski kimlik bilgilerinin çalınması ve açığa çıkması olacak. Hesapları çok faktörlü kimlik doğrulamayla kilitlemek ve şifre ihlallerini araştırmak, saldırganların dışarıda kalmasına yardımcı olabilir.
Bir güvenlik operasyon merkezi (SOC) tarafından araştırılan olayların analizine göre, bilgisayar korsanları iş uygulamalarına ve bulut altyapısına sızma girişimlerini iki katına çıkarıyor. Yönetilen tespit ve yanıt şirketi Expel, SOC’nin araştırdığı tüm olayların yüzde 64’ünü “kimlik tehditlerinin” oluşturduğunu ve bunların hacminin 2022’ye göre yüzde 144 arttığını söyledi.
Bulut güvenliği riski için tahminler
Firmanın analizi, geçen yıl boyunca bulut altyapısı olaylarında yüzde 72’lik bir artış olduğunu ve beş olaydan ikisinden çalınan veya sızdırılan kimlik bilgilerinin sorumlu olduğunu gösterdi. Kimlik tehdidi olayları ya yetkisiz e-posta oturum açma işlemleri yüzde 60’ını oluşturuyordu. Bu, Microsoft Entra ID (eski adıyla Azure Active Directory), Okta, Ping ve Duo gibi kimlik platformlarında yapılan kimlik doğrulamalardan kaynaklanıyordu.
Expel raporunda, kar amacı gütmeyen bir kuruluşun 255 kez hedef alınmasına rağmen, kuruluşların yıl içinde ortalama sekiz kimlik temelli olayla karşılaştığı belirtildi. Bu olayların üçte ikisi, beklenmedik barındırma sağlayıcıları veya proxy’ler gibi şüpheli altyapılardan kötü niyetli oturum açma işlemlerini içeriyordu. Expel, saldırganların daha fazla proxy ve VPN kullanma yönünde bir değişim gördüğünü ve kuruluşların çok faktörlü kimlik doğrulama (MFA) gibi sürekli olarak “etkili birlikte gösterimler” uygulamaya koymasına kadar bunun devam edeceğini söyledi.
Expel, bu saldırıların artan hacminin, daha fazla kimlik avı platformunun kullanıma sunulmasının doğrudan bir sonucu olduğunu ve bu platformların, şüphelenmeyen kullanıcıları şifrelerini teslim etmeleri için kandırabilecek ikna edici giriş sayfaları oluşturmayı kolaylaştırdığını söyledi. Firma, SOC’nin bu yıl araştırdığı en fazla sayıda hedefli kimlik saldırısından “The Com” olarak bilinen belirli bir grubun sorumlu olduğunu söyledi. Bu grup öncelikle Okta ve Microsoft hesaplarını hedef alarak şifre politikalarını kötüye kullanmaya çalıştı.
Bu saldırganlar, hesapları kilitlenen bir personelin üyesi gibi davranarak BT yardım masalarını arayacak ve şifrelerin sıfırlanmasını isteyecek. Yardım masası veya self servis sistemi aracılığıyla yapılan talepler başarılı olursa saldırgan, gerçek kullanıcıya MFA push’ları gönderir. Kullanıcı MFA push’u kabul ederse saldırgan hesaba erişim kazanıyor. Expel, oturum açma işlemi MFA tarafından engellense bile, güvenliği ihlal edilmiş bir kullanıcı parolasına ilişkin her türlü kanıtı bir kimlik olayı olarak sınıflandırdığını söyledi.
