Siber Suçlar , Siber Savaş / Ulus-Devlet Saldırıları , Finans ve Bankacılık
Teknoloji Devinin 2024 Savunma Raporundan Bulgular Bayrağı Genişleyen Tehdit Ortamı
Yamini Kalra •
7 Kasım 2024
Microsoft, yıllık Dijital Savunma raporu 2024’te siber tehdit ortamının “tehlikeli ve karmaşık” olmaya devam ederek herkesi (kuruluşlar, kullanıcılar ve cihazlar) her yerde ve her zaman risk altına soktuğu konusunda uyardı.
Ayrıca bakınız: İnfografik: Rakamlarla Finansal Hizmetler Kimlik Güvenliği
Teknoloji devinin müşterileri her gün bireyleri, şirketleri ve kritik altyapıyı hedef alan 600 milyondan fazla siber saldırıyla karşı karşıya kalıyor. Siber tehditlerdeki bu artış, siber suçlular ile ulus devlet faaliyetlerinin yakınlaşmasıyla körükleniyor ve yapay zeka da dahil olmak üzere teknolojilerdeki ilerlemelerle hızlanıyor.
Microsoft, 600 ulus devlet grubu da dahil olmak üzere yaklaşık 1.500 izlenen tehdit aktörü grubundan gelen etkinlikleri yakalamak için günde 78 trilyondan fazla sinyali izledi. Rapor, kimlik avı, fidye yazılımı, DDoS saldırıları ve kimlik tabanlı izinsiz girişler de dahil olmak üzere çok yönlü saldırı türlerinin hakim olduğu, genişleyen bir tehdit ortamını belirledi.
Microsoft Hindistan genel müdürü Irina Ghose, “Siber suçlar bir ülke olsaydı, Hindistan ekonomisinden daha hızlı büyüyen üçüncü en büyük GSYİH’ye sahip olurdu” dedi. Küresel siber suç maliyetlerinin 2025 yılına kadar yıllık 10,5 trilyon dolara ulaşacağı öngörülüyor. Karşılaştırıldığında, dünyanın üçüncü büyük ekonomisi olan Almanya’nın GSYH’si 4,59 trilyon dolar.
Parola Tabanlı Saldırılarda ve MFA Kaçırma Tekniklerinde Artış
Çok faktörlü kimlik doğrulamanın yaygın olarak benimsenmesine rağmen, parolaya dayalı saldırılar baskın bir siber tehdit olmayı sürdürüyor ve kimlikle ilgili tüm siber olayların %99’undan fazlasını oluşturuyor.
Parola püskürtme, ihlal tekrarları ve kaba kuvvet saldırıları, zayıf parolalar seçen veya kimlik bilgilerini platformlar arasında yeniden kullanan kullanıcılardan yararlanan birincil yöntemler olmaya devam ediyor. Microsoft, saniyede ortalama 7.000 şifre saldırısını engellediğini söyledi.
MFA uygulayan kuruluşlar, yalnızca parolayla kimlik doğrulamayı kullanan kuruluşlara kıyasla %80 daha az güvenlik ihlaliyle karşılaşsa da, saldırganlar bir adım önde olabilir. Ortadaki düşman veya AiTM kimlik avı saldırıları 2024’te %146 arttı ve saldırganların, MFA korumalarını atlayarak kullanıcıları kendi adlarına MFA tamamlamaları için kandırmalarına olanak tanıdı.
MFA’yı tetiklemeden yetkisiz erişim elde etmek için kimlik doğrulama sonrasında jetonların çalınmasını içeren jeton hırsızlığı, günde tahmini 39.000 olaya ulaştı. Parola tabanlı saldırılardan daha az olmasına rağmen, token hırsızlıkları, kimlik ihlali taktiklerinde kritik bir evrimi yansıtıyor ve savunucuları güvenlik izlemeyi geliştirmeye, token korumasını benimsemeye ve uyarlanabilir karşı önlemler olarak sürekli erişim değerlendirmesini birleştirmeye zorluyor.
Ulus Devlet Aktörleri ile Siber Suçlular Arasındaki Bulanık Çizgiler
Ulus devlet grupları giderek daha fazla siber suçlu gruplarını görevlendiriyor ve onları operasyonları finanse etmek, casusluk yapmak ve kritik altyapılara saldırmak için vekil olarak kullanıyor. Microsoft, gözlemlenen ulus devlet saldırılarının üçte ikisinin ABD, İsrail, Tayvan, Ukrayna ve Birleşik Arap Emirlikleri’ni hedef aldığını belirterek, jeopolitik çıkar ve çatışmanın sıcak noktalarına dikkat çekti.
Microsoft’un CISO’su Igor Tsyganskiy, “Siber suç, siber suçlu gruplarının ulus devlet aktörlerinden öğrenilen, ödünç alınan veya çalınanlar da dahil olmak üzere çok çeşitli araç ve teknikleri kullandığı sağlam ve ayrıntılı bir ekosistem olarak olgunlaşmaya devam etti” dedi.
Rusya, Çin, İran ve Kuzey Kore, daha büyük etki operasyonlarının bir parçası olarak siber taktikleri kullanan bu alandaki başlıca aktörler arasında yer alıyor. 2024’te, Rusya’ya bağlı siber gruplar, XWorm ve Remcos RAT kötü amaçlı yazılımları gibi araçları kullanarak Ukrayna’nın ağlarına sızarken, İranlı aktörler, siyasi huzursuzluğu körüklemek için yapay zeka tarafından oluşturulan kişileri kullanarak ABD ve İsrail’de nüfuz operasyonları yürüttü. BM, Kuzey Koreli bilgisayar korsanlarının 2017’den bu yana 3 milyar dolardan fazla kripto para çaldığını ve bunların nükleer ve füze programlarının yarısından fazlasını finanse ettiğini tahmin ediyor.
