CW Walker, SpyCloud’da Güvenlik Ürün Stratejisi Direktörü
2022’nin ilk üç çeyreği, toplamda 62,29 milyondan fazla yeni kötü amaçlı yazılım türünün (her gün yaklaşık 228.000 yeni tehdit) tespit edildiğini gördü.
Güvenlik ekipleri ve şirket liderleri dikkatlerini fidye yazılımlarının azaltılmasına odaklarken, hırsız kötü amaçlı yazılım – sessiz habercisi – çatlaklardan sızar. Enfeksiyonların tanımlanması genellikle herkesin bildiği gibi zordur ve acil sonuçları yok gibi görünmektedir. Aslında, endüstriden bağımsız olarak büyük şirketler, bir maruziyet tespit edilene kadar yıllarca kötü amaçlı yazılımdan muzdarip olabilir.
Birçok kuruluş, fidye yazılımlarının genellikle hırsız kötü amaçlı yazılım bulaşmalarının doğrudan bir sonucu olduğunu gözden kaçırır. Siber suçlular, saldırıları gerçekleştirmek için açıktaki cihazlardan çekilen bilgileri kullanır ve bu da, sağlam bir güvenlik stratejisi için uygun kötü amaçlı yazılım düzeltmesini zorunlu hale getirir.
Daha da kötüsü, kuruluşlar bulaşmayı önlemek için yenilikçi çözümler ve taktikler uygularken, evden çalışma politikalarına sahip şirketler ve kurumsal uygulamalara erişmek için BYOD veya kişisel cihazlar kullanan çalışanlar genellikle yeni kötü amaçlı yazılım fırsatları yaratır.
Bu sessiz tehdide karşı mücadele etmek için kuruluşların, darkweb etkinliğini hesaba katan ve genellikle bilinmeyen ve geçici kötü amaçlı yazılım bulaşmalarına karşı daha fazla görünürlük sağlayan yeni, daha kapsamlı bir düzeltme sürecine ihtiyacı var.
Kötü Amaçlı Yazılım Ortamı Gelişiyor
Kötü amaçlı yazılımın tespit edilmesinin zor olmasının bir nedeni, bir cihazın güvenliği ihlal edildiğinde çok az gösterge olmasıdır.
Örneğin, bir çalışan yanlışlıkla infostealer kötü amaçlı yazılımını tutan bir bağlantıya tıklarsa, kötü amaçlı yazılım yüklenebilir, verileri sifonlayabilir ve 5 ila 10 saniye içinde kendini kaldırabilir ve bulaşma kanıtı çok az kalır veya hiç kalmaz. Birkaç saniye içinde, çalışanın kimlik bilgileri ve oturum tanımlama bilgileri siber suçluların eline geçer.
Aynı şekilde, RedLine Stealer kötü amaçlı yazılımı gibi popüler bilgi hırsızları genellikle kimlik avı e-postaları, sosyal medya yorumlarındaki bağlantılar, kötü amaçlı reklamcılık veya kötü amaçlı YouTube “eğiticileri” aracılığıyla dağıtılır. Farkında olmayan bir çalışan kötü amaçlı yazılımı indirirse, kötü aktörler, çalınan kimlik bilgilerini ve verileri kullanıcının kimliğine bürünmek için kullanmakta özgürdür ve bu da şüpheli olarak tanımlanma ihtimallerini azaltır.
Mevcut antivirüs yazılımı, iyi bilinen kötü amaçlı yazılım türlerine karşı koruma sağlarken, Redline Stealer, Raccoon veya Vidar gibi daha yeni varyasyonların tespit edilmesi çok daha zordur. Tespitten kaçabilecek gelişen botnet dağıtım yöntemleri ve birçok kötü amaçlı yazılım bulaşmasının geleneksel, güvenli parametrelerin dışında gerçekleşmesi gerçeğiyle birleştiğinde, şirketlerin tehdide yanıt vermek için mücadele etmesi şaşırtıcı değil.
Göz önünde bulundurulması gereken bir diğer önemli husus, açıkta kalan verilerin devam eden tehdididir. Geleneksel olarak, bilinen kötü amaçlı yazılımların virüslü cihazdan silinmesi en yaygın düzeltme yaklaşımıdır, ancak şu anda İlk Erişim Aracılarının (IAB’ler) elinde olan zaten sifonlanmış bilgileri ele almakta başarısız olur.
IAB’ler, kötü amaçlı yazılım tarafından çalınan verileri paketleyen ve bunları karanlık ağda satan kişiler veya gruplardır. Siber suçlular bu yeni çalınan verileri satın alır ve ilk ağ erişimi için gereken tüm bilgilere sahip olur, bu da çok faktörlü kimlik doğrulama (MFA) gibi endüstri standardı önleme yöntemlerini atlamayı ve fidye yazılımı dağıtmayı kolaylaştırır.
Bu da yetmezmiş gibi, IAB’ler tarafından satılan veriler sıfırlanmadığı sürece değerlidir. Örneğin, milyonlarca veri noktasını ifşa eden 2019 Facebook ihlali birkaç yıl önce gerçekleşmiş olsa da, bu saldırıda çalınan kimlik bilgilerinin hâlâ etkin olması, söz konusu platform, çalışanları ve kullanıcıları için sürekli bir tehdit oluşturması olasıdır.
