Perşembe, Aralık 26, 2024

İlgili İçerikler

Bu hafta gündemdekiler

Fidye saldırıları hem daha yoğun hem de daha yıkıcı

fortinet-globaltechmagazineKapsamlı, entegre ve otomatik siber güvenlik çözümleri şirketi  Fortinet, bugün en son altı aylık FortiGuard Labs Küresel Tehdit Raporu’nu açıkladı. 2021’in ikinci yarısına ait tehdit istihbaratı, daha yıkıcı ve öngörülemeyen, gelişmiş kalıcı siber suç stratejileri kullanan saldırıların otomasyonu ve hızında bir artış olduğunu ortaya koyuyor. Buna ek olarak, hibrit çalışanların ve hibrit BT’nin genişleyen saldırı yüzeyi, siber rakiplerin yararlanmaya çalıştığı bir odak noktası.  2021 yılının 2. yarısına ait raporun öne çıkan özellikleri aşağıda yer alıyor:

Log4j, kurumların karşılaştığı saldırıların çarpıcı bir hızla arttığını gösteriyor

2021’in sonlarında görülen Log4j güvenlik açıkları, siber suçluların durumu kendi avantajlarına nasıl kullandıklarını ve istismar hızını gösteriyor. Aralık ayının ikinci haftasında ortaya çıkmasına rağmen, saldırılar bir aydan kısa bir sürede hızla yükselerek 2021’in ikinci  yarısının tamamının en yaygın IPS tespiti haline geldi. Buna ek olarak, Log4j, 2021’in başlarında gerçekleşen tanınmış ProxyLogon salgınına kıyasla  yaklaşık 50 kat etkinlik hacmine  sahipti. Gerçek şu ki, siber saldırganların yeni fırsatları en üst düzeye çıkarmak için kullandığı hız göz önüne alındığında, kurumların bugün tepki vermek veya yama yapmak için çok az zamanı var. Kurumlar, genel riski azaltmak adına son derece hızlı bir şekilde yayılan tehditlere öncelik vermek için yapay zeka ve ML destekli izinsiz giriş önleme sistemlerine (IPS), agresif yama yönetimi stratejilerine ve tehdit istihbaratı görünürlüğüne ihtiyaç duyuyor.

Siber suçlular hızla saldırı yüzeyindeki yeni vektörleri hedef alıyor

Küçük veya hacimsiz tehditlerin bir kısmının gelecekte daha büyük sorunlara neden olma potansiyeline sahip ve izlemeye değer olduğu anlaşılıyor.  Bunun bir örneği,   genellikle yürütülebilir ve bağlanabilir biçimli (ELF-Executable and Link Format) ikili dosyaları şeklinde olan ve Linux sistemlerini istismar etmek için tasarlanmış yeni hazırlanmış kötü amaçlı bir yazılım. Linux, Nesnelerin İnternetine bağlı cihazlarda ve görev açısından kritik uygulamalarda birçok ağın arka uç sistemlerini ve konteyner tabanlı çözümleri çalıştırıyor ve böylece saldırganlar için daha popüler bir hedef haline geliyor. Aslında, dördüncü çeyrekte  Linux’a yönelik yeni kötü amaçlı yazılım imzalarının oranı,  ELF varyantı Muhstik, RedXOR kötü amaçlı yazılımının, hatta Log4j’nin dört katına çıkarak 2021’de öncelikle Linux’u hedef alan tehdit örneği haline geldi. ELF ve diğer Linux kötü amaçlı yazılım tespitlerinin yaygınlığı ise 2021 boyunca iki katına yükseldi. Varyantlardaki ve hacimdeki bu büyüme, Linux kötü amaçlı yazılımlarının, saldırganların  cephaneliğinin giderek daha büyük bir parçası olduğunu gösteriyor.  Linux’un gelişmiş ve otomatik uç nokta koruması, algılaması ve yanıtı ile ağdaki diğer uç noktalar gibi güvenli hale alınması, izlenmesi ve yönetilmesi gerekiyor. Ayrıca, düşük seviyeli tehditlere karşı etkilenebilecek sistemlerde aktif tehdit koruması sağlamak için güvenlik hijyenine öncelik verilmesi gerekiyor.

