Güvenlik Araştırmacıları: Siber Saldırganlar Durmuyor!

Yeni bir rapora göre son dönem siber saldırılarının yaklaşık yarısı (%47) istismar edilen bir güvenlik açığının sonucunda gerçekleşti. Örneğin; ProxyLogon ve ProxyShell gibi kolayca yararlanılabilen güvenlik açıkları bu yılın verilerinde öne çıkıyor. Bu eğilim, büyük olasılıkla, ağlara ilk erişim sağlama ve bu erişimi her tür siber suçluya satma konusunda uzmanlaşmış ilk erişim fidyecileri/komisyoncuları (IAB) tarafından yönlendirildi.

IAB’lerin ve kolayca yararlanılabilen güvenlik açıklarının birleşimi, 2021’de bekleme sürelerinde artış görmemizin nedenlerinden biriydi. Bir IAB tarafından güvenliği ihlal edildiğinde kurban, başka bir suçlu tarafından satın alınana veya ihlal nihayet tespit edilene kadar birçok ihlale uğrayabilir veya bekletilebilir. Pek çok kuruluş muhtemelen şu anda bu durumu yaşıyor. Bazı durumlarda, bir ağa kolay erişime izin veren önceden var olan bir koşul olması nedeniyle bu, birden fazla saldırganın aynı hedefi kurban olarak görmesine neden oldu.

İyi haberlerden biri, 2021’de harici erişim için RDP (Uzaktan Masaüstü Protokolü) kullanımının 2020’ye göre azalmasıydı. Bunun nedeni büyük olasılıkla acil pandemi erişiminin daha güvenli ve kalıcı çözümler lehine geri çekilmesi.

2022’de hangi davranışlar, taktikler, teknikler ve prosedürler ortaya çıkıyor?

Bu yılki ana eğilim, ilk erişim için dışa dönük hizmetlerdeki güvenlik açıklarından yararlanma yönündeydi. Bu, yalnızca ProxyLogon ve ProxyShell güvenlik açıklarını değil, aynı zamanda birçok VPN ve güvenlik duvarı dağıtımını etkileyen güvenlik açıklarını da içeriyordu. Bunun gelişen bir eğilim olduğunu düşünmek akla cazip gelse de daha çok fırsatçı bir yağma hareketiydi. Çoğu durumda, saldırıdan önce bir yama gözlemlendi. Açıklar, kurban ağlarında bulunan normalden daha fazla sayıda web kitine dönüştü. IAB’ler muhtemelen bu aktivitenin çoğunu oluşturuyordu.

Başka bir eğilim, uzak hizmetler aracılığıyla, ancak geçerli hesaplarla ilk erişime duyulan güvenin devam etmesiydi. Bu uzak hizmetlerde çok faktörlü kimlik doğrulamanın (MFA) olmaması, saldırganların ön kapıdan fark edilmeden geçebileceği anlamına geliyordu. Çoğu durumda, bu geçerli kimlik bilgilerinin nereden geldiğini belirlemek mümkün değildi. Kimlik avı kampanyaları veya kimlik hırsızları tarafından toplanmış olabilirler. Parola yeniden kullanımının sebep olduğu eski ihlallerden de olabilirler. Bu aynı zamanda IAB’lerin veya diğer kimlik bilgisi avcılarının işi olabilir.

Saldırı zincirinin daha aşağılarında, her türlü amaç için kullanılan, artık aşina olduğumuz meşru ve bilgisayar korsanlığı araçlarının seti görülüyor. PowerShell, kötü amaçlı komut dosyaları (PowerShell hariç), PsExec, Cobalt Strike, mimikatz ve AnyDesk, saldırıları kolaylaştırmak için kullanılan en önemli araçlar arasındaydı. Liste ayrıca “net.exe”, “rundll32.exe”, “whoami.exe” ve “schtasks.exe” gibi LoLBin’lerin bir etki yarattığını teşhis etti.

Fidye yazılımı saldırıları neredeyse her yerde!

