Sıfır gün saldırılarının artan karmaşıklığından ulus devlet ve siber suç ittifaklarının sağlamlaşmasına kadar 2024 yılı, tehdit ortamının ne kadar hızlı gelişmeye devam ettiğine dair daha fazla kanıt sundu. Yıl, saldırganların ısrarı ve savunmanın sistemik zorlukları hakkındaki sert gerçekleri pekiştirdi. 2024’ü tanımlayan olaylardan bazılarına ve güvenlik ekiplerinin 2025’te devam eden savaşta önde olmak için uygulayabilecekleri taktiksel içgörülere dönüp bakıyoruz.
Artan Sıfır Gün İstismarları ve Ulus-Devlet İşbirliği
Tehdit araştırmacıları yıldan yıla sıfır gün artışı görmeye devam etti. Son analiz Mandiant tarafından 2023 yılında açıklanan 138 güvenlik açığından çoğunluğunun (97) sıfır gün olarak kullanıldığı tespit edildi; bu, 2022’ye kıyasla bir artış. Contrast Security’nin siber stratejiden sorumlu kıdemli başkan yardımcısı Tom Kellermann, bu sayının 2024’te artmasını bekliyor.
Büyümenin jeopolitik gerilimlerin doğrudan bir sonucu olduğunu söylüyor. Ulus-devlet aktörleri, özellikle de Çin, bu tür güvenlik açıklarından benzeri görülmemiş oranlarda yararlanıyor.
Kellermann, “Çinliler özellikle sıfır günleri kullanmak ve bunları keşfetmek için muazzam araştırmalar yapıyorlar” diyor. “Bununla uğraşırken herkesin biraz geride kaldığını düşünüyorum çünkü geleneksel siber güvenlik savunmaları bu saldırıları engelleyemez.”
OpenText Siber Güvenlik’te güvenlik analitiği kıdemli direktörü Stephan Jou, bu tür saldırılardaki artışın 2024’teki yeni bir trendi de içerdiğini söylüyor: ulus devletler ile siber suç halkaları arasındaki işbirliği veya koordinasyon.
“Bu modelde, ulus devlet niteliğindeki bir saldırı, aynı hedefe yönelik, kâr amacı güden bağımsız bir tehdit aktörünün saldırısıyla eş zamanlı olarak başlatılıyor veya bunu yakından takip ediyor. Örneğin Rusya’nın iş birliği yaptığı görüldü. Killnet, LokiBot, Gumblar, Pony Loader ve Amadey dahil olmak üzere hizmet olarak kötü amaçlı yazılım çeteleri Çin, genellikle Güney Çin’deki jeopolitik gündemini desteklemek için Storm-0558 ve Red Relay siber suç çeteleriyle benzer ilişkilere girdi. Deniz.”
Sophos’un küresel saha CTO’su Chester Wisniewski, Çin sponsorluğundaki saldırganların, devletin zorunlu kıldığı ifşa yasaları aracılığıyla paylaşılan montaj hattı sıfır gün saldırıları geliştirdiğini söylüyor. Saldırganlar başlangıçta hedefli saldırılarda sıfır gün kullandılar, daha sonra izlerini kapatmak için bunları yaygın bir şekilde istismar etmeye yönelttiler. Tehditleri azaltmak için proaktif yama yönetimi ve satıcılar ile kuruluşlar arasındaki işbirliğinin kritik önem taşıdığını söylüyor.
Wisniewski, “Asıl sorun, yamalanmayan şeylerin birikmesidir” diyor. “İnternete daha fazla ekipman sunmaya devam ediyoruz. Ve her geçen gün daha da kirleniyor ve kimse bununla ilgilenmekten sorumlu değil.”
Jou da buna katılıyor ve buradan alınacak dersin, karmaşık saldırılara karşı bile savunmanın aynı temellere dayandığı olduğunu söylüyor: yama yönetimi, uç nokta koruması, e-posta güvenliği, farkındalık eğitimi ve yedekleme ve felaket kurtarma planlaması.
“Güvenlik ekipleri, bu gösterişsiz ama önemli en iyi uygulamaların yürürlükte olmasını sağlayarak, tehdit aktörlerinin ağları ve işletmeleri kötüye kullanmak için en sevdikleri taktiklerin çoğunu elinden alabilir” diyor.
Dayanıklılık Planlamasının Daha Fazla Odaklanması Gerekiyor
2024’teki fidye yazılımı saldırıları, tedarik zincirlerinin ve iş sürekliliğinin kırılganlığını ortaya çıkardı. Wisniewski, fidye yazılımı operatörlerinin artık hizmet sağlayıcıları ve tedarik zinciri ağlarını hedef aldığını söylüyor. A Ahold Delhaize’ye siber saldırıStop & Shop, Hannaford, Food Lion ve Giant Food dahil olmak üzere ABD’nin büyük süpermarket zincirlerinin ana şirketi, Kasım ayında ağındaki hizmetleri kesintiye uğratarak 2.000’den fazla mağazayı etkiledi. Müşteriler birkaç gün boyunca çevrimiçi market alışverişi teslimatı, çevrimdışı web siteleri ve sınırlı eczane hizmetleriyle ilgili sorunlar yaşadı.
Wisniewski, modern segmentasyon araçlarını içerecek şekilde iş sürekliliği stratejilerinin geliştirilmesinin, olaylar sırasında operasyonel kesintilerin en aza indirilmesine yardımcı olabileceğini söylüyor.
“Tedarik zincirinin bir parçası çöktüğünde binlerce işletmeyi etkiler” diyor. “Bu, saldırganların taleplerine uymaya yönelik ekonomik ve operasyonel baskıyı artırıyor. Hiçbir zaman başarısız olmamayı planlayamazsınız, ancak zarif bir şekilde başarısız olmayı planlayabilirsiniz.”
