Fidye Yazılımı Neden Önemli Bir Kimlik Tehdidi Haline Geldi?

Fidye yazılımları, dünyanın dört bir yanındaki kuruluşların başına bela olmaya devam ediyor. 493.3'de 2022 milyondan fazla saldırı tespit edildi. Güvenlik yığınındaki ürünlerin çoğalmasına rağmen, şirketler bu saldırıların kurbanı olmaya devam ediyor. fidye taleplerinde ortalama 812,360 $. Ve bir kuruluşun toplam maliyeti 4.5 milyon dolar olduğu tahmin ediliyor, bu ihlallerin tespit edilmesi ve düzeltilmesi ile ilgili sürenin uzunluğu nedeniyle.

Bu makale, fidye yazılımı saldırılarının neden bu kadar dramatik bir şekilde arttığını, kimlik korumasındaki kör noktaların bu saldırılarda nasıl temel bir rol oynadığını ve kuruluşların bu kör noktaları ele almak için neler yapabileceğini ve fidye yazılımını durdur tamamen.

Fidye Yazılımı Nasıl Kritik Bir İş Riskine Dönüştü?

Fidye yazılımı yeni bir fenomen olmasa da, kaydedilen ilk saldırı 1989 yılına dayanıyor – ancak son birkaç yılda bu kadar dünya çapında bir kriz haline geldi. Bunun nedeni, saldırganların tekniklerini kuruluşların ayak uydurabileceğinden çok daha hızlı bir şekilde geliştirmeleridir. Örneğin yaklaşık on yıl öncesine kadar tehdit aktörleri aynı anda yalnızca tek bir makineye virüs bulaştırma yeteneğine sahipti. fidye. Bu, kullanıcı için olduğu kadar güvenlik ekibi için de bir sorundu ancak sonuçta kurumsal bir risk teşkil etmiyordu.

Ancak 2017'de (WannaCry ve NotPetya dahil) birkaç kötü şöhretli siber saldırının ortaya çıkmasıyla birlikte, siber suçlular bir şifreleme yükünü otomatik bir yayma mekanizmasıyla birleştirebileceklerini gösterdiler. Bu, saldırganların artık bir ortamda hareket etmelerine ve böylece her seferinde yalnızca bir makineye saldırmalarına değil, aynı anda tüm bir kuruluşa bulaşmalarına izin veren yeni bir teknik kullandıkları anlamına geliyordu.

Bunun yakın tarihli yüksek profilli bir örneği, Mayıs 2021'de ABD Doğu Kıyısı'ndaki önemli bir yakıt arterini kapatarak yakıt kıtlığına ve başkanın acil durum ilan etmesine yol açan Colonial Pipeline saldırısıydı. Aslında o yıl, saldırılar 78'ye göre %2020 arttı ve tüm küresel kuruluşların %66'sı fidye yazılımlarından etkilendi.

Fidye Yazılımının Etkisi Yanal Hareketle Artıyor

Bu saldırıların neden bu kadar yaygın ve başarılı hale geldiğini anlamak için, saldırı kavramını anlamak önemlidir. yanal hareket. Göre MITRE şirketi, yanal hareket rakiplerin bir ilk uzlaşmanın ardından bir ortamdaki varlıklarını genişletmek için kullandıkları bir dizi teknik olarak tanımlanır.

Tek bir uzlaşma noktası artık saldırganlar için potansiyel olarak büyük bir getiri sağlayabildiğinden, bu yanal hareket etme yeteneği, günümüzün fidye yazılımlarına yönelik doymak bilmez iştahını körükledi. Aslında, yanal hareket artık tüm fidye yazılımı saldırılarının %82'sinde kullanılıyor. Bu rahatsız edici bir gelişme çünkü sadece birkaç yıl önce bu yetenek devlet destekli bilgisayar korsanlığı grupları ve yabancı istihbarat teşkilatları gibi son derece sofistike siber suçlularla sınırlıydı.

Öyleyse, burada gerçekte neler olduğuna daha yakından bakalım.

