Araştırmacılar, tehdit aktörlerinin maruz kalan bulut hizmetlerini ne kadar hızlı hedef alacağını görmek ve bunların% 80’inin 24 saatten kısa bir sürede tehlikeye atıldığını bildirmek için 320 bal küpü kurdu.
Kötü niyetli aktörler, iç ağlara erişmek veya diğer kötü amaçlı etkinlikleri gerçekleştirmek için yararlanılabilen açık hizmetler için Internet’i sürekli tarar.
Hangi yazılım ve hizmetlerin tehdit aktörleri tarafından hedeflendiğini izlemek için araştırmacılar halka açık bal küpleri oluşturur. Bal küpleri, tehdit aktörlerinin taktiklerini izlemek için çeşitli yazılımları yem olarak çalıştırıyormuş gibi görünecek şekilde yapılandırılmış sunuculardır.
Cazip bir yem
Palo Altos Networks’ün Birim 42 tarafından yürütülen yeni bir çalışmada, araştırmacılar 320 bal küpü kurdular ve bal küplerinin% 80’inin ilk 24 saat içinde tehlikeye girdiğini buldular.
Dağıtılan bal küpleri arasında uzak masaüstü protokolü (RDP), güvenli kabuk protokolü (SSH), sunucu ileti bloğu (SMB) ve Postgres veritabanı hizmetleri bulunanlar vardı ve Temmuz-Ağustos 2021 arasında canlı tutuldu.
Bu bal küpleri, Kuzey Amerika, Asya Pasifik ve Avrupa’daki örneklerle birlikte dünya çapında konuşlandırıldı.
Kaynak: Birim 42
Saldırganlar nasıl hareket eder?
İlk ödün verme süresi, hizmet türünün ne kadar hedeflendiğinin benzeridir.
En çok hedef alınan SSH bal küpleri için, ilk uzlaşmanın ortalama süresi üç saatti ve art arda iki saldırı arasındaki ortalama süre yaklaşık 2 saatti.
Kaynak: Birim 42
Birim 42 ayrıca, deneyin 80 Postgres bal küplerinin% 96’sını sadece 30 saniyede tehlikeye atarak önemli bir tehdit aktörü vakası gözlemledi.
Bu bulgu, yeni güvenlik güncelleştirmelerini yayımlandıkça dağıtmak günler sezebileceği için çok endişe vericidir, tehdit aktörlerinin açığa çıkan hizmetlerden yararlanmak için saatlere ihtiyacı vardır.
Son olarak, konumun bir fark yaratıp yaratmadığı konusunda, APAC bölgesi en çok tehdit aktörlerinden ilgi gördü.
Kaynak: Birim 42
Güvenlik duvarları yardımcı olur mu?
Saldırgan IP’lerin büyük çoğunluğu (%85) tek bir günde gözlendi, bu da aktörlerin sonraki saldırılarda aynı IP’yi nadiren (%15) yeniden kullandıkları anlamına geliyor.
Bu sürekli IP değişikliği, ‘katman 3’ güvenlik duvarı kurallarını tehdit aktörlerinin çoğuna karşı etkisiz hale getirir.
Saldırıları azaltma şansı daha yüksek olan şey, günlük yüz binlerce kötü amaçlı IP’yi tanımlayan ağ tarama projelerinden veri çekerek IP’leri engellemektir.
Bununla birlikte, Birim 42 bu hipotezi 48 bal küpü alt grubu üzerinde test etti ve 700.000’den fazla GP’yi engellemenin alt grup ile kontrol grubu arasındaki saldırı sayısında önemli bir fark olmadığını buldu.
Kaynak: Birim 42
Birim 42, bulut hizmetlerini etkin bir şekilde korumak için yöneticilerin aşağıdakileri yapmasını önerir:
- Ayrıcalıklı bağlantı noktalarının açılmasını önlemek için bir korkuluk oluşturun.
- Tüm açık bağlantı noktalarını ve kullanıma sunulan hizmetleri izlemek için denetim kuralları oluşturun.
- Yanlış yapılandırmaları otomatik olarak düzeltmek için otomatik yanıt ve düzeltme kuralları oluşturun.
- Uygulamaların önüne yeni nesil güvenlik duvarları (WFA veya VM Serisi) dağıtın.
Son olarak, tehdit aktörleri yayınlandıkça yeni güvenlik açıkları için yararlanmaya çalışırken her zaman en son güvenlik güncelleştirmelerini yükleyin.
