Kapsamlı, entegre ve otomatik siber güvenlik tahlillerinde dünya önderi Fortinet, her çeyrekte yayınlanan Tehdit Görünümü Raporu’nun en aktüel bulgularını açıkladı. Rapora nazaran, hatalılar kazanımlarını artırmak için özel tasarlanmış fidye yazılımlar ve kimi hücumlara özel kodlamadan, gizlenmek için yasal görünen araçlardan faydalanma (living-off-the-land-LoTL) tekniğine ya da altyapı paylaşımına kadar hücum prosedürlerini daha da sofistike hale getirmeye devam ediyor.
Fortinet Bölge Teknoloji Yöneticisi Melih Kırkgöz raporun bulgularını şöyle kıymetlendirdi: “Maalesef, siber hatalılar topluluğunun ulus-devlet aktörlerinin strateji ve metodolojilerini yansıtmaya devam ettiğini görüyoruz. Siber hatalılar hedefledikleri aygıtları ve ağları geliştiriyor. Kurumlar, geleceğe hazırlanmak ve siber riskleri yönetmek için stratejilerini gözden geçirmelidir. Bu manada atılacak birinci adım, temel unsurları layıkıyla yerine getirerek savunma için sürat ve bağlanırlık üzere siber alanın temel unsurlarından yararlanmayı gerektiren siber güvenliğe bir bilim üzere yaklaşmaktan geçiyor. Güvenliğe, makro ve mikro segmentasyona ‘fabric’ tabanlı bir yaklaşım getirmek ve yapay zekanın yapıtaşları olarak makine öğrenme ve otomasyondan yararlanmak siber suçluları sıfırdan başlamaya mecbur bırakmak için düzgün bir fırsat sunabilir.”
Raporda öne çıkan bulgular şöyle:
Ele geçirme öncesi ve sonrası aksiyon trafiği: Tehdit aktörlerinin taarruz fazlarını haftanın farklı günlerinde gerçekleştirip gerçekleştirmediğini tespit etmeyi amaçlayan araştırmalar, siber hatalıların her vakit amaçlarından azamî yarar sağlamanın yollarını aradıklarını gösteriyor. Hafta içi ve hafta sonlarında iki siber akın ömür döngüsü fazlarının web filtreleme hacimleri kıyaslandığında, ele geçirme saldırısı öncesi aksiyonların iş günlerinde gerçekleşme ihtimalinin yaklaşık üç kat daha yüksek olduğu, bu açıdan ele geçirme sonrası süreç trafiğinin ise daha az farklılaşma gösterdiği görülüyor. Bunun esas sebebi istismar aksiyonunun birden fazla sefer oltama (phishing) e-postasına tıklanması üzere bir biri tarafından alınması gereken bir aksiyon gerektirmesinden kaynaklanıyor. Buna karşılık, komuta ve denetim (C2), rastgele bir aksiyon gerektirmez ve her vakit gerçekleşebilir. Siber hatalılar bunu biliyor ve internet trafiğinin en üst düzeylerde olduğu hafta içi günlerinde bu fırsattan en düzgün biçimde yararlanmaya çalışacaklar. Bu açıdan, hafta içi ve hafta sonu uygulanan web filtreleme uygulamalarının farklılaşmasının, çeşitli taarruzların ömür döngüsünün bütünüyle anlaşılabilmesi için kıymetli olduğu görülüyor.
Tehditlerin büyük bir kısmı altyapıyı paylaşıyor: Farklı tehditlerin altyapı kullanımının hangi boyutlarda olduğu kıymetli trendler ortaya koyuyor. Birtakım tehditler, ortak kullanılan altyapılardan, tekil ya da özel altyapılara nazaran daha fazla yararlanıyor. Tehditlerin yaklaşık yüzde 60’ı en az bir alanı (domain) kullanıyor; bu da botnetlerin büyük bir kısmının yerleşik altyapılardan faydalandığını gösteriyor. IcedID ziyanlı yazılımı, “ödünç alabilecekken neden satın alasın ya da kendin yapasın” biçiminde özetlenebilecek bu davranışa bir örnek olarak gösteriliyor. Buna ek olarak, tehditler altyapıyı kullandığında, bunu, siber akın ömür döngüsünün birebir etabı içinde yapmayı tercih ediyorlar. Bir tehdidin istismar için bir domain’den yararlanması ve onu daha sonra C2 trafiği için kullanması olağandışıdır. Bu durum, makus niyetli kullanıldığında altyapının oynadığı özel rolü ve fonksiyonu gözler önüne seriyor. Hangi tehditlerin altyapıyı kullandığının ve akın döngüsünün hangi noktalarında kullanıldığının anlaşılması, kurumların gelecekteki ziyanlı yazılım ya da botnetlerin potansiyel gelişim noktalarının öngörülmesini sağlar.
İçerik idaresi daima idare gerektiriyor: Siber saldırganların, fırsatlardan en kısa müddette ve en üst düzeyde yarar elde etmek için, istismar edilmiş zafiyetleri ve yükselişte olan teknolojileri hedefleyerek, bir fırsattan başkasına geçme eğiliminde oldukları görülüyor. Web ortamında bir kimlik inşa etmeleri için tüketicilerin ve işletmelerin işini kolaylaştıran web platformları, son vakitlerde siber hatalıların dikkatini çeken yeni teknolojilere bir örnek olarak gösterilebilir. Üçüncü taraf eklentilerle bağlantılı olsalar bile bu platformlar gaye alınmaya devam ediyor. Bu durum, yamaların anında uygulanmasının ve saldırganların bir adım ötesinde kalmak için istismarların daima değişen dünyasını tanımanın ne kadar kritik olduğunu gösteriyor.
