FortiGuard Labs verilerine göre 2020’nin ikinci yarısında siber saldırganlar, uzaktan çalışanları ya da eğitim alanları ve dijital tedarik zincirini hedef aldı. Fidye yazılımının hareketliliğinde ilk yarıya kıyasla yedi kata varan bir artış gözlemlendi. Ayrıca Microsoft platformları en çok başvurulan saldırı hedefi olarak öne çıkıyor.
Fortinet, yılda iki kez yayınladığı FortiGuard Labs Küresel Tehdit Raporu‘nun en yeni bulgularını paylaştı. 2020’nin ikinci yarısında elde edilen tehdit istihbaratı, siber saldırganların dünyanın farklı noktalarında gerçekleştirdiği atakların ölçeğini artırmak için sürekli genişleyen saldırı zemininden kazandıkları avantajı en üst seviyeye çıkardığını gösteriyor. Bu da daha önce görülmemiş bir siber tehdit zemininin oluşmasına neden oluyor. Kendini geliştirme konusunda son derece başarılı olan saldırganlar, yıkıcı etkiler yaratan gelişmiş saldırı zincirleri oluşturuyor. Geleneksel ağın dışında yer alan uzaktan çalışanları ve uzaktan eğitim alanlarını da hedef alan saldırganlar, bu sırada dijital tedarik zincirlerini ve ağ merkezini hedef alırken daha da çevik olduklarını gösteriyor. 2020’nin ikinci yarısını kapsayan raporun öne çıkan noktaları aşağıda yer alıyor:
Fidye Yazılımlarının Baskın Tehlikesi Devam Ediyor: FortiGuard Labs verileri 2020’nin ilk yarısına kıyasla birkaç trendden ötürü fidye yazılımının hareketliliğinde yedi kata varan bir artış gözlemliyor. Hizmet olarak fidye yazılımının (RaaS) gelişmesi, daha fazla ses getirmesi için yüksek fidyelerin istenmesi ve koşullar yerine getirilmezse veriyi erişime açma tehdidi bir araya gelmesi bu önemli artışın sebeplerini oluşturuyor. Egregor, Ryuk, Conti, Thanos, Ragnar; WastedLocker, Phobos/EKING ve BazarLoader, farklı yaygınlık derecesine sahip olan ancak en aktif fidye yazılımları olarak karşımıza çıkıyor. Fidye yazılımları tarafından sıklıkla hedef alınan sektörler arasında sağlık, profesyonel hizmetler, tüketici hizmetleri, kamu sektörü ve finansal hizmetler yer alıyor. Gelişen fidye yazılımlarına karşı etkili bir şekilde korunabilmek için kurumların sıklıkla eksiksiz yedekleme yapması ve bu yedekleri de şirket dışında güvenli bir yerde bulundurması gerekiyor. Sıfır güven erişimi (ZTNA) ve segmentasyon stratejilerinin de riski en aza indirmek için dikkate alınması gerekiyor.
Tedarik Zinciri Öne Çıkıyor: Tedarik zinciri saldırıları çok uzun zamandır yaşanıyor ancak SolarWinds sızıntısı bunu çok farklı boyutlara taşıdı. Saldırı gerçekleşirken bilgilerin büyük çoğunluğu ilgili şirketlerle paylaşıldı. FortiGuard Labs bu gelişmekte olan istihbaratı yakından takip etti. Daha sonra oluşturduğu bu istihbaratı ilgili aktiviteleri tespit etmek ve IoC’ler oluşturmak için kullandı. Aralık 2020’de SUNBURST ile bağlantılı internet altyapısıyla iletişim tespitleri, kampanyanın küresel olduğunu gösteriyor. “Five Eyes” birliğinin kötü amaçlı IoC’lerle eşleşen yüksek miktarda trafik gözlemlemesi de bu durumu doğruluyor. İkincil hedeflerin olduğunu belirten kanıtlar, modern tedarik zinciri saldırılarının birbiriyle bağlantılı yapısını ve tedarik zinciri risk yönetiminin önemini gözler önüne seriyor.
