Kaspersky Managed Detection and Response (MDR) hizmeti, kurumsal altyapıyı 24 saat dışarıdan izleyerek şirketlerin güvenlik ekiplerini güçlendirmesine olanak sağlıyor. Yeni yayınlanan bir MDR analiz raporuna göre, 2021’de servis yaklaşık 414.000 güvenlik alarmını işleme aldı ve bu işlemlerin sonucunda müşterilere 8479 olay bildirildi. SOC uzmanlarımız bu olayları analiz ederken MITRE ATT&CK sınıflandırması altında en sık görülen saldırı tekniklerini tanımladı, toplam olay sayısı içinde bu teknikleri temel alan olayların oranını hesapladı ve en popüler üç tanesini belirledi.
Kullanıcı Tarafından Yürütme
Bu kategori, saldırganın altyapı içinden bir kullanıcının eylemlerine ihtiyaç duyduğu tüm olayları kapsıyor. Yani bunlar, saldırganların bir çalışanı kötü amaçlı bir bağlantıya tıklamaya ya da bir e-posta ekini açmaya zorladığı olaylar. Bu grup aynı zamanda kandırılan bir kullanıcının saldırgana kurumsal kaynaklara erişim verdiği olayları da içeriyor.
Hedef Odaklı Kimlik Avı Eki
MITRE ATT&CK sınıflandırmasına göre Hedef Odaklı Kimlik Avı Eki taktiği, ekinde kötü amaçlı bir dosya bulunan e-postaların gönderilmesini içeriyor. Saldırganlar genellikle bu tür bir saldırı gerçekleştirirken sosyal mühendislik ve kullanıcı tarafından yürütme yöntemini de kullanıyorlar. Tipik yükler arasında yürütülebilir dosyalar, MS Office belgeleri, PDF’ler ve arşiv dosyaları yer alıyor.
Uzaktan Hizmetlerin Kötüye Kullanımı
Uzaktan Hizmetlerin Kötüye Kullanımı kategorisi, saldırganların kurumsal bir ağ içindeki sistemlere erişmek için güvenlik açığı bulunan servisleri kullandığı olayları kapsıyor. Bu genellikle altyapı içinde yanal hareket için kullanılıyor. Saldırganlar genellikle sunucuları hedef alsalar da bazen iş istasyonları da dahil olmak üzere diğer uç noktalardaki güvenlik açıklarını da kötüye kullanabiliyorlar.
Altyapınızı saldırganların en yaygın tekniklerine karşı nasıl korursunuz?
MITRE ATT&CK web sitesinde her düşman tekniğine karşı kullanılabilecek en etkili yöntemler sıralanıyor.
- Şirketinizin altyapısına yönelik bir saldırıya çalışanlarınızdan birinin bilmeden katılmasını otomatik olarak önlemek için, uygulama kontrolü becerilerine sahip, aynı zamanda ağ saldırılarını engelleyebilen, web sitelerinin itibarını kontrol edebilen ve yüklenen dosyaları tarayabilen güvenlik çözümleri kullanmak öneriliyor. Ayrıca çalışanlarınıza modern düşman taktik ve tekniklerini açıklayarak güvenlik farkındalığı kazandırmak da önem taşıyor.
- Aynı koruma mekanizmaları, hedefli e-postalardaki kötü amaçlı eklere karşı da etkili. Kurumsal e-posta sisteminiz için ilave bir koruma katmanı olarak SPF, DKIM ve DMARC teknolojilerini de kullanmanızı öneriyoruz.
- Uygulama izolasyonu teknolojileri, Uzaktan Hizmetlerin Kötüye Kullanımı tekniklerine karşı işe yarıyor. Ancak öncelik listenizde daha üst sıralarda olması gereken belirli adımlar var: Kullanılmayan tüm uzaktan hizmetleri, segment ağlarını ve sistemleri kaldırmanız veya devre dışı bırakmanız ve servis hesaplarının erişim ve izin düzeylerini en aza indirmeniz öneriliyor. Ayrıca kritik sistemlerin güvenlik güncellemelerini zamanında yüklemek ve davranışsal tespit becerilerine sahip güvenlik çözümleri kullanmak da gerekiyor. Ek olarak, potansiyel olarak güvenlik açığı bulunabilecek servisler için ağı düzenli aralıklarla taramak ve güncel Tehdit İstihbaratı verileri kullanmak da faydalı.
Genel olarak, kurumsal altyapınızı karmaşık saldırılardan korumak için, altyapınızı koruyabilecek, güvenlik alarmlarını inceleyebilecek ve tehlikeli aktiviteleri size bildirip müdahale eylemleri ve öneriler sağlayabilecek şirket dışı uzmanların yardımını almalısınız.