Intel Security, 500 siber güvenlik profesyonelinin siber tehdit istihbaratının (CTI: Cyber Threat Intelligence) paylaşımına yönelik düşüncelerini değerlendirdiği, Adwind uzaktan yönetim aracının (RAT: Remote Administration Tool) iç işleyişini ve 2015’in 4. çeyreğindeki fidye yazılımı, kötü amaçlı mobil yazılım ve genel kötü amaçlı yazılımlardaki artışın detaylarını incelediği McAfee Labs Tehditler Raporu: Mart 2016’yı yayınladı.
2015’te Intel Security, CTI konusundaki farkındalığı, kurumsal güvenlikte algılanan değerini ve CTI’ın güvenlik stratejilerinde daha geniş yer almasında katkıda bulunabilecek faktörleri değerlendirmek için, Kuzey Amerika, Asya Pasifik ve Avrupa’da çeşitli sektörlerden 500 güvenlik profesyoneli ile görüştü. Katılımcılar, kurumlarda CTI’a ilişkin mevcut durum ve potansiyel fırsatlar üzerine önemli açıklamalar yaptılar:
- Değer algısı ve benimseme. Katılımcıların sadece %42’si siber tehdit istihbaratını kullanıyor. Paylaşılan tehdit istihbaratını kullandığını bildirenlerin % 97’si, bu kullanımın şirketleri için daha iyi bir koruma yapmalarına olanak sağladığını düşünüyor. Bu katılımcıların % 59’u, istihbarat paylaşımını organizasyonları için “çok değerli” bulurken, % 38’i paylaşımı “biraz değerli” buluyor.
- Sektöre özel istihbarat. Katılımcıların % 91’i sektöre özel siber tehdit istihbaratı ile ilgilendiklerini söylerken, % 54’ü “çok ilgilendiğini”, yüzde 37’si ise “biraz ilgilendiğini” belirtti. Finansal servisler ve kritik altyapı gibi sektörler, McAfee Labs’ın bu sektörlerde izlediği tehditlerin özel doğası göz önüne alındığında, sektöre özel CTI’dan en büyük fayda sağlayabilecekler arasında öne çıkmaktadırlar.
- Paylaşma istekliliği. Katılımcıların % 63’ü, güvenli ve özel bir platformda paylaşılabildiği sürece, sadece paylaşılan CTI’ı almanın ötesine gidip, kendi verileri ile de bu istihbarata katkıda bulunmak isteyebileceklerini söylüyorlar. Bununla birlikte, kendi verilerini paylaşma fikri farklı istek dereceleri ile karşılanıyor, yanıt verenlerin % 24’ü paylaşımı “çok istediğini” söylerken, % 39’u paylaşımı “biraz istediğini” belirtiyor.
- Paylaşılan veri tipleri. Hangi tip tehdit verilerini paylaşmak isteyecekleri sorulduğunda, katılımcıların yanıtları, kötü amaçlı yazılımların davranışları (%72), URL isimleri (% 58), harici IP adreslerinin isimleri (% 54), sertifika isimleri (% 43) ve dosya isimleri (% 37) oldu.
- CTI için engeller. Kurumlarında neden paylaşılan CTI’ı uygulamadıkları sorulduğunda, katılımcıların % 54’ü neden olarak şirket politikasını belirtirken, %24’ü sektörel mevzuatın eksikliğine dikkat çekti. Organizasyonları verileri paylaşmayan katılımcılar ise konu ile ilgilendiklerini ancak daha fazla bilgiye ihtiyaçları olduğunu (% 24) veya paylaşılan verilerin firmalarına veya şahsi olarak kendilerine bağlanacağı yönünde kaygıları olduğunu belirttiler (% 21). Bu bulgular, farklı sektörler için geliştirilmiş olan çeşitli CTI entegrasyon seçeneklerine ilişkin bilgi ve deneyim eksikliklerini ve CTI paylaşımının hukuki boyutuna ilişkin bilgilerin yetersiz olmasını akla getiriyor.
Intel Security’nin McAfee Labs grubu başkan yardımcısı Vincent Weafer, “Siber suçluların niyetleri göz önüne alındığında, CTI paylaşımı, siber güvenlik güç dengesinin savunucular lehine bozulmasında önemli bir araç olacaktır. Ancak araştırmamız, yüksek değerdeki CTI’ın potansiyelinin tam olarak farkına varılması için, organizasyonel politikalar, yasal kısıtlamalar, nitelik ve güvenle ilişkili riskler ve uygulama bilgisi eksikliği engellerinin üstesinden gelinmesi gerektiğini gösteriyor” dedi.
