CrowdStrike’ın 2024 raporundan öne çıkanlar:
- Kimlik temelli ve sosyal mühendislik saldırıları hâlâ ön planda.
- Bulut ortamına izinsiz girişler 2022’den 2023’e %75 arttı.
- Üçüncü taraf ilişkilerinin kötüye kullanılması, saldırganların yüzlerce hedefi vurmasını kolaylaştırır.
- CrowdStrike, 2023’te 34 yeni tehdit aktörünü bünyesine kattı.
- Saldırganlar ağları daha hızlı bir şekilde ele geçiriyor.
- Saldırganlar çevre ağlarını hedef alıyor.
CrowdStrike’ın yeni 2024 Küresel Tehdit raporu, siber saldırılardaki en son trendleri açığa çıkarıyor ve biz de işletmelerin ilgisini çeken ana konuları vurguluyoruz.
CrowdStrike’ın 2023’te 34 yeni tehdit aktörünü gözlemlemesiyle siber saldırı ekosistemi büyümeye devam ediyor. Saldırganlar, çoğunlukla finansal amaçlarla giderek daha fazla bulut ortamlarını hedef alıyor. Ancak bazı durumlarda saldırganların şirket içi sunuculara erişmesine olanak tanıyor.
Tedarik zinciri saldırıları sıklıkla kullanılır çünkü bu saldırılar, bir tehdit aktörünün birden fazla hedefi kolayca vurmasına olanak tanır. Neredeyse her güvenilir ilişki uzlaşması, ticari yazılım sağlayan kuruluşlara yapılan izinsiz girişlerden kaynaklandığından, teknoloji sektöründe faaliyet gösteren kuruluşlar da bu saldırılara karşı benzersiz bir risk altındadır. Ağ çevre birimindeki Kullanım Ömrü Sonu ürünler ve yönetilmeyen cihazlar da hedeflenmektedir.
1. Kimlik temelli ve sosyal mühendislik saldırıları hâlâ ön planda.
Kimlik avı, hedeflenen kuruluşların çalışanlarından kimlik bilgileri elde etmek için hâlâ geçerli bir yöntem olsa da, saldırıları gerçekleştirmek için diğer kimlik doğrulama verileri de kullanılıyor. Siber güvenlik saldırısının motivasyonu ne olursa olsun, kimlik tabanlı ve sosyal mühendislik saldırıları hala ön plandadır.
Örneğin, FANCY BEAR tehdit aktörü 2023’te kimlik avı kampanyaları yürüttü ve Yahoo!’dan kimlik bilgilerini toplamak için özel bir araç seti geliştirdi. Mail ve ukr.net web posta kullanıcıları. Araç seti, Tarayıcıdaki Tarayıcı tekniğini kullandı ve kimlik doğrulamada kullanılan tek seferlik şifreleri toplamak için çok faktörlü kimlik doğrulama müdahalesi yetenekleri ekledi.
SCATTERED SPIDER, kimlik bilgilerini almak için SMS kimlik avı (smishing) ve sesli kimlik avı (vishing) yöntemlerini kullandı. Ve tehdit aktörü, hedeflenen çalışanlar üzerinde SIM değiştirme operasyonları yürütmek için telekomünikasyon kuruluşlarına daha önce yapılan izinsiz girişlerden yararlandı; SIM değişimi etkinleştiğinde tehdit aktörü, OTP kodlarını içeren SMS mesajlarını doğrudan alabilir. Ayrıca tehdit aktörü, hedefinin fiziksel konumuna dayalı tespitleri atlamak için sıklıkla konut proxy’leri kullandı.
API anahtarları ve sırları da saldırganlar tarafından hedef alınır; bunlara sahip olmak, bir siber suçlunun API anahtarları veya sırları değiştirilmediği sürece süresiz erişimi sürdürmesine olanak tanır. Çerez oturumu ve token hırsızlığı da 2023 yılında tehdit aktörleri tarafından kullanıldı.
Ayrıca saldırganlar, çevrimdışı olarak kırılabilecek şifrelenmiş kimlik bilgilerine erişim sağlamak için Kerberos biletlerini çalar veya taklit eder. CrowdStrike, Kerberoasting saldırılarında %583 oranında büyük bir artış gözlemledi.
2. Bulut ortamına izinsiz girişler %75 arttı.
CrowdStrike, bulut ortamına izinsiz girişlerin 2022’den 2023’e kadar küresel olarak %75 arttığını kaydetti (Şekil A).
CrowdStrike’ın analizinde ekip, bulut bilincine sahip durumları (yani saldırganın bulut ortamından haberdar olduğu ve onu kullandığı durumları) ve buluttan bağımsız durumları (yani bir saldırganın bulut ortamını fark etmediği veya fark etmediği durumları) ayırıyor. kullanın).
