ABD hükümeti, bulut hizmetlerini hedef alan siber saldırılara karşı uyardı

Bu tür saldırılar genellikle çalışanlar uzaktan çalışırken ve bulut hizmetlerine erişmek için kişisel ve iş cihazlarının bir karışımını kullandığında meydana gelir.

Resim: Leo Wolfert

Bulut tabanlı hizmetleri kullanan uzaktan çalışanlara sahip kuruluşlar, bu hizmetlere karşı yakın zamanda gerçekleştirilen birkaç başarılı siber saldırı konusunda uyarılıyor.

GÖRMEK: Sosyal mühendislik: İşletme uzmanları için kısa bilgiler (ücretsiz PDF) (TechRepublic)

Çarşamba günü yayınlanan bir danışma belgesinde, CISA (Siber Güvenlik ve Altyapı Güvenliği Ajansı), bilgisayar korsanlarının başarılı kimlik avı kampanyaları yürüttüğünü ortaya çıkardı, kaba kuvvet giriş denemelerive bulut güvenliği uygulamalarındaki zayıflıklardan yararlanmak için potansiyel olarak tanımlama bilgisini geçirme saldırıları. Bir çerez geçiş saldırısında, bilgisayar korsanları bir kullanıcının göz atma oturumundaki çerezleri çalarlar, böylece kurban olarak belirli bir siteye erişebilirler.

CISA'nın analizine göre, bu tür saldırılar genellikle bir kuruluşun çalışanları uzaktan çalıştığında ve farklı bulut hizmetlerinde oturum açmak için kurumsal makineler ve kişisel cihazların bir kombinasyonunu kullandığında meydana gelir. Kuruluşlar ve kullanıcılar uygun güvenlik ile korunabilirse de, aksi takdirde zayıf siber hijyen alışkanlıkları bilgisayar korsanlarının başarılı siber saldırıları gerçekleştirmesinin yolunu açar.

GÖRMEK: Şirketlerin uyması gereken en önemli 5 şifre hijyen güvenlik protokolü (TechRepublic)

Gözlenen e-dolandırıcılık saldırganlar, bulut hizmeti hesapları için oturum açma kimlik bilgilerini yakalamaya çalışmak için kötü amaçlı bağlantılar içeren e-postalar dağıttı. E-postalar meşru bir dosya barındırma hizmetinden geliyor gibi görünürken, bağlantılar kullanıcıyı kandırmak amacıyla güvenli mesajları işaret ediyor gibi görünüyordu. Saldırganlar daha sonra ele geçirilen hesapları, hedeflenen organizasyon içindeki diğer çalışanlara kimlik avı e-postaları göndermek için kullanabildiler.

Zayıf siber hijyen alışkanlıkları

Danışma belgesi, kuruluşları saldırılara karşı daha savunmasız bırakan bazı zayıf siber hijyen alışkanlıklarından bahsetti. Bir örnekte, bir kuruluş, ağına erişmek için bir VPN'ye ihtiyaç duyamadı. Terminal sunucusu güvenlik duvarının içinde yer almasına rağmen, çalışanlardan uzak bağlantılara izin vermek için bağlantı noktası 80 açık olacak şekilde yapılandırıldı. Sonuç olarak, bilgisayar korsanı kaba kuvvet saldırıları başlatarak bu kusurdan yararlanabildi.

Olumlu tarafta, kaba kuvvet girişimlerinin çoğu iki nedenden dolayı başarısız oldu. Saldırganlar doğru kullanıcı adı ve şifre kimlik bilgilerini bulamadı ve kullanılan kuruluşlar çok faktörlü kimlik doğrulama (MFA) bulut ortamlarına erişimi kontrol etmek için.

GÖRMEK: Kimlik hırsızlığı koruma politikası (TechRepublic Premium)

Ancak, en az bir saldırgan, MFA'nın doğru kullanımıyla bile bir kullanıcının hesabını tehlikeye atabildi. CISA, bu saldırganın bir çerez geçişi saldırısı yoluyla MFA'yı engellemek için tarayıcı çerezlerini kullanmış olabileceğine inandığını söyledi.

Diğer bazı durumlarda, uzaktan çalışanlar, iş e-postalarını kişisel hesaplarına otomatik olarak iletmek için e-posta yönlendirme kuralları belirler. Saldırganlar, bu kuralları kullanarak hassas bilgileri çalabildi. Belirli bir örnekte, saldırganlar iş e-postalarını alıcının kişisel hesabına ileten ve e-postaları kendi hesaplarına yönlendirmek için değiştiren mevcut bir kural buldu.

Bilgisayar korsanları, mevcut e-posta kurallarını değiştirmenin ötesinde, kimlik avı uyarılarının görünmesini önlemek için belirli mesajları alıcıların RSS Akışlarına veya RSS Abonelikleri klasörüne ileten yeni kurallar tasarladı.

