Gelişen saldırı trendleri, taktikler ve saldırılara karşı savunma konusundaki zayıf noktalar analiz edilerek hazırlanan Websense Security Labs 2015 Tehdit Raporu yayınladı. Yeni rapor; kurumlar için önemli ölçüde veri hırsızlığı tehdidi oluşturan 8 trendi gözler önüne seriyor.
Rapor, saldırganların, teknik uzmanlar ve uzmanlıklar yerine, üstün teknolojiye sahip araçlar kullanarak kapasitelerini güçlendirdiklerini gösteriyor.
Birbirine bağlı gizli yönlendirme, eski kodların yeniden kullanılması ve diğer birçok teknik, bu saldırganların gizli kalmasına olanak sağlarken; tehdidin saptanma sürecini, uzun, zor ve tamamıyla güvenilmez bir hale getiriyor. Daha yeni ve daha güvenli olanlar yerine eski standartların geniş çaplı kullanımı, sistemlerin savunmasız ve tehditlere açık hale gelmesine sebep oluyor. Tehditler, Bash, OpenSSL ve SSLv3 ün kod tabanını da içeren bir ağ sistemine kadar ulaşarak genişliyor ve hassas verileri ele geçerebilecek bir altyapıya sahip oluyor.
Websense Türkiye, Ortadoğu ve Kuzey Afrika Satış Direktörü Hüsamettin Başkaya raporla ilgili olarak şunları söyledi :
“2014’teki siber tehditler; yeni ve eski teknolojileri bir araya getirip, veri kaybı konusunda önemli bir risk oluşturan hileli saldırıların ortaya çıkmasına sebep olmuştur. Malware as a Service’in elindeki araçlar ve tekniklerle, kurumların savunma mekanizmalarını aşma konusunda her zamankinden daha tehlikeli olduğu şu günlerde, Kill Chain üzerinde gerçek zamanlı saptama bir gerekliliktir.”
Websense Güvenlik Mühendislerine göre bugünkü tehditlerle başa çıkabilmek için göz önünde bulundurulması gereken etkenler; “Güvenlik yazılımlarının loglarının Kill Chain etrafında analiz edilmesi, birbiriyle entegre çözümler kullanılması, güvenlik bilincini yukarıya çekebilecek araçlar kullanılması, SSL inspection ile SSLtabanlı atakların analiz edilmesi ve kurum dışı güvenlik stratejilerinin; geleneksel yöntemler yerine daha akıllı ve web tehditlerini durdurabilecek şekilde yeniden şekillendirilmesi” olarak sıralanıyor.
Websense Security Labs 2015 Tehdit Raporu, davranışsal ve teknik temelli 8 ana saldırı trendini de gözler önüne sermiş durumda.Bu bulgulardan en önemli 4 tanesi şöyle :
- Sibersuç işlemek kolaylaştı :
İçinde bulduğumuz MaaS ( Malware-as-a-Service)çağında, başlangıç seviyesindeki saldırganlar bile, kiralık exploit kit ler ve Maas; satın alınabilir diğer yöntemler ve gelişmiş, çok aşamalı atağın bir kısmını taşeron olarak alma yolu ile, başarılı bir veri hırsızlığı saldırısı üretip kullanabilir. Üstün teknolojiye sahip araçlara erişimin daha kolay olmasının yanı sıra, malware üreticileri yeni teknolojileri eskileri ile birleştirerek hayli etkili tekniklerin ortaya çıkmasını sağlamaktadırlar. Örneğin : kaynak kodu ve exploit tek ve gelişmiş olabilir ancak, saldırılarda kullanılan altyapıların çoğu geri dönüştürülür ve kötü amaçlarla tekrar kullanılır.
2014 yılında, zararlı dosyaların %99.3’ü, daha önce bir veya daha fazla malware tarafından kullanılmış bir Command and Control URL sini kullanmış durumda. Buna ek olarak, malware üreticilerinin %98.2 si, diğer 5 çeşit malware’de de bulunan C%C leri kullanmıştır.
- Yeni birşey mi Dejavu mu ?
Saldırganlar, makro gibi eski taktikleri yeni teknikler ile istenmeyen emaillerde bir araya getirirler.Eski tehditler, email ve web kanallarıyla yayılan yeni tehditlerin içine geri dönüştürüp katılır ve böylece, en güçlü savunma yöntemlerine karşı bile meydan okurlar.
10 yıl öncesinin en önde gelen saldırı aracı olan email, sibersaldırılar konusunda günümüzde daha baskın bir rol oynayan web’e rağmen halen çok güçlü bir saldırıcı aracı. Örneğin : 2014 yılında,Websense tarafından taranan maillerin %84’ünün kötü amaçlı olduğu anlaşılmış. Bu rakam, bir önceki yıla oranla %25 fazla.
