Şu anda 2022’nin yarısındayız ve şimdiden tanıdık ve tanıdık olmayan, organizasyonları bozan bir dizi siber saldırı gördük. Bununla birlikte, başarılı tehdit algılama çabalarının canlandırıcı hikayelerini de gördük.
Bu makalede, geleneksel savunma önlemleriyle tespit edilmekten kaçınmak için “karada yaşamak” gibi teknikleri kullanan beş yeni, karmaşık veya yaratıcı tehdide bakacağız. Bu tehditlerin tümü, cihaz ve kullanıcı davranışındaki ince sapmaları tespit edebilen ve otonom olarak “normal” uygulayabilen ve bir tehdidi kendi yolunda durdurabilen yapay zeka (AI) teknolojisi tarafından keşfedildi.
1. Önde Gelen Laboratuvar, AI ile Dark Web İçeriden Tehditleri Kesiyor
Sağlık sektörüne yönelik siber saldırılar geçen yıl rekor seviyelere ulaştı ve bu kuruluşlar için siber tehditlerin ciddi gerçek dünya sonuçları olabilir. Darktrace’in sağlık hizmeti müşterilerinden biri, hastalık, koşullar ve enfeksiyonlar için yenilikçi in vitro teşhis testlerinin araştırılması, geliştirilmesi ve üretiminde uzmanlaşmış bir şirkettir.
Mart ayında, bu şirket kötü niyetli bir içeriden tehdit tarafından hedef alındı. Bir çalışan, Dark Web’de tescilli fikri mülkiyeti, hatta belki de tıbbi malzemeleri satmak için kuruluş içindeki erişimlerinden yararlanmaya çalışıyordu. Çalışanın, Dark Web ilaç pazarı forumuna bağlanmak için bir şirket cihazında Tor kullandığı tespit edildi.
Ayrıcalıklı erişimleri ve şirket çalışmalarına ilişkin bilgileri, geleneksel güvenlik araçları tarafından tespit edilmekten kaçınmalarına izin verdiği için, kötü niyetli veya güvenliği ihlal edilmiş içeridekilerin tespit edilmesi zor olabilir. Fikri mülkiyeti içeriden gelen tehditlerden korumak için kuruluşların, kötü niyetli faaliyetleri gerçek zamanlı olarak durdurmak için güvenlik ekiplerini yapay zeka destekli teknolojiyle güçlendirmesi gerekiyor.
Bu durumda, geçmişte Tor ağını başka hiçbir şirket cihazının ziyaret etmediğini düşünürsek, Darktrace’in yapay zekası, etkinliği güvenlik ekibine işaretledi, bu ekip daha sonra çalışanı araştırıp kötü niyetli niyetlerini keşfedebildi.
2. Babuk Çifte Gasp Fidye Yazılımı Bir Teknoloji Üreticisinde Nötralize Edildi
Babuk, 2021’den bu yana dünya çapında yüksek değerli kuruluşlara başarıyla saldıran çifte gasplı bir fidye yazılımı türüdür. Ancak Şubat 2022’de, yapay zeka siber güvenliği uygulayan çok uluslu bir teknoloji üreticisini hedef aldı. Hedeflenen şirket, akıllı tıbbi cihazların yanı sıra elektrikli ve otonom araçların benimsenmesini kolaylaştırıyor. Bu, çalışma süresinin önemli olduğu ve fidye yazılımının önemli bir risk oluşturduğu anlamına gelir.
Bir tehdidin ilk işareti, sabahın erken saatlerinde, AI, ağ taraması yapan ve diğer dahili cihazlara olağandışı bağlantılar yapan bir şirket cihazı tespit ettiğinde geldi. AI, cihazın olağan “yaşam düzeni” anlayışına dayanarak, bu olağandışı davranışı kötü niyetli olarak tanımladı ve bir yanıt hesapladı.
AI, şirketin ofisindeki veya üretim katındaki normal iş operasyonlarına müdahale etmeden bu saldırıyı durdurabildi. Yalnızca kötü niyetli bağlantıları engellerken, güvenliği ihlal edilen cihazın geri kalanının devam etmesine izin verdi.
Saldırı durdurulduktan sonra, AI tarafından yürütülen bir uzlaşma sonrası analiz, güvenliği ihlal edilen cihazın gerçekten de “babyk” uzantılı dosyaları dağıtmaya çalıştığını ortaya çıkardı. Bu saldırılar genellikle saatlerce sürer, bu nedenle kritik altyapı savunucuları, kuruluşlarının gelişmiş tehditlere karşı kendini savunmasına izin vermek için yapay zeka kullanmayı düşünmelidir.