Fidye yazılımlar hala büyük tehdit: Genellikle, fidye yazılımların geçmiş devirlerdeki ağır görülme oranları yerini daha spesifik amaçlı akınlara bıraksa da, fidye yazılımlar hala geçerliliğini koruyor. Hatta, çoklu ataklar fidye yazılımların yüksek kıymetli amaçlar ve saldırgana ağa imtiyazlı erişim sağlamak için tadil edildiğini gösteriyor. LockerGoga, çok basamaklı bir atakta kullanılan bir fidye yazılım örneğidir. LockerGoga’yı fonksiyonel gelişmişlik açısından öteki fidye yazılımlardan ayıran çok büyük bir farklılık bulunmuyor; lakin, fidye yazılım araçlarının büyük çoğunluğu atlatma tekniklerinden kaçınmak için muhakkak ölçüde gizlenme taktiği uygulasa da, tahlil edildiğinde bu taktiğin çok az kullanıldığı görülüyor. Bu durum, hücumun makul bir gayeye yönelen yapısı olduğuna ve ziyanlı yazılımın basitçe tespit edilemeyeceğinin varsayıldığına işaret ediyor. Buna ek olarak, başka birçok ziyanlı yazılımlar üzere, Anatova da bulaştığı sistemin çalışabilirliğini etkileyebilecek rastgele bir şeyi sistematik olarak şifrelemek dışında, saldırdığı sistemde mümkün olduğunca çok sayıda belgeyi şifrelemeyi hedefliyor. Anatova, ziyanlı yazılım tahlillerinde ve sanal tuzak olarak kullanıldığı görülen bilgisayarlara da bulaşmaktan kaçınıyor. Bu iki fidye yazılım türevi, güvenlik başkanlarının meta elde etmeyi amaçlayan fidye yazılımlarına karşı yamalama ve yedeklemelere odaklanmaya devam etmeleri gerektiğini gösteriyor. Lakin, daha spesifik maksatlı tehditlerin kendilerine mahsus taarruz metotlarından korunmak daha özel niteliklerle tasarlanmış savunma pratikleri gerektiriyor.
“Gizlenmek için yasal görünen araçlardan faydalanma (Living off the land – LoTL)“ tekniğinin kullandığı taktikler ve araçlar: Tehdit aktörleri kurbanlarıyla birebir iş modellerini kullanarak çalıştıkları için, uğraşlarını artırmak maksadıyla, sisteme birinci girişten sonra bile hücum metotlarını geliştirmeye devam ediyorlar. Tehdit aktörleri, bunu başarmak emeliyle, çift kullanımlı araçlardan ya da hedefledikleri sistemlere siber akın düzenleyebilmek için daha evvelce kurulan araçlardan giderek daha çok yararlanıyor. LoTL ismi verilen bu metot, siber korsanların hareketlerini yasal süreçlere gizlemesini ve böylelikle savunma sistemleri tarafından basitçe tespit edilememesini sağlıyor. Bu araçlar, taarruzun nitelendirilmesini de zorlaştırıyor. Maalesef, siber saldırganlar amaçlarına ulaşmak için çok çeşitli yasal araç kullanarak göz önündeyken fark edilememeyi başarıyorlar. Akıllı savunucuların, idari araçlara ve ortamlarındaki log kullanımına erişimlerini kısıtlaması ve gerekiyor.
Dinamik ve proaktif tehdit istihbaratı ihtiyacı
Bir kurumun hem mevcut tehdit trendlerine karşı savunma hünerini geliştirmek, hem de vakit içerisinde taarruzların evrimleşmesine ve otomatize hale gelmesine karşı kurumu hazırlamak, dinamik, proaktif ve dağıtık ağın her yerinde hazır bulunan bir tehdit istihbaratını gerektiriyor. Bu bilgi, dijital taarruz alanını hedefleyen akın yollarının evrimleşmesini gösteren trendlerin tanımlanmasına ve siber hatalıların uğraşlarını ağırlaştırdığı siber hijyen önceliklerinin belirlenmesine yardımcı olabilir. Tehdit istihbaratına dayanarak aksiyon alma mahareti ve değeri, her bir güvenlik aygıtında eş vakitli olarak uygulanabilir olmaması durumunda önemli oranda azalıyor. Sırf kapsamlı, entegre ve otomatik bir security fabric mimarisi, nesnelerin internetinden uca, ağ çekirdeğinden çoklu bulutlara kadar ağın tamamı için geniş ölçekli ve süratli bir müdafaa sağlayabilir.
Rapor ve endekse dair genel bilgi
Fortinet Global Tehdit Raporu her çeyrekte yayınlanan ve FortiGuard Laboratuvarlarının Fortinet’in geniş çaplı küresel sensörlerinden elde ettiği 2019 yılının 1. Çeyreğine ilişkin kolektif istihbarat bilgilerini yansıtan bir raporudur. Araştırma bilgileri global ve bölgesel perspektifleri kapsar. Raporda bu görünümün merkezi ve tamamlayıcı istikametleri olan istismarlar, ziyanlı yazılımlar, botnetlerin bu çeyrekteki yaygınlığını ve hacmini gösteren Fortinet Tehdit Görünümü Endeksi (TLI) de yer alır.
