2020’de tüm iş gücü bir gecede uzaklara gittiğinden, kuruluşlar operasyonlarını buluta kaydırdı ve çalışanlar tarayıcıda yürüttükleri iş miktarını artırdı. Buluta geçiş, iş arkadaşlarının yüz yüze görülmemesine rağmen üretkenliği ve işbirliğini mümkün kılarken, eski güvenlik sistemlerini saldırılara karşı önceki şirket içi işyeri ayarlarına göre daha etkisiz hale getirdi.
Mevcut güvenlik sistemleri yerinde kalırken, tehdit aktörleri, işin yapıldığı kuruluşlara sızmak için perde arkasında sessizce çalışmakla meşguldü: Web tarayıcısında.
Web’deki çalışanları sömürmek için, günümüzün tehdit aktörleri genellikle kimlik avı veya hedefli kimlik avı e-postaları yoluyla kötü niyetli bağlantılar gönderir. Bu rastgele ve hedeflenmiş e-postalar, saldırganların bir kişinin cihazı aracılığıyla potansiyel olarak bir veri hazinesine erişmesinin basit bir yoludur. Saldırganlar yöntemlerini değiştirerek ve yeni saldırı vektörleri arayarak her zaman bir adım önde olmaya çalışsalar da, bu taktikler etkilidir ve ortadan kalkmaz.
Yeni bir saldırı varyasyonu, Menlo Security tarafından gözlemlenen, son derece kaçınmalı uyarlanabilir tehditler (HEAT) olarak adlandırılan ve mevcut güvenlik yığınlarında birden çok katman tarafından özellikle tespit edilmekten kaçınmak için teknikler kullanan, yakın zamanda tanımlanmış bir siber tehdit sınıfını dağıtıyor. Bu tehditler, kötü amaçlı yazılım veya güvenlik bilgilerini ihlal ederek veri hırsızlığı, gizli izleme, hesap ele geçirme ve fidye yazılımı yüklerini başlatma için köprü görevi görür. HEAT saldırıları, Nobelium (SolarWinds saldırısının arkasındaki çete) dahil olmak üzere tanınmış tehdit grupları tarafından kullanılıyor ve artıyor. Aslında Menlo Labs araştırma ekibi, yalnızca 2021’in ikinci yarısında HEAT saldırılarında %224’lük bir artış gözlemledi.
Ortalama harcama yapan son kullanıcılar ile İş günlerinin %75’i tarayıcıda ve fidye yazılımları her zamankinden daha yaygın hale geldi, bu son derece kaçamak saldırıların hacmi ve karmaşıklığı fırladı. Çoğu kuruluş onlara karşı savunmaya hazır değil.
HEAT Saldırılarını Anlamak
HEAT saldırısı olarak kabul edilmesi için, tehdidin geleneksel ağ güvenliği savunmalarını atlayan aşağıdaki dört kaçınma tekniğinden bir veya daha fazlasını kullanması gerekir:
- Hem statik hem de dinamik içerik incelemesinden kaçınır: HEAT saldırıları, HTML kaçakçılığı gibi yenilikçi teknikler kullanarak kurbana kötü niyetli yükler sağlamak için imza ve davranışsal analiz motorlarından kaçar.
- Kötü niyetli bağlantı analizinden kaçınır: Bu tehditler, bağlantıların kullanıcıya ulaşmadan önce analiz edilebildiği e-posta yolunda geleneksel olarak uygulanan kötü amaçlı bağlantı analiz motorlarından kaçar.
- Çevrimdışı sınıflandırmadan ve tehdit algılamasından kurtulur: HEAT saldırıları, zararsız web sitelerinden kötü amaçlı yazılımlar göndererek ya da sabırla “Good2Bad” web siteleri olarak adlandırılan yenilerini oluşturarak Web sınıflandırmasını atlar. Ekip, 2020’den 2021’e kadar Good2Bad web sitelerinde %137’den fazla bir artış gözlemledi.
- HTTP trafik denetiminden kaçar: HEAT saldırısında, tarayıcı açıkları, kripto madenciliği kodu, kimlik avı kiti kodu ve bilinen markanın logolarını taklit eden görüntüler gibi kötü amaçlı içerikler, tarayıcıda oluşturma motoru tarafından JavaScript tarafından oluşturulur ve herhangi bir algılama tekniğini işe yaramaz hale getirir.
HEAT saldırılarının bazı yönleri kuruluşlara yıllardır eziyet ederken, bu saldırılar, uzaktan çalışmanın yaygınlaşması ve buna bağlı olarak tehdit pazarının hızlı gelişimi ile bugün işletmelerin karşı karşıya olduğu en büyük tehdit haline geldi.
Dahası, güvenli Web ağ geçitleri, korumalı alan, URL itibarı ve filtreleme dahil olmak üzere geleneksel güvenlik yetenekleri, HEAT saldırıları meşru kullanımların arkasına gizlendiğinden, bu tür saldırılara karşı değersiz hale getirilir. Sadece onları engellemek işe yaramaz. Bunun yerine, kuruluşlar kendilerini yeterince korumak için tekniklerin kötü niyetli kullanımlarını önleyebilmelidir.
Kuruluşunuzu Koruma
Dünya çapında milyonlarca işletme ve birey, iş ve kişisel görevlerin çoğunu yürütmek için tarayıcıya güveniyor; en büyük güvenlik risklerinin ilerleyeceği yer burasıdır ve günümüzde çoğu güvenlik yığını bu Web tabanlı tehditlere karşı koruma sağlamamaktadır. Bu nedenle, yalnızca güvenlik stratejilerinin ve yeteneklerinin günümüzün karmaşık tehditleri için modernize edilmesi gerekmiyor, aynı zamanda zihniyetlerin yarının bilgisayar korsanlarından güvenli kuruluşlara geçmesi gerekiyor.
Ağları güvenceye almak için güvenlik ve iş liderleri, algıla ve düzelt zihniyetinden geçmeli ve bunun yerine sıfır güven mimarisine dayanan ve uzak ve hibrit iş gücünü korumak için güvenli erişim hizmeti (SASE) çerçevesini benimseyen güvenliğe önleyici bir yaklaşım benimsemelidir. . [Editor’s note: The author’s company is one of many vendors that offer zero trust and SASE products.] Güvenlik önlemleri, son kullanıcıya, uygulamaya ve verilere yakın olarak uygulandığında en iyi sonucu verir.
Bir kuruluş, tehditleri hedefledikleri ağa, uygulamalara ve cihazlara yaklaşmadan önce önleyerek kaynaklarının enfeksiyondan arındırılmış olduğunu belirleyebilir ve güvenlik operasyonları ekiplerindeki diğer potansiyel olarak etkili tehditlere odaklanabilir.
Tehditler gelişmeye devam ettikçe, bilgisayar korsanları giderek daha üretken hale geliyor ve her büyüklükteki ve her dikeydeki tüm kuruluşlar, her zamankinden daha fazla kurban olma riskiyle karşı karşıya. Kesin olan bir şey var: Güvenlik liderleri çevik kalmalı, saldırıların gerçekleşmesini önlemek için güvenlik yığınlarını modernize etmeli ve bir ihlal yaşamaları durumunda somut bir plana sahip olmalıdır.