McAfee Labs Tehditler Raporu: Mart 2016, ayrıca, Java dosyalarını destekleyen çeşitli platformları hedefleyen, Java* temelli bir arka kapı Truva atı olan Adwind uzaktan yönetim aracını (RAT) da değerlendiriyor. Adwind tipik olarak, kötü amaçlı yazılım yüklü e-posta ekleri dağıtan spam kampanyalar, ele geçirdikleri web siteleri ve ‘drive-by’ indirmeleri yoluyla yayılıyor. McAfee Labs Raporu, McAfee Labs araştırmacılarının Adwind olarak belirlediği .jar dosya örnekleri sayısında hızlı bir artış olduğunu gösteriyor. 2015 yılının 1. çeyreğinde bu sayı 1,388 iken, 4. çeyrekte 7,295’e çıkarak % 426’lık bir artış gösterdi.
2015 4. Çeyrek Tehdit İstatistikleri
- Fidye yazılımları tekrar hız kazandı. Yıl ortasında biraz yavaşladığı gözlenen yeni fidye yazılımları, 2015’in 4. çeyreğinde bir önceki çeyreğe göre % 26’lık bir artışla tekrar hızlı bir büyüme yakaladılar. Açık kaynak fidye yazılımı kodu ve bir-servis-olarak-fidye yazılımı, saldırıları başlatmayı basitleştirmeye devam ediyorlar, Teslacrypt ve CryptoWall 3 kampanyaları erişimlerini genişletmeye devam ediyor ve fidye yazılımı kampanyaları finansal olarak da kazançlı olmaya devam ediyor. CryptoWall 3 fidye yazılımının 2015 Ekim’indeki bir analizi, böyle kampanyaların finansal ölçeğini açığa çıkarırken, McAfee Labs araştırmacıları sadece bir kampanya çerçevesinde kurbanların ödedikleri fidye meblağının 325 milyon dolara ulaştığını hesapladılar.
- Kötü amaçlı mobil yazılımlardaki artış. 2015’in 4. çeyreğinde, kötü amaçlı yazılım yazarlarının yeni kötü amaçlı yazılımları daha hızlı ürettikleri ortaya çıkarken, yeni kötü amaçlı mobil yazılım örneklerinde çeyrek dönem bazındaki artış % 72’yi buldu.
- Kök kullanıcı takımı (rootkit) kötü amaçlı yazılımları düşüşte. Yeni kök kullanıcı takımı (rootkit) kötü amaçlı yazılım örneklerinin sayısı dördüncü çeyrekte hızla düştü, bu arada bu tip saldırılardaki uzun vadeli düşüş trendi de devam ediyor. McAfee Labs, 2011’in 3. çeyreğinde başlayan bu düşüşü, müşterilerin 64-bit Microsoft Windows* ile birlikte 64-bit Intel® işlemcilerini benimsemeye devam etmelerine bağladı. Bu teknolojiler, kök kullanıcı takımı (rootkit) kötü amaçlı yazılımları gibi tehditlere karşı birlikte daha iyi bir koruma sağlayan, Kernel Patch Protection ve Secure Boot gibi özellikleri içeriyorlar.
- Kötü amaçlı yazılımlar geri dönüyor. Üç çeyreklik düşüşten sonra, yeni kötü amaçlı yazılım örneklerinin toplam sayısı 4. çeyrekte yeniden yükselmeye başladı. Bu çeyrekte 42 milyon kötü amaçlı sağlama (hash) bulundu. Bu rakam 3. çeyreğe göre % 10’luk artış anlamına geliyor ve McAfee Labs tarafından şimdiye kadar kaydedilen en yüksek ikinci sayı. 4. çeyrekteki bu büyüme kısmen, 2.3 milyon veya 3. çeyrekten 1 milyon daha fazla olan yeni kötü amaçlı mobil yazılım örneği ile destekleniyor.
- Kötü amaçlı yazılım imzalı binaryler düşüşte. Yeni kötü amaçlı yazılım imzalı binarylerin sayısı geçen yıl her çeyrekte düştü, 2015’in 4. çeyreğinde ise 2013’ün 2. çeyreğinden bu yana en düşük seviyesine ulaştı. McAfee Labs, bu düşüşün kısmen, karaborsada önemli bir yeri olan eski sertifikaların ya süresinin bitmesine ya da kurumların daha güçlü sağlama (hashing) fonksiyonları için geçiş yaparken bunların iptal edilmiş olmalarından kaynaklandığını düşünüyor. Ayrıca, Microsoft Internet Explorer’ın parçası olan, ancak Windows’un diğer parçalarına da taşınabilen Smart Screen gibi teknolojiler, kötü amaçlı binarylere imza atmayı kötü amaçlı yazılım yazarları için daha az kazançlı hale getiren ek güvenlik testleri sunuyorlar.