Kimlik Bilgileri Nasıl Çalınır
Kimlik bilgisi hırsızlığı, bir kimliğin yaşamının her aşamasına yayılır. Oturum açmadan önce oltalama sayfaları ve sosyal mühendislik parolaları doğrudan kullanıcılardan toplar; bilgi çalan zararlı yazılımlar da virüslü cihazdaki tarayıcılara ve uygulamalara kayıtlı her kimlik bilgisini sessizce dışarı sızdırır. Oturum sırasında ve sonrasında saldırganlar, kimlik doğrulamanın geride bıraktıklarını yakalar: sistem belleğindeki parola özetleri ve Kerberos biletleri, kullanıcıları oturumda tutan çerezler, kodda, betiklerde ve yapılandırma dosyalarında gömülü API anahtarları ve belirteçler.
Büyük ölçekli hırsızlık, kurbandan tamamen uzakta da gerçekleşir: bir servis ihlal edilir ve kimlik bilgisi veritabanı sızar. Çalınan malzeme olgun bir yeraltı pazarını besler: bilgi hırsızı kayıtları ve birleşik listeler toplu satılır; ilk erişim simsarları çalışır durumdaki kurumsal girişleri fidye yazılımı operatörlerine yeniden satar. Bir kez çalınan parola yıllarca alınıp satılabilir ve yeniden kullanılabilir.
Neden Önemli
Çalınan kimlik bilgileri, ihlal istatistiklerinde yazılım istismarını geride bırakarak önde gelen ilk erişim vektörü haline geldi. Nedeni ekonomiktir: oturum açmak, içeri zorla girmekten daha ucuz, daha sessiz ve daha güvenilirdir. Geçerli kimlik bilgilerine sahip bir saldırgan, bir istismarı yakalayacak savunmalardan geçer ve etkinliği, elindeki hesabın meşruiyetini devralır.
Etki, ayrıcalıkla birlikte katlanır. Çalınan bir kullanıcı parolası tek hesabın verilerini açığa çıkarır; çalınan bir yönetici kimlik bilgisi veya servis hesabı anahtarı ise altyapının kendisini açığa çıkarabilir. Kimlik bilgisi hırsızlığı ağ içinde kendi kendini de besler: ele geçirilen her sistem daha fazla kimlik bilgisi verir, bunlar daha fazla sistemi açar ve o sistemler yenilerini verir. Yanal hareketi çalıştıran ve tekil bulaşmaları kurum çapında olaylara dönüştüren motor budur.
Kimlik Bilgisi Hırsızlığına Karşı Nasıl Savunulur
En güçlü strateji, çalınan kimlik bilgilerini değersiz kılmaktır. Oltalamaya dirençli MFA sayesinde parola tek başına hiçbir şey açmaz; kısa ömürlü belirteçler ve sertifikalar el değiştiremeden süresi dolar; tam zamanında ayrıcalıklı erişimde ise çalınacak kalıcı kimlik bilgisi çoğu zaman yoktur. En ileri adım geçiş anahtarlarıdır: paylaşılan sırrı, cihazdan hiç ayrılmayan bir anahtarla değiştirir.
Ortadan kaldırılamayan sınırlandırılmalıdır: ayrıcalıklı parolaların yeri tarayıcılar, betikler veya elektronik tablolar değil, otomatik rotasyonlu bir kasadır; sırların yeri de kaynak kodu değil, yönetilen depolardır. Monopam bu işin ayrıcalıklı katmanını kasalama, rotasyon ve kayıtlı tam zamanında oturumlarla karşılar. Son olarak, bir miktar hırsızlığın başarılı olacağını varsayın: ihlal verilerinde sızmış kimlik bilgilerini izleyin, imkânsız coğrafya veya anormal davranış taşıyan girişleri takip edin ve bir kimlik bilgisinin sızdığı gün için hızlı rotasyon ve oturum iptali tatbikatı yapın.