3. İK Sahtekarlığı Saldırısı Özel Sermaye Firmasındaki Çalışanları Hedefliyor
Kimlik avı ve kimlik sahtekarlığı e-postaları, siber saldırganlar için favori ilk giriş noktası olmaya devam ediyor. Bu yılın başlarında, e-posta güvenliği çabalarını desteklemek isteyen bir özel sermaye şirketi, bir AI e-posta güvenlik çözümünü denedi ve neredeyse anında hedefli bir sahtekarlık saldırısı tespit etti.
Saldırganlar, e-postalarını şirketin dahili İK iletişimlerini taklit edecek şekilde uyarladılar, buna “Q3 Komisyonu 2021 ve Gündem” adını verdiler ve bir SharePoint Microsoft belgesi gibi görünecek şekilde tasarladılar. Bir şirket çalışanı için bu e-posta, gelen kutularında hiç de yerinde görünmeyecekti.
Daha fazla araştırma, e-postanın, çalışanları kandırmak için sahte Microsoft markasını kullanan hedefli kimlik avı kampanyalarının daha geniş bir eğiliminin parçası olduğunu gösterdi. Bu saldırının tam amacı, ilk aşamalarında durdurulduğu için bilinmiyor, ancak buna benzer saldırılar genellikle operasyonel aksamalara neden olmak veya IP ve finansal hırsızlık yapmak amacıyla başlatılıyor.
4. Bir Finansal Hizmet Sağlayıcısına Karşı Fidye Yazılım Saldırısı Durduruldu
Mart 2022’de Güney Afrikalı bir finansal hizmetler firması Darktrace’in teknolojisini denemeye karar verdi ve en değerli verilerini şifrelemeye çalışan devam eden bir fidye yazılımı saldırısını hemen ortaya çıkardı.
İlk tehlike işareti, harici bir uç noktaya olağandışı HTTP bağlantıları yapan ve İnternet üzerinden kötü niyetli bir sunucuyla iletişim kuran bir şirket posta sunucusuydu. İşi anlaması ve bu belirli posta sunucusunun normal davranışı, AI’nın tehdit edici etkinliği tanımlamasına izin verdi.
Güvenliği ihlal edilmiş sunucunun daha sonra kuruluş içindeki varlığını artırmak için ağ keşfi ve yanal hareket gerçekleştirmeye çalıştığı görüldü. Daha fazla araştırma, saldırganların birkaç C-seviye yöneticisi de dahil olmak üzere 11 çalışanın kimlik bilgilerini ele geçirdiğini ortaya çıkardı. Saldırının hızla yayılmasıyla birlikte, giderek daha fazla şirket cihazı kötü niyetli harici sunucuyla iletişim kurmaya başladı.
AI, kötü niyetli sunucuyla iletişim kurma girişimlerini hızla kesintiye uğrattı, ancak normal iş operasyonlarının devam etmesine izin verdi. Saldırının güvenli bir şekilde kontrol altına alınmasıyla Darktrace, şirketin güvenlik ekibinin tam bir soruşturma yürütmesine ve saldırının tamamen etkisiz hale getirildiğinden emin olmasına yardımcı oldu.
5. Yapay Zeka, Global Finansal Hizmetler Sağlayıcısında Log4j Exploit’i Durduruyor
2021’in sonunda halka açılan Log4Shell güvenlik açığı, kaydedilen en ciddi ve yaygın güvenlik açıklarından biridir. Bazıları tarafından yüz milyonlarca cihazı etkilediği ve sıfır gün olarak birçok geleneksel güvenlik aracından kurtulduğu düşünülüyor.
Neyse ki AI güvenliği, koruduğu birçok kuruluş için Log4Shell’in etkilerini azaltabildi. Bunlardan biri, 5 milyar doların üzerinde varlığa sahip küresel bir finansal hizmetler sağlayıcısı, Mart 2022’de hedeflendi.
Saldırganlar, şirketin sanal masaüstü altyapısı (VDI) sunucularından birine erişim sağlamak için bir Log4j güvenlik açığı kullandılar ve buradan çevredeki ağı taramaya ve tüm kuruluşa yayılmaya çalıştılar. Sunucu, şüpheli bir harici uç noktadan bir kabuk komut dosyası indirmeye başladı ve şirketin AI güdümlü güvenlik önlemlerinden anında bir uyarı istedi.
Uyarının verdiği tehdidin ciddiyetine ikna olan şirketin güvenlik ekibi, tehdide karşı kesin önlem almak ve VDI sunucusunda düzenli iş faaliyetlerini sürdürmek için derhal AI teknolojisini devreye aldı.
Bu AI güdümlü yanıt teknolojisinin hızlı eylemi, kötü niyetli bağlantıları engelledi ve tehdidin daha da ilerlemesini engelledi, büyük olasılıkla şirketi bir fidye yazılımı saldırısından kurtardı.