Son zamanlarda IAB’lerdeki artış, kötü amaçlı yazılım saldırılarının artan sıklığını yönlendiren temel faktörü, yani ağ erişimini silah haline getiren ve parasallaştıran gelişen bir yeraltı ekonomisini gösteriyor.
Mevcut siber güvenlik önlemleri, başlangıçtaki kötü amaçlı yazılım bulaşmalarına yol açan boşlukları kapatamıyor ve bir cihazın güvenliği ihlal edildikten sonra serpintiyi hesaba katamıyor. Uç nokta tespiti ve uygulama güvenliği izleme geçici çözümler olarak kullanılırken, yeterli değildir.
Büyük Resim, Daha Kapsamlı İyileştirmeyi İçerir
Çalışan eğitimi, sağlam bir güvenlik savunması için temel ilk adım olsa da, herkes hata yapar. Kötü amaçlı yazılım saldırılarının artan sıklığıyla, bulaşmayı tamamen önlemek gittikçe zorlaşıyor. Bunun yerine liderler, bir Enfeksiyon Sonrası İyileştirme (PIR) yaklaşımıyla tehdidi proaktif olarak azaltmalıdır.
PIR, maruz kalan verilerin kalıcı tehdidini ele almayı amaçlayan standart kötü amaçlı yazılım bulaşma yanıtları içinde örülmüş bir dizi adımdır.
Yaklaşım şu şekilde işliyor: Güvenlik Operasyonları Merkezi (SOC) virüs bulaşmış bir cihazı belirlediğinde, BT ekibi virüs bulaşmış cihazı temizlemek için standart ilk adımı atıyor. Paralel olarak kuruluşlar, çalınan bilgiler için yeraltını taramak için karanlık ağ izleme araçlarını ve insan zekası (HUMINT) ekiplerini kullanır. Çözümler ve ekipler, kullanıcı verilerini bulur ve başlangıçta tehlikeye atılan varlığa kadar izini sürer.
SOC’ler bu bilgilerle donandıktan sonra, saldırıdan etkilenen tüm güvenliği ihlal edilmiş kimlik bilgilerini ve uygulamaları düzeltmeye başlar. Bu, Tek Oturum Açma (SSO), kod havuzları, bordro sistemleri, VPN’ler veya uzaktan erişim portalları gibi üçüncü taraf iş gücü uygulamalarını içerebilir. Açığa çıkan tüm veriler sıfırlanırsa, büyük olasılıkla tam gelişmiş bir fidye yazılımı saldırısı meydana gelmez.
Doğrudan tehdidin kaynağı olan karanlık web’e giderek SOC’ler, açığa çıkan tüm cihazlar ve uygulamalar hakkında fikir sahibi olur. SOC’ler kişisel cihazları izleyemeyebilir, ancak çalınan veriler söz konusu cihaza bağlıysa ekipler daha önce görülmeyen bu giriş noktalarını düzeltmek için harekete geçerek kuruluşu ve kullanıcıyı daha iyi koruyabilir.
PIR, eski, makine merkezli kötü amaçlı yazılım yanıt süreçlerinden daha kapsamlıdır. Bu yöntemlerin cihaz düzeltmeyi vurguladığı ve kullanıcı kimliğini dikkate almayı ihmal ettiği durumlarda, PIR, risk altındaki kişisel olarak tanımlanabilir bilgileri (PII) göz önünde bulundurarak daha kimlik merkezli bir yaklaşım benimser.
Bu yaklaşımı kullanarak liderler ve yöneticiler, gelişen kötü amaçlı yazılım uygulamalarına karşı gelecekteki başarı için kendilerini donatabilirler. Etkilenen cihazların izlenip izlenmediğine bakılmaksızın, BT ekipleri tehdidin kapsamına ilişkin tam görünürlüğe sahip olacak ve daha önce görülmemiş güvenlik açıklarını kapatırken fidye yazılımları ve diğer kritik tehditlere maruz kalma penceresini önemli ölçüde kısaltacaktır.
yazar hakkında
SpyCloud Güvenlik Ürün Stratejisi Direktörü CW Walker, bir siber güvenlik ve tehdit istihbaratı uzmanıdır. Kariyerine hükümette bir tehdit istihbarat analisti olarak başladı ve ilginç verilerin toplanması ve analizi yoluyla anlatılabilecek hikayeleri anlama ve yaratma konusunda her zaman tutkulu olmuştur. Birden çok tehdit istihbaratı şirketinde çözüm mühendislerinden oluşan ekiplere liderlik etti ve şu anda SpyCloud’un siber güvenlik ürün stratejisini destekliyor. Siyaset Bilimi ve Ekonomi alanında lisans derecesine ve Stratejik İstihbarat Çalışmaları alanında yüksek lisans derecesine sahiptir.
CW’ye çevrimiçi olarak https://www.linkedin.com/in/cwrwalker/ adresinden ulaşılabilir ve SpyCloud hakkında daha fazla bilgi için https://spycloud.com/ adresini ziyaret edin.