Websense Security Labs, 2014 yılının sadece son 1 ayında bile makro atak içeren 3 milyondan fazla mail tespit etmiş.
- Dijital Darvinizm – Gelişen Tehditler Karşısında Hayatta Kalma :
Tehdit üreticileri, ürettikleri tehditlerin sayısından ziyade niteliği ile ilgileniyorlar. Websense Security Labs, 2014 yılında 3.96 milyar güvenlik tehdidini tespit etmiş, ki bu sayı 2013 yılındakinden %5.1 daha az. Yine de, çok büyük miktarda güvenlik yatırımları yapan önemli kuruluşların maruz kaldığı sayısız veri sızıntısı, geçen yılın tehditlerinin ne kadar etkili olduğunun ispatı durumunda.
Saldırganlar, görünürlüklerini azaltmak için saldırı metodlarını yeniden yapılandırmışlar. Bunu da, Kill Chain’in aşamalarını takip ederken daha az doğrusal hareket ederek sağlamışlar.
Bu durumda saldırganların tespit edilmesi zorlaşıyor çünkü aşamaları atlatabiliyorlar, tekrar ediyorlar ya da aşamalara kısmen dahil oluyorlar. Böylelikle daha az görünür oluyorlar.
Kill Chain’in her bir aşamasında çok çeşitli aktiviteler vardır. Örneğin spam araştırma aktivitesi, Kill Chain’in ilk aşamalarına odaklanırken, diğer aşamaları farklı aktivitelerle karşı karşıya kalır. Bazı aşamalar daha fazla aktivite ile karşılaşmışken, diğerleri önceki yıla oranla çok daha az aktivite ile karşılaşmıştır.
Örneğin, şüpheli email sayısı her yıl %25 artarken, dropper file sayısı %77 düşmüş, call home activity sayısı %93 artmış, exploit kit kullanım oranı % 98 düşmüş, kötü amaçlı yönlendirme aktivitesi sayısı aynı kalmış.
- Tanımlama Tuzağından Kaçının :
Hacker’ların bilgiyi toplayabildikleri, logging ve tracking süreçlerini atlatabildikleri veya gizliliklerini koruyabildikleri durumlarda tanımlama yapmak özellikle zor. Aynı ikinci dereceden kanıtın çok kez analiz edilmesi, çok farklı sonuçların elde edilmesiyle sonuçlanabilir. Bir atağı onarım aşamasında takip etmek için yeterli zaman ayırılması gerekiyor.
Korunma Yöntemleri Ne Olabilir?
- IT’nin IQ’sunu yükseltme : Kaynak kullanımları ve teknolojilerin benimsenmesi konusunda yeni yaklaşımlar edinilmezse, 2017 yılına gelindiğinde güvenlik personelinde 2 milyonluk bir açık olması bekleniyor. Böyle bir durumda, kurumların rakipleri tarafından alt edilmesi kaçınılmaz olacaktır.
- İç Tehditleri Anlama : Çalışanlar tarafından kazara veya kasıtlı olarak gerçekleştirilmiş eylemler, iç tehdit olarak, veri güvenliği konusundaki risk faktörlerinden biri olmaya devam edecek.
- Hassas Altyapı : 2014 yılında, tehdit unsurlarının ağ altyapısına dek yayıldığı görüldü. Çünkü gizli kalmış zayıflıklar, Bash, OpenSSL, SSLv3 ve yıllardır kullanılan diğer popüler kod temellerinde ortaya çıkmış durumda.
- Nesnelerin İnterneti – Tehdit Çoğaltıcı : Nesnelerin interneti, 2020 yılına gelindiğinde, 20 ila 50 milyar arası cihaz aracılığıyla saldırı fırsatlarını arttıracak. Nesnelerin interneti, eskiden aklımıza bile gelmeyecek bağlantı ve aplikasyonlar sunuyor. Bununla birlikte yayılma kolaylığı ve keşfetme arzusu, güvenlikle ilgili endişeleri kapatmamalıdır.
Websense Security Labs 2015 Tehdit Raporu verileri, ThreatSeeker Intelligence Cloud kullanılarak, tüm dünyadan gelen, günde 5 milyara kadar girdinin alınmasıyla elde edilmiş ve işlenmiş. Uzman yorumları, Avrupa, Orta Doğu, Asya ve Kuzey Amerika’da bulunan araştırmacı ve mühendislerin Kill Chain üzerinde gerçekleşen saldırı aktivitelerini incelemesi sonucu ve anketler sonucu hazırlanmış.
Kaynak : 