Bir güvenlik operasyon merkezi (SOC) tarafından araştırılan olayların analizine göre, bilgisayar korsanları iş uygulamalarına ve bulut altyapısına sızma girişimlerini iki katına çıkarıyor. Yönetilen tespit ve yanıt şirketi Expel, SOC’nin araştırdığı tüm olayların yüzde 64’ünü “kimlik tehditlerinin” oluşturuyor. Ayrıca bunların hacminin 2022’ye göre yüzde 144 arttığını söyledi. Firmalar, bu tür tehditler için bulut güvenliği stratejileri geliştirmelidir.
Bulut güvenliği stratejileri
Firmanın analizi, geçen yıl boyunca bulut altyapısı olaylarında yüzde 72’lik bir artış oldu. Bununla birlikte beş olaydan ikisinden çalınan veya sızdırılan kimlik bilgilerinin sorumlu olduğunu gösterdi. Kimlik tehdidi olayları, bulut güvenliği stratejileri için kritik öneme sahiptir. Ya yetkisiz e-posta oturum açma işlemleri yüzde 60’ını oluşturuyordu. Bu, Microsoft Entra ID, Okta, Ping ve Duo gibi kimlik platformlarında yapılan kimlik doğrulamalardan kaynaklanıyor.
Expel raporunda, kar amacı gütmeyen bir kuruluşun 255 kez hedef alındığını gösterdi. Buna rağmen, kuruluşların yıl içinde ortalama sekiz kimlik temelli olayla karşılaştığı belirtiliyor. Bu olayların üçte ikisi, beklenmedik barındırma sağlayıcıları veya proxy’ler gibi şüpheli altyapılardan açma işlemlerini içeriyordu. Expel, saldırganların daha fazla proxy ve VPN kullanma yönünde bir değişim gördüğünü belirtti. Ayrıca kuruluşların çok faktörlü kimlik doğrulama (MFA) gibi sürekli olarak “etkili birlikte gösterimler” uygulamaya koymasına kadar bunun devam edeceğini söyledi. Dolayısıyla, bulut güvenliği stratejileri uygulayan kuruluşlar daha iyi korunabilirler.
Expel, saldırıların artan hacminin, kimlik avı platformunun kullanıma sunulmasının doğrudan bir sonucu olduğunu belirtiyor. Ayrıca bu platformların, şüphelenmeyen kullanıcıları şifrelerini teslim etmeleri için kandırabilecek ikna edici giriş sayfaları oluşturmayı kolaylaştırdığını söyledi. Firma, SOC’nin bu yıl araştırdığı en fazla sayıda hedefli kimlik saldırısından “The Com” olarak bilinen belirli bir grubun sorumlu olduğunu söyledi. Bu grup öncelikle Okta ve Microsoft hesaplarını hedef alarak şifre politikalarını kötüye kullanmaya çalıştı.
Bu saldırganlar, hesapları kilitlenen personelin üyesi gibi davranarak BT yardım masalarını arayacak. Ayrıca şifrelerin sıfırlanmasını isteyecek. Yardım masası veya self servis sistemi aracılığıyla yapılan talepler başarılı olursa saldırgan, gerçek kullanıcıya MFA push’ları gönderir. Kullanıcı MFA push’u kabul ederse saldırgan hesaba erişim kazanıyor. Expel, oturum açma işlemi MFA tarafından engellense bile, güvenliği ihlal edilen bir kullanıcı parolasına ilişkin her türlü kanıtı bir kimlik olayı olarak sınıflandırdığını söyledi. Bu tür olayların önüne geçmek için bulut güvenliği stratejileri hayati bir rol oynamaktadır.