2022’den 2023’e kadar bulut bilincine sahip vakalar %110 oranında artarken, buluttan bağımsız vakalar ise %60 arttı.
Finansal motivasyona sahip siber suçlular, bulut ortamlarını hedeflemede en aktif olanlardır; bulut bilinçli izinsiz girişlerin %84’ünden sorumludurlar, hedeflenen izinsiz girişler ise yalnızca %16’sını temsil eder.
Saldırganlar kurumsal ağları hedeflemek için bulut ortamına izinsiz girişlerden yararlanabilir. Örnek olarak, SCATTERED SPIDER tehdit aktörü, hedeflenen kuruluşun dahili ağına erişmek ve bu ağ içinde yanal olarak hareket etmek için VPN’yi kullanmadan önce VPN talimatlarını aramak için genellikle kurbanın Microsoft 365 ortamlarını kullanır.
3. Üçüncü taraf ilişkilerinin kötüye kullanılması, saldırganların yüzlerce hedefi vurmasını kolaylaştırır
CrowdStrike’ın raporuna göre, hedeflenen izinsiz giriş aktörleri, 2023’te birden fazla dikey ve bölgedeki kuruluşlara erişim sağlamak için sürekli olarak güvenilir ilişkilerden yararlanmaya çalıştı.
Bu saldırıların, saldırganlar için ilginç bir yatırım getirisi var: BT hizmetleri sağlayan bir üçüncü tarafın veya bir yazılım tedarik zincirinin parçası olan bir üçüncü tarafın riske atılması, yüzlerce veya binlerce takip hedefinin oluşmasına yol açabilir. Bu saldırılar aynı zamanda sağlamlaştırılmış bir kuruluşu hedef alan saldırganlara daha etkili bir şekilde yardımcı olabilir.
Örneğin, JACKPOT PANDA, kumar toplulukları tarafından sıklıkla kullanılan Çin merkezli popüler bir sohbet uygulaması olan CloudChat için truva atı haline getirilmiş bir yükleyici kullandı ve bu, sonunda kullanıcılara XShade adlı bir kötü amaçlı yazılım bulaştırdı.
Başka bir vakada, kimliği belirsiz bir tehdit aktörü, meşru yazılım güncelleme süreci aracılığıyla kötü amaçlı yazılım dağıtmak için Hindistan merkezli bir bilgi güvenliği yazılımı satıcısının güvenliğini tehlikeye attı.
CrowdStrike’a göre, güvenilir ilişki uzlaşmaları yakın gelecekte hedeflenen izinsiz giriş aktörlerinin ilgisini çekmeye devam edecek. Teknoloji sektöründe faaliyet gösteren kuruluşlar, dünya çapında birçok kuruluşa hizmet verdikleri için daha yüksek risk altındadır.
4. CrowdStrike, 2023’te 34 yeni tehdit aktörünü bünyesine kattı.
CrowdStrike, 2023 yılı boyunca 232 aktörden oluşan listesine, düşman olarak da adlandırdıkları 34 yeni tehdit aktörünü ekledi. CrowdStrike, bilinen bu düşmanlara ek olarak 130’dan fazla aktif ve kötü amaçlı etkinlik kümesini izliyor.
Özel Veri Sızıntısı siteleri, ifşa edilen mağdur sayısında 2022 yılına göre %76 artış göstererek 2023 yılı için toplam mağdur sayısını 4.615’e çıkardı. Yeni ortaya çıkan Big Game Hunting oyuncuları da mağdur sayısını artıran faktörlerden biri. mevcut düşman operasyonlarının ve birden fazla Graceful Spider tehdit aktörü operasyonu gibi yüksek hacimli kampanyaların büyümesine. Bu tehdit aktörü, dünya çapında yüzlerce kurbandan veri toplamak için üç sıfır gün güvenlik açığından yararlandı.
5. Saldırganlar ağları daha hızlı bir şekilde ele geçiriyor.
Hedeflenen ağda ilk tutunma noktasını kazanmak genellikle saldırının yalnızca ilk aşamasıdır; Saldırganların, içeri girdikten sonra ele geçirilen ilk cihazdan çıkıp hedeflerine ulaşmak için ağın diğer bölümlerine doğru hareket etmeleri gerekiyor.
Etkileşimli e-Suç saldırı faaliyeti için ortalama kaçış süresi 2022 ile 2023 arasında 84 dakikadan 62 dakikaya düştü; en hızlı kaçış süresi ise 2 dakika 7 saniye oldu.
