Şükran Günü hafta sonu, ABD’nin büyük bir kısmı ve giderek artan sayıda yurt dışı için, tatil şenlikleri açısından kritik bir dönemin başlangıcını temsil ediyor ve perakende sektörü için bir “ol ya da son” penceresi açılıyor.
Güvenlik ekipleri için Kara Cuma hafta sonu, fidye yazılımı operatörlerinin ve diğer tehdit gruplarının çılgın tüketicileri ve kurumsal BT ağlarını hedef aldığı, dikkatliliğin arttığı bir döneme işaret ediyor.
Kurumsal çalışanlar genellikle aile seyahatlerine veya tatillerine sınırlı saatlerde çalışarak veya uzak yerlerden ofise gelerek başlarlar. Şirketler, BT ağlarında sınırlı görünürlükle çalışıyor ve mesai saatleri dışında çalışan personelin en iyi ihtimalle sınırlı olması nedeniyle uzaktaki çalışanların kimliklerini takip etmeye çalışırken sıklıkla dikkatleri dağılıyor.
Bilgi Teknolojileri Bilgi Paylaşımı ve Analiz Merkezi genel müdürü Scott Algeier, Cybersecurity Dive’a şunları söyledi: “Birçok güvenlik ekibi tatillerde düşük kapasiteyle çalışıyor.” “Ancak bu, ağların savunmasız kaldığı anlamına gelmiyor.”
Çevreyi yönetmek
Uzaktan çalışma çağında güvenliği yönetmek, uzun yıllardır şirketler için ek zorluklar yaratmıştır. Çalışanlar genellikle kişisel bilgisayarları veya onaylanmamış yazılımları kullanarak evden çalışıyorlar. Bir bilgisayar ağını birden fazla aile üyesiyle paylaşıyor olabilirler.
Tatil sezonunda, çalışanların kurumsal ağlarına uzak konumlardan ve çeşitli saat dilimlerinden erişmesiyle bu zorluklar daha da artıyor. Bu, bir güvenlik ekibinin bir çalışanın, yasal bir sözleşmeli çalışanın veya yüksek ayrıcalıklara sahip üst düzey bir yöneticinin kimliğini doğrulamasını zorlaştırır.
Fidye yazılımı grupları ve diğer tehdit aktörleri, ilk giriş ve keşif faaliyetlerinin çoğunu, güvenlik ekiplerinin dikkatinin dağıldığı, sınırlı personelle çalıştığı veya başka bir şekilde müsait olmadığı gecelerde, hafta sonlarında veya uzun tatil dönemlerinde gerçekleştirir.
Siber güvenlik firması Semperis tarafından Pazartesi günü yayınlanan bir rapor, bundan fazlasını gösteriyor Son 12 aydaki tüm fidye yazılımı saldırılarının yarısı bir tatil veya hafta sonu sırasında gerçekleşti. Londra merkezli bir pazar araştırma şirketi olan Censuswide tarafından yürütülen Semperis raporu, dünya çapında 1.500 BT ve güvenlik profesyonelinin katıldığı bir ankete dayanıyor.
Ankete katılanlar arasında Kuzey Amerika, Birleşik Krallık, Kıta Avrupası ve Asya-Pasifik bölgesindeki BT güvenliği liderleri yer aldı.
Rapora göre yaklaşık her dört şirketten üçünün bünyesinde güvenlik operasyon merkezi bulunuyor. Rapor, her 10 şirketten sekizinin hafta sonları ve tatil dönemlerinde personel sayısını %50 veya daha fazla azalttığını ve bunun da onları daha büyük saldırı riskine soktuğunu gösteriyor.
Palo Alto Networks Birim 42’nin kıdemli baş araştırmacısı Matt Brady, “Tatil sezonunda çoğu güvenlik ekibinin azaltılmış personelle çalıştığını biliyoruz” dedi. “Maalesef siber suçlular bunun tamamen farkındalar ve aktif olarak bu kısaltılmış kapsama sürelerinden yararlanmaya çalışıyorlar.”
