Pandemi, şirketleri büyüyen bir uzak iş gücünü desteklemek için bulut hizmetleri, altyapı ve iş yüklerini benimsemelerini hızlandırmaya zorladı, ancak bu değişim, bir dizi kimlik bilgisine sahip neredeyse herkes ve herhangi bir iş yükü gibi içeriden bir tehdidi kimin temsil ettiğini yeniden tanımladı.
O halde, saldırganların kimlik bilgisi doldurma, kimlik avı ve diğer kimlik saldırılarını kullanarak bulut hizmetlerini ve altyapısını giderek daha fazla hedef almasına şaşmamalı. Verizon’un yıllık “Veri İhlali Araştırmaları Raporuna” göre 2021’de Web uygulaması saldırılarının tahmini %85’i çalıntı kimlik bilgileri kullanırken, Microsoft saldırıların %70’inin başka bir kimlik odaklı saldırı olan kimlik avı ile başladığını tahmin ediyor.
Bir kimlik tespit ve müdahale firması olan Attivo Networks’ün baş güvenlik savunucusu Carolyn Crandall, bunların düşmanlar adına yeni taktikler olmadığını, ancak büyüyen saldırı yüzey alanını kullandıklarını gösterdiğini söylüyor.
“Hibrit iş gücüne geçiş ve AWS ile Azure ortamlarına geçişle birlikte, güvenlik ekiplerinin bunu yönetmesi çok zor oldu” diyor. “Bu, riskleri katlanarak artıran çok büyük yeni bir saldırı yüzeyi olduğu kadar, saldırıların kimliklerden daha fazla yararlanmak için değişmesi gerekmiyor.”
Pandemi sırasında şirketlerin dahili altyapısı hızla dışarıdan erişilebilir bulut hizmetlerine ve altyapısına geçerken, kimlik bilgilerine dayalı saldırı riski arttı. Basit bir kullanıcı adı ve parola ile korunan bulut ve uzaktan erişim hesapları, çoğu saldırganın odak noktası haline geldi. Microsoft, 2021’de yaklaşık 26 milyar kimlik saldırısı girişimini engellediğini iddia ederken, Akamai, 2019’a göre %310 artışla 2020’de 193 milyar kimlik bilgisi saldırısını engelledi.
Yine de kimlik saldırıları, kimlik bilgilerini doldurma ve kimlik avının ötesine geçer. Microsoft’un Identity bölümünün program yönetimi kurumsal başkan yardımcısı Alex Simons, şirketler artıklık ve dayanıklılık için birden çok bulut platformu benimsemeye geçtikçe, saldırganların “bulutlar arasındaki bağlantılardan yararlandığını” ve iş yükü kimliklerindeki büyük artışın sunduğu zayıflıkları aradığını söylüyor. .
“Gördüğümüz en son saldırılar, saldırganların, yazılımın diğer yazılımlarla konuşmak için kullandığı kimliklerin peşinden gittiği yerlerdir” diyor. “Şirketler, bir iş yükü kimliğini yönetmeniz gerektiğinin farkında değil [as these are called] tıpkı bir insan kimliğini yönettiğiniz ve koruduğunuz kadar dikkatli olun. Müşterilerimizin çoğu, insan kimliklerinden daha fazla iş yükü kimliğine sahip ve iş yükü kimlikleri çok daha hızlı büyüyor.”
Saldırı Yüzeyi Olarak Bulut
Endişeler, işletmelerin operasyonların çoğunu buluta kaydırması, bulut altyapısının ve hizmetlerinin uzaktan yönetimine güvenmesi ve operasyonlarını yürütmek için daha fazla sanal makine ve kapsayıcı – yani bulut “iş yükleri” kullanmaya devam etmesi nedeniyle ortaya çıkıyor. ” göre, 10 işletmeden dokuzundan fazlası bir çoklu bulut stratejisi taahhüdünde bulundu.2021 Bulutun Durumu Raporubulut yönetim firması Flexera tarafından geçen yıl yayınlandı.
Microsoft’tan Simons, eklenen karmaşıklığın doğru şekilde ele alınmazsa daha fazla güvensizliğe yol açabileceğini söylüyor.
“Müşterilerimizin çoğu, Azure’da neler olup bittiğini, AWS’de neler olup bittiğini, şirket içinde VMware ile neler olup bittiğini ve neler olup bittiğini izlemek için birlikte bir çözüm bulmak zorunda oldukları bu çok zorlu yapılandırma sorunlarına sahipler. GCP ile devam ediyor” diyor. “Bu devasa yüzey alanını izlemeye çalışmak gerçekten zor.”