CrowdStrike tarafından sağlanan bir örnekte, bir saldırgan, ağ üzerinde bir keşif operasyonu yürütmek ve sistem bilgilerini ele geçirmek için oturum açmaya izinsiz girişin başlamasından 31 saniye sonra yasal araçları devre dışı bıraktı. Ardından saldırgan ek dosyalar bıraktı ve 3 dakika içinde fidye yazılımı da dahil olmak üzere daha fazla araç eklendi (Şekil B).
Rapora göre saldırganlar, daha az kötü amaçlı yazılım kullanarak ve çalıntı kimlik bilgileri kullanmak ve güvenilir ilişkilerdeki açıklardan yararlanmak gibi daha etkili yöntemler kullanarak da zaman kazanıyor. Kötü amaçlı yazılım içermeyen etkinlikler artık 2023’teki tüm tespitlerin %75’ini temsil ediyor; bu oran 2022’deki %71 ve 2021 öncesindeki oran %62’den azdı. Kimlik saldırılarının başarısı ve ilk erişim aracılarından geçerli kimlik bilgilerinin satın alınması, bu daha az yazılım kullanma eğilimini açıklıyor kötü amaçlı yazılım.
6. Saldırganlar çevre ağlarını hedef alıyor.
Uç nokta tespit ve yanıt sensörlerinin kullanımının artması nedeniyle tehdit aktörleri, ağ çevresini hedef alarak ilk erişim ve yanal hareketler için istismar taktiklerini uyarladılar (Şekil C).
Bazı cihazların kurumsal ağ içindeki güvenlik çözümleri tarafından izlenmesi zorunlu değildir. Özellikle, uç ağ geçidi cihazları genellikle eski mimariye dayalıdır ve bu nedenle saldırganlar tarafından kullanılabilecek çeşitli güvenlik açıklarına karşı savunmasızdır.
Örneğin, güvenlik duvarları ve VPN platformlarındaki güvenlik açıkları 2023’te Cisco, Citrix ve F5’i vurdu. Yönlendiriciler, cep telefonları veya NAS/yedek depolama da etkilenebilir.
CrowdStrike, 2023’te gözlemlenen başka bir eğilimin altını çizdi: Saldırganın Kullanım Ömrü Sonu ürün istismarına odaklanması. Artık yama uygulanmayan ve çoğu zaman modern güvenlik çözümlerinin konuşlandırılmasına izin vermeyen bu ürünler, bu ürünleri kötüye kullanmak için aktif olarak açıklardan yararlanan saldırganlar tarafından hedef alınmaktadır.
BAKIN: Botnet Saldırısı Hedefli Yönlendiriciler: Uzaktaki Çalışanların Donanımının Güvenliğini Sağlamak için Bir Uyandırma Çağrısı
Bu siber güvenlik risklerini azaltmaya yönelik öneriler
CrowdStrike’a göre, ekipleri sosyal mühendislik konusunda eğitmenin yanı sıra, kimlik avına karşı dayanıklı MFA’yı uygulamak ve bunu eski ve protokolleri kapsayacak şekilde genişletmek çok önemli.
Kimlik avı ve sosyal mühendislik tekniklerini anlamak ve bunlarla mücadele etmek için kullanıcı farkındalık programları başlatılmalıdır.
Kimlik, uç nokta ve bulut ortamlarındaki tehditleri tespit edip ilişkilendirebilen teknoloji uygulanmalıdır.
Çalışma öncesi koruma, çalışma zamanı koruması ve aracısız teknoloji içeren Bulut Yerel Uygulama Koruma Platformları, olası tehditleri ve güvenlik açıklarını izlemek ve tespit etmek için birleşik bir platform sağlamayan yalıtılmış bulut güvenlik araçlarına tercih edilmelidir.
Saldırganlar daha az kötü amaçlı yazılım kullanma ve geçerli kimlik bilgileri ile yasal araçlar kullanma eğiliminde olduğundan, savunucuların normal kullanıcı ve saldırgan etkinlikleri arasında ayrım yapması zordur; Bu görev için kimlik, bulut, uç nokta ve veri koruma telemetrisi arasındaki ilişkilerin anlaşılması zorunludur. Tek bir yerde tam görünürlük sağlayan konsolide bir güvenlik platformunun uygulanması gerekmektedir.
Ayrıca savunucuların, açığa çıkan ürünlere yama uygulamasına ve EOL ürünlerinden kurtulmaya öncelik vermesi gerekir.
Açıklama: Trend Micro için çalışıyorum ancak bu makalede ifade edilen görüşler bana aittir.
Kaynak: https://www.techrepublic.com/article/crowdstrike-2024-global-threat-report/