Şirketler geçen yıl boyunca bir şey öğrendiyse, o da hedeflenen siber saldırıların ve güvenlik ihlallerinin etkisinin artık yaygın olduğudur. SolarWinds yazılım tedarik zinciri saldırısından, açıkta kalan Apache Log4j güvenlik açığına kadar, her büyüklükteki kuruluşun kapsamlı ve sağlam bir güvenlik altyapısına sahip olma ihtiyacına ilişkin argümanlar, bu şirketler ille de hedefte olmasalar bile hiç bu kadar güçlü olmamıştı. siber saldırganların

Birçoğu, 2020’nin sonundaki şu anda ünlü SolarWinds ihlalini, bu güne kadar devam eden beşinci nesil saldırıların çılgınlığı için büyük bir katalizör olarak görüyor. Bu büyük ölçekli, çok vektörlü saldırılar neredeyse sınırsız erişime sahip ve dünya çapındaki işletmelerin ve hükümetlerin güvenliği için yıkıcı sonuçlar doğuruyor. Bir yıl sonra, kötü niyetli aktörlerin kontrolü ele geçirmek, verileri çalmak ve hatta bir kullanıcının kripto para birimini çıkarmak için makineyi ele geçirmek için neredeyse her hedeflenen bilgisayarda uzaktan kod yürütmesine izin veren Apache Log4j güvenlik açığının ortaya çıkma sırası geldi.

İlki, bir grup gelişmiş kalıcı tehdit tarafından düzenlenen bir saldırıydı, ikincisi ise kimsenin geldiğini görmediği, açıkta kalan bir sıfırıncı gün güvenlik açığıydı. Ancak iki olayın ortak bir yanı var: tüm sektörlerdeki ve dünyanın her köşesindeki işletmelerin risklerini ve kırılganlıklarını artırdılar. Kuruluşlar genellikle belirsiz bir geleceğe bakarken, siber güvenliğin yerel değil küresel bir sorun olduğu çok açık. Bu nedenle şirketlerin siber güvenlik stratejisi tüm bunları hesaba katmalıdır.

5. nesil saldırıların yükselişi

5. Nesil saldırılar, çok sayıda kuruluşa sızmak için geniş saldırı yüzeylerinden ve çoklu enfeksiyon vektörlerinden yararlanmaları bakımından benzersizdir. Görülmemiş bir hızla artıyorlar. Artık işletmeler ve devlet kurumları ağ ayak izlerini genişletiyor ve teknoloji karışımlarına uç noktalar ve bağlı cihazlar ekliyor, 5. Nesil saldırıdan etkilenme riski hiç bu kadar büyük olmamıştı.

2022 Güvenlik Raporumuzda vurgulandığı gibi, dünya çapında 18.000’den fazla kuruluşu etkileyen SolarWinds ihlali, bugün hala işi sürdüren bir tedarik zinciri saldırıları selini başlattı. Kurumsal ağlara yönelik siber saldırıların tüm alanlarda %50 arttığı bir yılda, SolarWinds gibi yazılım şirketleri yıllık %146 artışla en güçlü büyümeyi gördü. Günümüzün iş ekonomisi, karmaşık bir yazılım tedarik zincirleri ağı üzerine kuruludur; bu, bir yazılım satıcısına yapılan her yeni saldırının dünya çapındaki işletmelerin savunmasızlığını artırdığı anlamına gelir.

Güneş Patlaması Katalizörü

Bu SolarWinds yazılım tedarik zinciri saldırısı, rutin bir güncelleme yoluyla dünya çapındaki müşterilere dağıtılmadan önce SolarWinds Orion sisteminde yerleşik olarak bulunan “Sunburst” olarak bilinen bir arka kapı tarafından kolaylaştırıldı. İlgili gelişmiş kalıcı tehdit (APT) grubu böylece devlet kurumlarından Fortune 500 şirketlerine kadar binlerce SolarWinds müşterisinin ağlarına gizlice erişebildi.

Ne yazık ki, APT gruplarına saldırmanın bu modu artık yükselişte. Raporumuzda detaylandırıldığı gibi, fidye yazılımı grubu REvil, 2021 boyunca birden fazla Yönetilen Hizmet Sağlayıcıyı (MSP) hedef aldı ve Temmuz ayında, BT şirketi Kaseya’dan gelen müşterilerin yamalarını ve izlenmesini yönetim aracına kötü amaçlı bir yazılım güncellemesi yerleştirmeyi başardı. Şüphelenmeyen binlerce işletme etkilendi ve fidye olarak milyonlarca ABD doları talep edildi.

