“Üç Küçük Domuz” masalı bize, kötülükleri temsil eden kurda karşı koymanın ve hayatta kalmanın yollarını öğretir. Üç kardeş domuzun, saman, tahta ve tuğladan kullanarak kendi evlerini inşa etmelerini ve sonrasında bir kurt tarafından tehdit edilmelerini anlatır. Bu hikaye, planlama ve öngörünün önemini vurgular ve zorluklar karşısında sağlam temellerin ne kadar hayati olduğunu öğretir.
2023 yılına dair siber güvenlik raporları, “Üç Küçük Domuz” masalındaki dersleri yansıtan benzer temalar içermektedir. Raporlarda, kuruluşların karşılaşabileceği siber tehditlerin çeşitliliği ve sofistikasyonu detaylandırılmakta olup bu da bize siber güvenlik altyapımızı güçlendirmek için proaktif tedbirler almanın ne kadar önemli olduğunu göstermektedir. Özellikle artan ransomware saldırılarına ve veri ihlallerine sebebiyet verecek saldırılara karşı güçlü güvenlik kontrollerinin ve sürekli izleme sistemlerinin, kurtların modern dünya versiyonlarına karşı koruma sağlamadaki rolünü vurgulamaktadır. Bu raporlar, siber güvenlik altyapımızı ve süreçlerimizi sürekli olarak değerlendirmemiz ve güncellememiz gerektiğinin altını çizmektedir.
Siber güvenlik dünyasında önemli bir kaynak olan yıllık raporlar, teknoloji firmalarının, araştırma gruplarının ve siber güvenlik firmalarının ortak çalışmasının bir ürünü olarak karşımıza çıkmaktadır. Bu raporların sağladığı veriler siber güvenlik sektöründe neler olduğunu detaylı ve farklı perspektiflerden vermektedir. Önde gelen siber güvenlik firmalarının 2023 yılına ait içgörüler ve tespitler sunan raporlarında öne çıkan bazı detayları sizlerle paylaşacağız.
2023 Yılı İçgörü Raporları
Bu yazımızda odak noktamız Red Canary, Palo Alto Networks ve CrowdStrike firmalarının 2023 yılı boyunca tespit edip müdahalede bulundukları siber saldırılar hakkında hazırladıkları raporlar olacaktır. Bu raporlar:
- Red Canary 2024 Threat Detection Report: Red Canary ürünü kullanan müşterilerin tehdit tespitinde kullanılan en güncel yöntemleri ve siber saldırı trendleri hakkında bilgi veriyor.
- Unit 42 Incident Response Report: PaloAlto Networks firmasının Unit42 isimli birimi tarafından yayımlanan bu raporunda siber güvenlik olaylarına müdahale süreçleri ile karşılaşılan güvenlik ihlallerinin detayları ele alınmıştır.
- CrowdStrike Global Threat Report: Küresel siber tehdit ortamını ve siber saldırganların yeni taktiklerini ortaya koyan kapsamlı bir çalışmadır.
Bu raporlardan elde edilen ortak nokta, özellikle siber güvenlik stratejilerinin nasıl şekillendirilmesi gerektiği konusunda önemli ipuçları sunuyor.
Ortak Noktalar
Siber güvenlik alanında yıllık olarak yayımlanan raporlar siber tehditlerin sürekli evrim geçirdiği teknoloji dünyasında kritik bir öneme sahiptir. Raporlar geçmiş yıl içindeki saldırı türleri, kullanılan yöntemler ve geliştirilen stratejiler hakkında detaylı bilgiler sunmaktadır. Bu raporların sonucu ortaya çıkan ortak temalardan ve raporlarda görülen trendlerden bahsedeceğiz. Bu bilgiler siber güvenlik olaylarının dinamiklerini anlamak ve onlara karşı etkili önlemler geliştirmek için büyük önem taşıdığı yadsınamaz bir gerçektir.
Threat Detection Report, Incident Response Report ve Global Threat Report olarak 3 farklı raporun ortak noktalarına baktığımızda aşağıdaki özelliklerin öne çıktığı görülmektedir.
Artan Siber Saldırı Hızı ve Yoğunluğu: Siber saldırıların gelişimi giderek hızlanmakta ve yoğunlaşmaktadır. Tehdit aktörleri, saldırılarının başlangıç noktasından yanal harekete (lateral movement) ve veri çıkışı (exfiltration) aşamasına kadar geçen süreyi kısaltmaktadırlar.
Bu durum, IR ekiplerinin ve SIEM, EDR, NDR gibi ürünlerin önemini artırmaktadır. Ayrıca, saldırı süreçlerinin hızlanması, incident response (IR) stratejilerinin gözden geçirilmesini ve güncellenmesini gerektirebilir. IR ekiplerinin vakalara hazırlıklı olabilmesi için düzenli olarak siber tatbikatların düzenlenmesi faydalı olacaktır.
Bulut Tabanlı Sistemlere Yönelik Artan Tehditler: Organizasyonlar işlerini bulut teknolojisine taşırken, tehdit aktörleri de bulut yeteneklerini geliştirmekte ve buluta özgü özellikleri kendilerine faydalı olacak şekilde kullanmaktadırlar.
