Kimliğe bürünme ve hesap ele geçirmeyi amaçlayan saldırılar, zaman içinde giderek daha karmaşık hale geldi ve siber suçlulara, hassas verilere erişmeleri veya daha fazla saldırı gerçekleştirmeleri için bir şirketin ağına kolay bir giriş kapısı sağladı. Artık BEC ve ortaklarının hesap ele geçirmesine bir son verilmelidir.
2023'ün ilk yarısında Barracuda yaklaşık bir trilyon BT olayı topladı; en sık tespit edilen yüksek riskli olaylar, bir tür kimliğe bürünme içeren acil müdahale gerektiren olaylardı.
Ancak yapay zeka tabanlı hesap profili oluşturmanın yardımıyla bu saldırılar tespit edilip engellenebilir. İş bağlamında her kişinin nasıl, nerede ve ne zaman çalıştığına ilişkin farklı bir dijital profili vardır. Bir BT olayı bu modelin dışına çıkarsa sistem bir alarm verir. Saldırılar, insan uzmanlığının araştırılmasını gerektirecek kadar incelikli ve karmaşık olduğunda bile yapay zeka tabanlı algılama, deneyimli bir SOC analistinin saldırının kötü niyetli niyetini doğrulamasını sağlar.
En sık keşfedilen yüksek riskli saldırılar: ayrıntılı sonuçlar
Ocak ve Temmuz 2023 arasında Barracuda'nın Yönetilen XDR platformu, müşteri şirketlerinin entegre ağ, bulut, e-posta, uç nokta ve sunucu güvenliği araçlarından 950 milyar BT olayı topladı. Bu yaklaşık bir trilyon olay, oturum açmalardan (başarılı ve başarısız), ağ bağlantılarından ve trafik akışlarından e-posta mesajları ve eklerine, oluşturulan ve kaydedilen dosyalara, uygulama ve cihaz işlemlerine, yapılandırma ve kayıt defteri değişikliklerine ve belirli güvenlik uyarılarına kadar her şeyi içerir.
Bu olayların yüzde 0,1'i (985.000) alarm, yani kötü amaçlı olabilecek ve daha fazla araştırma gerektirebilecek faaliyetler olarak sınıflandırıldı. Bunlardan 1'da 10'i (yüzde 9,7) incelenmek üzere müşteriye rapor edilirken diğer yüzde 2,7'si yüksek riskli olarak tanımlandı ve daha ayrıntılı analiz için bir SOC analistine iletildi. 6.000 saldırı, tehdidi kontrol altına almak ve etkisiz hale getirmek için acil savunma önlemleri gerektirdi.
SOC analistleri tarafından 2023'ün ilk altı ayında tespit edilen ve incelenen ilk üç yüksek riskli saldırı şunlardı:
1. “İmkansız Yolculuk” giriş etkinliği
Bu olaylar, bir kullanıcının coğrafi olarak farklı iki konumdan hızlı bir şekilde art arda bir bulut hesabında oturum açmaya çalıştığını gösterdiğinde meydana gelir; oturum açma işlemleri arasındaki sürede iki konum arasındaki mesafenin aşılması imkansızdır. Bu, kullanıcının oturumlardan biri için VPN kullandığı anlamına gelse de genellikle bir saldırganın kullanıcı hesabına erişim kazandığının bir işaretidir. Bu nedenle “İmkansız Yolculuk” iddiaları her zaman araştırılmalıdır. Microsoft 365 hesapları için Barracuda XDR İmkansız Seyahat tespiti, yalnızca Ocak ve Temmuz 2023 arasında yüzlerce İş E-Postası Güvenliği (BEC) saldırısı girişimini tespit etti ve engelledi.
Gerçek dünyadan bir örnek: Barracuda SOC ekibi tarafından araştırılan bir olayda, bir kullanıcı Microsoft 13 hesabına Kaliforniya'dan ve yalnızca 365 dakika sonra Virginia'dan oturum açtı. Virginia'dan oturum açmak için kullanılan IP adresi bilinen bir VPN adresiyle ilişkili değildi ve kullanıcı genellikle bu konumdan oturum açmıyordu. SOC ekibi müşteri şirketine bildirimde bulunarak bunun yetkisiz bir giriş olduğunu doğruladı, şifreleri derhal sıfırladı ve kullanıcının tüm aktif hesaplardaki oturumunu kapattı.
