Sophos'un en son Aktif Düşman Raporu'nda yayınladığı yeni analize göre, tehdit aktörleri, saldırı zincirlerinde yaygın olarak kullanılan Windows uzak masaüstü protokolü (RDP) uzaktan erişim özelliğini, Kovid-19 salgınından bu yana benzeri görülmemiş bir oranda kötüye kullanıyor. 2023 yılı boyunca X-Ops ekibinin müdahale ettiği 150 olay müdahale vakası.
Geçen yıl vakaların %90'ında RDP istismarının gerçekleştiğini gördüğünü söyledi; bu oran, salgının en yüksek olduğu 2020 yılına ait verileri kapsayan 2021 raporundan bu yana görülen en yüksek oran.
Bir olayda saldırganlar, kurbanın güvenliğini altı aylık bir süre içinde en az dört kez başarıyla ele geçirdiler; her durumda, ilk erişimi açıktaki RDP bağlantı noktaları üzerinden elde ettiler; bu aynı zamanda saldırganların ağları ihlal ettiği en yaygın vektördü ve vakaların %65'inde görüldü. belgelenmiş vakalar
Saldırganlar, kurbanın ağına girdikten sonra ağlarında yanal olarak hareket etmeye, kötü amaçlı ikili dosyalar indirmeye, uç noktalarını koruyan siber güvenlik araçlarını kapatmaya ve uzaktan kontrol kurmaya devam etti.
“Harici uzaktan hizmetler birçok işletme için gerekli ancak riskli bir gerekliliktir. Saldırganlar bu hizmetlerin oluşturduğu risklerin farkındadır ve arkalarında yatan ödül nedeniyle aktif olarak onları alt etmeye çalışırlar,” dedi Sophos saha CTO'su John Shier.
“Hizmetlerin dikkatli bir şekilde değerlendirilmeden ve riskleri azaltılmadan ifşa edilmesi kaçınılmaz olarak uzlaşmaya yol açmaktadır. Bir saldırganın açığa çıkan bir RDP sunucusunu bulması ve ihlal etmesi çok uzun sürmez; ek kontroller olmadan, diğer tarafta bekleyen Active Directory sunucusunu da bulması uzun sürmez.”
Shier, risk yönetiminin önemli bir yönünün – salt tanımlama ve önceliklendirmenin ötesinde – mevcut bilgilere göre hareket etmek olduğunu ancak yine de açığa çıkan RDP bağlantı noktaları gibi risklerin kurbanları “saldırganların zevkine” rahatsız etmeye devam ettiğini, bunun da çok fazla kuruluşun ödeme yapmadığını öne sürdüğünü söyledi. dikkat.
“Riskin yönetimi aktif bir süreçtir. Bunu iyi yapan kuruluşlar, kararlı saldırganların sürekli tehditleri karşısında, bunu yapmayan kuruluşlara göre daha iyi güvenlik durumları yaşarlar…. Shier, “Açık ve savunmasız hizmetleri azaltarak ve kimlik doğrulamayı güçlendirerek ağın güvenliğini sağlamak, kuruluşları genel olarak daha güvenli hale getirecek ve siber saldırıları daha iyi yenebilecek” dedi.
Devam eden Active Adversary serisinin son sürümü ayrıca, güvenlik açıklarından yararlanılması ve güvenliği ihlal edilmiş kimlik bilgilerinin kullanımının siber saldırıların en yaygın temel nedenleri olduğunu, çalıntı kimlik bilgilerinin kullanımının daha yaygın hale geldiğini ve artık %50'den fazla görüldüğünü ortaya çıkardı. olay müdahale vakalarının %30'unu güvenlik açıklarından yararlanma oluşturuyor.
Shier, vakaların %43'ünde kuruluşların çok faktörlü kimlik doğrulamanın (MFA) düzgün şekilde veya hiç yapılandırılmaması nedeniyle bunun özellikle endişe verici olduğunu söyledi.
Sophos tarafından gözlemlenen daha az yaygın olan diğer temel nedenler arasında kaba kuvvet saldırıları (vakaların %3,9'u), kimlik avı (%3,3) ve tedarik zincirinde uzlaşma (%2,6) yer alıyordu. Vakaların %13,6'sında temel nedeni belirlemek mümkün olmadı.
Siber profesyoneller daha fazlasını yapmalı
2023 verilerine dönüp baktığında Shier, güvenlik ihlallerinin çoğunluğunun yalnızca üç temel sorundan (açıkta kalan RDP bağlantı noktaları, MFA eksikliği ve yama yapılmamış sunucular) kaynaklandığı ve bu üç sorunun tamamını çözmenin göreceli kolaylığı göz önüne alındığında, kendisinin yalnız kaldığını yazdı. Kuruluşları zarardan korumak için yeterince çaba gösterilmediği ve bazılarının gerekli korumalara sahip olmasına rağmen çok azının güvenliğe gerçekten dikkat ettiği hissi.
“Genellikle, ihlal edilen kuruluşlar ile ihlal edilmeyen kuruluşlar arasındaki tek fark, biri, uygun araçları seçip uygulamaya koymanın gerektirdiği hazırlık ve ikincisi, gerektiğinde harekete geçme bilgisi ve hazırlığıdır” diye yazdı.
“Maalesef savunmacıların her yıl aynı hataları yaptığını görüyoruz. Bunu akılda tutarak kuruluşların acilen kendi kurtarma çalışmalarına katılmaları gerektiğini düşünüyoruz” diye devam etti Shier.
“Hiçbir sektör, ürün ya da paradigma mükemmel değildir, ancak biz hâlâ dünün savaşlarını dünün silahlarıyla, çoğunlukla da önceki günkü silahlarla veriyoruz. Bu raporda açıklanan araç ve tekniklerin çoğunun çözümleri ya da en azından zararlarını sınırlandıracak hafifletme yöntemleri var, ancak savunma sistemleri buna ayak uyduramıyor.”
Raporu tamamlayan Shier, siber profesyonellerin çok sık ve önlenebilir başarısızlıklar karşısında öfkeye yenik düşmelerinin cazip gelebileceğini söyledi. “Öfkeyle arkanıza bakmayın, daha iyi bir yarın için bugün nasıl olumlu bir değişiklik yapabileceğinizi sabırsızlıkla bekliyoruz.”