Yanal Hareket Saldırıları, Ele Geçirilmiş Kimlik Bilgileri Tarafından Besleniyor

Bazı tahminlere göre, 24.6 milyar çalıntı kimlik bilgisi (yani kullanıcı adı-şifre kombinasyonları) Dark Web'de satışa sunulmuştur. Bu, fidye yazılımı gaspıyla uğraşmak isteyen fırsatçı tehdit aktörleri için bir hazine hazinesini temsil ediyor. Çünkü bu kimlik bilgileri ellerinde olduğunda saldırganlar, kimlik avı, smishing veya sosyal mühendislik gibi denenmiş ve doğrulanmış teknikleri kullanarak bir kuruluşun ortamına ilk kez erişebileceklerini ve ardından her şeyi yapabileceklerini bilirler.

Bunun nedeni, sistemdeki temel bir kusurdan kaynaklanmaktadır. kimlik altyapısı kendisi. Saldırganlar ilk makineye erişim sağladıktan sonra, ele geçirilen kimlik bilgilerini büyük olasılıkla kullanıcı kimlik doğrulamasından sorumlu kimlik sağlayıcıya sunmaları yeterlidir. Microsoft Active Directory (AD), Global Fortune 90'in %1000'ı tarafından kullanılır – ve yanal hareket başlayabilir.

Bu nedenle, çalınan kullanıcı kimlik bilgilerinin mevcudiyeti ve saldırganların güvenliği ihlal edilmiş makinelerden kimlik bilgilerini alma veya ağ trafiğine müdahale etme becerileri nedeniyle yanal hareket bu kadar ciddi bir kimlik tehdididir; bir fidye yazılımı yükünü tüm ağa dağıtın ve birden çok makineyi aynı anda şifreleyin.

İki Kör Nokta Nedeniyle Fidye Yazılım Saldırıları Artıyor

Bu da bizi önemli bir noktaya getiriyor çünkü güvenlik önlemi olarak bilinen çok faktörlü kimlik doğrulamanın (MFA) tüm siber saldırıların %99.9'unu önleyebildiği biliniyor. Ancak durum buysa, bu fidye yazılımı saldırıları neden hız kesmeden devam ediyor?

Sebepler endişe verici derecede basit.

MFA Her Yerde Uygulanamaz
MFA, SaaS uygulamaları, bulut iş yükleri ve VPN erişimi için kullanılabilirken gibi yaygın komut satırı erişim araçlarında uygulanamaz. PsExec, PowerShell ve WMI. Bunun nedeni, AD'nin kullandığı kimlik doğrulama protokollerinin - özellikle Kerberos ve NTLM – MFA'yı desteklemez. Bu komut satırı araçları, ağ yöneticileri tarafından ağlarındaki makinelere uzaktan erişim elde etmek için düzenli olarak kullanılır, ancak aynı zamanda çalınan kimlik bilgilerini kullanarak engellenmeden yanal hareket için bunlardan yararlanabileceklerini bilen siber suçlular tarafından da kullanılır. MFA. Bu kritik bir kör noktadır.

Koruyucu Keşfedin ve Koruyun bir Meydan Okumadır
İkinci kör nokta, yazılım güncelleme ve sağlık kontrolleri gibi taramalar yapma gibi bir ağ ortamında önemli işlevleri otomatik olarak gerçekleştirmek için kullanılan makineden makineye hesaplar olan insan olmayan hizmet hesaplarıyla (botlar olarak da bilinir) ilgilidir. Sorun, çoğu kuruluşun bu hesaplardan kaç tanesine sahip olduğunu veya her birinin ne yaptığını (yani, çeşitli hizmet hesaplarının hangi kaynaklara ve hedeflere kimlik doğrulaması yaptığını) bilmemesidir.

Bunun nedeni tüm bu hesapları keşfedebilecek bir teşhis aracı yoktur. birçok kuruluşta binlercesi olduğu için endişe verici bir ortamda. Saldırganların, genellikle yüksek ayrıcalıklara sahip olan hizmet hesaplarını amansızca ele geçirmeye çalışmaları daha da korkutucudur, böylece neredeyse fark edilmeden yanal hareket gerçekleştirebilir ve böylece birden çok makineye ve sisteme kolayca erişebilirler.

