Bu Tehlikeyi 11 Gün Boyunca Kimse Fark Edemiyor

0 12

Yeni kuşak siber güvenlik şirketi Sophos, ön cephede siber tehditlerle uğraş eden tehdit avcılarının ve olay müdahale gruplarının deneyimlerine dayanarak hazırladığı “Active Adversary Playbook 2021” raporunu yayınladı. Rapor Sophos’un topladığı telemetri bilgilerinin yanı sıra, tehdit avcıları ve analistlerden oluşan Sophos Yönetilen Tehdit Müdahale takımı (MTR) ve Sophos Süratli Cevap takımının karşılaştığı 81 farklı hücum teşebbüsünün incelenmesiyle hazırlandı.

Siber güvenlik takımlarının akınların tabiatını ve saldırganların davranışlarını daha yeterli anlamasına yardımcı olmayı amaçlayan raporda, siber saldırganların geçtiğimiz yıl boyunca ortaya koydukları davranışlara, tekniklere ve prosedürlere yer veriliyor. Yapılan tahlillere nazaran ağa sızan saldırganların tespit edilmesi ortalama 11 gün sürerken, fark edilmeden içerde kalma mühleti 15 aya kadar uzayabiliyor. Olayların yüzde 81’i fidye yazılımı hücumlarıyla bağlıyken, yüzde 69’u ağ içinde hareket etmek için uzak masaüstü protokolünden (RDP) yardım alıyor.

Raporda yer alan temel bulgular şöyle sıralanıyor:

  • Saldırganların tespit edilmeden içerde kalma müddeti ortalama 11 gün. Bu, saldırganların ağa sızdıktan sonra içerde 11 gün boyunca keşif, yatay hareket, kimlik bilgisi dökümü, bilgi hırsızlığı ve misal berbat niyetli faaliyetleri serbestçe gerçekleştirebildikleri manasına geliyor. Bu faaliyetlerden kimilerinin sırf birkaç dakika yahut birkaç saatte tamamlanabildiği düşünüldüğünde, 11 gün hayli uzun bir vakit.
  • Hücumların yüzde 90’ında Uzak Masaüstü Protokolü (RDP) kullanılıyor, saldırganların yüzde 69’u ağ içinde hareket etmek için RDP’den yardım alıyor. Son devirde RDP odaklı tehditlerin önlenmesi ismine VPN ve çok faktörlü kimlik doğrulama üzere pratikler öne çıksa da, saldırgan esasen ağın içine girmeyi başarmışsa bunların pek bir manası kalmıyor.
  • Hücumlarda tespit edilen yaygın araçlar değişik ilişkilere işaret ediyor. Örneğin PowerShell kullanılan taarruzların yüzde 58’i Cobalt Strike, yüzde 49’u PsExec, yüzde 33’ü Mimikatz ve yüzde 19’u GMER ile bağlantılı. Taarruzların yüzde 27’sinde Cobalt Strike ve PsExec birlikte kullanılırken, yüzde 31’inde Mimikatz ve PsExec birlikte görülüyor. Bu tıp münasebetlerin farkına varmak değerli, zira bunlar yaklaşan bir taarruz için erken ikaz vazifesi görebiliyor yahut faal bir atağın varlığını doğrulayabiliyor.
  • Fidye yazılımı atakların yüzde 81’inde yer alıyor. Fidye yazılımının özgür bırakıldığı an, ekseriyetle hücumun BT güvenlik grubu tarafından görünür hale geldiği noktaya karşılık geliyor. Sophos’un tespit ettiği öteki atak cinsleri ortasında hırsızlık, kripto madencilik, bankacılık Truva atları ve daha fazlası yer alıyor.

Sophos Kıdemli Güvenlik Danışmanı John Shier, günümüz tehdit ortamının ilgi çekmeye çalışan gençlerden ulus devlet dayanaklı tehdit kümelerine kadar çok çeşitli hünerlere ve kaynaklara sahip geniş bir ekosistemden oluştuğuna dikkat çekiyor. Shier, şunları söylüyor:

“Geçen yıl olay müdahale takımlarımız, 40’a yakın atak kümesi tarafından başlatılan ve 400’den fazla farklı aracın kullanıldığı çok sayıda atağın etkisiz hale getirilmesine yardımcı oldu. Bu araçların birçoklarının BT yöneticileri ve güvenlik uzmanları tarafından günlük misyonlar için kullanılması, zararsız ve berbat niyetli faaliyetler ortasındaki farkı tespit etmeyi giderek zorlaştırıyor. Saldırganların ağda ortalama 11 gün tespit edilmeden kalabilmesi ve hücumlarını rutin BT faaliyetleriyle harmanlayarak gerçekleştirmesi nedeniyle, siber güvenlik gruplarının erken ihtar işaretleri fark etmesi kritik değer taşıyor. Teknoloji çok şeyin üstesinden gelebilir, lakin günümüz tehdit ortamında teknolojinin tek başına kâfi olmayabileceğini aklımızdan çıkarmamamız lazım. Gerçek siber güvenlik uzmanlarının sahip olduğu tecrübe ve cevap verme yeteneği, her türlü güvenlik tahlilinin hayati bir modülü haline geldi.”

Cevap bırakın

E-posta hesabınız yayımlanmayacak.