Sunburst ayrıca ABD Doğu Kıyısında tüketilen yakıtın yaklaşık yarısını taşıyan Colonial Pipeline’a yapılan saldırıya da ilham verdi. APT grubunun DarkSide’ın, bir Hizmet Olarak Fidye Yazılımı modeli kullanarak saldırının arkasında olduğuna inanılıyor; bu, kusuru düzenlemek için üçüncü taraf bağlı kuruluş programlarına güvendiği anlamına geliyor.

Bu tür saldırıların gerçekleştirilmesinde kullanılan araçların giderek daha demokratik hale gelmesi ve daha fazla kullanılmasının bugüne kadarki en çarpıcı örneklerinden biri, şirketlerin kendi çevrelerini koruma baskısını yeniden artırıyor.

REvil fidye yazılımı grubunun varlıklarına o zamandan beri el konulmuş ve elebaşları tutuklanmış olsa da, bir kodu durdurmak imkansızdır. Bir tehdit grubu belirli bir saldırıyı başarıyla atlattıktan sonra, bağlı bir üyenin ivmeyi sürdürmesi fazla zaman almaz. Tarihin en tehlikeli botnetlerinden biri olan Emotet, bir yıl önce yayından kaldırıldıktan sonra Kasım 2021’de geri dönüş yaptı.

Esas olarak bağlantılar, spam e-postalar, kötü amaçlı komut dosyaları ve makro içeren belge dosyaları aracılığıyla yayılan bir Truva atıdır. Bir kullanıcıya bulaştıktan sonra, tespit edilemeyen bir orman yangını gibi yayılabilir, dünyanın dört bir yanındaki bireylerden, işletmelerden ve hükümetlerden bankacılık kimlik bilgilerini ve finansal verileri çalabilir.

Sıfır gün güvenlik açıkları tarafından tuzağa düşürüldü

Yukarıda açıklananlar gibi hedefli saldırılar, dünyanın her yerindeki işletmeler için artan bir tehdit oluştururken, açıklardan yararlanmalar ve güvenlik açıkları da öyle. Geçen Aralık ayında, dünyanın en popüler java günlük kaydı kitaplığı olan Apache Log4j’de bir uzaktan kod yürütme güvenlik açığı rapor edildi.

Bu kitaplık, Twitter ve Amazon’dan Microsoft ve Minecraft’a kadar her gün kullandığımız hemen hemen her hizmet ve uygulamada yerleşiktir. Başlangıçta bazı tehdit aktörleri tarafından kurbanları pahasına kripto para madenciliği kaynaklarından kar elde etmek için kullanıldı, bunun gibi bir istismarın daha fazla saldırı için kullanılamaması için hiçbir neden yok. sofistike ve zararlı. Uzman ekiplerimiz, Log4j güvenlik açığının açıklanmasından sadece 2 saat sonra yaklaşık 40.000 saldırı girişimi ve olaydan 72 saat sonra 830.000 saldırı girişimi daha tespit etti.

Bu sıfır gün güvenlik açıkları, isimlerini şirketleri tamamen kör etme yeteneklerinden alır ve potansiyel kurbanlar olmadan önce tepki vermeleri için neredeyse hiç zaman vermez. O zaman, tehdit aktörleri ile güvenlik açığından yararlanma yetenekleri ve şirketlerin savunmalarındaki boşluğu ne kadar hızlı kapatabilecekleri arasındaki bir yarış.

Küresel tehditler küresel bir çözüm gerektirir

Tehdit iklimi değişti. Şirketlerin kendileriyle siber ortamın geri kalanı arasında çizebilecekleri geleneksel savunma hattı o kadar bulanık hale geldi ki var olmayabilir. Statik bir çevre tutmak yerine, kuruluşların güvenlik altyapılarına daha bütünsel, gerçek zamanlı bir bakış açısı getirmeleri gerekiyor.

Güvenlik uzmanlarının, ne kadar dağıtılmış olursa olsun, tüm ağlarının 360 derecelik görünürlüğünü sürdürebilmesi gerekir. Ayrıca, yukarıda açıklananlar gibi büyük ölçekli sıfırıncı gün güvenlik açıklarını ve hedefli yazılım tedarik zinciri saldırılarını tahmin edebilmeleri için gerçek zamanlı küresel tehdit istihbaratına erişmeleri gerekir.

Dünyanın dört bir yanındaki kuruluşlar 2022’nin ikinci yarısında ve sonrasında güvenli bir şekilde faaliyet göstereceklerse, siber güvenliği yerel değil küresel bir sorun olarak görmeye başlamaları ve güvenlik stratejilerini buna göre geliştirmeleri gerekiyor. Ancak o zaman sınır tanımayan bir tehdit ortamına karşı kendilerini güvenle savunabilirler.



genel-15