Silverfort MFA ile Yanal Harekete Karşı Korumada Devrim Yaratıyor – SolarWinds Saldırısı Üzerine Düşünceler
Aralık 24th, 2020 Yiftah Keshet
*****Yiftach Keshet, Ürün Pazarlama Direktörü, Silverfort *****
MFA, hesabın ele geçirilmesini %99.9 oranında önler. Ancak, bu son derece etkili güvenlik önlemi şu anda her şeyden önce kurum içi uç noktalar ve sunucular olmak üzere temel kurumsal kaynaklar için geçerli değildir. son SolarWinds saldırısı Yanal Harekete karşı korumanın günümüz güvenlik yığınındaki en zayıf noktalardan biri olduğunu bir kez daha gösteriyor. Silverfort şirket içi ortamdaki uç noktalara ve sunucuların erişimine MFA sunarak Yanal Harekete karşı korumada devrim yaratır ve proaktif olarak mevcut yanal hareket teknikleri SolarWinds tehdit aktörleri tarafından kullanılanlar gibi.
Içindekiler
SolarWinds Saldırısına Genel Bakışta Yanal Hareket
The Yanal Hareket SolarWinds saldırısının bir kısmı, iyi bilinen kalıplarla aynı şeyi yaptı: İlk güvenlik ihlalinden sonra, saldırganlar, sonunda yönetici kimlik bilgilerinin alınması ve gerçek hedefe (bu durumda ADFS sunucusu) giriş yapılmasıyla sonuçlanan kimlik bilgisi avına başladı. Yol boyunca çeşitli makinelerde oturum açma, görünüşe göre uzaktan erişim komut satırı araçlarıyla gerçekleştirilmiştir (PSexec, Powershell vb.).
Yanal Hareket Koruması Bozuldu
SolarWinds saldırısının İlk Erişim bölümünün aşırı yenilik, gelişmişlik ve yaratıcılık içerdiğini belirtmekte fayda var. Yanal Hareket bölümünde durum böyle değil - ancak bu, onu daha az etkili kılmadı.
Acı gerçek şu ki Yanal Hareket teknikleri ve taktikler on yıldan bu yana pek değişmedi, çünkü değişmeleri gerekmedi - saldırganların bakış açısına göre harika çalışan bir şeyi değiştirmeye gerek yok. Ve maalesef bu durumda haklılar. Kuruluşun güvenlik yığını, Yanal Harekete karşı tekrar tekrar başarısız oluyor.
Bunun nedeni, özünde, Yanal Hareket'in geçerli (tehlikeye girmiş olsa da) kimlik bilgileriyle makinelerde oturum açmaktan başka bir şey olmamasıdır. Doğrudan uç noktaya yerleştirilmiş veya ağ trafiğini izleyen mevcut güvenlik kontrolleri en iyi ihtimalle belirlemek anormal bir girişin meydana geldiğini ve bir uyarı oluşturduğunu. Ancak, gerçek zamanlı olarak hiçbir şey yapamazlar. önlemek oturumun fiilen gerçekleşmesi - ki bu çoğu durumda çok geç olacaktır.
Yanal Hareketi önlemenin anahtarı az önce söylediğimiz şeyin gerçek anlamını anlamaktır: Yanal Hareket, geçerli kimlik bilgilerini kullanarak makinelerde oturum açmaktan başka bir şey değildir.. Başka bir deyişle, hafifletmemiz gereken güvenli olmayan bir kimlik doğrulamadır ve bir tehdit aktörünün geçerli kimlik bilgileriyle kurumsal kaynaklara erişmeye çalıştığı bir senaryoyu engellemek için amaca yönelik oluşturulmuş bir teknoloji vardır – Çok Faktörlü Kimlik Doğrulama.
Yanal Harekete Karşı MFA Kullanılamaz
Güvenlik uygulayıcıları arasındaki birkaç fikir birliğine varılan noktalardan biri, MFA'nın sağladığı muazzam değerdir. Microsoft'a göre, Yürürlükte olan MFA, hesabın tehlikeye girmesini %99.9 oranında önler. Bununla birlikte, Active Directory Yanal Hareket için birincil hedefler olan tabanlı uç noktalar ve sunucular, MFA'nın getirdiği korumanın dışındadır.
Günümüzde, saldırganların makineler arasında yanal olarak hareket etmek için kullandıkları uzaktan erişim komut satırı araçlarında MFA'yı uygulayabilecek hiçbir teknoloji yoktur. MFA, kötü amaçlı girişleri önlemek için en etkili ve kanıtlanmış teknolojidir. En son SolarWinds saldırısı da dahil olmak üzere çok sayıda APT'de gördüğümüz gibi, şirket içi ortamda oturum açma olmaması, yanal Hareketin gelişmesini sağlayan şeydir.
Ama Ya…?
Bununla birlikte, MFA, saldırganların durumunu kolayca tersine çevirebilir. Yerinde bir MFA ile, saldırgan yeni makineye oturum açma kimlik bilgilerini sağladığında, bu kimlik bilgilerinin ait olduğu gerçek kullanıcı telefonuna veya masaüstüne bir bildirim alır. Bildirim, makineye erişime izin verilip verilmeyeceğini sorar ve gerçek kullanıcı bu oturum açma girişimini asla gerçekleştirmediği için istek reddedilir ve saldırgan makineye erişemez.
Yanal Harekete Karşı Şirket İçi Ortamınızı Silahlandırın Silverfort
Silverfort Bütünleşik Kimlik koruması Platform (UIPP), MFA'nın kaynaklar ve erişim yöntemleri de dahil olmak üzere tüm kurumsal kaynaklara yayılmasına öncülük eder. Silverfort uygulanmasını sağlayan ilk kişidir. MFA uzak komut satırı araçları aracılığıyla şirket içi uç noktalara ve sunuculara erişimle ilgili erişim politikası.
Bir etki alanı yöneticisi uzaktan erişim komut satırı aracını kullanarak her oturum açtığında MFA doğrulaması gerektiren basit bir politika, Yanal Hareketlerin başarı oranlarını önemli ölçüde düşürür. Bu, saldırganların bir yöneticinin kimlik bilgilerine el koymayı başardıkları bir SolarWinds saldırı senaryosunda bile geçerlidir. Saldırganlar aslında var kimlik bilgileri, gerçek işlemi gerçekleştirmek için kullanamazlar giriş hedefledikleri kaynaklara
Son Düşüncelerimiz
Şirket içi ortamda MFA'nın yokluğu nasıl oldu da bunca zaman hafife alındı? Bu eksiklik, ortak zihniyete o kadar derinden kök salmıştır ki, çoğu güvenlik uygulayıcısı, uygulamalı ve benzer şekilde yöneticiler, muhtemelen bunu bir güvenlik açığı olarak bile görmezler, bunun yerine birlikte yaşamamız gereken bir gerçeklik olarak görürler. Silverfort bu gerçeği değiştirmek için burada.
Daha fazla bilgi edinin Silverfort okuyun
