Siber suçlular, pandemi döneminde doruk noktasına ulaşan uzaktan erişim olgusuna hızlı ayak uydurdu. Siber güvenlik kuruluşu ESET’in verilerine göre, şirketlere uzaktan erişim imkanı tanıyan Windows Uzak Masaüstü Protokolü‘ne yönelik ‘Kaba Kuvvet – Brute Force‘ saldırılarında ciddi artış söz konusu.
Genellikle şirket verilerine uzaktan erişim, Microsoft tarafından tasarlanan ve uzaktan çalışanların kurumsal ağa bağlanmalarına olanak tanıyan Windows Uzak Masaüstü Protokolü (RDP) aracılığıyla gerçekleşiyor.
Ne yazık ki, RDP’nin artan önemine karşın, kurumlar genellikle ilgili ayarları ve koruma önlemlerini göz ardı ediyor. Çalışanlar ek yetkilendirme ya da koruma katmanları olmadan, tahmin edilmesi kolay parolalar kullanıyor. Maalesef gizliliğinin ihlal edilmesini önleyecek çok az şey var.
Büyük olasılıkla bu gerçek, Uzak Masaüstü Protokolü’nün bu kadar popüler bir saldırı alanı haline gelmesinin de nedenidir. Siber suçlular genellikle kötü korunan ağlara kaba kuvvet saldırısı yoluyla zor kullanarak girer, kullanıcı haklarını yönetici seviyesine çıkarır, güvenlik çözümlerini devre dışı bırakır ve önemli şirket verilerini şifrelemek için fidye yazılımını çalıştırırlar.
Kaba kuvvet saldırısı nedir?
Brute-Force Attack ya da kaba kuvvet saldırısı, belli bir hedefe odaklanan, bu hedefin sistemlerini koruyan parola ve şifreleri tespit etmeye yönelik rasgele, sürekli ve genellikle otomatik olarak yapılan denemelere denir. Farklı kelime ve kelime kombinasyonları ya da rakam kombinasyonları defalarca denenerek, doğru parola bulunmaya ve sisteme girilmeye çalışılır.
Artan RDP kullanımı ve ortaya çıkan riskleri göz önünde bulunduran ESET araştırmacıları, ESET Ağ Koruması’nı (ESET Network Attack Protection) geliştirerek, harici IP adreslerinden gelen kaba kuvvet saldırılarını engellemeye yönelik RDP’yi olduğu kadar, SMB protokollerini de kapsayan yeni bir algılama katmanı tasarladı.
‘ESET Brute-Force Attack Protection‘ adı verilen bu yeni katman, kaba kuvvet saldırısının göstergesi olabilecek dış ortam kaynaklı başarısız oturum açma denemelerini algılıyor ve daha sonraki denemeleri engelliyor. Ardından, bu IP adresleri arasındaki en büyük saldırganları, milyonlarca cihazı gelecekteki saldırılara karşı koruyacak bir kara listeye ekliyor. Bu yeni teknolojinin rastgele ve hedefe yönelik saldırılara karşı etkili olduğu kanıtlandı. Ancak bunun düzgün çalışabilmesi için, sunucudaki Ağ Düzeyinde Kimlik Doğrulama (NLA) RDP seçeneğinin etkinleştirilmesi gerekiyor.
En çok hedef alınan ülkeler
Saldırıları raporlayan ESET Telemetri verilerini paylaşan ESET Güvenlik Uzmanı Ondrej Kubovic, en yoğun kaba kuvvet saldırılarının Rusya, Almanya, Japonya, Brezilya ve Macaristan’da yaşandığını söyledi. Saldırının kaynağı olarak ise en çok ABD, Çin, Rusya, Almanya ve Fransa’dan IP adreslerinin bloklandığını paylaştı.
Ondrej Kubovic, sözlerini şöyle sürdürdü: “Siyah şapkalı bilgisayar korsanları yıllardır RDP’yi suistimal etmeye çalışıyor. Bu, uzaktan erişim güvenliğinin ne kadar önemli olduğunu gösteriyor. Pandemi olsun veya olmasın; şirketler parolalarını güçlendirerek, çok faktörlü kimlik doğrulaması kullanarak ve uzaktan erişim açıklarına karşı koruma sağlayan bir güvenlik çözümü ekleyerek, RDP ve benzeri hizmetlerin oluşturabileceği riskleri yönetebilmelidir.“