Şirketlere yönelik gerçek saldırıların ayrıntılı analizi, siber suçluların kalış sürelerini gizlemek ve böylece hızlı bir savunma tepkisini engellemek için kullandıkları yeni bir dolandırıcılığı ortaya çıkarıyor. Yeni Sophos Aktif Düşman Raporu, siber suçluların kullandığı hileleri ortaya koyuyor.
Sophos yeni Aktif Düşman Raporu'nu yayınladı. Özellikle çarpıcı: Analiz edilen saldırıların yüzde 42'sinde telemetrik protokoller eksikti ve bu vakaların yüzde 82'sinde suçlular, saldırılarını gizlemek için telemetri verilerini aktif olarak devre dışı bıraktı veya sildi. Ayrıca, ele geçirilen sistemde kalış süresi de azalmaya devam ediyor ve son rapordaki trend devam ediyor.
Aktif Düşman Raporu
“Aktif Düşman”, bir sistemdeki saldırı stratejisinin türünü tanımlayan teknik bir terimdir. Tamamen teknik ve otomatik saldırıların aksine, bu tür saldırılarda insan faktörü devreye giriyor: Siber suçlular aktif olarak klavyenin başına oturuyor ve sızan bir sistemdeki koşullara bireysel olarak tepki veriyor. Bu gizli yolculuklar, ağlarda ve sistemlerde gerekli görünürlüğü azalttığı için telemetrideki boşluklarla da destekleniyor. Özellikle saldırganların ilk erişimden tespite kadar harcadıkları süre sürekli azaldığından ve dolayısıyla savunma tepkisi süresi de kısaldığından bu büyük bir sorundur.
“Zaman, aktif bir tehdide yanıt vermede kritik faktördür. İlk erişimin keşfedilmesi ile durumun tamamen ortadan kaldırılması arasındaki aşama mümkün olduğu kadar kısa olmalıdır. Suçlular saldırı zincirine ne kadar girerse savunma merkezinde de o kadar sorun görüyoruz. Eksik telemetri verileri, çoğu kuruluşun karşılayamayacağı bir şey olan kurtarma süresini artırır. Bu nedenle tam ve kesin kayıt çok önemlidir. Sophos Saha CTO'su John Shier, telemetri sorunu hakkında şunları söylüyor: "Ancak kuruluşların gerçekte ihtiyaç duydukları verilere çoğu zaman sahip olmadıklarını görüyoruz."
Sistemde beş günden az bir süredir – hızlı fidye yazılımı saldırıları yüzde 38 oranında
Sophos, Aktif Düşman Raporu'nda beş güne kadar süren fidye yazılımı saldırılarını "hızlı saldırılar" olarak sınıflandırıyor. İncelenen vakalarda bunların yüzde 38'i vardı. “Yavaş saldırılar” bazen beş günden daha uzun süren saldırılardır. Bunların yüzde 62'si vardı. "Hızlı" saldırılar hâlâ daha az yaygın olsa da, bunların genel tablodaki payı sürekli artıyor ve şu nedenlerden dolayı: Saldırganlar, şirketlerdeki daha iyi tespit yöntemlerine tepki veriyor, bu da onlara daha az zaman bırakıyor ve siber suçlular artık çok kolay ve deneyimli. . John Shier, "Her süreçte olduğu gibi, tekrarlama ve pratik daha iyi sonuçlar üretme eğilimindedir" diyor. “Modern fidye yazılımları bu yıl on yaşına giriyor; bu, giderek daha fazla suçluyu uzmana dönüştürecek pek çok örnekle uzun bir süre. Pek çok savunma stratejisinin buna ayak uyduramadığı bir dönemde bu çok daha tehlikeli bir gelişme.”
Hızlı ve yavaş türler incelendiğinde, saldırganların kullandığı araçlarda, tekniklerde ve LOLBin'lerde (karada yaşayan ikili dosyalar) çok az değişiklik olduğu görüldü. Bu, saldırıya uğrayan sistemin savunucularının bekleme süresi azaldıkça savunma stratejilerini yeniden keşfetmelerine gerek olmadığını gösteriyor. Ancak şirketler, hızlı saldırıların ve telemetri eksikliğinin hızlı yanıt sürelerini engelleyebileceğinin ve bunun sonucunda iş operasyonlarında çok daha büyük bir kesintiye yol açabileceğinin farkında olmalıdır.
Yeni savunma önlemleri kesinlikle gerekli değil
“Siber suçlular tembeldir; yalnızca hedeflerine daha iyi ulaşabilmeleri için değişiklik yaparlar. Saldırganlar, sızma sonrasında daha hızlı keşfedilmeleri anlamına gelse bile olup biteni değiştirmezler. Bu kuruluşlar için iyi bir haber çünkü saldırganlar turboyu çalıştırıyor diye savunma stratejilerini kökten değiştirmek zorunda değiller. Hızlı saldırıları tespit eden savunma önlemleri, zamana bakılmaksızın tüm saldırılar için etkilidir. Bu aynı zamanda eksiksiz telemetriyi, tüm alanlar için sağlam korumayı ve her yerde izlemeyi de içeriyor,” diye belirtiyor Shier. “Önemli olan direnci arttırmaktır. Saldırganların işini zorlaştırırsanız ve saldırının her aşamasını uzatırsanız tepki vermek için daha fazla zamanınız olur.
Sophos Aktif Rakip Raporu, 232 Ocak 1 ile 2022 Haziran 30 tarihleri arasında 2023 sektördeki 25 olay müdahale vakasına dayanmaktadır. Etkilenen kuruluşlar altı kıtada 34 farklı ülkede bulunuyordu. Vakaların yüzde 83'ü 1.000'den az çalışanı olan şirketleri etkiledi. Rapor, güvenlik profesyonellerinin savunma stratejilerini en iyi şekilde nasıl tasarlayabilecekleri konusunda eyleme geçirilebilir bilgiler sağlıyor.
Daha fazlası Sophos.com'da
Sophos Hakkında Sophos, 100 ülkede 150 milyondan fazla kullanıcı tarafından güvenilmektedir. Karmaşık BT tehditlerine ve veri kaybına karşı en iyi korumayı sunuyoruz. Kapsamlı güvenlik çözümlerimizin kurulumu, kullanımı ve yönetimi kolaydır. Sektördeki en düşük toplam sahip olma maliyetini sunarlar. Sophos uç noktalar, ağlar, mobil cihazlar, e-posta ve web için ödüllü şifreleme çözümleri ve güvenlik çözümleri sunar. Tescilli analiz merkezlerinden oluşan küresel ağımız SophosLabs'tan da destek var. Sophos'un genel merkezi Boston, ABD ve Oxford, İngiltere'dedir.