Gelişmiş tehditler artık her zamankinden daha erişilebilir. Dark Web’de sıfır gün saldırıları, dosyasız kötü amaçlı yazılımlar, tedarik zinciri ihlalleri ve cihaz belleği işlemlerini hedefleyen kötü amaçlı yazılımlar satın alabilir veya kiralayabilirsiniz.
2021’de hafıza ihlali, ilk beş MITRE saldırı tekniği arasında en yaygın olanıydı ve dosyasız saldırıların sayısı %900’ün üzerinde arttı. Google’ın Project Zero’suna göre, doğada görülen sıfır gün sayısı 2020’ye göre iki kattan fazla arttı. 2022’de veri ihlalleri, 2021’de belirlenen tüm zamanların rekoru olan 1.862 ihlalin sadece 60 katıydı. kripto para piyasasında dalgalanma ile birlikte Ukrayna’nın işgali.
İyi korunan ağlara yönelik gelişmiş siber saldırılar, petrol boru hatlarının, okul sistemlerinin ve hatta tüm ülkelerin felç olmasına neden oldu. Ve asla halka açıklanmayan büyük kuruluşlara yönelik kaç tane başarılı saldırı olduğunu asla bilemeyeceğiz.
Tehditler Algılanmayı Önlemek İçin Bellekte Saklanır
Algılama teknolojileri herhangi bir BT ortamında temel savunmalardır. Yeni nesil antivirüs (NGAV), uç nokta koruma platformu (EPP), uç nokta algılama ve yanıt/genişletilmiş algılama ve yanıt (EDR/XDR) ve yönetilen algılama ve yanıt (MDR) içerir. Ancak en gelişmiş tehditler ve mevcut tehditlerin yeni çeşitleri, genellikle bellekte saklanarak bu araçlardan kaçmak için özel olarak tasarlanmıştır.
Tarayıcılar, bilinen imzalara bakarak kötü amaçlı yazılımları ve kötü amaçlı etkinlikleri belirlemeye çalışır. Ancak birden çok güvenlik teknolojisi katmanına sahip olsanız bile, bu tarayıcılar tanınabilir imzaları olmayan, dosyasız veya bellekte var olan ve çalışma zamanında etkili bir şekilde taranması mümkün olmayan tehditleri göremez. Sonuçta, ne arayacağınızı bilmiyorsanız ve çevrenizi gerçek zamanlı olarak göremiyorsanız, göremediğinizi de bulamazsınız.
Bellek, modern siber güvenlikte önemli bir güvenlik açığıdır çünkü standart siber güvenlik araçları bellekteki sinsi, bilinmeyen ve kaçamak tehditleri bulamaz – kesinlikle saldırıları durduracak kadar hızlı değildir. Sonuç olarak, güvenlik ekipleri tehdit aktörlerinin bir adım gerisinde kalıyor.
Bellek Güvenlik Açığı Büyüyor
Tehdit aktörleri, görünmez kalırken bir cihazda kalmak için en iyi yer olduğu için belleği hedefliyor. Bunun nedeni, çalışma zamanı belleğinin o kadar büyük bir alan olmasıdır ki, performansı büyük ölçüde düşürmeden tarama yapmak temelde imkansızdır ve bu da onu çoğunlukla güvenlik kontrolleri tarafından savunmasız bırakır.
Performanstan ödün vermemek için, EDR gibi algılamaya dayalı çözümler belleğe seçici olarak bakmalıdır. Yakın zamanda yayınlanan Cobalt Strike Yara kuralları gibi belirli göstergeleri taramak ve aramak için bellekte belirli zamanları ve boşlukları seçmeye bağlıdırlar.
Tehditler çok geniş bir alana gizlenebildiğinden ve kural setlerini tetiklemekten kaçınmak için yeniden yapılandırılabildiğinden, tarama çözümleri neredeyse her zaman kaçamak tehditleri kaçırır.
Bir cihazın çalışma zamanı bellek ortamında, tehditler kimlik bilgilerini çalabilir, meşru işlemleri ele geçirebilir ve hatta düşük ayrıcalıklı bir kullanıcıyı sistem yöneticisine dönüştürebilir.
Örneğin, sızma testi çerçevesi Cobalt Strike’ın kötü amaçlı sürümleri, tehdit aktörlerinin PowerShell gibi meşru bir uygulamanın belleğine bir yükleyici yerleştirmesine olanak tanır. Bu, bir uygulama çalışırken tehdidin yalnızca bellek ortamında var olduğu anlamına gelir.
Bellek Savunmaları Ekleme
Gelişmiş tehditler tarafından güvenliğin aşılmasını güvenilir bir şekilde önlemenin tek yolu, saldırganların hayatını zorlaştıran katmanlı bir güvenlik duruşu kullanmaktır. Bu, kötü niyetli davranışları tespit etmek ve güvenlik ekiplerini ağ etkinliği hakkında bilgilendirmek için güvenli ağlar oluşturmak, sistemleri güçlendirmek ve EDR, EPP ve AV gibi güvenlik teknolojilerini devreye almak anlamına gelir. Güvenlik ekiplerinin, güvenilmeyen aktörlerin erişimini engelleyerek belleği koruyan çözümleri de değerlendirmesi gerekir.
Belleği korumanın bir yolu, çalışma zamanı bellek ortamını rastgele hale getirmek için hareketli hedef savunma teknolojisi kullanmaktır; böylece saldırganlar aradıklarını bulamazlar ve saldırı zincirlerini kırarlar. Saldırgan, statik, bilinen bir hedef ortam yerine, adli analiz için yetkisiz etkinliği yakalayan sahte tuzaklar içeren dinamik bir bellek ortamıyla karşı karşıya kalır.
Gelişmiş tehditler daha yaygın hale geldikçe, bellek savunmasını içeren katmanlı güvenlik gerekli hale geliyor. Bu olmadan, cihaz belleğini hedef alan tehditleri durdurmanın etkili bir yolu yoktur.