Siber saldırganlar becerilerini geliştirdikçe, yöntemleri de güvenlik açıklarından yenilikçi ve tespit edilmesi giderek zorlaşan yöntemlerle yararlanacak şekilde gelişiyor. Modern siber tehdit ortamı, yeni saldırı vektörlerini, hızlı silahlandırma döngülerini ve stratejik hedeflemeyi içeriyor; bu da kuruluşların bilgi sahibi olmasını ve uyum sağlamaya hazır olmasını zorunlu kılıyor. Siber tehdit ortamı serimizin bu bölümü, günümüzde tehdit aktörleri tarafından kullanılan gelişmiş taktikleri ve bu taktiklerin neden savunmada ileriye dönük bir yaklaşım gerektirdiğini araştırıyor.
Günümüzün saldırganları, teknik uzmanlığı psikolojik öngörülerle birleştirerek ve kötü amaçlı araçların yer aldığı geniş çevrimiçi pazardan yararlanarak çok yönlü yaklaşımlar kullanıyor. Bu tekniklerin nasıl çalıştığını anlamak, önemli güvenlik açıklarını ortaya çıkarabilir ve uyarlanabilir siber güvenlik stratejilerine olan ihtiyacı aydınlatabilir.
1. Tedarik zincirinde uzlaşma: Dolaylı olarak saldırmak
Tedarik zinciri saldırıları, üçüncü taraf satıcılar, tedarikçiler ve hizmet sağlayıcılar aracılığıyla dolaylı giriş noktalarını hedefler. Bu saldırılar son derece etkilidir; rutin bir yazılım güncellemesine kötü amaçlı yazılım eklemek, binlerce kuruluşa onların bilgisi olmadan sızmak. Güvenilir ağları tehlikeye attıkları için tedarik zinciri saldırıları genellikle ciddi hasar oluşana kadar fark edilmez.
2. Hizmet Olarak Fidye Yazılımı (RaaS): Giriş engelini azaltıyoruz
Fidye yazılımları, geliştiricilerin fidye yazılımı araçlarını teknik açıdan daha az beceriye sahip siber suçlulara sattığı veya kiraladığı Hizmet Olarak Fidye Yazılımı (RaaS) modelleri aracılığıyla daha erişilebilir hale geldi. Bu model, fidye yazılımı saldırılarında ani bir artışa yol açtı; çünkü artık küçük aktörler bile karmaşık şifreleme tabanlı saldırılardan yararlanabiliyor. RaaS ile saldırı teknikleri çoğaltılıp geniş çapta uygulanabildiği için tehdit daha da artıyor ve bu da sektörler arasında önemli mali ve veri kayıplarına katkıda bulunuyor.
3. Sıfırıncı gün güvenlik açıklarından yararlanmak: Silahlandırmada hız ve ölçek
Yazılım satıcılarının bilmediği sıfır gün güvenlik açıkları, yamalar yayınlanmadan önce bu güvenlik açıklarından yararlanmayı amaçlayan saldırganlar için kritik açıklıklardır. Kötü haber şu ki, yükselişteler. Günümüzde tehdit aktörleri, bir güvenlik açığının keşfedilmesinden birkaç saat sonra saldırıları gerçekleştirebilir ve genellikle bunu benzeri görülmemiş bir ölçekte silah haline getirebilir. 2021 Log4j güvenlik açığı, hızlı silahlandırmanın çarpıcı bir örneğiydi ve bu saldırılara karşı koymak için çevik, gerçek zamanlı savunma stratejilerinin aciliyetinin altını çiziyordu.
4. Gelişmiş sosyal mühendislik: 3 boyutlu kimlik avı
Sosyal mühendislik, saldırganların çalışanları manipüle etmek için ayrıntılı kişisel ve kurumsal bilgilerden yararlandığı çok daha karmaşık bir taktiğe dönüştü. Bu gelişmiş kimlik avı kampanyaları, üst düzey yöneticiler veya BT personeli gibi güvenilir tarafların kimliğine bürünmeyi içerebilir. İş e-postasının ele geçirilmesinden (BEC) sesli kimlik avına (vishing) kadar değişen taktiklerle bu kampanyalar, insani güvenlik açıklarından yararlanmayı ve teknik önlemleri atlamayı amaçlıyor.