Bu yıl manşetlere çıkan bir diğer iş sürekliliği olayı da şuydu: CrowdStrike kesintisi. Temmuz ayında şirket, Windows işletim sistemi çalıştıran yaklaşık 8,5 milyon cihazı etkileyen hatalı bir yazılım güncellemesi yayınladı. Bu aksaklık, özellikle seyahat sektöründe çok sayıda kesintiye neden olan yaygın sistem çökmelerini tetikledi. Delta Air Lines, sistem kesintileri nedeniyle binlerce uçuşu iptal etmek zorunda kaldı.
Olay birkaç gün boyunca haber döngülerine damgasını vurdu. Bunun ardından analistler daha iyiye yönelik kritik ihtiyaçlara dikkat çekti. Süreç uyumu ve görünürlük. Ancak Coro’nun kurucu ortağı Dror Liwer, bunun aynı zamanda güvenlik liderlerinin büyük ölçekli bir olayın etkilerini yönetirken çeşitli paydaşlarla (teknik ekipler, şirket yöneticileri veya harici taraflar) etkili bir şekilde iletişim kurma ihtiyacının da altını çizdiğini söylüyor.
Kritik Altyapı Büyüyen Bir Hedeftir
Kritik altyapılara yönelik saldırılar 2024’te yeni seviyelere ulaştı. Eylül ayında Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA)) bir bildiri yayınladı Yetkililerin, Arkansas City, Kansas’taki bir tesiste bir siber güvenlik sorunu bildirdikten sonra, durum çözülürken manuel operasyonlara geçmek zorunda kaldıklarını bildirmesinin ardından, hükümet tarafından işletilen su sistemlerinin ulus devletler tarafından saldırıya uğrama riskiyle karşı karşıya olduğu belirtildi.
Forescout CEO’su Barry Mainz, siber saldırıların giderek değiştiğini söylüyor kritik hizmetleri hedefleyinbelediye su otoriteleri ve havaalanı iniş sistemleri gibi. Bu yıl, saldırganların odak noktalarını iyi korunan tesislerden su kaynakları ve elektrik şebekeleri gibi daha savunmasız yukarı akış sistemlerine kaydırdıklarını açıkça ortaya koydu, diyor.
“Biraz uzaklaştırıp güvenlik açıklarının nerede olduğuna bakarsanız, kötü aktörler şöyle diyor: ‘İnsanlar belirli BT işlevlerini güvence altına almak için para harcadığı için artık bu çok daha zor. biraz zincirleyin'” diyor Mainz.
Kritik altyapının güvenliğinin sağlanmasındaki en önemli zorluklardan biri, operasyonel ortamların doğasında olan karmaşıklıktır. Birçok endüstriyel sistem, hiçbir zaman siber güvenlik göz önünde bulundurularak tasarlanmamış eski ekipmanları kullanarak çalışır. Ayrıca, bu ortamlardaki bağlı cihazların görünürlüğü genellikle yetersiz olduğundan, tehditlerin tespit edilmesi son derece zorlaşabilir.
“Sanırım bundan alınacak ders, yalnızca BT sistemleri için değil aynı zamanda siber güvenlik stratejisine yatırım yapmamız gerektiğidir. [operational technology] Mainz şöyle diyor: “Ayrıca bu sistemleri nasıl yönettiğimiz hakkında da yapısal olarak düşünmemiz gerekiyor çünkü bu OT sistemlerini fiilen yöneten kişiler BT uzmanları değil.”
Daha iyi bir yaklaşımın, gelişmiş izleme ve tehdit algılama araçlarının benimsenmesinin yanı sıra BT ve OT ekipleri arasındaki işbirliğini teşvik etmeyi içerdiğini söylüyor. Kuruluşlar, siloları ortadan kaldırarak ve iletişimi geliştirerek, kritik altyapının benzersiz güvenlik gereksinimlerini daha iyi karşılayabilir. Mainz, savunmanın güçlendirilmesinde hükümet ve özel sektör ortaklıklarının önemine dikkat çekti.
Telekoma Güvenilmez
2024 yılını şu haberle kapatıyoruz: Çin hükümetiyle bağlantılı olduğu iddia edilen bir siber casusluk grubu olan Salt Typhoonbirçok ülkedeki telekomünikasyon ağlarına başarıyla sızdı. Yalnızca ABD’de FBI yetkilileri, aralarında AT&T, Verizon ve Lumen Technologies’in de bulunduğu en az sekiz büyük telekom şirketinin ele geçirildiğini söylüyor. Grup, arama kayıtları, şifrelenmemiş kısa mesajlar ve bazı durumlarda canlı arama sesleri gibi hassas verilere erişim sağladı. FBI, Amerikalıların iletişimlerinin gizli kalmasını sağlamak için Signal ve WhatsApp gibi şifreli mesajlaşma uygulamalarını kullanmalarını önerdi.
Kellermann, ulus devlet saldırganları ve telekomünikasyon kullanımlarıyla ilgili devam eden sorunların, 2025’e girerken en büyük endişelerinden biri olduğunu söylüyor. Ayrıca T-Mobile’ın 2020’de Sprint’i satın almasına da dikkat çekiyor ve bunun endişe verici olduğunu söylüyor çünkü “Sprint, ABD hükümetinin gizli omurga ağıydı.” Bu, T-Mobile’ın altyapısında güvenlik açıkları varsa, bunların Sprint’in eski ağının parçası olan hassas hükümet iletişimlerini veya sistemlerini potansiyel olarak tehlikeye atabileceği anlamına gelir.
“İnsanların bunu görmezden geldiğini ve tam olarak dikkat etmediğini düşünüyorum” diyor.