Kaspersky raporları: Avrupa'daki siber saldırıların yüzde 25'inde siber suçlular, diğer faaliyetleri için yasal araçları kötüye kullanıyor. Verileri çalmak için çoğunlukla program güvenlik açıklarını kurumsal ağa açılan ağ geçitleri veya uzaktan erişim araçları olarak kullanırlar. Avrupa'daki olay müdahalelerinin yüzde 11,1'i Almanya'dan geliyor; İsviçre'den yüzde 25,9.
İster finans kurumları ister telekomünikasyon, endüstri, ulaşım ve lojistik sektörlerindeki şirketler olsun, tüm sektörlerdeki Avrupa kuruluşları siber saldırılarla mücadele etmek zorundadır. Geçen yıl Kaspersky tarafından dünya çapında analiz edilen olay yanıtlarının neredeyse dörtte biri (yüzde 24), Orta Doğu'dan (yüzde 32,6) sonra ikinci olan Avrupa ile ilgiliydi. En sık olarak, şüpheli dosyalar (yüzde 36,2), önceden şifrelenmiş veriler (yüzde 21,3) veya uç noktalardaki şüpheli etkinlik (yüzde 10,6), şirketlerde bir olay müdahalesini tetikledi. Bununla ilgili sorun: Olayların yarısı ancak birkaç hafta sonra keşfediliyor, bu nedenle hasar çoktan verildi. Ek olarak, güvenlik olaylarının dörtte biri, güvenlik çözümlerinin saldırı olarak tespit etmekte zorlandığı ve evden çalışma çağında popüler olan meşru yönetim ve uzaktan erişim araçlarıyla ilgilidir.
Siber saldırılar bazen ancak geç bir aşamada ortaya çıkıyor
Bir yandan şirketler siber saldırıları, güvenlik çözümlerinden aldıkları uyarıların yanı sıra şifrelenmiş veriler, para kaybı veya veri sızıntısı gibi gözle görülür olumsuz etkilerle fark ediyorlar. Avrupa'daki olay müdahalelerini analiz eden Kaspersky uzmanları, vakaların üçte birinden fazlasında (yüzde 35,3), istismar edilen program güvenlik açıklarının kurumsal ağa açılan kapı olduğunu tespit etti. Aşağıdaki ilk saldırı vektörleri belirlendi:
- kötü amaçlı e-postalar (yüzde 29,4),
- harici veri taşıyıcıları (yüzde 11,8),
- Yanlış yapılandırma nedeniyle güvenlik açıklarından yararlanma (yüzde 11,8),
- sızdırılmış erişim verileri (yüzde 5,9)
- ve içerdekiler (yüzde 5,9)
Her sektörden firma etkileniyor. Kaspersky tarafından analiz edilen olay müdahaleleri, finans (%25,4), telekomünikasyon (%16,9), endüstri (%16,9) ve ulaşım (%13,6) alanlarındaki kuruluşlardan geldi. Yaklaşık her on ikinci olaydan birine yetkililerden yanıt geldi (yüzde 8,5).
Yönetim ve uzaktan erişim araçları işletmeler için risk oluşturuyor
Saldırganlar ağa girdikten sonra, analiz edilen olay müdahalelerinin yüzde 25'inde hasara neden olacak şekilde yasal araçları kötüye kullandı. Bunlar aslında BT ve ağ yöneticileri tarafından diğer şeylerin yanı sıra sorun gidermek ve çalışanlara teknik destek sağlamak için kullanılır. Ancak, siber suçluların kötü amaçlı yazılımları tespit etmek için kullanılan çeşitli güvenlik kontrollerini atlayarak uç noktalarda işlemler yürütmesine, hassas bilgilere erişmesine ve bu bilgileri ayıklamasına olanak tanır.
Olay yanıtlarını analiz eden Kaspersky uzmanları, saldırganlar tarafından kötü amaçlarla kötüye kullanılan 18 farklı meşru aracı tespit edebildi. Avrupa'da analiz edilen vakaların yarısında (yüzde 50), bilgi toplamaktan kötü amaçlı yazılım çalıştırmaya kadar birçok amaç için kullanılabilen güçlü yönetim aracı PowerShell ve uzak uç noktalarda işlem başlatmak için kullanılan PsExec kullanıldı. Saldırıların yüzde 37,5'inde ağ ortamları hakkında bilgi elde etmek için kullanılan SoftPerfect Network Scanner kullanılıyor.