Öneriler

Kendinizi, kuruluşunuzu ve uzaktaki çalışanlarınızı bu tür saldırılara karşı korumak için CISA, bazıları:

  • Uygulama koşullu erişim (CA) politikaları kuruluşunuzun ihtiyaçlarına göre.
  • Ortamınızdaki normal ağ etkinliği için bir temel oluşturun.
  • Olağandışı etkinlik için hem Active Directory oturum açma günlüklerini hem de birleştirilmiş denetim günlüklerini düzenli olarak inceleyin.
  • Zorla çok faktörlü kimlik doğrulama.
  • Kullanıcı tarafından oluşturulan e-posta yönlendirme kurallarını ve uyarılarını düzenli olarak inceleyin veya iletmeyi kısıtlayın. Kullanıcıların, alanınız dışındaki hesaplara e-posta yönlendirmesini kısıtlamayı düşünün.
  • Farkındalık ve eğitime odaklanın. Çalışanları kimlik avı dolandırıcılığı gibi tehditlerden ve bunların nasıl teslim edildiğinden haberdar edin.
  • Suçsuz çalışan bildirimi oluşturun ve çalışanların şüpheli bir etkinlik gördüklerinde veya bir siber saldırının kurbanı olduklarına inandıklarında kiminle iletişime geçeceklerini bilmelerini sağlayın.
  • Çalışanların iş için kişisel cihazları kullanmasına izin vermeyen bir politika düşünün. En azından güvenilir bir mobil cihaz Yönetimi çözüm.
  • Yerinde bir azaltma planı veya prosedürleri bulundurun. Parolaların ne zaman, nasıl ve neden sıfırlanacağını ve oturum belirteçlerinin iptal edileceğini anlayın.
  • Genel IP'ye sahip tüm bulut tabanlı sanal makine örneklerinin açık Uzak Masaüstü Protokolü (RDP) bağlantı noktalarına sahip olmadığını doğrulayın. Açık RDP bağlantı noktasına sahip herhangi bir sistemi bir güvenlik duvarının arkasına yerleştirin ve kullanıcıların güvenlik duvarı üzerinden ona erişmek için VPN kullanmasını isteyin.

GÖRMEK: Sosyal mühendislik: İşletme uzmanları için kısa bilgiler (ücretsiz PDF) (TechRepublic)

Dahası, kullanan kuruluşlar Microsoft 365 aşağıdaki adımları göz önünde bulundurmalısınız:

  1. Birkaç güvenilir kullanıcıyı, kötü amaçlı etkinlik kanıtı için tüm Microsoft 365 ortamında adli içerik aramaları yürütmek üzere elektronik keşif (veya eDiscovery) yöneticileri olarak atayın.
  2. Devre dışı bırak Güç kalkanı Düzenli Microsoft 365 kullanıcıları için, keşif amacıyla kiracı yapılandırmalarına erişmek için risk altındaki bir hesabın kullanılması riskini azaltmak için Exchange Online'a uzaktan erişim.
  3. Sınırsız sayıda başarısız oturum açma denemesine izin vermeyin. İçine bak parola akıllı kilitleme yapılandırması ve oturum açma etkinliği raporları.
  4. İzinsiz girişleri ve olası ihlalleri araştırmak ve denetlemek için aşağıdaki gibi araçları göz önünde bulundurun: Serçe veya Şahin, Microsoft 365 ile ilgili bilgileri toplamak için kullanılan açık kaynaklı PowerShell tabanlı araçlar.

“BT hijyenini yönetmek ve kimlik avına karşı farkındalığı artırmak, başarılı siber saldırılar tartışılırken vurgulanan konular olmaya devam ediyor, ancak her iki durumda da mükemmelliğin aptalca bir iş olduğunu ve bu nedenle CISA'nın sağlam bir tespit ve müdahale yeteneği önerisi yerinde olduğunu kabul etmek çok önemlidir. Vectra CTO Ekibinin teknik direktörü Tim Wade TechRepublic'e verdiği demeçte.

“BT hijyeni ile ilgili bilinen zayıflıklara veya bilinmeyen zayıflıklara karşı, bir kuruluşun etkin bir riski hızla sıfırlama ve ardından etkiyi azaltmak için uygun eylemi gerçekleştirme yeteneği, başarılı bir güvenlik operasyonları ekibi ile adını bulan bir kuruluş arasındaki farktır. siber saldırılarla ilgili bir manşet hikayesi, “dedi Wade.

Wade, bu amaçla aşağıdaki siber güvenlik ipuçlarını sunuyor:

  • CISA'nın istisnasız tüm kullanıcılar için çok faktörlü kimlik doğrulamayı etkinleştirmeye yönelik önerilerine rağmen, MFA atlama işleminin bu saldırının bir parçası olduğu görüldü. Kuruluşların, bunun sihirli bir değnek olmadığını fark etseler bile, MFA'nın önemini fark etmeleri önemlidir.
  • Elektronik keşfin (e-Keşif) kötü amaçlı kullanımı, tehdit aktörleri tarafından kullanılan bir teknik olarak vurgulanmaya devam ediyor ve kuruluşlar, e-Keşif araçlarının ne zaman kötüye kullanıldığını belirlemeye hazırlıklı olmalıdır.
  • Posta iletme, göründüğü kadar basit, bir sızdırma ve toplama yöntemi olarak güvenlik ekiplerinden kaçmaya devam ediyor.
  • Pratik düzeyde, bir kuruluşun geleneksel BT ve bulut ağlarının temelini belirleme rehberliği, bunların kullanımı olmadan pratikte mümkün değildir. yapay zeka (AI) ve makine öğrenme (ML) teknikleri.

Ayrıca bakın

Source link

İlk yorum yapan olun

Bir yanıt bırakın

E-posta hesabınız yayımlanmayacak.


*