LAS VEGAS — Herhangi bir kötü niyetli eylemde, insanlar genellikle refleksif olarak bunu kimin ve neden yaptığını bilmek isterler. Ancak bu, siber saldırılarla karşı karşıya kalan işletmeler için pek önemli değildir.
Savunmacılar, örgütleri hedef alan tehdit gruplarına ve suçlulara aşırı vurgu yaptıklarında, riski daha etkili bir şekilde azaltabilecek stratejik öncelikleri istemeden baltalamış olurlar.
Kuruluşların büyük çoğunluğunun siber suçlu gruplarını izlemenin yarattığı kaosla başa çıkmak için zamanı veya kaynağı yoktur. Palo Alto Networks Unit 42’de tehdit istihbaratının kıdemli yöneticisi Andy PiazzaBlack Hat’e verdiği röportajda şöyle dedi.
Piazza, “Siz bir savunmacı olarak bunu umursamamalısınız,” dedi. Piazza, savunmacıların kötü niyetli taktikleri, teknikleri ve prosedürleri tespit edip bunlara yanıt verme yeteneklerini geliştirerek kuruluşlarına daha iyi hizmet verebileceğini söyledi.
Gruplara Dağınık Örümcek, Geceyarısı Tipisi ve Süslü Ayı gibi isimler verildiğinde ortaya çıkan dramı görmezden gelmek zor, ancak siber saldırılardan sorumlu suçluları mitleştirmek, savunmacıların kötü niyetli faaliyetleri tespit etme ve engelleme yeteneklerini azaltabilir.
Birçok siber güvenlik sağlayıcısı ve tehdit istihbarat ekibi, tehdit grupları için benzersiz adlandırma kurallarını takip eder.
IBM Security X-Force ve Mandiant, adlandırma şemalarında sayılar kullanır, ancak CrowdStrike, Microsoft ve Unit 42 isimler oluşturur. Microsoft, neyin kullanılacağını belirleyen bir adlandırma taksonomisine bile sahiptir. hava sistemi veya renk tehdit gruplarına atar.
En akılda kalıcı isimler genellikle sektör genelindeki konuşmalarda akılda kalanlar oluyor ancak gösterişli isimlerin yetenekleri süsleyebileceği konusunda endişeler de var.
“Kötü adamlar, gölgelerde gizemli bir şekilde hareket eden kapüşonlu yabancılardır. Onlar cehennemden gelen iblisler, İncil’deki canavarlardır. Onlara güç ve karizma ima eden isimler veriyoruz.” Siber Güvenlik ve Altyapı Güvenlik Ajansı Direktörü Jen EasterlyGeçtiğimiz hafta Black Hat’in açılış konuşmasında şöyle denildi.
“Maalesef onlara cılız baş belası veya zayıf gelincik veya güçsüz gelincik veya benim kişisel favorim olan aptal dingo demiyoruz. Onlar hakkında neredeyse kısık sesle ve hayranlıkla konuşuyoruz,” dedi Easterly. “Onlar gelişmiş, sürekli tehditlerdir. Karmaşık istismarlar veya korkulan sıfır günleri kullanırlar.”
Tehdit grupları yapıyı sürekli yeniliyor
Tehdit grupları arasındaki yapı ve bağlantılar sürekli değişiyor. 42. Birim, 2024’ün ilk yarısında 53 aktif fidye yazılımı grubunu izledi ve bu gruplardan altısı iddia edilen tüm saldırıların yarısından fazlasını oluşturuyordu.
Şirketlere saldırmak için grupların kullandığı teknikler ve fidye yazılımı çeşitleri genellikle tekrarlayıcıdır ve nadiren yenilenir.
Easterly, “Bazıları yeni istismarlar geliştirmek için kaynak yatırırken, çoğu zaman aynı eski zaafları kullanıyorlar ve bazen de sadece şanslı oluyorlar,” dedi. “Bu kötü adamların süper güçleri yok. Onlara davrandıkları gibi davranmamalıyız, ancak biliyorsunuz, onları yüceltiyoruz.”
Ancak güvenlik şirketlerinin tehdit grupları ve siber saldırıları gerçekleştiren kişiler hakkında mitler yaratması alışılmadık bir durum değildir. CrowdStrike, son birkaç yıldır büyük siber güvenlik konferanslarında tehdit gruplarını devasa heykeller şeklinde kişileştirdi.
CrowdStrike, geçen yılki RSA Konferansı’nda Wizard Spider adını verdiği bir tehdit grubunun heykelini sergiledi.
CrowdStrike, 27 Nisan 2023’te San Francisco’daki RSA Konferansı’nda Wizard Spider’ın bir heykelini sergiledi.
Matt Kapko/Siber Güvenlik Dalışı
Geçtiğimiz hafta Black Hat’te, ana kapılardan ve sergi salonunun girişindeki birinci sınıf gayrimenkulde oturan CrowdStrike, büyük saldırılardan sorumlu grup olan Scattered Spider’a aynı büyük muameleyi yaptı. MGM Tatil Köyleri, Sezar Eğlencesi Ve Kloroksstandın etrafında dolaşan katılımcıların üzerinde belirdi.
CrowdStrike için tasvirler semboliktir.CrowdStrike sözcüsü Cybersecurity Dive’a e-posta yoluyla “Bunlar CrowdStrike’ın misyonunun bir sembolü: düşmanı anlayarak ve alt ederek ihlalleri durdurmak,” dedi. “Rakibi yüceltmiyorlar, ancak kötü niyetlerini kişileştirmek ve siber güvenlik konuşmalarını ana akıma yükseltmek için tasarlanmışlar.”
Sözcü, “Rakipler, siber camiaya her siber saldırının merkezinde klavyenin arkasında bir insanın bulunduğunu hatırlatıyor” dedi.
Uzmanlar, siber saldırıların arkasında kimin olduğunu derinlemesine araştırmak yerine, kuruluşların ve savunmacıların riski azaltmanın en pratik yollarına öncelik vermeleri gerektiğini söylüyor; bunlar arasında güvenlik açığı ve yama yönetimi, ağ çevresi ve uç nokta güvenliği ve çok faktörlü kimlik doğrulaması yer alıyor.
Olay müdahale ekipleri ve kolluk kuvvetleri topluluğu “kim ve nasıl konusunda endişelenmeli ve savunucular da bunu savunmalarına nasıl uygulayacakları konusunda endişelenmeli” dedi Piazza. “Tüm farklı gruplar hakkında endişelenelim.”
Açıklama: Black Hat ve Cybersecurity Dive’ın her ikisi de Informa’ya aittir. Black Hat’ın Cybersecurity Dive’ın kapsamı üzerinde hiçbir etkisi yoktur.