Saldırganlar Online Aktiviteleri Hedef Alıyor: En uzun süre varlığını devam ettiren kötü amaçlı yazılım kategorileri incelendiğinde siber saldırganların şirket içinde bir dayanak oluşturmak için en sık tercih ettiği yöntem açığa çıkıyor. Microsoft platformu, birçok kişinin sıradan bir iş gününde kullandığı belgelerden faydalanmak için en çok başvurulan saldırı hedefi olarak öne çıkıyor. Web tarayıcıları da başka bir hedef. Bu HTML kategorisinde, kötü amaçlı yazılım yüklü oltalama siteleri ve kod enjekte eden ya da kullanıcıları kötü amaçlı sitelere yönlendiren komut dizileri yer alıyor. Bu tür tehditler, küresel sorunlar yaşandığında ya da online ortamların büyük ölçüde kullanıldığı dönemlerde artış gösteriyor. Şirket ağından internete genellikle web filtreme hizmeti kullanarak bağlanan çalışanlar, internete bu koruyucu filtre olmadan bağlandığı için kendilerini daha fazla tehlikeye açık hissediyor.
Evden Çalışanlar Hala Hedef Alınıyor: 2020’de ev ile ofis arasındaki engeller önemli ölçüde ortadan kalktı. Bu da evleri hedef alan saldırganların şirket ağına daha kolay girebilmesini sağlıyor. 2020’nin ikinci yarısında Nesnelerin İnterneti (IoT) cihazlarını hedef alan saldırılar, listenin ilk sıralarında yer aldı. Her IoT cihazı, beraberinde korunması ve her cihazda olması gerektiği gibi güvenlik izlemesi ve uygulaması gerektiren yeni bir uç nokta haline geliyor.
Tehdit Aktörleri Dünya Sahnesine Çıkıyor: Gelişmiş Kalıcı Tehdit (Advanced Persistent Threat, APT) grupları birçok yöntem ile COVID-19 pandemisini istismar etmeye devam ediyor. Bu yöntemler arasında en sıklıkla kullanılanı ise sayıca fazla bireyin kişisel bilgilerini toplamaya ve çalmaya odaklanan, APT gruplarının uluslara yönelik ilgili istihbaratları ele geçiren saldırıları yer alıyor. 2020’nin sonuna yaklaşıldığında aşı araştırması ya da yerel veya uluslararası sağlık ilkeleri geliştirmek gibi COVID-19 ile ilgili bir iş yapan kurumları hedef alan APT aktivitelerinde bir artış gözlemlendi. Hedef alınan kurumlar arasında kamu kuruluşları, ilaç firmaları, üniversiteler ve medikal araştırma şirketleri yer alıyor.
Zafiyet İstismarları Azalıyor: Siber saldırganlar zafiyetleri kendi faydalarına göre istismar etmek istediği için şirketlerin öncelikleri arasında zafiyetleri yamayla kapatma ve ortadan kaldırma gibi başlıklar yer alıyor. Son iki yılda bilinen 1.500 zafiyetin durumu incelendiğinde ortaya çıkan veri, zafiyetlerin ne kadar hızlı ortaya çıktığını ve kapsamlı olduğunu ortaya koyuyor. Durum her zaman böyle olmasa da birçok zafiyet çok hızlı yayılıyor gibi görünmüyor. Son iki yılda gözlemlenen zafiyetlerin sadece yüzde 5’i, şirketlerin yüzde 10’undan fazlasında görüldü. Aksi bir durum olmazsa, bir zafiyet rastgele seçildiğinde veriler, şirketlerin bu zafiyet üzerinden saldırıya uğrama ihtimalinin binde bir olduğunu ortaya koyuyor. Zafiyetlerin yalnızca yüzde 6’sı, ilk ay içerisinde şirketlerin yüzde 1’ine saldırmak için kullanılıyor ve 1 yıl sonrasında bakıldığında zafiyetlerin yüzde 91’i, yüzde 1 barajını geçemiyor. Yine de bilinen zafiyetleri ortadan kaldıracak çalışmalara odaklanmak çok önemli. Bu zafiyetler arasında da yayılım hızı fazla olanlara öncelik vermek gerekiyor.
