Ağ güvenliği ve zekası, güvenli Wi-Fi, gelişmiş uç nokta koruması ve çok faktörlü kimlik doğrulamanın önde gelen küresel sağlayıcısı WatchGuard’ın 3. Çeyrek İnternet Güvenlik Raporu yayımlandı. Yeni rapor, COVID-19 tehdit eğilimlerine, rekor seviyede artan ağ saldırıları ile ABD SCADA sistemlerini hedefleyen kötü amaçlı yazılımlara ve daha fazlasına ışık tutuyor.
WatchGuard, 2020 yılının üçüncü çeyreğine ilişkin İnternet Güvenlik Raporu’nun yayımlandığını duyurdu. Araştırmadan elde edilen en önemli bulgular arasında, COVID-19’un güvenlik tehdidi ortamını nasıl etkilediğine, uzaktan çalışmaya geçişe rağmen saldırganların kurumsal ağları hedeflemeye devam ettiğine ve salgınla ilgili kötü amaçlı domainlerde ve kimlik avı kampanyalarında artışa dair kanıtlar bulunuyor.
Hem Uç Nokta Hem de Ağların Korunması Yeni Normalde de Öncelik Konusu
COVID-19’un etkisi gelişmeye devam ederken, tehdit istihbaratlarının saldırganların taktiklerini nasıl ayarladıkları konusunda önemli bilgiler sağladığına dikkat çeken WatchGuard CTO’su Corey Nachreiner, “Güvenlik söz konusu olduğunda, yeni normal diye bir şey olmasa da şirketler hem uç nokta hem de ağ için korumayı artırmanın 2021 ve sonrasında bir öncelik olacağından emin olabilirler. Ayrıca gizlenmiş ve şifreli saldırıları, gelişmiş kimlik avı kampanyalarını ve daha fazlasını azaltabilen hizmetlerle bilgi güvenliğine katmanlı bir yaklaşım oluşturmak da önemli olacaktır.” açıklamalarında bulundu.
Üçüncü Çeyrekte Dikkat Çekenler
Ortaya çıkan ve sürekli gelişen tehdit ortamını etkileyen en son kötü amaçlı yazılım ve ağ saldırısı eğilimleri hakkında şirketleri, iş ortaklarını ve son kullanıcıları somut veriler, uzman analizi ve eyleme geçirilebilir içgörülerle bilgilendiren WatchGuard’ın 2020 3. Çeyrek İnternet Güvenlik Raporu’ndan elde edilen temel bulgular şöyle:
1. Ağ saldırıları ve benzersiz tespitlerin her ikisi de iki yılın en yüksek seviyesine ulaştı. Ağ saldırıları, üçüncü çeyrekte 3,3 milyonun üzerine çıkarak bir önceki çeyreğe göre yüzde 90’lık bir artış gösterdi ve son iki yılın en yüksek seviyesine çıktı. Benzersiz ağ saldırısı imzaları da yukarı yönlü bir yönde devam ederek üçüncü çeyrekte de son iki yılın en yüksek seviyesine ulaştı. Bu bulgular, iş gücü gitgide uzaklaşsa bile şirketlerin ağ tabanlı varlıklar ve hizmetler için korumaları sürdürmeye ve güçlendirmeye öncelik vermesi gerektiği gerçeğini vurguluyor.
2. COVID-19 dolandırıcılıklarının yaygınlığı artıyor. Üçüncü çeyrekte, yasal pandemi desteği amacıyla kullanılan web sitelerinde yürütülen bir COVID-19 reklam yazılımı kampanyası, WatchGuard’ın güvenliği ihlal edilen en yaygın 10 web sitesi listesine girdi. WatchGuard ayrıca, Birleşmiş Milletler’i (BM) taklit eden sahte bir giriş sayfasını barındırmak için Microsoft SharePoint’ten yararlanan bir kimlik avı saldırısını ve COVID-19 nedeniyle BM’den küçük işletmelere yardım hakkında mesajlar içeren e-posta oltalamasını tespit etti. Bu bulgular, saldırganların kurbanlarını kandırmak ve dolandırmak için küresel sağlık krizini çevreleyen korku, belirsizlik ve şüpheden yararlanmaya devam edeceğini vurguluyor.
3. Şirketler, yüzlerce kimlik avı saldırısını ve kötü bağlantıları tıklıyor. Üçüncü çeyrekte, WatchGuard’ın DNSWatch hizmeti, toplamda kuruluş başına 499 engellenen bağlantı anlamına gelen birleşik 2.764.736 kötü amaçlı domain bağlantısını engelledi. Daha da açıklayıcı olunursa her kuruluş 262 kötü amaçlı domaine, 71 güvenliği ihlal edilmiş web sitesine ve 52 kimlik avı kampanyasına ulaşacaktı. Yukarıda bahsedilenler, COVID-19 dolandırıcılıklarının ikna edici artışıyla birleştiğinde, bu bulgular DNS filtreleme hizmetlerini ve kullanıcı güvenliği bilinci eğitimini artırmanın önemini gösteriyor.