Yakın zamanda yapılan bir araştırma, gelişmiş taktiklerin gerçek dünya senaryolarında nasıl kullanıldığını gösteriyor. Çin devleti destekli tehdit grubu TAG-112 iki Tibet web sitesinin güvenliği ihlal edildiTibet Post ve Gyudmed Tantric Üniversitesi, Cobalt Strike kötü amaçlı yazılımını dağıtacak. Saldırganlar bu sitelere kötü amaçlı JavaScript yerleştirdiler ve ziyaretçileri gizlenmiş bir güvenlik sertifikası indirmeleri için kandırmak amacıyla TLS sertifika hatasını taklit ettiler. Kötü amaçlı yazılım indirildikten sonra uzaktan erişime ve istismar sonrası faaliyetlere olanak sağladı.
Bu olay, devlet destekli tehdit aktörlerinin Cobalt Strike gibi gelişmiş araçlardan nasıl yararlandığını ve Joomla gibi yaygın olarak kullanılan platformlardaki güvenlik açıklarından nasıl yararlandığını gösteriyor. TAG-112’nin altyapısı aynı zamanda sunucularının IP adreslerini gizlemek için Cloudflare kullanmak gibi karmaşık gizleme taktiklerini de içeriyordu; bu da ilişkilendirme ve azaltmayı önemli ölçüde daha zorlu hale getiriyordu. Bu tür vakalar, kuruluşların gelişen siber tehditlere karşı proaktif savunma önlemleri almalarının gerekliliğini vurgulamaktadır.
Gelişen taktikler, gelişen savunmaları gerektirir. Günümüzde kuruluşların, modern siber saldırıların hızına ve ölçeğine ayak uydurmak için proaktif ve reaktif güvenlik önlemlerinin bir karışımını kullanması gerekiyor.
Tehdit istihbaratından ve işbirliğinden yararlanın
Yeni güvenlik açıkları ve ortaya çıkan tehditler hakkında bilgi sahibi olmak kritik öneme sahiptir. Tehdit istihbaratı hizmetleri ve endüstri ortaklıkları, kuruluşların değişen taktiklere ayak uydurmasına, uzlaşma göstergelerini (IOC’ler) paylaşmasına ve önleyici savunmalar kurmasına olanak tanır. İşbirlikçi yaklaşımlar, bireysel şirketlerin tek başına fark edemeyeceği eğilimlerin tespit edilmesine yardımcı olabilir.
Gerçek zamanlı savunma için hata ödül programları
Hata ödül programları, kuruluşlara güvenlik açıklarını istismar edilmeden önce tespit etme ve ele alma gücü verir. Kuruluşlar, küresel etik hacker havuzundan yararlanarak gerçek dünyayı simüle edebilir ve dijital varlıkların sürekli test edilmesini sağlayarak dahili ekiplerin gözden kaçırabileceği potansiyel güvenlik açıklarını ortaya çıkarabilir.
Sıfır güven ilkelerini benimseyin
Sıfır güven yaklaşımı, hiçbir kullanıcıya veya sisteme doğası gereği güvenilmediğini varsayar. İçeriden gelen tehditlerin ve tedarik zincirindeki güvenlik açıklarının artmasıyla birlikte bu yaklaşım, kullanıcının konumu veya cihazı ne olursa olsun tüm ağ erişiminin kimliğinin doğrulanmasını, yetkilendirilmesini ve sürekli olarak doğrulanmasını sağlamaya yardımcı olur.
Sonuç: Gelişen tehditlere karşı proaktif kalmak
Hızla gelişen siber taktikler karşısında proaktif, katmanlı bir savunma sadece tavsiye edilir değil, aynı zamanda zorunludur. Kuruluşlar, yeni ortaya çıkan teknikler hakkında bilgi sahibi olarak ve tehdit istihbaratı, hata giderme programları ve sıfır güven gibi stratejileri benimseyerek dinamik tehdit ortamına uyum sağlayabilir. Bu serinin bir sonraki bölümünde, gelişen teknolojilerin siber güvenlikteki rolü ve getirebilecekleri yeni riskler ele alınacak.
Bu arada, hata ödülü hakkında daha fazla bilgi edinmek istiyorsanız ve bunun kuruluşunuz için uygun olup olmadığını öğrenmek istiyorsanız bugün ekibimizden biriyle konuşun.