Perşembe, Kasım 7, 2024

İlgili İçerikler

Bu hafta gündemdekiler

Cisco’dan Gelecek Nesil Fidye Yazılım Tahminleri

cisco globaltechmagazineCisco 2016 Yıl Ortası Siber Güvenlik Raporu Gelecek Nesil Fidye Yazılım Tahminlerini açıklıyor. Kuruluşlar için saldırganların “ fırsat penceresini” kapatmak en önemli öncelik.  Cisco tespit süresini 13 saate indirerek alandaki liderliğini koruyor. 

Cisco 2016 Yıl Ortası Siber Güvenlik Raporu şirket ve kuruluşların daha gelişmiş fidye yazılımlarına karşı yeterince hazırlıklı olmadığını ortaya koydu. Kırılgan altyapı, ağın karmaşıklığı ve tespit süresinin uzun olması kötü niyetli saldırganların çalışması için bolca süre sağlıyor. Raporun bulgularına göre saldırganların çalışma alanlarını kısıtlamak için gösterilen çaba şirketlerin en önemli sıkıntılarından birisi. Bu sorunlar dijital dönüşüm için gereklli altyapının kurulmasını da engelliyor. Rapordaki diğer bulgulara göre saldırganlar odak noktalarını sunuculara doğru genişletiyor, saldırı yöntemlerini geliştiriyor ve faaliyeti gizlemek için kriptolama yöntemi kullanımını artırıyor.

Bu yıl fidye yazılımlar tarihin en karlı kötü amaçlı yazılım türü oldu. Cisco’nun beklentilerine göre bu trend kendi kendine yayılarak tüm ağı ve doğal olarak da şirketin tamamını rehin alabilecek yıkıcılıkta yazılımlarla devam edecek.  Yeni modüler fidye yazılımlar kendi etkinliklerini artırmak için hızla taktik değiştirebilecekler. Örneğin geleceğin fidye yazılımları CPU kullanımını azaltıp komuta ve kontrol aksiyonlarından kaçınarak tespit edilmekten kurtulabilecekler. Bu yeni fidye yazılımlar çok daha hızlı yayılacak ve fidye faaliyetinden önce organizasyon içinde kendi kendisini kopyalayabilecek.

Ağ ve uç nokta boyunca vizibilite öncelikli bir mücadele alanı olmaya devam ediyor. Şirketlerin yeni tehditleri belirlemesi 200 gün sürüyor. Cisco’nun ortalama tespit süresi Nisan 2016 ya kadar olan son 6 ayda o güne kadar bilinmeyen açıkları bularak 13 saate kadar indi. Tehditlerin daha hızlı tespit edilmesi saldırganların faaliyet alanını kısıtlamak ve ihlallerin zararını en aza indirmek için çok kritik.

Saldırganlar kendilerini geliştirdikçe güvenlik ekipleri cihazların ve sistemlerin güvenliğini sağlamakta zorlanıyor. Desteklenmemiş ve yamalanmamış sistemler saldırganların kolayca erişim sağlaması, tespit edilememesi ve zararla birlikte kazançlarını da üst seviyeye çıkarması için fırsat veriyor. Cisco 2016 Yıl Ortası Siber Güvenlik Raporu bu sorunların global düzeyde yaşandığını ortaya koyuyor. Özellikle sağlık gibi kritik sektörlerdeki kuruluşlar son aylarda saldırılarda bir artış yaşasa da rapor tüm sektörlerin ve bölgelerin hedeflendiğini gösteriyor. Kuruluşlar, hayır kurumları, sivil toplum kuruluşları ve iş dünyasının tamamı 2016’nın ilk  yarısında artan sayıda saldırılara maruz kaldılar. Ülke bazında mevzuat karmaşıklığı ve birbiri ile uyumsuz siber güvenlik politikaları jeopolitik endişelere eklendi. Bu gelişmiş tehdit ortamında veri kontrolü ya da veriye erişim  ihtiyacı uluslararası ticareti sınırlayabilir ve olumsuz şekilde etkileyebilir.

Serbestçe Çalışan Saldırganlar

Saldırganlar için daha uzun süre tespit edilmeden çalışmak daha fazla kazanç anlamına geliyor. Cisco verilerine göre 2016’nın ilk yarısında saldırganların kazançları çok yükseldi. Bunun sebepleri ise:

Gelişen Odak: Saldırganlar odak noktalarını istemciden sunucu tarafına doğru genişlettiler. Böylece tespit edilmekten kaçındılar ve potansiyel verecekleri zararı ve kazançlarını maksimize ettiler.

  • Adobe Flash’taki zayıf noktalar kötü amaçlı reklam ve yazılımların en önemli hedefi olmaya devam etti. Popüler Nuclear exploit kit’inde başarılı istismar teşebbüslerinin yüzde 80’i Flash’tan kaynaklandı.
  • Cisco ayrıca fidye yazılımlarında – JBoss sunucularda -sunucu zafiyetlerinin istismar edildiği bir trend tespit etti. Tüm dünyada internete bağlı her yüz JBoss sunucusundan 10’unun ihlal edildiği görüldü. Sistemleri tehlikeye sokan JBoss zafiyetlerinin birçoğu 5 yıl önce tespit edilmişti. Temel bir yamalama ve güncelleme ile bu tarz saldırılardan kolayca korunmak mümkün olabilirdi. 