Siber Suçlularla Savaşmak için Entegre Bir Strateji ve Kapsamlı Farkındalık Gerekiyor
Kurumlar, her alandan gerçekleşen saldırıların bulunduğu bir tehdit zeminiyle karşı karşıya. Tehdit istihbaratı, bu tehditleri anlamak ve gelişen tehdit yöntemlerine karşı savunmak için önemini korumaya devam ediyor. Özellikle çalışanların önemli bir kısmının alışılmış ağ senaryosunun dışında olduğu durumlarda görünürlük kritik öneme sahip. Her cihaz, gözlemlenmesi ve korunması gereken yeni bir ağ bileşeni haline geliyor. Yapay zeka (AI) ve otonom tehdit denetimini kullanarak şirketler saldırılara sonra değil, anında karşılık verebiliyor. Ayrıca uç noktaların tamamında hızından ve ölçeğinden bağımsız olarak tüm saldırıların etkisini azaltmak için de gerekli. Siber hijyen sadece BT’yi ve güvenlik ekiplerini değil, herkesi ilgilendirdiği için kullanıcı farkındalığına yönelik siber güvenlik eğitimlerine de öncelik verilmesi gerekiyor. Çalışanları ve kurumları güvenli tutmak için herkesin düzenli eğitime ve en iyi uygulamalara yönelik açıklamaya ihtiyacı var.
FortiGuard Labs Güvenlik Yaklaşımları ve Global Tehdit Ortaklığı Başkanı Derek Manky, konuyla ilgili şunları söyledi:
“2020’nin ilk gününden son gününe kadar her an dikkat çeken bir siber tehdit zemini gördük. Pandeminin de etkisiyle yılın ilerleyen dönemlerinde siber saldırganlar saldırılarını yıkıcı sonuçlar yaratacak şekilde geliştirdi. Dijital saldırı zeminini merkez ağın da ilerisine taşıyarak uzaktan çalışanları ya da eğitim alanlarını ve dijital tedarik zincirini kapsayacak şekilde genişlettiler. Artık her şey daha büyük bir dijital ortamda birbirleriyle bağlantı halinde olduğu için siber güvenlik riski de hiç olmadığı kadar arttı. Aksiyon alınabilen tehdit istihbaratıyla desteklenen entegre ve yapay zekadan güç alan platform yaklaşımı, sınırların tamamında korumayı sağlayabilmek ve günümüz dünyasında kurumların karşılaştığı tehditleri gerçek zamanlı bir şekilde tespit edebilmek ve ortadan kaldırabilmek için kritik öneme sahip.”
Raporun Özeti
Küresel Tehdit Raporu, FortiGuard Laboratuvarları’nın Fortinet’in geniş çaplı global sensörlerinden elde ettiği 2020’nin ikinci yarısına ait kolektif istihbarat bilgilerini yansıtan bir raporudur. MITRE ATT&CK yapısının saldırganların yöntemlerini ve tekniklerini keşif, kaynak geliştirme ve ilk erişim olacak şekilde üç başlıkta sınıflandırmasına benzer olarak FortiGuard Labs Küresel Tehdit Raporu da tehdit aktörlerinin zafiyet bulma, kötü amaçlı yazılım altyapısı geliştirme ve hedeflerini istismar etme süreçlerini tanımlamak için bu modelden faydalanıyor. Raporda aynı zamanda küresel ve bölgesel bakış açıları da yer alıyor.