Organizasyonlar bulut sistemlerdeki konfigürasyonların best practicelere uygun olarak yapılıp yapılmadığını denetlemeli ve bulut ortamda olay müdahalesi için strateji ve süreçlerin oluşturulması gerekmektedir. Bu süreçlere uygun olacak şekilde gereksinimler belirlenmeli ve karşılanmalıdır.
Sosyal Mühendislik Saldırıları: Tehdit aktörleri, çok faktörlü kimlik doğrulamayı atlatma ve sosyal mühendislik yoluyla başlangıç erişimi elde etme konusunda daha sofistike yöntemler kullanmaktadırlar.
Sosyal mühendislik saldırılarındaki değişime paralel olarak sürekli olarak personel eğitimi ve farkındalık programlarını güncellemeleri gereklidir.
Yazılım Zafiyetlerinin Kötüye Kullanılması: Yazılım zafiyetlerini istismar etmek, tehdit aktörlerinin en çok başvurduğu erişim yöntemlerinden biridir. Özellikle internete açık sistemlerin yazılım zafiyetleri nedeniyle tehdit aktörleri tarafından istismar edilmesini cazip hale getirmektedir.
Yazılım zafiyetlerinin istismarı konusunda, sürekli zafiyet taraması ve etkin yama yönetimi hayati önem taşımaktadır. Ayrıca, açık kaynak kodlu yazılımların kullanımı sırasında güvenlik kontrollerinin arttırılması gerekmektedir.
Tedarik Zinciri Saldırıları ve Güvenilir Yazılımların İstismarı: Tehdit aktörleri, saldırılarının getirisini maksimize etmek için tedarik zinciri saldırılarına ve güvenilir yazılımların istismarına giderek daha fazla yönelmektedirler.
Organizasyonlar, tedarikçilerle güvenlik protokollerini gözden geçirmeliler ve risk değerlendirmelerini kapsamlı olarak yapmalıdır. Bu tür saldırılara karşı korunmak için, tedarik zinciri boyunca güvenlik standartlarının homojen bir şekilde uygulanması önem kazanmaktadır.
Yapay Zeka (AI) Kullanımının Artması: Hem savunma tarafında hem de tehdit aktörleri tarafında yapay zeka kullanımı artmaktadır. AI, blue team ekiplerine hız ve verimlilik kazandırırken, tehdit aktörlerine de saldırılarını çeşitlendirmesine ve sofistikeleştirmesine olanak tanımaktadır.
Yapay Zeka teknolojilerinin savunma ve saldırı alanlarında kullanılmasının artması, organizasyonları AI destekli güvenlik çözümlerine daha fazla yatırım yapmaya itebilir. Aynı zamanda, Yapay Zeka’nın kötüye kullanılma potansiyelini azaltacak etik kurallar ve düzenlemelerin geliştirilmesi önemlidir.
Ransomware ve Fidye Yazılımlarının Evrimi: Ransomware saldırıları, double extortion fidye taktikleri kullanarak daha sofistike hale gelmiştir. Tehdit aktörleri, veri hırsızlığı ile kurbanlarına baskı yaparak daha fazla fidye elde etmeye çalışmaktadırlar. Fidye yazılımı grupları 2023 yılında kurban firmaların iş ortaklarını ve müşterilerini de tehdit ederek, kurbanlarının ödeme yapmalarını sağlamaya çalışmaktadır.
Organizasyonların veri yedekleme stratejilerinin, şifreleme teknolojilerinin güçlendirilmesi ve eğitim programlarının sürekli güncellenmesi önemli hale gelmektedir.
Dikkat Çekici Veriler
Her rapordan elde edilen çarpıcı bulgulardan ve siber tehditlerle mücadeledeki yenilikçi stratejilerinden bahsetmek çok faydalı olacaktır. Bu analizin siber güvenlik alanında karşılaşılan zorlukları ve bu zorluklara yönelik etkili çözümleri anlamamıza yardımcı olacağına inanıyoruz.
Unit 42 Incident Response Report
Uni42 ekibinin hazırladığı “Incident Response Report” içerisinde paylaştıkları önemli istatistiksel veriler aşağıda paylaşılmıştır.
Yukarıdaki grafikten görülebileceği gibi 2023 yılında fidye yazılımı gruplarının etki alanlarını arttırabilmek için yazılım zafiyetlerine yönelmeleri ve Initial Access Brokerlar (IAB) tarafından ele geçirilen hesapların fidye yazılımı grupları tarafından sıklıkla kullanılması nedeniyle bu tekniklerde artışlar yaşanmış ve phishing saldırılarının ilk erişim noktası olarak görülmesinde azalma gözlemlenmiştir.