Her zaman var olan bu tür, kullanılan mevcut taktiklerde bir miktar değişiklik görülebilen; ancak azalma belirtisi olmayan bir tehdittir. Örneğin; geleneksel şifreleme ve veri hırsızlığı gaspına karşı yalnızca veri hırsızlığı gaspına yönelik bir eğilim olmaya devam ediyor. Kurtarma daha iyi hale geldikçe ve ödenen miktarlar azaldıkça, bazı gruplar basitçe verileri çalmayı seçiyor ve bunları herkese açık olarak yayınlamakla tehdit ediyor. Bu, birçok kurbanı suçlular tarafından müşterilerine, iş ortaklarına veya gizlilik düzenleyicilerine ifşa edilme korkusuyla ödeme yapmaya teşvik ediyor.

Her iki durumda da fidye yazılımı var olan en görünür tehdit. Neredeyse her durumda, kurbanın güvenliği, fidye yazılımı kurbanı olma yolunda bir veya daha fazla tehdit tarafından zaten ele geçirilmiş olur. Fidye yazılımlarına karşı korunmak için kuruluşların tüm tehditlerle mücadele etmelerine yardımcı olacak güvenlik temellerini oluşturması gerekiyor.

Fidye yazılımlarının yakın zamanda ortadan kalkacağını düşünmek için hiçbir neden yok. Saldırganlara göre ele geçirilmesi gereken çok fazla para var ve ne yazık ki, aynı zamanda çok fazla potansiyel hedef var.

Ağda gizlice hareket eden başka bir insanı tespit etmek için genellikle bir insan gerekir. Otomatik araçlar sizi ancak bir yere kadar götürebilir ve o zaman insanların sahip olduğu bağlamsal ve analitik becerilere ihtiyacınız olur. Ancak bu savunma seviyesi hikâyenin başladığı yer değildir. Bu tür bir faaliyet, bugün çoğu şirketin bulunduğu yerden daha fazla güvenlik olgunluğu yelpazesindedir.

Bir tehdit avı programına başlamadan önce, kuruluşlar güçlü bir güvenlik temeli oluşturmalıdır. Bu, güvenli varsayılanlar oluşturmayı, yüksek değerli ve harici varlıklara yama uygulamanıza öncelik vermeyi ve MFA ile kimliği sağlamlaştırmayı içerir; ancak önlemler bunlarla sınırlı değildir. İlk etapta geçen tehditlerin miktarını sınırlamak için önleme teknolojilerini kullanmak gerekir.

Son olarak, ihtiyaçlarına uygun algılama ve yanıt araçlarını uygulamaları gerekir. Artık şirketler güvenlik araçlarının sağladığı telemetriyi kullanarak tehditleri aramaya başlayabilirler. Ancak, tüm kuruluşlar bir tehdit avlama programı oluşturamaz. Bu nedenle, ihtiyaç duydukları her yerde yardım aramaları önemlidir.

Katmanlı güvenlik yaklaşımı

Katmanlı güvenlik yaklaşımının arkasındaki paradigma, tek bir teknolojinin tüm tehditleri durduramayacağını kabul etmek. Bu nedenle mümkün olduğunca fazla riski azaltmak için bir dizi teknoloji kontrolü oluşturmak gerekir. Her kontrolün güçlü ve zayıf yönleri olacaktır. Ancak, katmanlı savunma sadece teknoloji ile ilgili değildir. Ayrıca, iş süreçlerinin ve insanların riske karşı azaltıcı kontroller olarak nasıl hareket edebileceğini de hesaba katmamız gerekiyor.

Her kontrolü bir dilim peynir olarak düşünebiliriz. Her dilimin kendine özgü güçlü ve zayıf yönleri (delikler) vardır. Ne kadar çok dilim yığarsanız, fidye yazılımları da dahil olmak üzere günümüzün saldırılarına karşı korunma şansınız o kadar artar. Sinyallerin ve bağlamın doğru karışımı göz önüne alındığında, insanlar kötü niyetli faaliyetleri tespit etmede başarılı olurlar. Bu nedenle, analistlerin aktif düşmanı tespit etmesi için gereken ilgili bilgileri ve bağlamı sağlamak üzere birlikte çalışmak üzere tasarlanmış teknolojileri kullanmak önemlidir.