Siber suçluların kurbanların ağlarında geçirdikleri sürenin arttırdığı raporlandı[1]. Bu durum ise, hackerların daha karmaşık kampanyalar yürütmesi ve daha fazla zarar veren siber saldırılar yapmalarına olanak sağlıyor.
Dünyanın dört bir yanındaki ve çok çeşitli endüstri sektörlerindeki kuruluşları hedef alan olayları inceleyen Sophos’taki siber güvenlik araştırmacıları tarafından yapılan analize göre , siber suçluların güvenliği ihlal edilmiş ağlarda geçirdikleri medyan kalma süresi, bir önceki yıl 11 gün iken şimdi 15 güne yükseldi.
Bekleme süresi, bilgisayar korsanlarının keşfedilmeden veya ayrılmadan önce ağ içinde geçirdikleri süredir ve güvenliği ihlal edilmiş bir ağda tespit edilmeden daha fazla zaman geçirebilmek, kötü niyetli etkinlikleri daha dikkatli bir şekilde yürütebilecekleri anlamına gelir. Bu sürede kullanıcıları izlemek, verileri çalmak veya kötü amaçlı yazılım veya fidye yazılımı saldırısının temellerini atmak gibi hareketler yapabilirler.
Siber suçluların ağlara ilk erişim elde etmek için kullandıkları kilit yöntemlerden biri, yama uygulanmamış güvenlik açıkları ; Sophos, geçen yıl araştırdıkları olayların %47’sinin temel nedeninin bu olduğunu söylüyor. En yaygın olarak yararlanılanlardan bazıları, ProxyLogon ve ProxyShel l Microsoft Exchange Server güvenlik açıkları – bu siber suçluların ağlarda daha fazla zaman geçirebilmelerinin nedenlerinden biri, çünkü birçok kuruluş yavaş yapılır.
En uzun medyan bekleme sürelerine sahip olan kuruluşlar arasında küçük işletmeler (21 gün) ve eğitim kuruluşları (34 gün) bulunmaktadır. Çünkü bu kuruluşlar, ağdaki şüpheli etkinlikleri hızlı bir şekilde algılamak şöyle dursun, temel siber güvenliği bile etkin bir şekilde yönetmek için bütçe, kaynak ve yeterli bilgi güvenliği personeli bulmakta zorlanır .
Siber suçlular tarafından ağı ihlal etmek için kullanılan diğer teknikler arasında , daha önceki veri dökümlerinden alınan çalıntı oturum açma kimlik bilgilerinin yanı sıra kimlik avı saldırıları yer alır . Bilgisayar korsanları, zayıf veya yaygın parolalara sahip hesapları kırmak için kaba kuvvet saldırıları kullanarak ağlara da girebilir .
Saldırganlar ağa ne kadar girerse girsin veya kimi hedef alıyor olursa olsun, tespit edilmeden ağların içinde daha uzun süre kalabilmeleri, ihlal edilenler için kötüdür.
Siber suçluların bilinen güvenlik açıklarından yararlanmasını önlemek için, güvenlik güncellemelerini mümkün olduğunca hızlı bir şekilde, özellikle kritik sistemlere uygulamak da dahil olmak üzere, izinsiz girişlerin ağa girmesini önlemek için kuruluşların siber güvenlik savunmalarını geliştirmek için atabilecekleri adımlar vardır .
Kullanıcıları çok faktörlü kimlik doğrulama ile donatmak ayrıca ekstra bir güvenlik katmanı ekler, çünkü bilgisayar korsanları çalınan parolaları kullanmaya çalışsa bile üstesinden gelinmesi gereken ek bir güvenlik katmanı sağlar.
Ancak birkaç savunma katmanıyla bile, izinsiz giriş yapanların ağa erişmeye devam etmesi olasıdır – bu nedenle, düzenli etkinliğin neye benzediğini bilen ve potansiyel olarak kötü niyetli davranışları tespit edip araştırabilen bir bilgi güvenliği ekibinin olması önemlidir.
[1] The Active Adversary Playbook 2022
Kaynak : 