Forescout’a göre, geçen yıl dünyanın kritik altyapısı (insanları ve makineleri birbirine bağlayan tıbbi, enerji, iletişim, atık, üretim ve ulaşım ekipmanları) neredeyse sürekli saldırı altındaydı.
Siber faaliyetlerde devam eden artışın yarattığı zorlu zorluklara rağmen ileriye dönük iyimser bir yol var. Vedere Labs Forescout Research Araştırmadan Sorumlu Başkan Yardımcısı Elisa Costante, olumlu değişim potansiyelini vurgulayarak şunları söylüyor: “Kritik varlıkları güçlendirmek ve riskleri değerlendirmek için kritik teknolojiden tam olarak yararlanma konusunda mevcut çabaların yetersiz kaldığı doğru olsa da, gelişim.”
Log4j saldırılarının popülaritesinin azalması nedeniyle yazılım kitaplıklarına yönelik saldırılarda bir düşüş yaşanıyor. Bu durgunluk, ağ altyapısını ve Nesnelerin İnterneti (IoT) cihazlarını hedef alan istismarlarda artışa yol açtı.
IoT ortamında, kötü niyetli aktörlerin en çok aranan hedefleri olarak ortaya çıkan IP kameralar, bina otomasyon sistemleri ve ağa bağlı depolama ön plana çıkıyor.
Fazla uzatmaya yönelik kalıcı saldırılar
İstismar edilen güvenlik açıklarının yalnızca %35’i Siber Güvenlik ve Altyapı Güvenliği Ajansı’nın (CISA) Bilinen İstismara Uğrayan Güvenlik Açıkları (KEV) listesinde yer aldı. Bu farklılık, siber güvenliğe yönelik, bilinen güvenlik açığı veritabanlarına güvenmeyi aşan, proaktif ve kapsamlı bir yaklaşıma duyulan ihtiyacı vurgulamaktadır.
Operasyonel Teknoloji (OT), sürekli saldırıların yükünü taşıyan beş temel protokolle kendisini amansız bir saldırı altında buluyor. Birincil hedefler arasında, tüm saldırıların şaşırtıcı bir şekilde üçte birine maruz kalan Modbus gibi endüstriyel otomasyon ve güç sektörlerinde kullanılan protokoller yer alıyor ve bunları her biri saldırının yaklaşık %18’ini oluşturan Ethernet/IP, Step7 ve DNP3 takip ediyor. IEC10X bu listeyi saldırıların %10’uyla tamamlıyor, kalan %2’lik kısım çeşitli protokoller arasında dağıtılıyor ve BACnet çoğunlukta.
BACnet gibi bina otomasyon protokolleri daha az sıklıkta tarama gerçekleştirir. Bununla birlikte, taramaların göreceli olarak az olması endişe verici bir eğilimi gizlemektedir; bina otomasyon cihazlarındaki güvenlik açıklarına yönelik hedefli istismarlar daha yaygındır.
Kalıcılık taktikleri, keşif (yaklaşık %25) ve infaz (diğeri yaklaşık %25) ile birlikte 2022’deki %3’ten %50’lik bir artışa işaret ediyor. Tehdit aktörleri tarafından kullanılan komutların çoğu genel Linux sistemlerini hedef almaya devam etse de, yaygın olarak kullanılan yönlendiricilerde bulunan ağ işletim sistemleri için yürütülen belirli komutlar dikkate değer bir trend oluşturuyor.
Kötü amaçlı yazılım aileleri zorlu tehditler olmaya devam ediyor. Agent Tesla Uzaktan Erişim Truva Atı (RAT), gözlemlenen kötü amaçlı etkinliklerin %16’lık önemli bir payını yönetiyor. Bunları yakından takip edenlerin %15’ini oluşturan Mirai botnet’i ve %10’unu koruyan Redline bilgi hırsızı var.
Tehdit gruplarının yarısı Çin, Rusya ve İran ile bağlantılı
Komuta ve kontrol sunucuları arasında Cobalt Strike, %46’lık önemli bir paya sahip olarak tartışmasız lider olarak ortaya çıkıyor; onu %16 ile Metasploit ve %13 ile yeni ortaya çıkan Sliver C2 takip ediyor. Bu sunucuların çoğu ABD’de bulunuyor ve küresel manzaranın %40’ını oluşturuyor; Çin ve Rusya sırasıyla %10 ve %8 ile onları takip ediyor.
Tehdit aktörleri çok geniş bir dijital ağ oluşturarak 163 ülkeyi etkiledi. Amerika Birleşik Devletleri, gözlerini ülkeye dikmiş 168 kötü niyetli aktörün asıl yükünü çeken birincil hedef olarak duruyor. Diğer ülkeler arasında Birleşik Krallık (88), Almanya (77), Hindistan (72) ve Japonya (66) yer alıyor.
Olağan şüpheliler, yüksek yoğunluktaki tehdit aktörleriyle övünüyor: Çin (155), Rusya (88) ve İran (45), toplu olarak belirlenen tüm tehdit gruplarının neredeyse yarısını temsil ediyor. Bu kötü niyetli varlıkların hedefi ağırlıklı olarak üç temel sektöre odaklanıyor: hükümet, finansal hizmetler ve medya ve eğlence. Toplumsal altyapının temel dayanakları olan bu endüstriler, siber savaşın ön saflarında yer alıyor ve artırılmış güvenlik önlemlerine ve işbirlikçi çabalara olan ihtiyacı vurguluyor.
Costante sözlerine şöyle devam ediyor: “Önemli olan, kapsamlı görünürlük elde etmede, yönetilen veya yönetilmeyen her cihazda gerçek zamanlı bağlamsal farkındalık sağlamada yatıyor. Bunu yaparak, büyük kuruluşlar reaktif bir savunma duruşundan daha proaktif bir yaklaşıma geçiş yapabilir ve nafile güvenlik köstebek vurma oyunundan uzaklaşabilirler. Gelişmiş görünürlük ve proaktif savunma stratejilerine yönelik bu değişim, kritik altyapı için daha parlak bir görünümün sinyalini veriyor.”