Medyan bekleme süresi (bir saldırganın kurbanının sistemlerine erişmesi ile saldırının tespit edilmesi veya yürütülmesi arasında geçen süre) önemli ölçüde düşerek Ocak ve Temmuz 2023 arasında 10 günden sekiz güne düştü; 2022’de ise 15 günden 10 güne beş gün düştü. 2021’deki keskin yükselişin ardından.
Bu, bugün firmanın duyurusunda açıklanan Sophos X-Ops olay müdahale (IR) vakalarından elde edilen verilere göredir. Teknoloji liderleri için aktif rakip raporu 2023.
Başlık istatistiği, son kullanıcı güvenlik ekipleri arasındaki tespit yeteneklerinin geliştiğinin bir işareti olarak iyi bir haber olarak kabul edilebilir, ancak diğer taraftan, giderek daha iyi organize olan, teknik açıdan yetkin ve operasyonel açıdan verimli, ne yapacağını bilen tehdit aktörlerini de yansıtabilir. istiyorlar ve bunu nasıl elde edecekler.
Aslında X-Ops, saldırganların kurbanlarının kritik Active Directory (AD) varlıklarına erişmesinin artık yaklaşık 16 saat sürdüğünü tespit etti. Sophos saha baş teknoloji sorumlusu John Shier’in açıkladığı gibi, bu tür varlıklar genellikle kimliği ve kurumsal kaynaklara erişimi yönetiyor ve bu da onları ayrıcalıklarını artırmak isteyen tehdit aktörleri için bir altın madeni haline getiriyor.
“Bir kuruluşun Active Directory altyapısına saldırmak, saldırgan bir bakış açısıyla anlamlıdır” dedi. “AD genellikle ağdaki en güçlü ve ayrıcalıklı sistemdir ve saldırganların saldırılarında yararlanabileceği sistemlere, uygulamalara, kaynaklara ve verilere geniş erişim sağlar. Bir saldırgan AD’yi kontrol ettiğinde organizasyonu da kontrol edebilir. Active Directory saldırısının etkisi, artması ve kurtarma yükü, saldırının hedeflenmesinin nedenidir.
“Saldırı zincirinde Active Directory sunucusuna ulaşmak ve onun kontrolünü ele geçirmek, rakiplere çeşitli avantajlar sağlıyor. Bir sonraki hamlelerini belirlemek için fark edilmeden oyalanabilirler ve gitmeye hazır olduklarında kurbanın ağını engellenmeden patlatabilirler.
Shier, “Alan adı ihlalinden tam olarak kurtulmak uzun ve zorlu bir çaba olabilir” dedi. “Böyle bir saldırı, bir kuruluşun altyapısının dayandığı güvenlik temellerine zarar verir. Çoğu zaman başarılı bir AD saldırısı, bir güvenlik ekibinin sıfırdan başlaması gerektiği anlamına gelir.”
Fidye yazılımı dolabı yok
Rapor ayrıca, fidye yazılımı saldırıları durumunda, ortalama bekleme süresinin artık beş güne düştüğünü ortaya koyuyor; bu durum, Clop’un Progress Software’in MOVEit yazılımına karşı yürüttüğü son kampanya gibi, hiçbir fidye yazılımı dolabının konuşlandırılmadığı fidye yazılımı saldırılarındaki artışla bağlantılı olabilir. alet.
Fidye yazılımı saldırıları, X-Ops ekibinin üzerinde çalıştığı IR vakalarında en yaygın saldırı türü oldu ve etkileşimlerin %69’unu oluşturdu. Ancak Shier, bilinen fidye yazılımı olaylarını bir kenara bırakırsak, önemli sayıda saldırının, açık bir nedeni olmayan izinsiz girişten oluşan ağ ihlalleri gibi göründüğünü ve şu soruyu gündeme getirdiğini belirtti: Bunlardan kaç tanesi fidye yazılımı saldırılarını gerçekten engelledi.
Shier, “Her ikisi de kötü şöhretli fidye yazılımı sağlayıcıları olan Küba ve Vice Society tarafından gerçekleştirilen çeşitli saldırıları tespit edebildik, ancak en önemlisi bu saldırılar hiçbir zaman fidye yazılımı aşamasına ulaşmadı” diye yazdı.
“İşletme liderliği için buradan alınacak ders, hızlı eylemin, fidye yazılımlarının kullandığı gibi denenmiş ve doğrulanmış bir saldırı zincirini bile kırabileceğidir; Bu olayların bazılarında muhtemelen böyle olmuştur.”
4 Temmuz 2021 Kaseya olayında olduğu gibi, tehdit aktörleri arasında hafta sonları veya resmi tatillerde fidye yazılımı çalıştırma yönünde uzun süredir gözlemlenen ancak genel olarak niceliği belirlenemeyen bir eğilimi yansıtan Sophos, gözlemlenen fidye yazılımı saldırılarının %81’inde son yükün şehir dışında patlatıldığını ortaya çıkardı. çalışma saatleri ve çalışma saatleri içinde görevlendirilenlerden yalnızca beşi hafta içi gerçekleşti.
X-Ops telemetrisinde tespit edilen saldırıların sayısı genellikle hafta ilerledikçe arttı; fidye yazılımı saldırılarının %43’ü, güvenlik ekiplerinin ya hafta sonu ya da ofisten tamamen çıktığı Cuma veya Cumartesi günleri tespit edildi.
“Kendi başarımızın kurbanları”
Özetle Shier, güvenlik ekiplerinin bazı açılardan “kendi başarımızın kurbanı” haline geldiği konusunda uyardı.
“XDR gibi teknolojilerin ve MDR gibi hizmetlerin benimsenmesi arttıkça saldırıları daha erken tespit etme yeteneğimiz de artıyor” dedi. “Algılama sürelerinin kısaltılması daha hızlı tepki verilmesini sağlıyor, bu da saldırganlar için daha kısa bir çalışma aralığı anlamına geliyor.
Shier, “Aynı zamanda suçlular, özellikle gelişmiş savunmalar karşısında gürültülü saldırılarını hızlandırmaya devam eden deneyimli ve iyi kaynaklara sahip fidye yazılımı ortakları olmak üzere taktiklerini geliştiriyorlar” dedi.
“Fakat bu, kolektif olarak daha güvende olduğumuz anlamına gelmiyor” diye ekledi. “Bu, fidye yazılımı olmayan bekleme sürelerinin dengelenmesiyle kanıtlanıyor. Saldırganlar hala ağlarımıza giriyor ve zaman kısıtlı olduğunda oyalanma eğiliminde oluyorlar.
“Ama eğer izlemiyorsanız dünyadaki hiçbir araç sizi kurtaramaz.”