MFA Korumalarını Atlatan Saldırılar: Davranışsal AI ile Tehditlerin Tespiti ve Yanıt

Giriş

Çok faktörlü kimlik doğrulama (MFA), kurumsal hesapların korunmasında temel bir güvenlik katmanı olarak kabul edilir. Ancak Device Code phishing, MFA Push Flooding ve Adversary-in-the-Middle (AiTM) gibi gelişmiş saldırı teknikleri, MFA korumalarını etkisiz hale getirebilmektedir. Bu saldırılar, kullanıcıların kimlik bilgilerini çalmadan doğrudan hesap erişimi sağlamaktadır. Bu makalede, saldırıların nasıl gerçekleştiğini, davranışsal AI’nin tehdit tespitindeki rolünü ve otomatik yanıt stratejilerini ele alacağız.

Saldırı Yöntemleri: MFA Korumalarını Nasıl Atlatırlar?

1. Device Code Phishing

Device Code phishing, Microsoft Azure AD ve diğer bulut platformlarında kullanılan bir saldırı tekniğidir. Saldırganlar, kurbanı Microsoft Authenticator uygulamasından bir cihaz kodu (device code) girmeye ikna eder. Bu kod, saldırganın kendi cihazında oluşturduğu bir oturum açma talebinin doğrulanması için kullanılır.

1. Saldırgan, kurbanın e-posta adresine bir kimlik doğrulama bağlantısı gönderir (örneğin: https://login.microsoftonline.com/common/oauth2/deviceauth).
2. Kurban, bağlantıyı açtığında, Authenticator uygulaması tarafından bir cihaz kodu görüntülenir.
3. Saldırgan, bu kodu kendi cihazında kullanarak kurbanın hesabına erişim sağlar.

Uyarı: Bu saldırı, kullanıcıdan şifre veya MFA kodu girmesini gerektirmediğinden, MFA’nın bypass edilmesini sağlar. Kullanıcıların bağlantıları dikkatlice doğrulaması kritik önem taşır.

2. MFA Push Flooding (MFA Push Saldırıları)

MFA Push Flooding, saldırganın kurbanın hesabına sürekli MFA onay talepleri göndererek, kullanıcının gerçek bir talebi fark etmesini engellediği bir saldırı tekniğidir. Kullanıcı, sürekli gelen bildirimler nedeniyle gerçek bir onay talebini gözden kaçırabilir ve saldırganın hesabına erişmesine izin verebilir.

1. Saldırgan, kurbanın hesabına otomatik olarak MFA onay talepleri gönderir.
2. Kurban, sürekli gelen talepler nedeniyle gerçek bir onay talebini fark edemez.
3. Saldırgan, kurbanın hesabına erişim sağlar.

İpucu: Kurumsal ortamlarda, MFA onay taleplerinin sayısını sınırlamak ve kullanıcıları bu tür saldırılar hakkında eğitmek önemlidir.

3. Adversary-in-the-Middle (AiTM) Saldırıları

Adversary-in-the-Middle (AiTM) saldırıları, saldırganın kullanıcı ile hizmet sağlayıcı arasındaki iletişimi dinleyerek, MFA oturumlarını çalmasını içerir. Bu saldırılar genellikle phishing web siteleri veya proxy sunucuları aracılığıyla gerçekleştirilir.

1. Saldırgan, kurbanı sahte bir oturum açma sayfasına yönlendirir.
2. Kurban, sahte sayfada kimlik bilgilerini ve MFA kodunu girer.
3. Saldırgan, bu bilgileri kullanarak kurbanın hesabına erişim sağlar.

Uyarı: HTTPS ve SSL sertifikalarının doğrulanması, AiTM saldırılarını önlemede kritik bir adımdır.