Meşru yazılım saldırıları gizler
Kaspersky Küresel Acil Durum Müdahale Ekibi Başkanı Konstantin Sapronov, "Saldırganlar, tespit edilmekten kaçınmak ve güvenliği ihlal edilmiş bir ağda mümkün olduğunca uzun süre görünmez kalmak için genellikle normal kullanıcı etkinlikleri, yönetici görevleri ve sistem tanılama için tasarlanmış yazılımlar kullanır." "Bu araçlar, saldırganların kurumsal ağlar hakkında bilgi toplamasına ve bunlar arasında dolaşmasına, yazılım ve donanım ayarlarını değiştirmesine ve hatta kötü niyetli eylemler gerçekleştirmesine olanak tanıyor - müşteri verilerini şifrelemek için meşru yazılım kullanabilirler. Meşru yazılımlar, saldırganların güvenlik analistlerinin radarı altında kalmasına yardımcı olabilir, çünkü genellikle saldırıyı yalnızca hasar verildikten sonra fark ederler. Birçok nedenden dolayı bu araçları dışlamak mümkün değildir. Bununla birlikte, uygun şekilde dağıtılan günlük kaydı ve izleme sistemleri, ağdaki şüpheli etkinliklerin ve karmaşık saldırıların daha erken aşamalarda tespit edilmesine yardımcı olur.”
Kuruluşlar, bu tür saldırıları zamanında tespit etmek ve bunlara yanıt vermek için bir MDR hizmetiyle bir uç nokta algılama ve yanıt çözümü uygulamayı düşünmelidir. Kaspersky EDR ve Kaspersky Yönetilen Koruma Hizmeti gibi çeşitli çözümleri değerlendiren MITRE ATT&CK® 2. Tur Değerlendirmesi [2], kuruluşların ihtiyaçlarını karşılayan EDR ürünlerini seçmelerine yardımcı olabilir. ATT&CK değerlendirmesinin sonuçları, tam otomatik, çok katmanlı bir güvenlik ürünü ile manuel tehdit avlama hizmetini birleştiren kapsamlı bir çözümün önemini göstermektedir.
İşletmeler için Kaspersky koruma ipuçları
- Harici IP adreslerinden uzaktan yönetim araçlarına erişimi kısıtlayın ve uzaktan kontrol arabirimlerine yalnızca sınırlı sayıda uç noktadan erişilebildiğinden emin olun.
- Tüm BT sistemleri ve çok faktörlü kimlik doğrulama kullanımı için katı bir parola politikası uygulayın.
- Çalışanlara sınırlı ayrıcalıklar sunun ve yalnızca işlerini yapmak için ihtiyaç duyanlara yüksek ayrıcalıklı hesaplar verin.
- Tüm Windows, Linux ve MacOS uç noktalarında Kaspersky Endpoint Security for Business [3] gibi özel bir güvenlik çözümünün kurulumu. Bu, hem bilinen hem de bilinmeyen siber tehditlere karşı koruma sağlar ve her işletim sistemi için bir dizi siber güvenlik kontrol seçeneği sunar.
- SOC ekiplerine tehdit istihbaratı [4] aracılığıyla en son tehdit istihbaratına erişim sağlayın, böylece tehdit aktörlerinin araçları, teknikleri ve taktikleri konusunda güncel kalsın.
- İlgili tüm iş verilerinin yedeklerinin düzenli olarak oluşturulması. Bu şekilde, fidye yazılımı tarafından şifrelenmiş ve kullanılamaz hale getirilmiş önemli veriler hızla geri yüklenebilir.
Kaspersky'nin Olay Müdahale Analisti Raporundan ek bilgiler çevrimiçi olarak mevcuttur.
Kaspersky.com'da daha fazla bilgi edinin
Kaspersky Hakkında Kaspersky, 1997 yılında kurulmuş uluslararası bir siber güvenlik şirketidir. Kaspersky'nin derin tehdit istihbaratı ve güvenlik uzmanlığı, dünya çapında işletmeleri, kritik altyapıları, hükümetleri ve tüketicileri korumaya yönelik yenilikçi güvenlik çözümlerinin ve hizmetlerinin temelini oluşturur. Şirketin kapsamlı güvenlik portföyü, karmaşık ve gelişen siber tehditlere karşı savunma için lider uç nokta koruması ve bir dizi özel güvenlik çözümü ve hizmeti içerir. 400 milyondan fazla kullanıcı ve 250.000 kurumsal müşteri, Kaspersky teknolojileri tarafından korunmaktadır. www.kaspersky.com/ adresinde Kaspersky hakkında daha fazla bilgi