Siber güvenlik araştırmacısı ve Fortinet FortiGuard Labs uygulayıcısı Aamir Lakhani tarafından yazılmıştır.
Son zamanlarda, FortiGuard Labs, en son Küresel Tehdit Manzarası Raporu 2021’in ikinci yarısı için. İçinde tonlarca veri ve birkaç önemli çıkarım var. Bu raporun ana temaları, siber suçluların karmaşıklığının yanı sıra hızdaki artışla ilgilidir.
Öncelikle, gelişmişliğin neden Raporun öne çıkan bir yönü olduğunu tartışalım. Halihazırda, siber suç tehdidi ortamının son teknolojisi, gelişmiş kalıcı tehditler (APT’ler), tehdit aktörleri ve ulus devletler arasındaki yakınlaşmaya dayanmaktadır. İyi finanse ediliyorlar ve esas olarak saldırı öldürme zincirinin keşif ve silahlandırma kısmına odaklanıyorlar.
Geçmişte, siber suçlular saldırı öldürme zincirinin sol tarafına çok fazla odaklanmıyordu; buna “saldırı öncesi çerçeve” diyelim. Ancak şimdi, bu saldırı öncesi çerçeveye odaklanan ve yeni sıfırıncı gün güvenlik açıklarına atlayan daha fazla siber suç imparatorluğu vakası görmeye başlıyoruz.
Her zaman bu kadar sofistike değildi
Karmaşık saldırı yöntemleri kullanmak siber suçluların tipik davranışı değildi. Geçmişte, değiştirebilecekleri kavram kodu gibi internette ücretsiz olarak bulunan “araçları” kullandılar.
FortiGuard Labs, birçok saldırıda daha spesifik tasarım ve geliştirme görmeye başlıyor.
Tehdit Manzarası Raporumuzun büyük bir yararı, size her gün yabani otlarda çalıştığınız için sahip olamadığınız bir genel bakış sunmasıdır. Bir adım geri çekilip makro düzeyde neler olup bittiğine, özellikle de “nelerin trend olduğu” perspektifinden bakana kadar büyük resmi göremeyebilirsiniz.
Kötü amaçlı yazılım ve diğer birçok saldırı türündeki gelişmişliğin artmasıyla ilgili olarak Rapordan bir başka önemli açıklama, siber suçluların artık gelişmiş kodlamadan yararlanmasıdır. Artık her şey sadece Python değil. Kötü adamlar, Linux ve IoT tabanlı saldırılar için C++ gibi çok daha karmaşık kodlama kullanır. Ayrıca Go ve Java kullanıyorlar.
Güneşin altındaki her şey adil bir oyundur
Siber suçlular, platformlar, ortamlar ve kuruluşlardaki zayıflıkları ortaya çıkarmak için keşif kullanır. Açıkçası, bu güvenlik açıklarından yararlanmak onların amacıdır. Ancak, daha önce düşünülmemiş veya yaygın olarak kullanılmayan teknikleri kullanarak güvenlik açıklarından nasıl yararlanacaklarını ve radarın altında kalmayı öğreniyorlar.
Ayrıca güvenlik kontrollerinden kaçma girişimlerinde güçlü bir ısrar görüyoruz.
Mükemmel fırtına
Raporun yakından incelenmesi, siber suç saldırılarının, özellikle fidye yazılımlarının yanı sıra daha agresif hale geldiğini ortaya koyuyor.
Geçen yıl, amansız ve sürekli bir fidye yazılımı dalgası gördü ve fidye yazılımı yerleşimleri görünmeyen seviyelerde. Bu çok endişe verici çünkü bolluğu sofistike bir şekilde eklediğinizde riskler olağanüstü seviyelere tırmanıyor. Ancak yalnızca saldırıya uğrama riski değil, tehditlerin gerçek yıkıcılığı da hızla artıyor.
Konuyla ilgili örnek: Wiperware.
Hız öldürür
Hız da son saldırılarda gördüğümüz tutarlı bir tema. FortiGuard Labs, özellikle geçmişin hedefli saldırılarını düşündüğünüzde, pencerenin küçüldüğünü, diğer bir deyişle bir saldırının ne kadar hızlı gerçekleştirildiğini görüyor.
Örneğin, Stuxnet ve diğer ünlü uzun soluklu saldırılarla uğraşmak zorunda kaldığımız on yıl geriye baktığımızda, yapım iki yıl olabilir. Ama 2021’in sonunda gördüklerimiz log4jsadece 10 gün içinde, tüm raporlama dönemimizdeki en yüksek hacme karşılık geldi.
Log4j ile karşılaştırırsak ProxyOturum açma 2020’den itibaren MS Exchange ile bir dizi güvenlik açığı, 50 kat daha hızlıydı. Bu 10 günlük penceredeki yayılma oranını yeni bir metrik koyduk ve bunu ProxyLogon’a benzer bir 10 günlük pencereyle karşılaştırdık. Bu kadar hızlı olması inanılmazdı.
Aktivitede çılgın bir artış
Log4j gibi bir tehdit bu kadar popüler olduğunda, “mavi takım” savunucuları, savunmasız olup olmadıklarını görmek için farklı organizasyonları ve kendi organizasyonlarını tararken “kırmızı takım” (hackerlar) tüm interneti tarıyor.
Log4j’nin doğası gereği, kamuya açık bir duyuru yapılır yapılmaz, insanların her türlü medya üzerinden interneti taramasıyla trafikte çılgın bir artış oldu.
Yani 10 günde gördüğümüz veri miktarı, geçmişte gördüğümüz her şeyi gölgede bıraktı.
