Sıfır gün saldırılarının kullanımı artarken, Mandiant’ın M-Trends 2024 raporu, küresel siber güvenlik duruşunda önemli bir iyileşme olduğunu ortaya koyuyor: küresel ortalama bekleme süresi (saldırganların hedef ortamda tespit edilmeden kaldığı süre) en düşük noktasına ulaştı. onyıldan fazla.
M-Trends 2024’te rapor edilen ölçümler, Mandiant Consulting’in 1 Ocak 2023 ile 31 Aralık 2023 arasında gerçekleştirilen hedefli saldırı faaliyetlerine ilişkin araştırmalarına dayanmaktadır.
Küresel siber güvenlik önemli gelişme gösteriyor
Kuruluşlar, 2023’te ortalama 10 gün içinde izinsiz giriş tespit etti; bu, 2022’deki 16 güne göre kayda değer bir düşüş. Daha kısa bekleme süreleri, muhtemelen 2022’ye (%18) kıyasla 2023’teki (%23) fidye yazılımı olaylarının daha büyük bir oranından kaynaklanıyor.
Mandiant ayrıca, 2022’deki %37’ye kıyasla, 2023’te dahili güvenlik ihlali tespitinde bir iyileşme (%46) gözlemledi. Bu iki eğilim (daha kısa bekleme süreleri ve daha fazla dahili olarak tespit edilen olaylar), küresel olarak savunucuların tespit yeteneklerinin arttığını gösteriyor.
“Saldırganlar hedeflerine ulaşmak için taktiklerini, tekniklerini ve prosedürlerini düzenli olarak ayarlarlar ve bu da savunmacılar için zorlayıcı olabilir. Buna rağmen ön saflardaki araştırmacılarımız, kuruluşların 2023’te sistemleri koruma ve güvenlik ihlallerini tespit etme konusunda daha iyi bir iş çıkardığını öğrendi” dedi Google Cloud Mandiant Consulting Başkan Yardımcısı Jurgen Kutscher.
Kutscher şöyle devam etti: “Savunucuların gurur duyması gerekir ancak kuruluşların da tetikte kalması gerekir. M-Trends 2024’ün ana temalarından biri, saldırganların tespit edilmekten kaçınmak ve sistemlerde daha uzun süre kalmak için adımlar atması ve bunu başarma yollarından birinin de sıfır gün güvenlik açıklarını kullanmasıdır. Bu, etkili bir tehdit avı programının öneminin yanı sıra bir ihlal durumunda kapsamlı soruşturmalara ve düzeltmelere duyulan ihtiyacı da vurguluyor.”
Saldırganın ortalama kalma süresi bölgeye göre değişir
Asya-Pasifik (JAPAC) bölgesindeki kuruluşlar, 2022’de 33 gün olan ortalama bekleme süresini 9 güne düşürerek en dramatik düşüşü yaşadı.
Fidye yazılımıyla ilgili izinsiz girişler, 2023’te diğer tüm bölgelere kıyasla araştırma türü için en yüksek çoğunluğu tükettiğinden, bu değişiklik bölgedeki olaylarda kullanılan hızlı hareket eden fidye yazılımlarından kaynaklanıyor olabilir.
Bunun tersine, EMEA bölgesinde (Avrupa, Orta Doğu ve Afrika) kalma süresinde hafif bir artış görüldü ve 20 günden 22 güne çıktı. Bu küçük değişiklik, Mandiant’ın 2022’de Ukrayna’daki çalışmasının dikkate değer kısmının ardından bölgesel verilerin normalleşmesinin bir sonucu olabilir.
Rapor, siber saldırganların sektör hedeflemesindeki temel eğilimleri vurguluyor. Mandiant, 2023’te en sık finansal hizmet kuruluşlarındaki izinsiz girişlere (%17) müdahale etti. Bu sektörü iş ve profesyonel hizmetler (%13), yüksek teknoloji (%12), perakende ve konaklama (%9) ve sağlık hizmetleri (%8) takip etti. ).
En çok hedeflenen sektörlerin ortak noktası, özel ticari veriler, kişisel olarak tanımlanabilecek bilgiler, korunan sağlık bilgileri ve mali kayıtlar dahil olmak üzere çok sayıda hassas bilgiye sahip olmalarıdır. Bu da onları bu tür hassas verilerden yararlanmaya çalışan saldırganlar için özellikle çekici hedefler haline getiriyor.
Ağlarda kalıcılığı mümkün olduğu kadar uzun süre sürdürmek amacıyla saldırganlar giderek daha fazla uç cihazları hedef alıyor, “karadan yaşama” tekniklerinden yararlanıyor ve sıfır gün güvenlik açıklarından yararlanıyor.
Çin nexus casusluk grupları, sıfır gün açıklarını ve platforma özel araçları edinmeye öncelik vermeye devam ediyor. Tespit edilmeden ve daha uzun bir süre boyunca tehlikeye girmenin kolaylığı nedeniyle, muhtemelen minimum güvenlik çözümlerine sahip uç cihazları ve platformları hedef alacaklar.
Sıfır Gün istismarları artıyor
Sıfır gün istismarları artık birkaç seçilmiş aktörle sınırlı değil. Fidye yazılımları ve bunları kullanan veri gaspı grupları, devlet destekli istismarın devam etmesi ve ticari olarak temin edilebilen “anahtar teslimi” istismar kitlerinin yükselişi gibi faktörler nedeniyle kullanılabilirliği artırma eğiliminin devam etmesi bekleniyor.
Bulutun benimsenmesi arttıkça, hibrit bulut/şirket içi yapılandırmalar da dahil olmak üzere saldırganların bu ortamları hedeflemesi de artıyor. Kuruluşların, bulut kaynaklarına erişimi yalnızca yetkili kullanıcılarla sınırlandırmak için daha sıkı denetimler uygulaması tavsiye ediliyor.
Diğer siber güvenlik uzmanları gibi Red Teams de çalışmalarında yüksek lisans ve yapay zekadan yararlanabilir. Kullanım örnekleri arasında Red Teams’in model eğitimi için veri oluşturması, yapay zeka geliştiricilerinin ise eğitilmiş modellere erişimi güvence altına almanın yollarını bulması yer alabilir. Bu sinerji, Kırmızı Takım etkinliğini önemli ölçüde artırabilir ve siber tehditlere karşı kurumsal hazırlığı geliştirebilir.
Çok faktörlü kimlik doğrulama (MFA) standart uygulama haline geldikçe, saldırganlar bunun korumalarını atlatacak yöntemler geliştiriyor. Endişe verici bir eğilim, MFA’yı etkili bir şekilde atlayarak oturum açma oturumu belirteçlerini çalan web proxy ve ortadaki düşman (AiTM) kimlik avı sayfalarının yükselişidir.