Siber güvenlik araştırmacıları, bilgisayar korsanlarının yazılım açıklarından her zamankinden daha hızlı yararlandığına dair alarm veriyor.
Fortinet’in yeni bir raporu, 2023’ün ikinci yarısında, bir güvenlik açığının açığa çıkması ile doğada aktif olarak kullanılması arasında geçen ortalama sürenin, yılın ilk yarısına kıyasla %43’lük şaşırtıcı bir düşüşle yalnızca 4,76 güne düştüğünü ortaya çıkardı.
Artan hız, kuruluşlara bir ihlalin kurbanı olmadan önce açıkta kalan sistemlere yama yapmaları için kısa bir pencere sağlıyor.
Fortinet’in 2. Yarı 2023 Küresel Tehdit Görünümü Raporu’nda yayınlanan bulgular, bilgisayar korsanlarının, kuruluşlar savunmasız sistemlere yama yapma fırsatı bulamadan ağlara sızma ve kötü amaçlı yükleri dağıtma çabalarını hızlandırdığı siber tehdit ortamının kasvetli bir resmini çiziyor.
Ücretsiz Web Semineri Canlı API Saldırı Simülasyonu: Yerinizi Ayırın | API’lerinizi bilgisayar korsanlarından korumaya başlayın
Fortinet’in FortiGuard Laboratuvarları Baş Güvenlik Stratejisti Derek Manky, “Zaten gergin olan siber savunma kaynakları üzerindeki baskı daha da yoğunlaştı ve yararlanma süresi önemli ölçüde yalnızca 4,76 güne düştü” dedi.
“Önceliklendirilmiş bir güvenlik açıkları listesini hızlı bir şekilde eleme ve bu ‘saatli bombaları’ etkili bir şekilde yönetme yeteneği artık her zamankinden daha kritik.”
Rapor, dünya çapındaki canlı prodüksiyon ortamlarındaki tehdit olaylarını yakalayan 600.000’den fazla ağ sensöründen elde edilen verileri analiz etti.
Kuruluşların %41’inin, bir aydan daha kısa süre önce açıklardan yararlanmaya yönelik etkinlik tespit ettiği tespit edildi; bu da yeni açıklardan yararlanmaların hızlı bir şekilde yayıldığını gösteriyor.
Fidye yazılımı çeteleri ve diğer tehdit aktörleri, yamalı güvenlik açıkları yoluyla ağlara sızmak için bu dar fırsat penceresinden giderek daha fazla yararlanıyor.
2023’ün ikinci yarısında Fortinet, Zyxel, D-Link, Dasan ve MikroTik gibi satıcıların Nesnelerin İnterneti (IoT) cihazlarını ve ağ ekipmanlarını hedef alan saldırılarda bir artış gözlemledi.
Yüksek riskli güvenlik açıklarının dörtte birinden, kamuya duyurulduğu gün yararlanıldı. Ve %75’i 3 haftalık bir süre içinde bilgisayar korsanları tarafından silah haline getirildi.
Rapid7 güvenlik araştırmaları kıdemli yöneticisi Caitlin Condon, “Güvenlik ekiplerinin yamaları veya diğer hafifletici önlemleri uygulamaya zaman bulamadan çok sayıda güvenlik açığından yararlanılıyor” dedi. Firmasının analizi, güvenlik açıklarının %56’sının, 2022’de ifşa edildikten sonraki 7 gün içinde kullanıldığını gösterdi; bu oran önceki yıl %50’ydi.
2023’te en yaygın şekilde istismar edilen güvenlik açıkları, bir dizi önde gelen yazılım platformunu ve uygulamasını etkiledi.[4][5]:
- MOVEit Transfer (CVE-2023-34362) – Cl0p fidye yazılımı tarafından istismar edildi
- Citrix NetScaler ADC ve Ağ Geçidi (CVE-2023-4966) – LockBit fidye yazılımı tarafından istismar edildi
- PaperCut NG (CVE-2023-27350) – LockBit fidye yazılımı tarafından istismar edildi
- Google Chrome (CVE-2023-0699) – LockBit fidye yazılımı tarafından istismar edildi
- Fortra GoAnywhere (CVE-2023-0669) – Cl0p fidye yazılımı tarafından istismar edildi
En yüksek riskli güvenlik açıklarının üçte biri, güvenliğinin sağlanmasının oldukça zor olduğu ağ cihazlarında ve web uygulamalarında bulundu.
Bilgisayar korsanları genellikle halka açık uygulamalardaki ve uzak hizmetlerdeki güvenlik açıklarından yararlanarak ilk erişimi elde eder.
Sağlık sektörü, 2023’te fidye yazılımlarından özellikle ağır darbe aldı ve her saldırıda hassas verilerin tahminen %20’si etkilendi.
Tüm sektörlerde kuruluşların %94’ü geçen yıl önemli bir siber saldırıya maruz kaldı ve üçte biri fidye yazılımının kurbanı oldu. Verileri şifrelenenlerin %93’ü fidyeyi ödedi.
Kuruluşların yama uygulamaya öncelik vermesine yardımcı olmak için ABD Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA), bilinen istismar edilen güvenlik açıklarının genel bir kataloğunu tutar. Ancak araştırmacılar, kataloğun tüm tehlikeli kusurları içermediğine dikkat çekiyor.
Qualys raporunda “Kötüye kullanılması muhtemel 97 yüksek riskli güvenlik açığı, CISA’nın Bilinen İstismara Uğrayan Güvenlik Açıkları kataloğunun parçası değildi” ifadesine yer veriliyor. Tüm güvenlik açıklarının %1’den azı riskin çoğunluğunu oluşturuyordu.
Bu hızlandırılmış istismar döngüsünün önünde kalabilmek için kuruluşların proaktif, çok katmanlı bir siber güvenlik stratejisinin parçası olarak güvenlik açığı yönetimine öncelik vermesi gerekiyor.
Bu, güncel bir varlık envanterinin tutulmasını, düzenli güvenlik açığı taramalarının gerçekleştirilmesini ve yüksek riskli kusurların zamanında iyileştirilmesini sağlamak için otomatik yama işlemlerinin uygulanmasını içerir.
Manky, “Bu önceliklendirmeyi yama yönetimi sürecinize entegre etmek, riskleri azaltmak için size net, zamana duyarlı bir strateji sağlar ve hızla gelişen bir tehdit ortamında siber güvenlik duruşunuzu geliştirir” tavsiyesinde bulundu.
Güvenlik uzmanları, kuruluşlara güvenlik açıklarını yönetmek için çeşitli tarama ve tespit teknolojilerinin kullanılması, halka açık tüm varlıkların ayrıntılı bir şekilde envanterinin çıkarılması ve gerçek dünyadaki tehdit faaliyetlerine dayalı yama uygulamaya öncelik verilmesi dahil çok yönlü bir strateji benimsemelerini tavsiye ediyor.
Bilgisayar korsanları baş döndürücü bir hızla hareket ederken, savunmacıların açıkları çok geç olmadan kapatma yarışı sürüyor.
Is Your Network Under Attack? - Read CISO’s Guide to Avoiding the Next Breach - Download Free Guide