Sophos’a göre incelenen saldırı vakalarının yaklaşık %42’sinde telemetri kayıtları eksik. Bu vakaların %82’sinde siber suçlular izlerini gizlemek için telemetriyi devre dışı bıraktı veya sildi.
Telemetrideki boşluklar, özellikle saldırganın bekleme süresinin (ilk erişimden tespite kadar geçen süre) azalmaya devam etmesi ve savunucuların bir olaya etkili bir şekilde müdahale etmesi gereken sürenin kısalması nedeniyle, kuruluşların ağlarına ve sistemlerine yönelik çok ihtiyaç duyulan görünürlüğü azaltır.
“Aktif bir tehdide yanıt verirken zaman kritik öneme sahiptir; İlk erişim olayının tespit edilmesi ile tehdidin tamamen azaltılması arasındaki süre mümkün olduğu kadar kısa olmalıdır. Saldırgan saldırı zincirinde ne kadar ileri giderse, müdahale ekiplerinin baş ağrısı da o kadar büyük olur. Eksik telemetri, çoğu kuruluşun karşılayamayacağı iyileştirmelere yalnızca zaman kazandırır. Bu nedenle tam ve doğru kayıt tutma önemlidir, ancak kuruluşların ihtiyaç duydukları verilere sahip olmadıklarını sıklıkla görüyoruz,” dedi Sophos saha CTO’su John Shier.
Raporda Sophos, bekleme süresi beş gün veya daha az olan fidye yazılımı saldırılarını “hızlı saldırılar” olarak sınıflandırıyor ve bu saldırılar incelenen vakaların %38’ini oluşturuyor. “Yavaş” fidye yazılımı saldırıları, beş günden uzun bekleme süresine sahip saldırılardır ve bu da vakaların %62’sini oluşturuyor.
Bu “hızlı” ve “yavaş” fidye yazılımı saldırıları ayrıntılı düzeyde incelendiğinde, saldırganların kullandığı araçlarda, tekniklerde ve arazide yaşayan ikili dosyalarda (LOLBin’ler) çok fazla değişiklik yoktu; bu da savunucuların ihtiyaç duymadığını gösteriyor kalma süresi kısaldıkça savunma stratejilerini yeniden icat etmek. Ancak savunmacıların hızlı saldırıların ve telemetri eksikliğinin hızlı tepki sürelerini engelleyerek daha fazla yıkıma yol açabileceğinin farkında olmaları gerekir.
“Siber suçlular yalnızca zorunlu olduklarında ve yalnızca onları hedeflerine ulaştıracak ölçüde yenilik yaparlar. Saldırganlar, erişimden tespite daha hızlı ilerleseler bile, neyin işe yaradığını değiştiremezler. Bu kuruluşlar için iyi bir haber çünkü saldırganlar zaman çizelgelerini hızlandırdıkça savunma stratejilerini radikal bir şekilde değiştirmek zorunda kalmıyorlar. Hızlı saldırıları tespit eden aynı savunmalar, hıza bakılmaksızın tüm saldırılara uygulanacaktır. Buna tam telemetri, her şeyde sağlam koruma ve her yerde izleme dahildir” dedi Shier. “Önemli olan, mümkün olduğunca sürtünmeyi artırmaktır; eğer saldırganların işini zorlaştırırsanız, saldırının her aşamasını uzatarak yanıt vermek için değerli zaman kazandırabilirsiniz.”
“Örneğin, bir fidye yazılımı saldırısı durumunda, daha fazla sürtüşme yaşıyorsanız, sızmaya kadar geçen süreyi erteleyebilirsiniz; Dışarı sızma genellikle tespit edilmeden hemen önce gerçekleşir ve genellikle saldırının en maliyetli kısmıdır. Bunun iki Küba fidye yazılımı olayında gerçekleştiğini gördük. Bir şirket (Şirket A) MDR ile sürekli izleme olanağına sahipti, böylece kötü amaçlı etkinliği tespit edebildik ve herhangi bir verinin çalınmasını önlemek için saldırıyı birkaç saat içinde durdurabildik. Başka bir şirkette (B Şirketi) bu sürtüşme yaşanmadı; İlk erişimden birkaç hafta sonra ve Küba zaten 75 gigabaytlık hassas veriyi başarıyla sızdırdıktan sonra saldırıyı fark edemediler. Daha sonra IR ekibimizi aradılar ve bir ay sonra hala her zamanki gibi işlerine dönmeye çalışıyorlardı,” diye devam etti Shier.
Hedeflenen kuruluşlar altı kıtada 34 farklı ülkede bulunuyordu. Vakaların yüzde 83’ü 1000’den az çalışanı olan kuruluşlardan geldi.