Tehdit aktörlerinin, hedef organizasyonun ortamında tespit edilmeden önce geçirdiği gün sayısı “Dwell Time” olarak ifade edilir. Yukarıdaki grafiğe göre 2021 yılından itibaren Dwell time sürelerinde azalma görülmektedir. Ancak bu azalmanın yanı sıra, 2023 yılı içerisinde tehdit aktörleri ele geçirdikleri sistemlerin %45.6’sını 1 günden kısa sürede exfiltration yapmışlardır. Black Basta fidye yazılımı grubunun 10.000 uç noktanın bulunduğu bir ortamdaki fidye yazılımı saldırısındaki zaman çizelgesi verilmiştir. Grup tüm saldırısını 14 saatten kısa sürede bitirmiştir. Bu büyüklükteki bir kurumda 14 saat gibi kısa bir sürede bu kadar etkili bir saldırının olması siber güvenlik çalışanları için her geçen gün işlerin daha da zorlaştığını göstermektedir.
Aşağıdaki görselde ödemesi yapılan fidye yazılımı saldırılarında şantajın yanı sıra fidye yazılımı grupları tarafından veri çalma işlemide sıklıkla tercih edildiği görülmektedir. Bu durumlarda fidye ödenmesi tehdit aktörünün motivasyonunu arttırıp saldırılarını sürdürmeye devam etmesi için teşvik edebilir. Bu gibi durumlarda taleplerin değerlendirilmesi için olay müdahale ekibiyle birlikte çalışılması kurumlara daha az etki yaratması açısından önemlidir.
2023 yılında Unit42 ekibinin müdahale ettiği olayların %35’i iş kesintisi içermektedir. Genellikle bu kesintiler fidye yazılımı veya veri imhası amacıyla çalıştırılan zararlı yazılımların etkilerinden kaynaklanmaktadır. Bu kesintiler kamuoyu tarafından görünür hale gelebilmektedir. Belirli tehdit aktörleri, kurbanların üzerindeki baskıyı arttırmak için kamuoyu ilgisinden faydalanmaktadır.
Crowdstrike Global Threat Report
Crowdstrike tarafından hazırlanan ve “Global Threat Report” içerisinde paylaştıkları önemli istatistiksel veriler aşağıda paylaşılmıştır.
Crowdstrike tarafından paylaşılan verilerine göre bulut (cloud) ortamlarda yaşanan vakaların 2022 yılından 2023 yılına geçerken %75 oranında arttığı görülmüştür. Bu durum organizasyonların altyapılarına bulut (cloud) ortamına taşımaları ile orantılıdır. Ancak bu durum için güvenlik önlemleri alınmazsa tehdit aktörleri avantajlı konumda olacaktır.
Organizasyonların tehdit aktörlerine karşı bulut ortamlarında çok faktörlü doğrulamayı (MFA) zorunlu kılması, güvenlik konfigürasyonlarının yapılması, anormal aktivitelerin SOC ekipleri tarafından takip edilmesi önemli hale gelmektedir.
eCrime Index, Crowdstrike tarafından 2021 yılında fidye talepleri, zafiyetleri, açıklıkları ve kripto para dalgalanmaları gibi faktörlere bakarak tehdit aktörlerinin genel durumunu ölçmek için tanıtılmıştır. Aşağıdaki grafikte görüldüğü gibi 2023 yılında eCrime Index de artışlar yaşanmıştır. 2023 yılında bir önceki yıla göre daha fazla zafiyet, stealer malware ve veri sızıntısı yaşanmıştır.
Red Canary Threat Detection Report
Red Canary tarafından 2023 yılı içerisinde Veritas ve Confluence gibi internete açık servislerdeki zafiyetleri sömüren fidye yazılımı grupları gözlemlenmiştir. Fidye yazılımı grupları 2023 yılı içerisinde yeni çıkan zafiyetleri hedef alınırken, önceki yıllarda zafiyetleri de kullanmıştır. İnternete açık cihazlardaki zafiyetlerin rahatlıkla tespit ediliyor olması ve tek bir zafiyetin bile etki alanının büyük olması sebebiyle bu yöntem fidye yazılımı grupları tarafından sıklıkla kullanılmaktadır.
Siber sigorta şirketi Corvus, 2023’ün ilk yarısında fidye yazılımı saldırılarının başlaması için başlıca yöntem olarak dış zafiyetlerin sömürüldüğünü ifade etmiştir.
Red Canary tarafından, yanal hareket sırasında en çok tespit edilen yöntemlerin Impacket scriptlerinin kullanılması, Rundll32 gibi Living Off The Land Binaryler (LoLBins), AnyDesk, FleetDeck ve diğer remote monitoring management (RMM) araçlarıdır.
Türkçe güvenlik blog yazıları
Siber güvenlik alanında Türkçe içerik üreten değerli yazarlar!
Yazılarınızla siber güvenlik topluluğuna katkıda bulunmak ve sizleri daha geniş bir okur kitlesine ulaştırmak istiyoruz.
İlginizi çektiyse daha fazla bilgi için [email protected] adresine iletişim kurabilirsiniz.
Siber Tehdit İstihbaratı ve Tehdit Avcılığı | by Beyzanur Tekinli | Medium
Siber Güvenlik’de Web Shell ( Uygulamalı) | by Servetcetinkaya | Mar, 2024 | Medium