Botnet trendleri saldırı yöntemlerinin daha sofistike tekniklere evrildiğini gösteriyor

Tehdit trendleri, botnet’lerin daha yeni ve daha gelişmiş siber suçlu saldırı tekniklerini çalıştırabilecek şekilde geliştiğini gösteriyor. Botnet’ler öncelikle yekpare olmak ve çoğunlukla DDoS saldırılarına odaklanmak yerine, fidye yazılımları da dahil olmak üzere çeşitli ve daha sofistike saldırı tekniklerinden yararlanan  çok amaçlı saldırı araçları oldu. Örneğin, Mirai gibi botnet operatörleri de dahil olmak üzere tehdit aktörleri,  Log4j güvenlik açıklarını saldırı kitlerine dahil etmiş bulunuyor.  Ayrıca, botnet aktivitelerinin, veri sızdırmak için Linux sistemlerini hedefleyen RedXOR kötü amaçlı yazılımının yeni bir varyantı ile ilişkili olduğu da gözlendi. RedLine Stealer kötü amaçlı yazılımının bir türevini kullanan  ve ekim ayı başlarında sayıları artan botnet’ler COVID temalı bir dosya kullanarak yeni hedefler buldu. Ağları ve uygulamaları korumak isteyen kurumların, özellikle ağa giren Nesnelerin Internetine bağlı uç noktalarını ve aygıtlarını güvence altına almak için minimum erişim ayrıcalıkları sağlamaları ve bunun için sıfır güven erişim çözümü ve anormal davranışı izlemek için otomatik algılama ve yanıt yetenekleri uygulamaları gerekiyor.

Kötü amaçlı yazılım trendleri ve siber suçlular

Kötü amaçlı yazılım varyantlarının bölgelere göre yaygınlığı değerlendirildiğinde, siber saldırganların  uzaktan çalışma ve öğrenme vektörüne oldukça büyük ilgi  gösterdiği görülüyor. Özellikle, tarayıcı tabanlı kötü amaçlı yazılımların çeşitli biçimleri yaygın.  Bunlar genellikle kimlik avı yemleri, kod enjekte eden veya kullanıcıları kötü amaçlı sitelere yönlendiren komut dosyaları şeklinde gerçekleşiyor. Tespit edilen kötü amaçlı yazılımların bazıları bölgeler arasında farklılık gösteriyor, ancak büyük ölçüde  üç geniş dağıtım mekanizmasından yararlanmak üzere gruplandırılabiliyor: Microsoft Office yürütülebilir dosyaları (MSExcel/, MSOffice/), PDF dosyaları ve tarayıcı komut dosyaları (HTML/, JS/). Bu tür teknikler, siber suçluların, insanların salgınla ilgili en son haberlere, siyaset, spor veya diğer başlıklara bakma arzularını istismar  etmek ve daha sonra kurumsal ağlara geri dönüş yolları bulmak için  popüler bir yol  olmaya devam ediyor. Hibrit çalışma ve öğrenmede, kötü amaçlı yazılımlar ile kurbanlar arasında daha az koruma katmanı var. Kurumlar,  nerede olurlarsa olsunlar kullanıcıları takip edebilen, etkinleştirebilen ve koruyabilen çözümler  dağıtarak güvenliklerine “her yerden çalışma”ya özel yaklaşımlar geliştirmeli. Kurumlara, uç noktada (EDR) ZTNA da dahil olmak üzere sıfır güven erişim çözümleriyle birlikte gelişmiş güvenlik gerekiyor. Güvenli SD-WAN; genişletilmiş ağda güvenli WAN bağlantısı sağlamak için de kritik öneme sahip.

Fidye yazılımı hem daha yoğun hem de daha yıkıcı

FortiGuard Labs verileri, fidye yazılımların geçen yıl  çıktığı en yüksek seviyelerden aşağı hala inmediğini hatta fidye yazılımlarının karmaşıklığının, agresifliğinin ve etkisinin arttığını ortaya koyuyor. Tehdit aktörleri, yeni ve daha önce görülen fidye yazılımı türevleriyle kurumlara saldırmaya  devam ediyor ve genellikle yıkım izleri bırakıyor.  Eski fidye yazılımları  aktif olarak güncelleniyor ve geliştiriliyor, bazen silici kötü amaçlı yazılımları dahil edilirken, diğer fidye yazılımları Hizmet Olarak Fidye Yazılımı (RaaS) iş modellerinde kullanılabilecek şekilde geliştiriliyor. RaaS, daha fazla tehdit aktörünün  fidye yazılımını kendileri oluşturmak zorunda kalmadan kötü amaçlı yazılımdan yararlanmasını ve dağıtmasını sağlıyor. FortiGuard Labs, Phobos, Yanluowang ve BlackMatter’ın yeni sürümlerini de içeren birden fazla fidye yazılımı türevini içeren tutarlı bir kötü amaçlı etkinlik seviyesi gözlemleniyor.  BlackMatter’ın operatörleri, sağlık sektöründeki ve diğer kritik altyapı sektörlerindeki hedef kurumlara saldırmayacaklarını söylemişti ancak yine de saldırdılar. Fidye yazılımı saldırıları,  sektör veya boyut ne olursa olsun tüm kurumlar  için bir ürkütücü bir gerçeklik olmaya devam ediyor. Kurumların, sıfır güven erişimi çözümleri, segmentasyon ve düzenli veri yedekleme ile birlikte gerçek zamanlı görünürlük, analiz, koruma ve düzeltme ile proaktif bir yaklaşım sergilemesi gerekiyor.

