Şirketler, olay müdahalesi konusunda acil yardım, olay incelemesi (veya incelemenin yürütülmesine yardımcı olunması) veya siber suçluların kullandığı araçların analizi için sık sık uzmanlarımızı arıyor. 2020 boyunca, en yaygın ilk saldırı vektörleri dahil olmak üzere en olası saldırı senaryolarını tahmin etmemizi ve en iyi savunma taktiklerini seçmemize yardımcı olan modern tehdit ortamına ilişkin bir görüş edinmemizi sağlayan çok sayıda veri topladık.
Bir siber olayı araştırırken, her zaman ilk saldırı vektörüne özellikle dikkat ederiz. Basitçe söylemek gerekirse, saldırganlar giriş için zayıf bir noktayı kullanırlar ve bunun tekrarlanmasını önlemek için savunma sistemlerinin zayıf noktalarını belirlemek oldukça önemlidir.
Ne yazık ki, bunu yapmak her zaman mümkün olmaz. Bazı durumlarda olay ile olayın tespiti arasında çok fazla zaman geçmişken bazılarında ise kurban günlük tutmamış veya olayın izlerini (yanlışlıkla veya kasıtlı olarak) yok etmiş olur.
Siber suçlular giderek yaygınlaşan bir yöntem olan tedarik zinciri yoluyla saldırdığında, olayları karmaşık hale getiren şey, ilk vektörün son kurbanın değil, bir üçüncü taraf program geliştiricisinin veya hizmet sağlayıcısının alanına girmesidir. Ancak yine de uzmanlarımız, yaşanan olayların yarısından fazlasında ilk saldırı vektörünü tam olarak belirlemeyi başardılar.
Birinci ve ikinci sırada kaba kuvvet ve herkesin erişebileceği uygulamalardan yararlanma bulunuyor
Kurumsal çevrenin dışından erişilebilen uygulamalara ve sistemlere kaba kuvvet saldırıları düzenlenmesi ile güvenlik açıklarından yararlanma, saldırganların kullandığı ilk iki giriş noktasını oluşturuyor. Olayların %31,58’inde ilk giriş vektörü olarak bu noktalar kullanıldı.
Önceki yıllarda da gözlemlediğimiz gibi başka hiçbir yöntem, bir saldırı başlatmak için güvenlik açıklarından yararlanma kadar etkili değil. Yararlanılan güvenlik açıklarına ilişkin yapılan daha ayrıntılı bir analiz, bu durumun öncelikle, saldırılar sırasında her bir güvenlik açığı için yama bulunmasına rağmen şirketlerin güncellemeleri hemen yükleyememesinden kaynaklandığını gösteriyor. Yalnızca bu yamaların yüklenmesi bile kurbanları koruyabilirdi.
Şirketlerin toplu şekilde uzaktan çalışmaya geçişi ve uzaktan erişim hizmetlerinin kullanımı, kaba kuvvet saldırılarının popülaritesinin artmasına neden oldu. Geçiş sırasında birçok işletme güvenlik konularını yeterince ele almadı ve bunun sonucunda, uzaktan bağlantılara yönelik saldırıların sayısında neredeyse bir gecede artış yaşandı. Örneğin RDP tabanlı kaba kuvvet saldırılarında, Mart—Aralık 2020 döneminde %242 artış görüldü.
Üçüncü sırada kötü amaçlı e-posta yer alıyor
Olayların %23,68’inde ilk saldırı vektörü, kötü amaçlı yazılım eklenmiş veya kimlik avı şeklinde düzenlenmiş bir kötü amaçlı e-postaydı. Hedefli saldırı operatörleri ve toplu e-posta gönderenler, uzun bir süredir her iki kötü amaçlı e-posta şeklini de kullanıyorlar.
Dördüncü sırada kurbanın internette gezinirken güvenliğinin ihlal edilmesi yer alıyor
Bazen saldırganlar, kurbanın periyodik olarak ziyaret ettiği veya tesadüfen girdiği bir internet sitesini kullanarak sisteme erişmeye çalışırlar. Bazı karmaşık APT saldırılarında karşımıza çıkan bu tarz bir taktiği kullanmak için siber suçlular siteye, kurbanın bilgisayarında kötü amaçlı kod çalıştırmak amacıyla bir tarayıcı güvenlik açığından yararlanan komut dosyaları yerleştirir veya kötü amaçlı yazılımı indirip yüklemesi için kurbanı kandırır. 2020’de vakaların %7,89’unda ilk saldırı vektörü olarak bu yöntem kullanıldı.
Beşinci ve altıncı sırada ise taşınabilir sürücüler ve şirket içindeki kişiler bulunuyor
Şirket sistemlerine sızmak için USB sürücülerinin kullanımı artık nadiren tercih edilen bir yöntem haline geldi. Flash sürücüye bulaşan virüslerin büyük ölçüde geçmişte kalmasının yanında, birisine zararlı bir USB bellek verme taktiği de pek güvenilir değil. Bununla birlikte, ağa ilk giriş yöntemlerinin %2,63’ünü bu yöntem oluşturuyordu.
Şirket içindeki kişiler de aynı oranda (%2,63) olaya neden oldu. Bunlar, sebebi ne olursa olsun, kendi şirketlerine zarar vermek isteyen çalışanlar.
Bir siber olay yaşama olasılığı ve neden olduğu sonuçlar nasıl en aza indirilir?
Uzmanlarımızın analiz ettiği olayların çoğu önlenebilir nitelikteydi. Elde ettiği bulgulara dayanarak uzmanlarımız şunların yapılmasını öneriyorlar:
- Katı bir parola politikasının belirlenmesi ve çok faktörlü kimlik doğrulama kullanımının zorunlu hale getirilmesi,
- Herkesin erişimine açık olan uzaktan yönetim hizmetlerinin kullanımının yasaklanması,
- Yazılım güncellemelerinin mümkün olan en kısa sürede yüklenmesi,
- Kimlik avı ve kötü amaçlı yazılım önleme araçlarıyla [KSMail placeholder] e-posta sunucularının korunması[/KSMail placeholder],
- Modern siber tehditler hakkında düzenli olarak [KASAP placeholder]çalışan farkındalığı oluşturulması[/KASAP placeholder].
Ayrıca, yalnızca incelemeleri kolaylaştırmak için değil, aynı zamanda siber olaylardan kaynaklanan hasarı da en aza indirmek için tüm denetim ve kayıt sistemlerini yapılandırmayı ve verilerinizi düzenli olarak yedeklemeyi unutmayın.
Elbette yukarıda yer alan veriler, uzmanlarımızın burada sunduğu faydalı bilgilerin sadece küçük bir bölümünü oluşturuyor. Olay Müdahale Analiz Raporu 2021’in tam metnine buradan ulaşabilirsiniz.