Microsoft Müşteri Güvenliği ve Güveninden Sorumlu Kurumsal Başkan Yardımcısı Tom Burt, “Devlet destekli bu bilgisayar korsanları yalnızca veri çalmakla kalmıyor, aynı zamanda fidye yazılımı başlatıyor, gelecekteki yıkımlar için arka kapıları önceden konumlandırıyor, operasyonları sabote ediyor ve etkileme kampanyaları yürütüyor” dedi.
Kritik altyapı, yaklaşmakta olan ABD seçimleri ve devam eden Ukrayna-Rusya ve İsrail-Hamas savaşı gibi faktörler nedeniyle büyük saldırıların asıl yükünü taşıyordu. En çok etkilenen sektörler arasında hükümet, eğitim ve araştırma yer alıyor; bu sektörler yalnızca veri hırsızlığı için değil, aynı zamanda istikrarı baltalamak ve etkiyi yaymak için de hedefleniyor. Özellikle eğitim kurumları, daha sonra daha geniş hedeflere karşı silah haline getirilen QR kodlu kimlik avı da dahil olmak üzere gelişmiş kimlik avı taktikleri için test alanı görevi görüyor.
Fidye Yazılımı Hiçbir Yere Gidmiyor
Fidye yazılımları 2024’te de en ciddi siber güvenlik sorunlarından biri olmaya devam etti ve finansal amaçlı bir suçtan ulus devlet aktörlerinin kullandığı karmaşık bir jeopolitik araca dönüştü. Yeni bir Kuzey Koreli aktörle bağlantılı olan FakePenny, ağlarından veri çıkardıktan sonra havacılık ve savunma kuruluşlarını hedef aldı.
Raporda, saldırganların sızma amacıyla bir ağdaki en az bir cihazı hedef aldığı, insan tarafından gerçekleştirilen fidye yazılımı saldırılarında geçen yıla göre 2,75 kat artış olduğu belirtildi. Otomatik saldırılardan farklı olarak, insan tarafından çalıştırılan fidye yazılımları, maksimum etki için saldırganların savunmaları devre dışı bırakmak, veri çıkarmak ve fidye yazılımını dağıtmak için manuel eylemler gerçekleştirmesini içeriyordu.
Microsoft, Akira, LockBit, Play, BlackCat ve Black Basta’yı, küresel siber güvenlik farkındalığının artmasına rağmen sonuç vermeye devam eden uzun süredir devam eden taktiklerle, insanlar tarafından çalıştırılan fidye yazılımı karşılaşmalarının %51’ini oluşturan en aktif fidye yazılımı grupları olarak belirledi.
Fidye yazılımıyla karşılaşmalar artıyor olsa da, şifreleme ve veri kilitlemenin gerçekleştiği fidye alan kuruluşların yüzdesi son iki yılda üç kattan fazla azaldı.
İşletmeler için Temel Eylemler
- Octo Tempest ve Storm-0539 gibi finansal motivasyona sahip aktörler, MFA’yı atlayarak bulut ortamlarındaki zayıf yapılandırmalardan yararlanıyor. Microsoft, kuruluşlara yönetilmeyen cihazları ağdan hariç tutmalarını ve bulut kimlik altyapısı izlemesini geliştirmelerini önerir.
- Potansiyel saldırı modellerini tahmin etmek amacıyla tehdit tespiti için makine öğrenimini kullanan yapay zeka destekli araçlar, yapay zeka destekli kötü amaçlı yazılımlardan kaynaklanan tehditlerin azaltılmasına yardımcı olabilir. Yapay zeka, tehdit önceliklendirmesinin daha hızlı yapılmasını sağlayarak kuruluşun karmaşık saldırılara karşı savunma duruşunu geliştirir.
- Uç nokta algılama ve yanıt dahil olmak üzere katmanlı güvenlik çözümleri, saldırganların güvenlik ayarlarını devre dışı bırakmasını engellemeye yardımcı olabilecek kurcalamaya karşı koruma özellikleri sağlar.
- Artan AiTM kimlik avı ve jeton hırsızlığı vakaları ışığında kuruluşların şifresiz çözümlere geçmesi gerekiyor. Rapor, FIDO2 uyumlu geçiş anahtarları gibi kimlik avına karşı dayanıklı MFA alternatiflerinin benimsenmesini öneriyor.
- Savunmacılar, kritik varlıkları düşmanın bakış açısından görüntülemek için tehdit bilgili savunma uygulamalarını kullanmayı düşünmeli ve bu “taç mücevherlere” yönelik potansiyel saldırı yollarının haritalandırılmasına ve güvence altına alınmasına yardımcı olmalıdır.
- Rapor, siber tehditlerin hacmini azaltmak için birleşik, proaktif önlemlerin aciliyetinin altını çizdi. Etkili caydırıcılık, hem teknolojik hem de jeopolitik stratejiler gerektirecektir; bu stratejilere iki temel yaklaşımla ulaşılabilir: izinsiz girişlerin önlenmesi ve anlamlı sonuçların uygulanması.