Sophos’a göre, saldırganın ortalama bekleme süresi (bir saldırının başlamasından tespit edilmesine kadar geçen süre) 2023’ün ilk yarısında tüm saldırılar için 10 günden sekiz güne, fidye yazılımı saldırıları için ise beş güne düştü. 2022’de ortalama bekleme süresi 15 günden 10 güne düştü.
Active Directory’nin kontrolünü ele geçirmek
Ayrıca Sophos X-Ops, saldırganların bir şirket için en kritik varlıklardan biri olan Active Directory’ye (AD) erişmesinin ortalama olarak bir günden kısa (yaklaşık 16 saat) sürdüğünü tespit etti. AD genellikle bir kuruluş genelinde kimlik ve kaynaklara erişimi yönetir; bu, saldırganların AD’yi kullanarak bir sistemdeki ayrıcalıklarını kolayca yükselterek oturum açıp çok çeşitli kötü amaçlı etkinlikleri gerçekleştirebilecekleri anlamına gelir.
“Bir kuruluşun Active Directory altyapısına saldırmak, saldırgan bir bakış açısıyla anlamlıdır. AD genellikle ağdaki en güçlü ve ayrıcalıklı sistemdir ve saldırganların saldırılarında yararlanabileceği sistemlere, uygulamalara, kaynaklara ve verilere geniş erişim sağlar. Bir saldırgan AD’yi kontrol ettiğinde organizasyonu da kontrol edebilir. Sophos saha CTO’su John Shier, “Bir Active Directory saldırısının etkisi, artması ve kurtarma yükü, saldırının hedef alınmasının nedenidir” dedi.
“Saldırı zincirinde Active Directory sunucusuna ulaşmak ve onun kontrolünü ele geçirmek, rakiplere çeşitli avantajlar sağlıyor. Bir sonraki hamlelerini belirlemek için fark edilmeden oyalanabilirler ve gitmeye hazır olduklarında kurbanın ağını engellenmeden patlatabilirler,” diye devam etti Shier.
“Alan adı ihlalinden tam olarak kurtulmak uzun ve zorlu bir çaba olabilir. Böyle bir saldırı, bir kuruluşun altyapısının dayandığı güvenlik temellerine zarar verir. Çoğu zaman başarılı bir AD saldırısı, bir güvenlik ekibinin sıfırdan başlaması gerektiği anlamına gelir.”
Fidye yazılımı saldırıları için bekleme süresi
Fidye yazılımı saldırılarının bekleme süresi de azaldı. Bunlar, analiz edilen olay müdahale vakalarında en yaygın saldırı türüydü; araştırılan vakaların %69’unu oluşturuyordu ve bu saldırıların ortalama bekleme süresi yalnızca beş gündü. Fidye yazılımı saldırılarının %81’inde son veri, geleneksel çalışma saatleri dışında başlatıldı ve iş saatleri içinde dağıtılanların yalnızca beşi hafta içi gerçekleşti.
Tespit edilen saldırıların sayısı, özellikle fidye yazılımı saldırıları incelenirken hafta ilerledikçe arttı. Fidye yazılımı saldırılarının %43’ü Cuma veya Cumartesi günü tespit edildi.
“Bazı açılardan kendi başarımızın kurbanı olduk. XDR gibi teknolojilerin ve MDR gibi hizmetlerin benimsenmesi arttıkça saldırıları daha erken tespit etme yeteneğimiz de artıyor. Tespit sürelerinin kısaltılması daha hızlı tepki verilmesini sağlar, bu da saldırganlar için daha kısa bir çalışma aralığı anlamına gelir. Aynı zamanda, gelişmiş savunmalar karşısında gürültülü saldırılarını hızlandırmaya devam eden deneyimli ve iyi kaynaklara sahip fidye yazılımı ortakları başta olmak üzere suçlular da taktiklerini geliştiriyorlar.
Ancak bu, kolektif olarak daha güvende olduğumuz anlamına gelmiyor. Bu, fidye yazılımı olmayan bekleme sürelerinin dengelenmesiyle kanıtlanmıştır. Saldırganlar hala ağlarımıza giriyor ve zaman kısıtlı olduğunda oyalanma eğiliminde oluyorlar. Ancak eğer izlemiyorsanız dünyadaki hiçbir araç sizi kurtaramaz.
Suçluların sizden daha kötü bir gün geçirmesini sağlamak için hem doğru araçlar hem de sürekli, proaktif izleme gerekir. Burası MDR’nin hücumcularla savunmacılar arasındaki boşluğu gerçekten kapatabileceği yerdir, çünkü siz izlemediğinizde bile biz izliyoruz,” diye sözlerini tamamladı Shier.