Gelişen Saldırı Yöntemleri: 2016’nın ilk yarısı süresince saldırganlar kuruluşların vizibilite eksikliğinden faydalanarak saldırı yöntemlerini geliştirdiler.

  • Windows Binary zararlıları son altı ayın en popüler web saldırı metodu oldu. Bu yöntem ağ altyapılarına güçlü bir şekilde tutunma sağlıyor ve saldırıların tespitini ve savuşturulmasını zorlaştırıyor.
  • Aynı sürede Facebook sahtekârlıkları ile sosyal mühendislik 2015’teki liderliğini kaptırdı ve ikinci sıraya düştü.

İzini kaybettirmek: Kötü amaçlı yazılımlar kriptolamayı faaliyetlerini gizlemek için bir maske olarak kullanarak güvenlik ekiplerinin vizibilite sorunlarını artırıyor.

  • Cisco web üzerinde anonim iletişimi mümkün kılan kritpo-para, Transport Layer Security ve Tor kullanımının arttığını tespit etti.
  • Aralık 2015- Mart 2016 arasında kötü amaçlı reklam kampanyalarında kullanılan HTTPS kriptolu kötü amaçlı yazılım kullanımının yüzde 300 arttığı görüldü. Kriptolu kötü amaçlı yazılım saldırganların web aktivitelerini gizlemelerini ve daha uzun süre fark edilmeden çalışmalarını daha da kolaylaştırıyor.

Şirketler açıklarını kapatmak ve boşlukları doldurmak için mücadele ediyor

Sınırlı kaynaklar ve eski bir altyapıya sahip olan şirketler, karmaşık ataklar karşısında düşmanlarına ayak uydurmaya çalışıyor. Veriler şirketlerin teknoloji iş operasyonları için daha kritik oldukça ağ hijyenini sağlama, yani yamaların uygulanmasını daha az gerçekleştirdiklerini ortaya koyuyor. Örneğin:

  • Browser alanında, otomatik güncelleme özelliği bulunan Google Chrome kullanıcıların yüzde 75-80’i en yeni ya da bir önceki versiyonu kullanıyor.
  • Yazılımlara baktığımızda ise incelediğimiz sistemlerin sadece 3’te 1’inde Java SE 6 ‘nın çalıştığını ve Oracle tarafından aşamalı olarak bitirildiğini gözlemliyoruz. ( en yeni versiyon SE 10 )
  • Microsoft Office 2013’un 15x versiyonunda, kullanıcıların yüzde 10’u ya da daha azı en güncel paket servisi kullanıyor.

Bununla beraber, Cisco kullanılan uygulmaların birçoğunun artık desteklenmediğini ya da bilinen zaafiyet ve açıklıklarla kullanıldıklarını ortaya koydu. Bu problem birçok ağ ve uç kullanıcı uygulaması için geçerli durumda. Spesifik olarak, Cisco araştırmacıları 103,121 Cisco cihazını internete bağladı ve şu sonuçlara ulaştı:

  • Her cihaz 28 bilinen güvenlik açığı ile çalışıyordu
  • Cihazlar ortalama 5.64 yıl boyunca aktif olarak güvenlik açıklarıyla çalışmayı sürdürüyor
  • Cihazların yüzde 9’unda 10 yıldan uzun süredir bilinen güvenlik açıkları bulunuyor

Bunlarla karşılaştırıldığında, Cisco ayrıca 3 milyon yazılım altyapısına da baktı.  Apache ve Open SSH’nin büyük çoğunluğunun 16 bilinen güvenlik açığı ile ortalama 5.05 yıl çalıştığı görülüyor.

Cisco İş Ortamının Korunması için Basit Adımlar Öneriyor 

Cisco’nun Talos araştırmacıları kurumların alacağı basit bir takım önemler aracılığıyla güvenlik operasyonlarında büyük bir fark yaratabileceklerini gözlemledi, bunlar arasında;

  • Ağ hijyenini geliştirin,  ağı gözleyerek;  yamaları etkin kullanıp zamanında güncelleyerek; ağı segmente ederek; savunmaları doğru yerlere yerleştirmek, web ve email güvenliği sağlamak ve yeni nesil güvenlik duvarı ve yeni nesil IPS kullanarak.
  • Savunmayı entegre edin, Güvenlikte niş ürünlerin kullanımındansa mimari bir yaklaşımı benimseyerek.
  • Saptama için gereken zamanı ölçün, tehditleri ortaya çıkarmak için en hızlı çözüm üzerinde ısrarcı olun ve tehditleri azaltın. Ölçümü kurumsal güvenlik politikalarınızın bir parçası yapın.
  • Kullanıcılarınızı nerede olursa olsunlar ve nerede çalışırlarsa koruyun,  sadece etkileşimde oldukları sistemleri değil, ve sadece kurumsal ağda oldukları zaman değil.
  • Kritik veriyi yedekleyin, rutin olarak etkinliğini test edin ve yedeklemelerin riske duyarlı olmadığından emin olun.

Teknoloji Makaleleri