Positive Technologies tarafından yapılan bir güvenlik değerlendirme analizine göre, işletmelerin büyük çoğunluğunun güvenliği, kimlik bilgilerini tehlikeye atmak, yazılım ve Web uygulamalarında bilinen güvenlik açıklarından yararlanmak veya yapılandırma kusurlarından yararlanmak gibi yaygın teknikleri kullanan motive olmuş bir saldırgan tarafından bir ay içinde ele geçirilebilir. .
Şirketin güvenlik hizmeti uzmanlarına göre, vakaların %93’ünde harici bir saldırgan hedef şirketin ağını ihlal edebilir ve yerel cihazlara ve sistemlere erişim sağlayabilir. Vakaların %71’inde saldırgan, işletmeleri “kabul edilemez” sayılan bir şekilde etkileyebilir. Örneğin, güvenlik firması tarafından test edilen her banka, iş süreçlerini bozacak ve hizmet kalitesini düşürecek şekilde saldırıya uğrayabilir.
Positive Technologies, siber saldırıları, daha sonra hedef sistemi kötü niyetli manipülasyona maruz bırakan bir dizi kilit sistem ele geçirmesi olarak tanımlar. Bu da, üretim veya hizmetlerin kesintiye uğramasını, yöneticilerin kimliklerinin ele geçirilmesini, para veya hassas verilerin çalınmasını ve/veya kullanıcıları dolandırma becerisini içerebilecek bir veya daha fazla “kabul edilemez olaya” neden olur.
Şirketin araştırma ve analitik başkanı Ekaterina Kilyusheva, Positive Technologies’in yıllık raporunun, şirketlerin 2022’de stok yapması ve olası tehditleri modellemesi gerektiğini gösterdiğini söylüyor.
“Her şirket hem hedefli hem de büyük çaplı bir saldırının kurbanı olabilir” diyor. “Verilerimize göre, siber saldırıların sayısı yıldan yıla artıyor ve sonuçları daha ciddi hale geliyor. Fidye yazılımı operatörlerinin kuruluşlara verdiği zarara bir bakın.”
Çalışma, Temmuz 2020’nin başından Haziran 2021’in sonuna kadar gerçekleştirilen güvenlik değerlendirmelerinden elde edilen verileri inceliyor. Şirketin sızma test cihazları, düzinelerce şirketin değerlendirmesini yaptı ve raporun temeli olarak 45 proje kullandı.
Çoğu çalışan aşırı basit parolalar kullandığından, projelerin %71’inde kimlik bilgisi kullanımının başarılı olmasıyla birlikte, güvenliği ihlal edilmiş kimlik bilgilerinin kurumsal bir ağa giriş elde etmenin en güvenilir yolu olduğunu buldular. Projelerin %60’ında, bilinen güvenlik açıklarına sahip yama uygulanmamış yazılımlardan yararlanmak, saldırganın hedef şirketin ağına daha fazla sızmasına izin verdi. Vakaların %54’ünde, cihazların ve yazılımın yanlış yapılandırılması daha fazla taviz verilmesine neden oldu.
Son olarak, vakaların %81’inde, bir etki alanı yöneticisi hesabına erişim elde etmek, bir saldırganın yalnızca düşük düzeyde becerilere sahip olmasını gerektiriyordu.
Positive Technologies, “Kimlik bilgilerine ve etki alanı yöneticisi ayrıcalıklarına sahip bir saldırgan, şirket ağında yanal olarak hareket etmek ve bilgisayarlara ve sunuculara erişmek için birçok başka kimlik bilgisi edinebilir.” raporda yer alan durumlar. “Çoğu şirket, aynı anda meydana gelen birden fazla kabul edilemez olay noktasına kadar birkaç saldırı vektörünün geliştirilmesine izin veren iş süreçlerine göre ağ segmentasyonundan yoksundur.”
Kalem testi verilerinin tümü bu kadar korkunç bir tablo oluşturmaz. 2020’de değerlendirme firması Lares, Positive Technologies’in yaptığı gibi, kolayca tahmin edilebilir parolaların büyük bir saldırı vektörü olmaya devam ettiğini, ancak kuruluşların güvenlik duruşlarının zaman içinde yavaş yavaş geliştiğini buldu.
Positive Technologies’in değerlendirmeleri, çoğu endüstrinin önemli güvenlik zayıflıklarına sahip olduğunu buldu. Rapora göre, sanayi ve enerji sektörlerindeki her sekiz şirketten yedisi, bir saldırganın neden olduğu “kabul edilemez bir olaya” karşı savunmasız kaldı. BT uzmanları tarafından bile zayıf güvenlik uygulamaları, saldırganların yararlanabileceği zayıf noktalar yarattı. Örneğin, 10 mühendisten dokuzu, şifrelenmemiş kimlik bilgileriyle birlikte ağın bir bölümünü tanımlayan düz metin belgelerine sahipti.
Kilyusheva, şirketlerin öncelikle en kritik varlıklarını belirlemeleri ve hangi olayların ve risklerin “kabul edilemez” olarak değerlendirilebileceğini belirlemeleri gerektiğini söylüyor.
“Her şeyden önce, iş için uygun olmayan veya istenmeyen olayların bir listesini hazırlamak ve bir davetsiz misafir tarafından yapılan bir saldırının bunların uygulanmasına yol açıp açamayacağını belirlemek gerekir” diyor. “Bu tür olaylar mümkünse, o zaman en önemli iş süreçlerinde hangi hedef ve anahtar sistemlerin yer aldığını belirlemeli ve bu sistemleri korumaya odaklanmalısınız.”
Ayrıca Positive Technologies, saldırganların iş birimleri arasında kolayca hareket etmesini önlemek için şirketlerin iş süreçlerini bölümlere ayırmasını önerir. Kuruluşlara ayrıca savunmaları güçlendirmeleri, olası saldırı vektörlerini izlemeleri, saldırı zincirlerini belirlemeleri ve herhangi bir uzlaşma yoluna çok faktörlü kimlik doğrulama gibi adımlar eklemek için süreçleri değiştirmeleri tavsiye edilir.
Raporda, “Bilgi güvenliği hizmetinin bir saldırı tespit edilmesi durumunda yanıt vermek için zamanı olup olmadığı, davetsiz misafirin ne kadar ‘seyahat etmesi’ gerektiğine bağlıdır. “Zincir ne kadar kısa olursa, savunucuların seçenekleri o kadar az olur. Kabul edilemez bir olay meydana gelmeden önce bir saldırıyı zamanında durdurmak için, penetrasyon noktalarından hedef sisteme giden en kısa yolları ortadan kaldırmak hayati önem taşır.”