Birçok kuruluş yerinde bir Ayrıcalıklı Erişim Yönetimi (PAM) çözümü kullanıcı hesaplarını güvende tutmak için kullanılır ancak hizmet hesapları söz konusu olduğunda sınırlamalar vardır. Bunun nedeni, hizmet hesabı erişiminin genellikle kimlik bilgilerinin sabit kodlandığı komut dosyalarının yürütülmesiyle gerçekleştirilmesidir. Bu, bu şifrelerin bir kişi tarafından otomatik olarak değiştirilemeyeceği anlamına gelir. PAM sorunlara yol açmadan (örneğin, bir hizmet hesabının artık hedef makinede oturum açamaması ve dolayısıyla kritik bir sürecin bozulmasına neden olması).

Ne kadar Silverfort Fidye Yazılımını Durdurmak İçin Güvenlik Kör Noktalarını Ele Alır

The Silverfort Bütünleşik Kimlik koruması bu kör noktaları ele almak için bir platform oluşturuldu. Kullanıcı kimlik doğrulamasının gerçekleştiği yere odaklanarak (yani, kimlik sağlayıcı içinde), Silverfort kimlik tehditlerinin gerçek zamanlı olarak önlenmesini tüm kaynaklara genişletebilir ve fidye yazılımlarının yayılmasını önleyebilir.

Çalışma şekli, AD'nin tüm kimlik doğrulamaları ve erişim girişimlerini iletmesidir. Silverfort herhangi bir erişim kararı verilmeden önce “ikinci görüş” için. Bir kere Silverfort talebi aldığında, ek bir güvenlik doğrulamasının - özellikle MFA'nın - gerekip gerekmediğini belirlemek için risk motoruna ve yapılandırılmış politikalarına göre analiz eder. Bunun anlamı Silverfort etkin bir şekilde protokolden bağımsızdır: Bir kullanıcı AD'de kimlik doğrulaması yaptığı sürece, bu istek, kullanılan protokolün Kerberos, NTLM veya LDAP olup olmadığı analiz edilebilir ve değerlendirilebilir.

Sonuç şu ki Silverfort MFA'yı herhangi bir kaynak üzerinde uygulayabilir Saldırganların yanal hareket için sürekli olarak kullandıkları komut satırı arabirimleri dahil olmak üzere (kendi hizmeti aracılığıyla veya herhangi bir MFA sağlayıcısıyla entegrasyonlar aracılığıyla). Bu, fidye yazılımının yayılmasına yol açan ilk kör noktayı ele alır.

Silverfort ayrıca tüm hizmet hesaplarını keşfedebilir ve koruyabilir. Platform, tüm kimlik doğrulamalarını ve erişim isteklerini görebildiğinden, tekrarlayan, makine hattı davranışı sergileyen tüm hesapları hızlı bir şekilde tanımlayabilir ve bunları hizmet hesapları olarak etiketleyebilir. Üstelik, Silverfort bu hesapların yalnızca belirli belirli makinelere bağlanmasına izin vererek, bu hesaplar normal aktivitelerinden sapan davranışlar sergilerse MFA'yı tetikleyerek (hatta erişimi engelleyerek) bu hesaplar için "sanal eskrim" sağlayabilir. Bu, bir hizmet hesabını tehlikeye atan herhangi bir saldırganın yanal hareket gerçekleştirmesinin durdurulacağı anlamına gelir.

Tüm bunlar, belirli erişim ilkelerini yapılandırarak yapılır. Silverfort kolay ve sezgisel bir süreç olan platform. Komut satırı erişimi, dosya paylaşımları ve eski uygulamalar gibi korunması zor kaynaklar üzerinde MFA'yı zorunlu kılacak politikalar hemen uygulamaya konulabilir ve birçok kuruluş, tüm hizmet hesaplarını haftalar içinde ve herhangi bir sorun olmadan keşfedip koruyabildiklerini fark eder. iş kesintisi.

İçin bugün bize ulaşın gösteri ve bakın nasıl Silverfort kuruluşunuzun fidye yazılımlarını durdurmasına yardımcı olabilir.