Sophos’taki analistler, tehdit aktörünün kurban ağına erişmesi ile siber saldırıyı gerçekleştirmesi arasındaki süre olan bekleme sürelerinde iyi belgelenmiş bir çöküşün ortasında, fidye yazılımı çetelerinin telemetri günlüklerini devre dışı bırakma veya silme girişiminde bulunduğu artan sayıda saldırıyı tespit etti izlerini gizlemek ve güvenlik ekiplerinin hayati önem taşıyan çalışmalarını engellemek.
1 Ocak 2022’den 30 Haziran 2023’e kadar Sophos olay müdahale (IR) ekibinin dahil olduğu olaylara dayanarak firma bugün vakaların %42’sinden fazlasında telemetri kayıtlarının eksik olduğunu ve bu vakaların %82’sinde saldırganların günlükler devre dışı bırakıldı veya silindi.
Bu, savunucuların kuruluşlarının ağları ve sistemleri üzerindeki görünürlüğünü açıkça engelliyor ve bir izinsiz girişi tespit etmek ve buna yanıt vermek zorunda oldukları giderek daha da sınırlı olan süre göz önüne alındığında onları daha da geri planda bırakıyor – bekleme sürelerinin yıldan yıla %44 azaldığı düşünülüyor yıl (Yıllık).
“Aktif bir tehdide yanıt verirken zaman kritik öneme sahiptir; İlk erişim olayının tespit edilmesi ile tehdidin tamamen azaltılması arasındaki süre mümkün olduğu kadar kısa olmalıdır. Bir saldırgan saldırı zincirinde ne kadar ileri giderse müdahale ekiplerinin baş ağrısı da o kadar büyük olur,” dedi Sophos’un saha teknoloji sorumlusu (CTO) John Shier.
“Eksik telemetri, çoğu kuruluşun karşılayamayacağı iyileştirmelere yalnızca zaman kazandırır. Bu nedenle tam ve doğru günlük kaydı önemlidir, ancak kuruluşların ihtiyaç duydukları verilere sahip olmadıklarını da sıklıkla görüyoruz.”
Genel olarak, Sophos’un devam eden serisinin bir parçasını oluşturan araştırma Aktif Düşman Raporlar – izinsiz girişten infazın görülmesine kadar geçen süreye bakılmaksızın, fidye yazılımı çetelerinin genellikle iyi uygulanmış ve başarılı olan taktik, teknik ve prosedürlerinde (TTP’ler) oldukça az farklılık sergilediğini buldu; bu da savunucuların kendi yöntemlerini geliştirmelerine gerek olmadığını gösteriyor. savunma stratejilerini radikal bir şekilde
Ancak Sophos, fidye yazılımı çetelerinin tespit yeteneklerinin de geliştiğini açıkça anladığını, bunun da tespitten kaçmak için daha fazlasını yapmaları gerektiği anlamına geldiğini söyledi; kurbanın telemetrisini kurcalamak onlar için nispeten kolay bir kazançtı.
Bu nedenle savunucular, özellikle hızlı hareket eden saldırılarda (beş gün veya daha az bekleme süresi olan) telemetri eksikliğinin yanıtlarını ciddi şekilde engelleyebileceğinin farkında olmalıdır.
“Siber suçlular yalnızca zorunlu olduklarında ve yalnızca onları hedeflerine ulaştıracak ölçüde yenilik yaparlar. Saldırganlar, erişimden tespite daha hızlı ilerleseler bile, neyin işe yaradığını değiştiremezler. Bu kuruluşlar için iyi bir haber çünkü saldırganlar zaman çizelgelerini hızlandırdıkça savunma stratejilerini radikal bir şekilde değiştirmek zorunda kalmıyorlar. Hızlı saldırıları tespit eden aynı savunmalar, hıza bakılmaksızın tüm saldırılara uygulanacaktır. Buna tam telemetri, her şeyde sağlam koruma ve her yerde izleme dahildir” dedi Shier.
“Önemli olan, mümkün olduğunca sürtünmeyi artırmaktır; eğer saldırganların işini zorlaştırırsanız, saldırının her aşamasını uzatarak yanıt vermek için değerli zaman kazandırabilirsiniz.
“Örneğin, bir fidye yazılımı saldırısı durumunda, daha fazla sürtüşme yaşıyorsanız, sızmaya kadar geçen süreyi erteleyebilirsiniz; Dışarı sızma genellikle tespit edilmeden hemen önce gerçekleşir ve genellikle saldırının en maliyetli kısmıdır.
“Bunun iki Küba fidye yazılımı olayında olduğunu gördük. Bir şirket (Şirket A) MDR ile sürekli izleme olanağına sahipti, böylece kötü amaçlı etkinliği tespit edebildik ve herhangi bir verinin çalınmasını önlemek için saldırıyı birkaç saat içinde durdurabildik.
“Başka bir şirkette (B Şirketi) bu sürtüşme yoktu; İlk erişimden birkaç hafta sonra ve Küba 75 gigabaytlık hassas veriyi başarıyla sızdırdıktan sonra saldırıyı fark edemediler. Daha sonra IR ekibimizi aradılar ve bir ay sonra hala her zamanki gibi işlerine dönmeye çalışıyorlardı.”
Eksik telemetri her zaman siber suçlulara bağlı değildir
Bütün bunları söyleyen Sophos ayrıca, savunucuların bir olaya müdahale etmek için telemetriden yoksun olması durumunda, bunun her zaman bir saldırganın gerçekleştirdiği eylemlere bağlı olmadığını da buldu; araştırdığı kuruluşların dörtte birinde başlangıçta hiçbir zaman uygun günlük kaydı bulunmuyordu.
Bunun, yetersiz saklama, diskin yeniden görüntülenmesi veya uygun yapılandırma eksikliği gibi çeşitli nedenleri vardı.
Shier, bu vakalarda bunun yalnızca savunucuların inceleyeceği veri olmadığı anlamına gelmediğini, aynı zamanda ilk etapta neden veri bulunmadığını çözmek için değerli zamanlarını harcamak zorunda kaldıkları konusunda da uyardı.
Shier, Microsoft’un günlüğe kaydetmeyi temel lisanslar için ücretsiz olarak kullanılabilir hale getirmeye başlamasından bu yana, kuruluşların çoğunluğunun bu özelliği kurumsal olarak kullanıma sunulduğunda tam olarak kullanmamak için hiçbir nedeni veya mazereti olmadığını, ancak bunun çok da yaygın olmayan bir şey olabileceğini kabul ettiğini ekledi. Güvenlik ekipleri bu konuda karar verebilecek konumda olacaktır. Bu nedenle, eğer dava güvenlik liderleri tarafından yürütülmüyorsa, savunucuların kendilerini savunmaları önemlidir.
Son olarak, tüm veri türleri gibi günlüklerin de adli analize ihtiyaç duyulduğunda erişilebilmesi için güvenli bir şekilde yedeklenmesi gerektiğini ekledi. Şunları kaydetti: “Klasik gizlilik-bütünlük-kullanılabilirlik üçlüsü genellikle uygulayıcı kalabalığın aklına gelen bir şey değildir, ancak gerekli süreçleri devreye sokacak liderlik dilini konuşmak için burada yardıma başvurmaya değer.”