2. Anormallik tespitleri
Yapay zeka tabanlı hesap profili oluşturma, bir kullanıcının hesabındaki olağandışı veya beklenmeyen etkinlikleri tanımlamak için de kullanılabilir. Bunlar arasında seyrek veya tek seferlik oturum açma süreleri, alışılmadık dosya erişim modelleri veya tek bir kullanıcı veya kuruluş için aşırı hesap oluşturulması yer alır. Kötü amaçlı yazılım bulaşmaları, kimlik avı saldırıları ve içeriden gelen tehditler gibi çeşitli sorunların işareti olabileceğinden, bir kullanıcı hesabının olağan davranış biçiminden sapmalar, anormalliğin nedenini belirlemek için her zaman araştırılmalıdır.
3. Bilinen kötü amaçlı yapılar ile iletişim
Bu tespitler, şüpheli veya bilinen kötü amaçlı IP adresleri, etki alanları veya dosyalarla yapılan iletişimleri tanımlar. Bu, kötü amaçlı yazılım bulaşmasının veya kimlik avı saldırısının işareti olabilir. Bilinen kötü amaçlı veya şüpheli bir yapıyla iletişim tespit edilirse bilgisayar derhal karantinaya alınmalı ve enfeksiyon açısından taranmalıdır.
Yapay zeka saldırganların elinde
Yukarıdakiler yapay zekanın güvenliği nasıl önemli ölçüde artırabileceğini gösterse de saldırganlar tarafından kötü amaçlarla da kullanılabilir. Örneğin, siber suçlular, meşru bir şirketin tarzına çok benzeyen son derece ikna edici e-postalar oluşturmak için üretken yapay zeka dili araçlarını kullanabilir; bu da bireylerin bir e-postanın meşru olup olmadığını, kimlik avı, hesap ele geçirme veya BEC saldırısı olup olmadığını anlamasını çok daha zorlaştırır.
Yapay zeka araçlarının saldırganlar tarafından kötü amaçlı yazılım davranışlarını otomatikleştirmek ve dinamik olarak taklit etmek için kullanılması da muhtemeldir, bu da saldırılarını daha etkili ve tespit edilmesini zorlaştırır. Örneğin, yapay zeka destekli komut satırı programları, bir hedefin savunmasındaki değişikliklere hızlı bir şekilde uyum sağlayabilir, güvenlik açıklarını tespit edebilir ve hatta sonraki saldırıları optimize etmek için önceki başarısız girişimlerden ders alabilir. Böyle bir aracın ilk örneği, hâlihazırda bir yeraltı forumunda tanıtılan ve tehdit aktörleri tarafından kötü amaçlı komut dosyaları ve komutların oluşturulmasını otomatikleştirmek ve bunları her bir hedefe dinamik olarak uyarlamak için kullanılabilen "WormGPT"dir.
Hızla gelişen bir tehdit ortamı için güvenlik
Yapay zeka ilerlemeye devam ettikçe şirketlerin potansiyel risklerin farkında olması ve bunları azaltmak için adımlar atması gerekiyor. Bu, en azından çok faktörlü kimlik doğrulama gibi sağlam kimlik doğrulama önlemlerini, ancak ideal olarak sıfır güven yaklaşımlarını ve özellikle kimlik avı saldırılarıyla ilgili olarak sürekli çalışan eğitimini içerir.
BT güvenlik ekipleri ve onların üçüncü taraf güvenlik sağlayıcıları, yapay zeka destekli en son tehditler hakkında bilgi sahibi olmaya çalışmalı ve güvenlik önlemlerini uyarlamalıdır. Ancak temel hususları hatırlamak da aynı derecede önemlidir: Sistemler ve yazılımlar her zaman güncel olmalı ve profesyoneller BT ortamına ilişkin eksiksiz bir genel bakışa sahip olmalıdır.
Ek olarak, yönetilen destek için entegre güvenlik hizmetleri ve platformlarının kullanımı, XDR ve Hizmet Olarak SOC, şirketlerin ve iç güvenlik ekiplerinin, giderek daha karmaşık hale gelen tehdide karşı kendinizi savunmak için siber tehditleri günün her saatinde izlemesine, tespit etmesine ve bunlara yanıt vermesine yardımcı olabilir. manzara.
Daha fazlası Barracuda.com'da
Barracuda Ağları Hakkında Barracuda, dünyayı daha güvenli bir yer haline getirmek için çabalıyor ve her işletmenin satın alması, devreye alması ve kullanması kolay, bulut özellikli, kurumsal çapta güvenlik çözümlerine erişimi olması gerektiğine inanıyor. Barracuda, müşteri yolculuğu boyunca büyüyen ve uyum sağlayan yenilikçi çözümlerle e-postayı, ağları, verileri ve uygulamaları korur. Dünya çapında 150.000'den fazla şirket, işlerini büyütmeye odaklanabilmek için Barracuda'ya güveniyor. Daha fazla bilgi için www.barracuda.com adresini ziyaret edin.