Yazan Greg Notch, CISO, Expel
Her hafta, hatta her gün yeni tehditler ortaya çıktıkça, güvenlik uzmanlarının karşılaştığı zorlukların listesi bitmeyecek. Güvenlik ekiplerinin kendilerini ve kuruluşlarını etkili bir şekilde korumak istiyorlarsa haberdar olmaları gerekir, bu nedenle kendilerine sürekli bir dizi soru sorarlar: Saldırganlar nasıl davranıyor? Belirli saldırı türleri daha yaygın hale geliyor mu? Saldırganlar hangi güvenlik açıklarından yararlanıyor ve kuruluşlar buna nasıl karşı koyabilir?
Bugünün işletmeleri beklemeyi göze alamıyor; hemen harekete geçebilecekleri bilgilere ihtiyaçları var. Bu nedenle, Expel kısa süre önce ilk Üç Aylık Tehdit Raporunu (QTR) yayınladı. Kimliğe dayalı saldırıların büyük önem taşıdığını ve bir numaralı halk düşmanı olarak görülmesi gerektiğini öğrenmek şok olmayacak.
Saldırganlar Zayıf Kimlik Güvenliğinden Yararlanmaya Devam Ediyor
Kimlik tabanlı saldırılar, Expel tarafından 1. Çeyrek boyunca gözlemlenen tüm olayların %65’ini oluştururken, iş e-postası güvenliği ihlali (BEC) ve iş uygulaması güvenliği ihlali (BAC) kendi başlarına %63’ünü oluşturuyor. Kalan %2, Amazon Web Services (AWS) ve Google Cloud Platform (GCP) gibi bulut ortamlarındaki kimlik tabanlı saldırılardı. Bu, daha geniş bir eğilimle uyumludur: Saldırganlar, zayıf kimlik güvenliğinden yararlanmak ve ağlara erişim elde etmek için çalınan kimlik bilgilerinden ve diğer güvenlik açıklarından yararlanır. 2022 Verizon Veri İhlali Araştırmaları Raporu, çalınan kimlik bilgilerinin 2021’deki tüm saldırıların yaklaşık %50’sine yol açtığını ve yalnızca son beş yılda yaklaşık %30’luk bir artışa yol açtığını belirterek bu bulguların altını çiziyor.
BEC özellikle yaygındır. Expel tarafından gözlemlenen olayların %57’si Microsoft Office 365’te (O365) BEC denemeleriydi ve müşterilerin %24’ü O365 içinde en az bir BEC denemesi yaşadığını bildirdi. Çıkarma bulguları, bu saldırıların %2’sinin OAuth uygulamalarını kullanarak çok faktörlü kimlik doğrulamayı (MFA) atlamayı bile başardığını gösterdi. Dahası, Okta’daki BAC girişimlerinin %7’si, kurban kabul edene kadar sürekli olarak Duo anında iletme bildirimleri göndererek MFA gerekliliklerini başarıyla karşıladı – bazen MFA yorgunluğu veya “hızlı bombalama” olarak da bilinir. Güvenlik ve BT ekiplerinin, parolaları ve MFA belirteçlerini sıfırlamanın yanı sıra kötü amaçlı OAuth uygulamalarını ve izinlerini kaldırmaya hazırlıklı olması gerekir. MFA daha yaygın hale geldikçe, saldırganlar da onu atlatmakta daha becerikli hale gelecek; bu da savunucuların hazır olması gerektiği anlamına geliyor.
İlginç bir not, Sevgililer Günü haftasında BEC girişimlerindeki artıştı. Kimlik avı dolandırıcılarının ve diğer saldırganların kurbanlarını kandırarak riskli bir tıklamaya zorlamaları alışılmadık bir durum değildir. FBI, tatillerde BEC dolandırıcılığı potansiyeli hakkında uyarılar yayınladı, ancak bunun Noel ve Şükran Günü gibi tatillerin ötesine geçmesi dikkate değer. Kuruluşlar, yıl boyunca BEC dolandırıcılığı potansiyeline karşı dikkatli olmaları için çalışanlarını eğitmelidir.