Davranışsal AI ile Tehditlerin Tespiti

1. Anormal Davranışların Tespiti

Davranışsal AI, kullanıcıların normal davranış kalıplarını analiz ederek, anormal aktiviteleri tespit eder. Örneğin:

• Coğrafi konum değişiklikleri: Kullanıcı aniden farklı bir ülkeden oturum açmaya çalışırsa, bu bir tehdit göstergesi olabilir.
• Zamanlama anomalileri: Kullanıcı gece saatlerinde olağan dışı aktiviteler gerçekleştirirse, bu bir saldırı göstergesi olabilir.
• Uygulama kullanımındaki değişiklikler: Kullanıcı aniden farklı bir uygulamadan oturum açmaya çalışırsa, bu bir tehdit göstergesi olabilir.

2. AI Tabanlı Tehdit Tespit Araçları

Aşağıdaki araçlar, davranışsal AI kullanarak tehditleri tespit edebilir:

# Microsoft Defender for Identity kullanarak anormal davranışları tespit etme
Get-ATPAlert -Filter "Severity -eq 'High'" | Select-Object Title, Severity, DetectionTime

# CrowdStrike Falcon kullanarak AI tabanlı tehdit tespiti
falcon-sensor --threat-detection --behavioral-analysis

3. Otomatik Yanıt İş Akışları

Davranışsal AI, tehditleri tespit ettikten sonra otomatik yanıt iş akışları başlatabilir. Örneğin:

1. Tehdit tespit edildiğinde, kullanıcının hesabı otomatik olarak kilitlenir.
2. IT ekibi, tehdit hakkında otomatik olarak bilgilendirilir.
3. Saldırganın IP adresi engellenir.

# Microsoft Sentinel kullanarak otomatik yanıt iş akışları oluşturma
# Tehdit tespit edildiğinde hesabı kilitleme
AzureSentinel-Playbook -Name "LockCompromisedAccount" -Trigger "AnomalyDetection" -Action "LockAccount"

Kurumsal Koruma Stratejileri

1. Kullanıcı Eğitimi ve Farkındalık

Kullanıcıların phishing saldırıları ve MFA bypass teknikleri hakkında eğitilmesi, tehditlerin önlenmesinde kritik bir adımdır. Eğitimler aşağıdaki konuları içermelidir:

• Phishing e-postalarını tanıma.
• MFA onay taleplerinin doğrulanması.
• Cihaz kodlarının güvenliği.

2. MFA Politikalarının Güçlendirilmesi

MFA politikalarının güçlendirilmesi, saldırıların önlenmesinde önemli bir rol oynar. Önerilen stratejiler:

• Phishing-resistant MFA: FIDO2 ve WebAuthn gibi phishing’e dayanıklı MFA yöntemlerinin kullanılması.
• MFA Push Saldırılarını Önleme: MFA onay taleplerinin sayısını sınırlamak ve kullanıcıları sürekli talepler konusunda eğitmek.
• IP Kısıtlamaları: Güvenilir IP adreslerinden yapılan oturum açmalarına izin vermek.

3. Sürekli İzleme ve Yanıt

Sürekli izleme ve otomatik yanıt mekanizmaları, tehditlerin hızlı bir şekilde tespit edilmesini ve yanıt verilmesini sağlar. Önerilen araçlar:

• SIEM (Security Information and Event Management): Microsoft Sentinel, Splunk, IBM QRadar.
• EDR (Endpoint Detection and Response): CrowdStrike Falcon, SentinelOne.
• UEBA (User and Entity Behavior Analytics): Darktrace, Exabeam.

Sonuç

MFA korumalarını bypass eden saldırılar, kurumsal hesapların güvenliğini ciddi şekilde tehdit etmektedir. Davranışsal AI ve otomatik yanıt iş akışları, bu tehditlerin tespit edilmesi ve yanıt verilmesi için kritik öneme sahiptir. Kuruluşların, kullanıcı eğitimi, MFA politikalarının güçlendirilmesi ve sürekli izleme stratejilerini benimsemesi gerekmektedir. Bu şekilde, saldırıların önlenmesi ve hesapların korunması mümkün olacaktır.