Günümüzde, savunucuların tehditleri günler ve saatler içinde düşünmesi gerekiyor. SOC (güvenlik operasyonları merkezi) perspektifinden, analistlerin bu tehditlere ne kadar hızlı hazırlanıp tepki verdiklerini 48 saatlik bir zaman aralığı içinde olmalıdır.
Otomasyonun avantajları iki yönlüdür
SOC’lerin, ağ oluşturma ve güvenlik kuruluşlarının uzun süredir yaptığı bir şey, API altyapılarını ve arka ucu kullanarak otomasyondan yararlanmak, yalnızca işleri olabildiğince çabuk yapılandırmaya çalışmaktır.
Ancak şimdi saldırganlar, “Hey, bundan da faydalanabileceğimi biliyorsun. Bunu ‘karanlık taraf’ için kullanabilirim” diye düşünüyorlar. Dolayısıyla, özellikle bir kuruluşa saldırmak için kod yazmak yerine, toplu taramalar yapıyorlar.
Siber suçlular, doğrudan yerleşik olan API kodu, API altyapısı, kötü amaçlı yazılım ve kötü amaçlı yazılım kitlerinden yararlanıyor. Bu, daha önce görmediğimiz bir gelişmişlik düzeyi. Ayrıca, kötü amaçlı yazılım yazarlarının ve saldırganların kuruluşlara girmeye çalışmak için sistemlere yerleştirdiği otomasyonu da gösterir. Ancak bu aynı zamanda “iyi adamların” bu kötü amaçlı yazılım motorlarından yararlanmak için kendi programlarını geliştirmelerine de izin veriyor.
Bu yeni gelişmişlik ve hız seviyesi ayrıca siber suçlular için ne kadar karlı olduğunu da gösteriyor. Eğer buna bu kadar çok emek harcıyorlarsa ve onu tekrar tekrar kullanılabilir hale getiriyorlarsa, yatırımlarından önemli bir geri dönüş (ROI) elde etmeleri gerekir. Asla unutmayın, çoğu siber suçlu gayri meşru bir iş yürütüyor ve personel sayısını ve döngüleri ne kadar azaltıp otomasyon yapabilirlerse o kadar karlı olacaklar.
Neden otomasyona odaklanılıyor?
Tehdit Ortamı Raporu, siber suçlu TTP’lerin (taktikler, teknikler ve prosedürler) de bir görünümünü sunar. MITRE Attack Framework TTP’lerinden gördüğümüz manzaraları vurgular.
Kod yürütme taktik tablosuna bakarsanız (Rapordan Şekil 11 – aşağıya bakın), API ve komut dizisinin, tüm kod yürütme tekniklerinin %60’ından fazlasının çoğunluk tekniklerinden sorumlu olduğunu ve kullanıcı yürütmesinin %20’sini oluşturduğunu göreceksiniz; bu, kullanıcı etkileşimini beklemek ve diyaloglara ve kötü amaçlı bağlantılara tıklamak anlamına gelir.
Açıkçası, şimdi bu otomasyona özel bir odaklanma var. Geçmişte, sisteme girebilmeniz veya bazı yönetici veya yükseltilmiş ayrıcalıklarla bir kullanıcının hesabını devralabilmeniz için ayrıcalık yükseltme fırsatı elde etmek gibi şeyler yapmanın tek yolu kullanıcı etkileşimiydi. Değilse, kötü adamlar bu yüksek ayrıcalıkları elde etmek için başka bir istismar kullanacak.
Ancak, API’lerle kötü adamlar tüm saldırıyı otomatikleştirebilir ve diğer yüksek değerli hesap türlerini arayabilirler.
API kullanmanın karanlık tarafının birçok avantajı vardır. Birincisi, “kapıyı çalmak” zorunda olmamanızdır. Bu, yararlanabilecekleri güvenlik açıklarını arama ve bu güvenlik açığının veya istismarın ne kadar değerli olabileceğini belirleme tekniği için bir siber suç terimidir.
API’ler sayesinde tehdit aktörleri tüm bu süreci otomatikleştirebilir. Kötüler bir senaryo yazabilir ve iş onlara geri döndüğünde, neyi başarabileceklerine dair iyi bir fikre sahip olacaklardır. İstismarın zaman harcamayı hak edip etmediği konusunda bir fikir edinirler. Dolayısıyla bu teknik, kötü adamların maliyetlerini önemli ölçüde azaltır. Ancak aynı yöntemler, iyi adamlar tarafından SOC’lerden bulut dağıtımlarına ve ötesine kadar çeşitli şekillerde kullanılıyor.
Bu nedenle, hızlı ve proaktif olarak tepki vermek için otomasyona sahip olmak SOC açısından kritik derecede önemlidir.
Hakkında daha fazla öğren FortiGuard Laboratuvarları tehdit araştırması ve FortiGuard Güvenlik Abonelikleri ve Hizmetleri portföy.
Fortinet hakkında daha fazla bilgi edinin ücretsiz siber güvenlik eğitimi girişimiFortinet NSE Eğitim programı, Güvenlik Akademisi programıve Gaziler programı.
Aamir Lakhani, güvenlik sektöründe 18 yılı aşkın deneyime sahip bir siber güvenlik araştırmacısı ve Fortinet’in FortiGuard Laboratuvarlarında uygulayıcıdır. Büyük ticari ve federal kurumsal kuruluşlara BT güvenlik çözümleri sağlamaktan sorumludur. Lakhani, savunma ve istihbarat teşkilatları için siber çözümler tasarladı ve kuruluşların kendilerini aktif saldırılardan korumalarına yardımcı oldu. Lakhani, siber savunma, mobil uygulama tehditleri, kötü amaçlı yazılımlar ve gelişmiş kalıcı tehdit (APT) araştırmalarıyla ilgili konularda ayrıntılı mimari taahhütleri ve projeleri destekleyen bir endüstri lideri olarak kabul edilir.