Saldırganlar daha çok kimlikleri çalmaya odaklanıyor. Bu nedenle, şirketlerin sıfır güven ilkelerini kullanmaları gerekiyor. DirectDefense, kullanıcı kimliklerini daha dikkatli bir şekilde doğrulamalıdırlar.
Araştırmacılar, binlerce uyarıyı analiz ettiler ve gerçek dünya gözlemlerine dayanan düşman taktiklerinin ve tekniklerinin küresel olarak erişilebilir bir bilgi tabanı olan MITER ATT & CK çerçevesiyle eşleştirdiler.
İlk Beş Saldırı Taktikleri
İlk Erişim: İlk erişim, artan uyarıların% 27’sinden fazlasını temsil eden en sık gözlemlenen düşmanca taktik olmaya devam etmektedir. 2024’te, tehdit aktörleri, genellikle çalıntı kimlik bilgilerini kullanarak sistemlere yetkisiz erişim elde etmek için sürekli olarak geçerli hesaplardan yararlandı.
Kalıcılık: Düşmanlar, tespit çabalarına rağmen erişimi sürdürmek için tehlikeye atılan ağlardaki kalıcılığa giderek daha fazla öncelik vermektedir. Artan vakaların% 17’sinde, kalıcılık taktikleri tespitten kaçınmak için kaldırıldı.
Yanal hareket: Geri ihlal edilmiş bir ağın içine girdikten sonra, rakipler genellikle ayrıcalıkları artırmak ve hassas verilere erişmek için yanal olarak hareket etmeye çalışırlar. Yanal hareket, artan uyarıların% 10’unu oluşturuyordu ve geçerli hesaplar baskın bir teknikti.
Uygulamak: Yürütme taktikleri, erişimi genişletmek veya doğrudan iş operasyonlarını doğrudan etkilemek için bir ortamda kötü niyetli kod çalıştırmaya odaklanır. Analiz, kötü niyetli dosya yürütme (T1204), genellikle kötü amaçlı dosya algılanan uyarılara bağlı en çok sömürülen tekniklerden biri olduğunu bulmuştur. Bu uyarılar sıklıkla e-posta kimlik avı saldırılarından, web indirmelerinden ve PowerShell veya makro tabanlı yükleri içeren yanal hareketlerden kaynaklanmıştır.
Kimlik Bilgisi Erişim: Kimlik bilgisi erişim taktikleri, ayrıcalıkları artırmak veya daha fazla saldırıyı kolaylaştırmak için kimlik doğrulama kimlik bilgilerinin çalınmasını veya kırılmasını içerir. Brute Force (T1110), artan vakaların% 6’sında gözlenen en önemli tekniklerden biriydi ve hesap kilitleme olayları yetkisiz erişim girişimlerinin temel bir göstergesi olarak hizmet etti.
Fidye yazılımı zaman çizelgeleri saatlere kadar küçülür
Fortinet ve Cisco gibi büyük satıcılar genellikle mevcut çözümlerini güçlendirmek için diğer güvenlik şirketlerini edinirler, ancak bu eklentiler müşteriler için daha fazla güvenlik riskleri oluşturabilir. Örneğin, çıkarılan CVE sayısında muazzam bir artış olmuştur-2024’te her gün 100’den fazla. Bu satıcıların her ikisi de, yüksek profilli ihlallerde ilk saldırı noktaları olarak kullanılan önemli güvenlik açıklarını ele almak zorunda kaldı.
Kolluk kuvvetlerinin siber suç ağlarını parçalama çabalarına yanıt olarak, tehdit aktörleri en büyük ödeme potansiyelinin peşinden gidiyorlar.
Geliştirilmiş saldırı stratejileriyle, kötü aktörler, bir alan ortamı tam kontrolüne ilk erişimden daha az olana kadar ortalama süreyi sıkıştırdılar.
iki saat.
Benzer şekilde, birkaç yıl önce saldırganların fidye yazılımı dağıtması birkaç gün sürecek olsa da, şimdi bir günün altında ve hatta altı saat kadar patlanıyor. Saldırı ve verilerin ortaya çıkması arasında bu kadar kısa sürelerle şirketler hazır değildir.
Tarihsel olarak, saldırganlar insanların yaşamlarına doğrudan etki nedeniyle sağlık hizmetleri, kamu hizmetleri ve kritik altyapılar gibi “hassas” endüstrileri ihlal etmekten kaçındılar. Bununla birlikte, kolluk kuvvetlerinin 2024 yılında siber suç faaliyetlerini durdurma çabaları, saldırganların her endüstriyi tehlikeye atan misilleme “eldivenleri kapalı” bir yaklaşım benimsemesine neden oldu.
Şimdi, saldırganlar ABD’deki en büyük içme suyu ve atık su hizmetleri tedarikçisi olan American Water gibi kuruluşların peşinden gitti
AI’nın faydaları yeni siber güvenlik riskleriyle geliyor
Fidye yazılımı son oyundu – saldırganların ödemelerini alacaktı. Şimdi, fidye yazılımlarını bir son için bir araç olarak kullanıyorlar, şirket verilerini püskürtmek ve daha sonra fidye yazılımını orada olduklarını göstermek için bir “arama kartı” olarak dağıtıyorlar.
İleride, şirketler AI’nın faydalarını birçok riskiyle uzlaştırmak zorunda kalacaklar. Yapay zeka çözümlerinin uygulanması, bir şirketin saldırı yüzeyini genişletir ve verilerin saldırganlar veya üçüncü taraflar tarafından sızma veya çalınma riskini artırır. Tehdit aktörleri AI’yı verimli bir şekilde kullanıyor, yapmış olabileceğiniz herhangi bir AI çalışan eğitiminin zaten modası geçmiş olduğu noktaya kadar.
AI, saldırganların dilbilgisi hataları, yanlış yazılmış kelimeler, bölgesel olmayan konuşma veya yazma ve kuruluşunuza bağlam eksikliği gibi aramanın öğrettiği tüm olağan kırmızı bayrakları atlamasına izin verdi.
Rakipler tekniklerini rafine ettiler, sosyal mühendisliği yapay zeka ve otomasyonla harmanladılar.
Şirketler hala uzak çalışan faaliyetlerinin nasıl kontrol edileceği konusunda mücadele ediyor ve uygun görünürlük kazanmak birçok şirket için maliyet engelleyici.
“Saldırganlar, bir şirketin savunmalarına karşı daha hızlı ve daha güçlü hale gelme tekniklerini geliştirdiler; tersine, güvenlik çözümleri kendi başlarına saldırılara daha az dayanabilir ve sürekli izleme ve ayarlamaya ihtiyaç duyarlar,” dedi DirectDefense Başkan ve CTO Jim Broome. “Düşmanlar tekniklerini geliştirdikçe, kuruluşların güvenlik duruşlarını uyarlayarak önde kalmaları gerekiyor. Bu sadece tehditlere cevap vermekle ilgili değil, bunları zarar vermeden önce tahmin etmek ve hafifletmekle ilgili.”