Uzun bir haftasonundan alınacak dersler
A Marks & Spencer’a sosyal mühendislik saldırısı tatil sırasında ortaya çıkan güvenlik açıklarına bir örnek sağladı. Birleşik Krallık Avam Kamarası’ndaki bir alt komite önünde verilen ifadeye göre, zarar veren saldırı 17 Nisan’da, Paskalya’dan sadece birkaç gün önce başladı.
Saldırı, İngiliz büyük mağaza zincirinde 400 milyon dolardan fazla satış ve maliyet kaybına yol açtı. Saldırı, Scattered Spider siber suç grubuyla bağlantılı saldırı dalgasındaki ilk olaylardan biriydi. Tüm perakende sektörü aylarca süren saldırılardan zarar gördü ve bu saldırılar milyonlarca dolar gelir kaybına ve birden fazla ülkede müşteri verilerinin tehlikeye atılmasına neden oldu.
Perakende ve Konaklama Bilgi Paylaşımı ve Analiz Merkezi yetkilileri, perakendecilerin tatil sezonuna hazırlanmak için ek önlemler aldığını söyledi.
RH-ISAC’ın güvenlik şefi ve başkan yardımcısı Pam Lindemoen, Cybersecurity Dive’a şunları söyledi: “Birçok kişi kapsamlı, şirket çapında güvenlik farkındalığı programları, genişletilmiş kimlik avı simülasyonları ve ön saflardaki çalışanlar için zorunlu tazeleme eğitimleriyle savunmalarını aylar öncesinden güçlendirmeye başlıyor.” “Olay müdahale planlarını güncelliyor ve prova ediyorlar, daha sık ve gerçekçi masaüstü tatbikatları yürütüyorlar ve kritik sistemler genelinde erişim kontrollerini sıkılaştırıyorlar.”
Siber Güvenlik ve Altyapı Güvenliği Ajansı, tatil sezonuyla ilgili herhangi bir spesifik tehdit tespit etmedi ancak olası herhangi bir krizle başa çıkmaya hazır olduğunu söyledi.
CISA sözcüsü Marci McCarthy, “Tatil sezonu gerçekten de kötü niyetli aktörlerin savunmasız sistemlerden yararlanma riskini artırıyor” dedi. “Bu, yalnızca alarmın yüksek olduğu dönemlerde değil, tüm yıl boyunca güçlü siber güvenlik uygulamalarının sürdürülmesi gerekliliğinin altını çiziyor.”
Gece şifreleme
Google Tehdit İstihbarat Grubu’ndan araştırmacılar, fidye yazılımı faaliyetlerinin tatil dönemlerinde mutlaka artmayacağı konusunda uyardı, ancak mesai saatleri dışında yapılan saldırıların saldırganlara verilere daha iyi erişim olanağı sağladığını söyledi.
GTIG baş analisti Zach Riddle, Aralık ayındaki fidye yazılımı faaliyetinde daha önce hafif düşüşler görüldüğünü söyledi. Hatta Black Basta fidye yazılımını kullanan bilgisayar korsanlarından sızdırılan sohbet bilgilerine de değiniyor; bu bilgiler, bilgisayar korsanlarının Noel Arifesi ile Rus Ortodoks Noel tatilinin sonu olan 15 Ocak arasında ara verdiklerini gösteriyor.
Ancak Riddle, fidye yazılımı gruplarının hedeflenen verileri şifrelemek için mesai saatleri dışında kullandıkları konusunda uyardı. 2024 yılında bilgisayar korsanları, şirketin yanıt verdiği vakaların %70’inden fazlasında verileri akşam 6 ile sabah 8 arasında şifreledi. Vakaların %30’unda şifreleme hafta sonları başlıyor.
Riddle, Cybersecurity Dive’a şunları söyledi: “Bunun nedeni muhtemelen aktörlerin, algılamayı en aza indirmek ve etkiyi en üst düzeye çıkarmak için çalışma saatleri dışında fidye yazılımı dağıtımını hedeflemesidir.” “Şifrelemenin mesai saatleri dışında yapılması, özellikle çok sayıda sistemin şifrelenmesi sırasında, mağdurun olayı tanımlayıp tepki verebilmesinden önce tehdit aktörlerine operasyonlarını tamamlamaları için daha fazla zaman tanıyabilir ve bu işlem saatler sürebilir.”