Fidye yazılımı hiçbir yere gitmiyor
Bu yıl manşetlerin sayısı göz önüne alındığında, fidye yazılımı saldırılarının 2022’de devam etmesi pek şaşırtıcı gelmemeli. Saldırganlar hastaneleri, belediyeleri, teknoloji şirketlerini ve harcadığı zamana ve emeğe değeceğinden şüphelendikleri herkesi hedef alıyor. İlk çeyrekte, Expel tarafından gözlemlenen olayların %5’i, bir saldırganın bir saldırı başlatmak için ağ içinde bir yer edinmeye çalıştığı fidye yazılımı öncesi etkinliğe bağlandı. Tespit edilmeden bırakılırsa, bu olaylar potansiyel olarak maliyetli saldırılara yol açabilirdi.
Bu yıl, tüm fidye yazılımı öncesi olayların %82’sinde ilk saldırı vektörü olarak görev yapan makro özellikli Word belgeleri ve Sıkıştırılmış JavaScript dosyalarıyla fidye yazılımı saldırganlarının taktiklerini değiştirdiklerini gözlemledik. Dahası, ticari amaçlı kötü amaçlı yazılımlar ve fidye yazılımı öncesi etkinlikle bağlantılı bilinen kötü amaçlı yazılım aileleri, olayların %26’sını oluşturuyor. Ne anlama geliyor? Saldırganlar ticari amaçlı kötü amaçlı yazılım kullanarak, kendilerine nispeten düşük bir maliyetle her büyüklükteki kuruluşu hedefleyebilir. Artık fidye yazılımı konusunda endişelenmesi gerekenler sadece büyük köpekler değil; küçük ve orta ölçekli işletmelerin kendilerini savunmak için stratejileri olmalıdır.
Büyük paket servis? Bir plana sahip olmak her şeyi değiştirebilir. Bir saldırgan tespit edildiğinde ne yapılacağını bilmek ve ilk tespit ile nihai düzeltme arasındaki süreyi düşük tutmak kritik bileşenlerdir. Bu, ister şirket içi bir güvenlik lideri, ister yönetilen bir güvenlik sağlayıcısı olsun, kime başvuracağınızı bilmek anlamına gelir. Güvenlik ekibi tavsiyeleri uygulamaya ne kadar hızlı başlarsa, saldırganın tutunması ve ilk giriş noktasından ayrılması için o kadar az zamanı olur. Kuruluşlar bu verileri izlemelidir; algılama ile düzeltme arasındaki süre çok uzunsa, güvenlik kurulumlarında ciddi değişiklikler yapmayı düşünmelidirler.
Gelecekteki Eğilimleri Projelendirmek İçin Mevcut Verileri Kullanma
Mevcut siber güvenlik ortamını anlamak kritik öneme sahiptir ve kuruluşların günümüzün en acil tehditlerini ele almak için bir planı olmalıdır. Expel ve diğer güvenlik uzmanları tarafından hazırlananlar gibi yıllık tehdit raporları, bu tehditlerin zaman içinde nasıl geliştiğine dair değerli bilgiler sağlayabilirken, daha sık Üç Aylık Tehdit Raporları yeni değişiklikleri ve eğilimleri ortaya çıktıkça vurgulayabilir. BEC, fidye yazılımı ve diğer saldırı taktikleri yeni değildir, ancak günümüzün saldırganlarının bunları nasıl kullandığını anlamak, kuruluşlara bunlarla daha etkili bir şekilde mücadele etmek için ihtiyaç duydukları bilgileri sağlayabilir.
yazar hakkında
Greg Notch, Expel’de (CISO) Bilgi Güvenliği Başkanıdır. CISO olarak (telaffuzlar değişebilir), sistemlerimizin güvenliğini sağlamanın yanı sıra müşterileri tehdit ortamı ve ortamlarındaki riski azaltmaya yönelik en son teknikler konusunda eğitmekten sorumludur.
20 yılı aşkın bir süredir güvenlik ve teknoloji işini yapıyor – büyük ve küçük şirketlere yüksek performanslı mühendislik ekipleri kurmaları ve teknolojilerini, süreçlerini ve güvenliklerini geliştirmeleri için üç nokta iletişim patlamasının hepsinde yardımcı oluyor.
Expel’den önce Greg, bilgi güvenliği programını yönettiği Ulusal Hokey Ligi’nde (NHL) CISO ve Kıdemli Teknoloji Başkan Yardımcısı olarak 15 yıl geçirdi. Ayrıca ligin teknoloji stratejisini, dijital dönüşümünü ve bulut girişimlerini yönetti.
NHL’den önce Greg, Apple, Yahoo Search, eMusic ve diğer birkaç NYC merkezli teknoloji girişimi için altyapı, güvenlik ve yazılım sistemleri üzerinde çalıştı.