Sophos’un% 56’sı tespit ve yanıt (MDR) ve olay yanıtı (IR) vakalarının% 56’sında, saldırganlar, güvenlik duvarları ve VPN’ler gibi kenar cihazları da dahil olmak üzere harici uzaktan hizmetleri kullanarak ve geçerli hesaplardan yararlanarak ağlara ilk erişim kazandı.
Meyveden çıkarılan kimlik bilgileri saldırıların en büyük nedeni olmaya devam ediyor
Harici uzaktan hizmetlerin ve geçerli hesapların kombinasyonu, saldırıların üst kök nedenleriyle uyumludur. Üst üste ikinci yıl için, tehlikeye atılan kimlik bilgileri saldırıların bir numaralı temel nedeniydi (vakaların% 41’i). Bunu sömürülen güvenlik açıkları (%21.79) ve kaba kuvvet saldırıları (%21.07) izledi.
MDR ve IR araştırmalarını analiz ederken, Sophos X-Ops ekibi, saldırganların bir kuruluş içindeki bir saldırının aşamalarında ne kadar hızlı ilerlediğini belirlemek için özellikle fidye yazılımlarına, veri açığa çıkmasına ve veri gasp vakalarına baktı. Bu üç vaka türünde, bir saldırının başlangıcı ve eksfiltrasyon arasındaki medyan süresi sadece 72.98 saat (3.04 gün) idi. Ayrıca, saldırıdan saldırı tespitine sadece 2.7 saatlik bir medyan vardı.
Ağ etrafında hareket eden dosyalar ve eksik günlükler için görünürlük eksikliği de pesfiltrasyon istatistiklerine katkıda bulunur. 2024’te analistler, vakaların% 27’sinde pesfiltrasyonun meydana geldiğini doğrulayabildiler. Veri evreleme kanıtı ve olası pessfiltrasyon da dahil olmak üzere, bu%36’ya yükselir. Fidye yazılımı kurbanları, araştırılan olayların% 43’ünde verileri ortaya çıkarmıştır. Ek% 14’ü olası bir şekilde eksfiltrasyon veya veri evreleme kanıtı vardı.
John Shier, “Pasif güvenlik artık yeterli olmasa da, hızlı yanıt kritiktir. Kuruluşlar ağları aktif olarak izlemeli ve gözlemlenen telemetriye karşı hızlı bir şekilde hareket etmelidir. Motive edilmiş rakiplerin koordineli saldırıları koordineli bir savunma gerektirir. Bu, birçok kuruluş için, iş özgü bilgiyi uzman liderliğindeki tespit ve tepki ile birleştirmek anlamına gelir” dedi.
Fidye Yazılımı Dağıtımları Başak Dışında Çalışma Saatleri
Saldırganların ilk eylemi ile ilk (genellikle başarılı) Active Directory’yi (AD) ihlal etme girişimi – muhtemelen herhangi bir Windows ağındaki en önemli varlıklardan biri – sadece 11 saatti. Başarılı olursa, saldırganlar kuruluşun kontrolünü daha kolay ele geçirebilir. Meydan okulu sunucuların% 62’si ana akım destek dışı işletim sistemlerini çalıştırıyordu.
2024’te fidye yazılımı ikili dosyalarının% 83’ü hedefin yerel çalışma saatlerinin dışında konuşlandırıldı; Tüm zamanların istatistiği%88’dir. Fidye yazılımı dağıtımlarının sadece geceleri ortaya çıktığı görülse de, haftanın günlerinde kalıcı bir tercih yok gibi görünüyor.
Akira, 2024’te en sık karşılaşılan fidye yazılımı grubuydu, ardından sis ve kilitbit (yılın başlarında Lockbit’in çok hükümetinin yayından kaldırılmasına rağmen).
Genel olarak, bekleme süresi – bir saldırının başlangıcından tespit edildiği zamana kadar – büyük ölçüde veri kümesine MDR vakalarının eklenmesi nedeniyle 2024’te 4 günden sadece 2’ye düştü.
IR vakalarında bekleme süresi, fidye yazılımı saldırıları için 4 günde sabit kalmıştır ve zahmetli yazılım dışı vakalar için 11.5 gün kalmıştır. MDR vakalarında bekleme süresi fidye yazılımı vakaları için sadece 3 gün ve aralıklı yazılım dışı vakalar için sadece 1 gündü, bu da MDR takımlarının saldırıları daha hızlı tespit edebileceğini ve yanıtlayabildiğini gösteriyor.
MFA eksikliği kuruluşları riske atıyor
Uzak Masaüstü Protokolü (RDP) algılamaları, istismar edilen Microsoft araçlarının grafiğini üstlenmeye devam ediyor. 2024’te, vakaların% 84’ünde saldırganlar tarafından kullanıldı,% 67’si sadece iç yanal hareket için kullanıldı ve% 3’ü sadece harici olarak kullanıldı.
2022’de araştırmacılar, mağdurların% 22’sinin MFA yapılandırılmadığını gözlemledi. Bu oran 2024’te neredeyse% 63’e yükseldi. Bu, IR ve MDR vakaları arasında anlamlı bir ayrımın bulunmadığı bir alan.
MFA, IR vakalarının% 66’sında ve MDR vakalarının% 62’sinde mevcut değildi. Bu, en yetenekli algılama ve yanıt programının bile kuruluşları saldırıya karşı savunmasız bırakabileceği bir yoldur.
Güvenlik uygulayıcıları sadece dış rakiplerin ortaya koyduğu tehditlere karşı savaşmakla kalmıyor, aynı zamanda iş süreçleri ve değişim yönetimi ile iç mücadele.