Saldırı tekniklerinin daha derin analizinin yapılması, suçluları daha hızlı durdurmaya yardımcı olabiliyor

Değişen saldırı tekniklerinin hızına  paralel savunma yapabilmek için siber suçluların  saldırı  hedeflerini analiz etmek çok önemli.   Çeşitli saldırıların kötü amaçlı sonuçlarını gözlemleyen  FortiGuard Labs, yıl boyunca toplanan kötü amaçlı yazılım örneklerini etkinleştirip, tespit edilen kötü amaçlı yazılımların  işlevselliğini analiz etti.  Sonuçta, saldırı gerçekleşmiş olsaydı kötü amaçlı yazılımın yürüteceği  bireysel taktiklerin, tekniklerin ve prosedürlerin (TTP’ler) bir listesini elde etti. Bu ayrıntılı istihbarat, bir saldırganı erkenden durdurmanın her zamankinden daha kritik olduğunu ve  tanımlanan bir avuç tekniğe odaklanarak, bazı durumlarda kurumun  kötü amaçlı yazılımın saldırı yöntemlerinin etkili bir şekilde  önüne geçebileceğini  gösteriyor. Örneğin, “execution/yürütme” aşaması için ilk üç teknik  etkinliğin yüzde 82’sini oluşturuyor. “Persistence/süreklilik” aşamasında bir dayanak elde etmek için en iyi iki teknik, gözlemlenen işlevselliğin yaklaşık yüzde 95’ini temsil ediyor.  Bu analizlerden yararlanmak, savunmalarını en üst düzeye çıkarmak için güvenlik stratejilerine öncelik veren kurumlarda çarpıcı bir etki yaratabiliyor.

Hızlı hareket eden ve ileri seviyeli siber saldırganlara karşı nasıl korunmalı?

Saldırıların  seviyeleri yükselmeye devam  ettikçe ve tüm saldırı yüzeyini kaplama hızları böyle arttıkça, kurumların izole edilmiş bir şekilde çalışmak yerine birlikte çalışmak için tasarlanmış çözümlere ihtiyacı var. Gelişen saldırı tekniklerine karşı güvence altında olmak; gerçek zamanlı tehdit istihbaratı almayı, tehdit kalıplarını ve parmak izlerini algılamayı, anormallikleri tespit etmek için büyük miktarda veriyi ilişkilendirmeyi ve otomatik olarak koordineli bir yanıt başlatmayı bilen akıllı çözümler gerektiriyor. Özel amaçlı ürünlerin,  birlikte çalışan merkezi yönetim, otomasyon ve entegre çözümler sunan bir siber güvenlik ağı platformu ile değiştirilmesi gerekiyor.

FortiGuard Labs Güvenlik Tespitleri ve Küresel Tehdit İttifakları Başkanı, Derek Manky konuyla ilgili şunları söyledi:

“Siber güvenlik  hızlı hareket eden ve dinamik bir sektör. Ancak son tehdit olayları, siber suçluların saldırılarını artık benzersiz bir hızda geliştirdiği ve yürüttüğünü gösteriyor. Yeni ve daha da gelişen saldırı teknikleri tüm saldırı zincirine yayılıyor. Ancak özellikle yeni teknikler ekleme konusunda,  daha  yıkıcı ve öngörülemeyen gelişmiş bir kalıcı siber suç stratejisine evrildikleri de anlaşılıyor.  Bu  geniş tehdit  ortamında saldırılara karşı korunmak için, kurumların çok daha sıkı entegrasyon, daha fazla otomasyon  ve siber güvenlik ağı arşivlemesine dayanan yapay zeka destekli önleme,   algılama ve yanıt stratejileri uygulaması ve genişletilmiş ağdaki tehditlere karşı daha hızlı, koordineli ve etkili karşılık vermesi gerekiyor.”

Rapor hakkında

Son Küresel Tehdit Raporu, Fortinet’in 2021’in ikinci yarısında dünya çapında gözlemlenen milyarlarca tehdit olayını toplayan çok çeşitli sensörlerden alınan ve FortiGuard Labs’in kolektif zekasını temsil eden bir rapordur.  Saldırganların taktik ve tekniklerini  keşif, kaynak geliştirme ve ilk erişim  şeklinde üç grupta sınıflandıran  MITRE ATT&CK’in yaklaşımına benzer bir yaklaşımla hareket eden FortiGuard Labs Küresel Tehdit Raporu da tehdit aktörlerinin güvenlik açıklarını nasıl bulduğunu, kötü amaçlı altyapıları nasıl oluşturduğunu ve hedeflerinden nasıl yararlandığını açıklamak için bu modelden yararlanmaktadır.  Rapor ayrıca küresel ve bölgesel perspektifleri de kapsamaktadır.

Teknoloji Makaleleri