4. Saldırganlar, ABD’deki savunmasız SCADA sistemlerini araştırıyor. WatchGuard’ın üçüncü çeyrekteki en yaygın ağ saldırıları listesine eklenen yeni bir eklenti, popüler bir denetim kontrolü ve veri toplama kontrol sisteminde (SCADA), önceden yamalanmış bir kimlik doğrulama atlama güvenlik açığından yararlanıyor. Bu güvenlik açığı sınıfı, uzaktan kod yürütme kusuru kadar ciddi olmasa da bir saldırganın sunucuda çalışan SCADA yazılımının kontrolünü ele geçirmesine yine de izin verebilir. Saldırganlar, üçüncü çeyrekte bu tehditle ABD ağlarının yaklaşık yüzde 50’sini hedef alırken, endüstriyel kontrol sistemlerinin önümüzdeki yıl kötü aktörler için önemli bir odak alanı olabileceğini de gözler önüne seriyor.
5. LokiBot’a benzer yaygın bir kötü amaçlı yazılım türü piyasaya çıktı. LokiBot’a benzeyen bir parola hırsızı olan Farelt, WatchGuard’ın 3. çeyrekte en yaygın beş kötü amaçlı yazılım algılama listesine girdi. Farelt botnet’in LokiBot ile aynı komut ve kontrol yapısını kullanıp kullanmadığı net olmasa da aynı grup olan SilverTerrier’ın her iki kötü amaçlı yazılım varyantını da yaratma olasılığı yüksek görünüyor. Bu botnet, virüsten koruma kontrollerini atlamak ve kullanıcıları kötü amaçlı yazılımı yüklemeye kandırmak için birçok adımı atıyor. WatchGuard, tehdidi araştırırken, kötü amaçlı yazılımın muhtemelen verilerin gösterdiğinden çok daha fazla kurbanı hedef aldığını gösteren güçlü kanıtlar da buldu.
6. Emotet devam ediyor. Üretken bir bankacılık truva atı ve bilinen şifreleri çalan Emotet, üçüncü çeyrekte WatchGuard’ın en yaygın 10 kötü amaçlı yazılım listesinde ilk kez yer aldı ve kötü amaçlı yazılım dağıtan ilk 10 domain listesinde de yer almayı kıl payı kaçırdı. İkinci listede 11. sırada yer almasına rağmen, WatchGuard Tehdit Laboratuvarı ve diğer araştırma ekipleri mevcut Emotet enfeksiyonlarının Trickbot ve hatta Ryuk fidye yazılımı gibi ek yükleri düşürdüğünü gördüklerinden, bu görünümün özellikle dikkat çekici olduğunu belirtiyor.
21,5 Milyondan Fazla Kötü Amaçlı Yazılım Varyantı ve 3,3 Milyondan Fazla Ağ Tehdidi
WatchGuard’ın üç aylık araştırma raporundaki bulgular, WatchGuard Threat Lab’ın araştırma çabalarını desteklemek için verileri paylaşmayı seçen aktif WatchGuard cihazlarından alınan anonim Firebox Feed verilerine dayanmaktadır. Üçüncü çeyrekte, yaklaşık 48.000 WatchGuard cihazı, rapora (şimdiye kadarki en çok) veriyi katarak toplam 21,5 milyondan fazla kötü amaçlı yazılım varyantını (cihaz başına 450) ve 3,3 milyondan fazla ağ tehdidini (cihaz başına yaklaşık 70 algılamayı) engelledi. Firebox cihazları, toplamda 438 benzersiz saldırı imzasını tanımlayıp engelleyerek benzersiz imza algılamalarındaki artış eğilimini de 2. çeyreğe göre yüzde 6,8’lik bir artış ve 2018’in 4. çeyreğinden bu yana da en yüksek artışı gerçekleştirerek sürdürdü.
Raporun tamamı, her boyuttaki işletmenin modern güvenlik tehditlerine karşı kendilerini korumak için kullanabilecekleri derinlemesine araştırma ve savunma amaçlı en iyi uygulamaları içeriyor. Raporda ayrıca, Temmuz 2020’de bir Bitcoin dolandırıcılığını teşvik etmek için 130 yüksek profilli hesabı tehlikeye atan tarihi Twitter saldırısının ayrıntılı bir analizi de yer alıyor.
WatchGuard’ın 2020 3. Çeyrek İnternet Güvenliği Raporu’nun tamamına buradan ulaşmak mümkün.