Şirket ağlarına uzaktan erişim artıyor ve bununla birlikte siber tehditler de artıyor. Siber suçlular sürekli olarak saldırı taktiklerini geliştiriyorlar.
Şirketlerin iç siber güvenliği daha fazla korunup izlenir hale geldikçe, siber suçlular da taktiklerini geliştirdiler ve her zamankinden daha geniş bir saldırı yüzeyi sağlayan yeni uzlaşma yöntemlerine odaklanıyorlar. Bu, kuruluşların bir siber olaya yol açabilecek tehditlerin tüm kapsamını anlamak için geleneksel BT sınırlarının ötesine bakması gerektiği anlamına gelir.
Dışarıdan gelen tehditler
Bu genişletilmiş saldırı ortamını daha iyi anlamak için en son dış tehditlerin, güvenlik açıklarının ve risklerin sürekli analizi çok önemlidir. Buna, dış şirketlerin iç ağlarından gelen aşağıdakiler gibi tehditler de dahildir: B. tedarikçilerden, satıcılardan ve diğer üçüncü taraflardan ve ayrıca açık, derin ve karanlık ağda bulunan siber tehditlerden.
BlueVoyant, dış siber savunmanın durumuna ışık tutmak amacıyla yakın zamanda her türden kuruluş için kritik sorunlar teşkil eden yeni ortaya çıkan trendler hakkında bir rapor hazırladı. Rapor, sürekli tehdit izleme ve kuruluşların geniş ekosistemlerine verilen yanıtlardan elde edilen gözlemlere ve veri toplamaya dayanıyor. Aşağıda BlueVoyant Güvenlik Danışmanı ve DACH Satış Direktörü Markus Auer, en önemli bulgulardan bazılarını vurguluyor.
Giderek daha gelişmiş ve dinamik kimlik avı
Son birkaç yılda yaşanan gelişmeler ve uzaktan çalışmanın hızla artması, şirketleri planlanandan daha hızlı dijitalleşmeye zorladı. Pek çok şirketin artık işgücünün büyük bir kısmının evden çalışması ve birçok fiziksel şubenin kapatılmasıyla birlikte dijital işlemlere olan bağımlılık hızla arttı. Bu aynı zamanda bilgisayar korsanlarının saldırması için daha fazla fırsat yarattı.
Analistler, en zayıf halkayı, yani son kullanıcıyı hedef alan giderek daha karmaşık kimlik avı taktikleri görüyorlar. Bilgisayar korsanları, şirketlere ve kullanıcılarına yönelik saldırılar gerçekleştirmek için her zaman yeni ve yenilikçi yollar arıyor. Dağıtılmış işgücüne ve küresel ekonominin artan dijitalleşmesine yanıt olarak çabalarını hızlandırdılar.
Aşağıdaki örnekler, tehdit aktörlerinin geçen yıl giderek artan şekilde kullandığı birçok taktikten üçüdür.
- Kimlik avı bağlantısı yönlendirmeleri
- Dinamik DNS altyapısının kullanımı
- Smishing (SMS kimlik avı)
Fidye yazılımı için birincil vektör olarak RDP
Ağlara harici uzaktan erişim ihtiyacının giderek artması ve üçüncü taraf bağlantılarının artmasıyla birlikte, modern kuruluşlarda yaygın olarak kullanılan yardımcı teknolojiler büyük bir risk oluşturmaya devam ediyor ve tehdit aktörleri tarafından giderek daha fazla hedef alınıyor. RDP (Uzak Masaüstü Protokolü), SMB (Sunucu Mesaj Bloğu) ve WinRM (Windows Uzaktan Yönetim) gibi protokoller, önemli iş süreçlerini kolaylaştırabilir ancak aynı zamanda herhangi bir güvenlik analizinde dikkate alınması gereken artan risk de taşıyabilir. Özellikle RDP bilgisayar korsanları arasında çok popüler görünüyor; protokol yakın geçmişte çok sık ve başarılı bir şekilde istismar edildi.
