Sophos’a göre siber saldırganlar 2022’de 500’den fazla benzersiz araç ve taktikten yararlandı.
150’den fazla Sophos Incident Response (IR) vakasından analiz edilen veriler, 118 “Living off the Land” ikili dosyası (LOLBins) dahil olmak üzere 500’den fazla benzersiz araç ve teknik belirledi. Kötü amaçlı yazılımlardan farklı olarak, LOLBin’ler işletim sistemlerinde doğal olarak bulunan yürütülebilir dosyalardır ve saldırganlar bunları kötü amaçlı etkinlik için kullandıklarında savunucuların engellemesini çok daha zorlaştırır.
Siber saldırıların önde gelen nedeni olarak yamalanmamış güvenlik açıkları
Ek olarak Sophos, saldırganların hedeflenen sistemlere ilk erişimi elde etmesinin en yaygın temel nedeninin yama uygulanmamış güvenlik açıkları olduğunu tespit etti. Aslında, raporda yer alan soruşturmaların yarısında saldırganlar, kuruluşlara sızmak için ProxyShell ve Log4Shell güvenlik açıklarından (2021’deki güvenlik açıkları) yararlandı. Saldırıların ikinci en yaygın temel nedeni, güvenliği ihlal edilmiş kimlik bilgileriydi.
“Bugünün saldırganları izinsiz girmediğinde, oturum açıyorlar. Gerçek şu ki, tehdit ortamı, savunucuların yararlanabileceği fark edilebilir boşlukların olmadığı bir noktaya kadar hacim ve karmaşıklık açısından büyüdü. Çoğu kuruluş için, tek başına devam etme günleri çok geride kaldı. Gerçekten her şey, her yerde, hepsi aynı anda. Bununla birlikte, işletmelerin savunma yükünün bir kısmını hafifletebilecek ve temel iş önceliklerine odaklanmalarına olanak tanıyacak araçlar ve hizmetler mevcut,” dedi Sophos ticari CTO’su John Shier.
Saldırganın bekleme süresi azalır
Sophos IR ekibinin araştırdığı saldırıların üçte ikisinden fazlasının (%68) fidye yazılımı içermesi, fidye yazılımının hala şirketler için en yaygın tehditlerden biri olduğunu gösteriyor. Fidye yazılım ayrıca son üç yılda Sophos’un IR soruşturmalarının yaklaşık dörtte üçünden sorumluydu.
Fidye yazılımı tehdit ortamına hâlâ hakim olsa da, tüm saldırı bekleme süresi türleri için saldırganın bekleme süresi 2022’de 15 günden 10 güne düştü. Fidye yazılımı vakalarında bekleme süresi 11 günden 9 güne düşerken, fidye yazılımı olmayan saldırılarda düşüş daha da fazlaydı.
İkincisi için bekleme süresi, 2021’de 34 günden 2022’de sadece 11 güne düştü. Ancak, geçmiş yıllardan farklı olarak, farklı büyüklükteki kuruluşlar veya sektörler arasında bekleme sürelerinde önemli bir değişiklik olmadı.
Daha hızlı saldırılar daha erken tespit gerektirir
“Sürekli izleme ile katmanlı savunmaları başarıyla uygulayan kuruluşlar, saldırı şiddeti açısından daha iyi sonuçlar görüyor. Geliştirilmiş savunmaların yan etkisi, rakiplerin saldırılarını tamamlamak için hızlanmaları gerektiği anlamına gelir. Bu nedenle, daha hızlı saldırılar daha erken tespit edilmesini gerektirir. Saldıranlar ve savunanlar arasındaki yarış artmaya devam edecek ve proaktif izlemeye sahip olmayanlar en büyük sonuçlara katlanacak” dedi.
İş Liderleri için Sophos Aktif Düşman Raporu, dünya çapında 22 sektöre yayılan 152 olay müdahale (IR) araştırmasına dayanmaktadır.
Hedeflenen kuruluşlar, ABD ve Kanada, İngiltere, Almanya, İsviçre, İtalya, Avusturya, Finlandiya, Belçika, İsveç, Romanya, İspanya, Avustralya, Yeni Zelanda, Singapur, Japonya, Hong Kong, Hindistan dahil olmak üzere 31 farklı ülkede bulunuyordu. Tayland, Filipinler, Katar, Bahreyn, Suudi Arabistan, Birleşik Arap Emirlikleri, Kenya, Somali, Nijerya, Güney Afrika, Meksika, Brezilya ve Kolombiya.
En çok temsil edilen sektörler imalat (%20), ardından sağlık (%12), eğitim (%9) ve perakende (%8) gelmektedir.