Bulut ortamlarını daha da karmaşık hale getirmek için her sanal makinenin, kapsayıcının ve diğer bulut iş yükünün kimliklerinin ve izinlerinin de yönetilmesi gerekir. Çoğu şirketin çalışanlardan daha fazla makine kimliği vardır, ancak bu iş yüklerinin ne yaptığı konusunda iyi bir görünürlükleri yoktur. Microsoft şu anda müşterilerinin iş yükü kimliklerinin insanlardan iki kat daha hızlı büyüdüğünü görüyor.
Aşırı izinli ve Yetersiz güvenlikli
Bu iş yüklerinin yetenekleri de iyi yönetilmiyor. Attivo Networks’ten Crandall, Amazon iş yüklerinin büyük çoğunluğunun – %90’ının – kendilerine verilen ayrıcalıkların %2’sinden daha azını kullandığını, bunun da şirketlerin makinelere en az insanlar kadar dikkat etmesi gerektiği anlamına geldiğini söylüyor.
“Artık neyin insan olduğuyla ilgili değil, kimliklerle ilgili, çünkü insan ve insan olmayan kimlikleri hesaba katmanız gerekiyor” diyor. “İnsanların sadece yetkilendirme ve kimlik doğrulamayı düşünmemelerini sağlamalıyız ya da ‘MFA’m var, bu yüzden iyiyim’ – bundan çok daha ileri gitmeleri gerekiyor.”
Endişeler yeni değil. 2009’da yapılan bir araştırma, yönetici haklarının ortadan kaldırılmasının, bir önceki yıla göre kritik Microsoft güvenlik açıklarının %92’sinin önem derecesini azalttığını buldu. 2020 tarihli bir takip raporu, yönetici ayrıcalıklarının kaldırılmasıyla kritik güvenlik açıklarının %56’sının hafifletilmesiyle sorunun azaldığını, ancak kesinlikle ortadan kalkmadığını öne sürdü.
Çoğu durumda, kimlik saldırıları kimlik avı ile başlar. Aslında, saldırıların yaklaşık %70’i, erişim aracılarına satılabilecek kimlik bilgilerini toplamak için bir kimlik avı saldırısıyla başladı. Microsoft’un “2021 Dijital Savunma Raporu”. Sonunda, kimlik bilgileri kurumsal kaynaklara erişmek için kullanılır – bunlar, aşırı ayrıcalıklı bir kullanıcıya aitse, bir şirketin ağı üzerinden yanal olarak hareket etmek için kullanılabilir.
Forrester Research’ün güvenlik ve risk yönetimi başkan yardımcısı ve baş analisti Andras Cser, bunların günümüzün en önemli iki sorunu, parolalara aşırı güven ve kullanıcılara, özellikle de yöneticilere aşırı izin verilmesi olduğunu söylüyor. “Parola yararsızdır, %100 yararsızdır – aslında, yanlış bir güvenlik duygusu sunduğu için yararsızdan da kötüdür” diyor.
Savunma
İlk savunma hattı, temelleri yapmaya odaklanıyor. Microsoft’un “2021 Dijital Savunma Raporu”na göre, kendini temel güvenlik hijyenine adamış şirketler, saldırıların %98’ine maruz kalmayı ortadan kaldırıyor. Çok faktörlü kimlik doğrulama, parolaları yeniden kullanan veya kimlik bilgileri çalınan veya kimlik avı yapılan kullanıcıları korumak için bir şirket içinde her yerde kullanıma sunulmalıdır.
İş yükü kimliği sorunu, şirket kaynaklarına kimin veya neyin eriştiğini sürekli olarak izleyerek insan kimlikleriyle birlikte ele alınabilir. Forrester’dan Cser, “Şirketlerin erişim haklarını değerlendirmesi ve bu hakları gözden geçirmesi gerekiyor” diyor. “Herkesin erişim haklarını acımasızca gözden geçirmelisiniz ve birinin bir kaynağa erişmesi gerekmiyorsa, onu alın ve belgeleyin.”
Son olarak, saldırganlar genellikle daha eski bir protokole geçmeyi deneyerek daha eski güvenlik açıklarından yararlanmalarına izin verdiğinden, kuruluşlar eski kimlik doğrulama protokolleriyle geriye dönük uyumluluğu kaldırmalıdır.
Cser, “Sorun şu ki, çok sayıda eski altyapı var ve bundan kurtulmak zaman alıyor, ancak şirketler onu güvenli hale gelmeden önce bile buluta bağlıyor” diyor.