Bir bilgisayardaki kullanıcının uzaktaki bir bilgisayara bağlanmasına ve onu kontrol etmesine olanak tanıyan özel Microsoft protokolü olan RDP, genellikle yöneticiler tarafından uzak sistemdeki bir sorunu gidermek için kullanılır. Bulut ortamındaki sanal makinelere erişmek ve/veya yönetmek, son yıllarda bulut bilişimde popüler hale gelmiştir. Ne yazık ki çoğu durumda, RDP bağlantı noktası İnternet'e açık bırakıldığında RDP bir ağ geçidi haline gelir; B. unutulmuş bir sistemde, bir bulut örneğinde veya bir ağ bölümünde. Kolayca keşfedilen ve yararlanılan bu protokol, veri kaybına, kesintiye, maliyetli iyileştirmeye ve kuruluşların itibarının zarar görmesine yol açabilir.
Son yıllarda tehdit aktörleri, bir kuruluşun ağını basit bir harici tarama yoluyla savunmasız açık RDP hizmetlerini bulabildikleri için giderek daha fazla açık RDP bağlantı noktaları aramaya başladı. Bir şirketin ağında bir RDP bağlantı noktası açık bırakılırsa, bunun siber suçluların hedefi haline gelmesi an meselesidir.
Sıfır gün güvenlik açıkları ve yama zamanlaması
Yeni ortaya çıkan güvenlik açıkları (EV'ler) olarak da bilinen sıfır gün güvenlik açıkları, öngörülemez ve zamana duyarlı olduklarından kuruluşlar için kritik bir siber tehdit oluşturur. Neredeyse her hafta yeni güvenlik açıkları ortaya çıkıyor ve dünyanın dört bir yanındaki ve tüm sektörlerdeki şirketlerin, hangi güvenlik açıklarının kendilerini etkileyebileceği konusunda sürekli tetikte olmaları gerekiyor. Genişletilmiş bir ekosistemde riski azaltmanın en büyük zorluklarından biri, hem şirketlerin hem de tedarikçilerin açık, yama yapılmamış savunmasız yazılım örneklerine sahip olmamasını sağlamaktır. Yeni keşfedilen bir sıfır gün saldırısıyla uzlaşmanın ortalama süresi yalnızca yaklaşık iki hafta veya daha azdır, bu nedenle hızlı yanıt vermek son derece önemlidir.
BlueVoyant gibi şirketler, sürekli izleme hizmetleri sayesinde, tüm endüstriler ve sektörlerdeki kuruluşların dışarıya bakan BT altyapılarından oluşan küresel veri kümeleri içerisinde EV'leri hızlı bir şekilde tanımlar. Şirketlerdeki belirli veri ve varlıkların keşfini rapor edebilirler. Bu özellikten yararlanılarak çoğu durumda söz konusu güvenlik açıkları imzalanabilir ve verilerdeki tüm kuruluşlar için iyileştirme oranları kaydedilebilir. Şirketlerin yeni EV'lerin açıklanmasına en iyi nasıl tepki vermesi gerektiği konusunda bir takım sonuçlar çıkarılabilir.
Azaltma önerileri
Ortaya çıkan güvenlik açıklarından kaynaklanan siber tehditlere karşı koymak için yukarıda belirtilen eğilimler dikkate alınarak aşağıdaki bulgu ve önerilerin dikkate alınması gerekmektedir:
- Tehditler proaktif olarak takip edilmeli
- Hızla gelişen tehditleri belirlemek için güncel bilgilerin toplanması gerekir
- Çevik güvenlik süreçleri oluşturmak son derece önemlidir
- Her zaman dış ekosistemin tamamına ilişkin genel bir bakışa sahip olmak önemlidir.
- Riskler önceliklendirilmeli ve acil durum planları uygulamaya konulmalıdır
BlueVoyant Hakkında
BlueVoyant, ağınızı, uç noktalarınızı, saldırı yüzeyinizi, tedarik zincirinizi ve açık, derin ve karanlık ağı tehditler için sürekli izleyerek dahili ve harici siber savunma yeteneklerini sonuç tabanlı, bulut tabanlı bir platformda birleştirir. Tam spektrumlu siber savunma platformu, kuruluşunuzu korumak için tehditleri hızla aydınlatır, doğrular ve giderir. BlueVoyant, hem makine öğrenimi odaklı otomasyondan hem de insan kaynaklı uzmanlıktan yararlanır.