Yayın devi, News Corp’un geçen yıl ifşa ettiği bir ihlalin arkasındaki devlet destekli saldırganların o zamana kadar yaklaşık iki yıldır kendi ağında olduğunu açıkladı.
News Corp, geçen hafta çalışanlarına yazdığı bir mektupta, olayla ilgili soruşturmanın, davetsiz misafirin ilk olarak Şubat 2020’de ağına girdiğini ve 20 Ocak 2022’de keşfedilene kadar ağına girdiğini gösterdiğini söyledi. News Corp’un “sınırlı sayıda çalışanla” ilgili iş belgeleri ve e-postalar olarak tanımladığı şey. News Corp, saldırganın o sırada erişebildiği verilerin isimleri, doğum tarihlerini, Sosyal Güvenlik numaralarını, ehliyet numaralarını ve sağlık sigortası numaralarını içerdiğini söyledi.
İstihbarat Toplama Misyonu
Mektupta, “Soruşturmamız, bu faaliyetin kişisel bilgilerin istismarına odaklanmış gibi görünmediğini gösteriyor” denildi. raporlara göre. “Bu sorunla bağlantılı olarak kimlik hırsızlığı veya dolandırıcılık raporlarından haberdar değiliz.”
Wall Street Journal, New York Post ve diğer bazı yayınların yayıncısı olan News Corp, geçen Ocak ayında ihlali ilk kez açıkladığında, şirket bunu devlet destekli gelişmiş kalıcı tehdit (APT) içeren bir istihbarat toplama çabası olarak tanımladı. Wall Street Journal, 4 Şubat 2022 tarihli bir raporda, aktörün muhtemel olduğunu belirtti. Çin hükümeti adına çalışmak ve hedef alınan gazetecilerin ve diğerlerinin e-postalarını toplamaya odaklandı.
İlk ihlal keşfinden sonra News Corp’un izinsiz girişin kapsamını ve saldırganların yaklaşık 24 aydır kendi ağında olduğu gerçeğini açıklamasının neden bir yıldan uzun sürdüğü açık değil. Bir News Corp sözcüsü, bir Dark Reading yorum talebine yanıt olarak bu noktaya doğrudan değinmedi. Ancak, şirketin saldırının bir istihbarat toplama çabasının parçası olduğuna ilişkin önceki açıklamasını yineledi: “Ayrıca o zaman söylendiği ve bildirildiği gibi, faaliyet kontrol altına alındı ve sınırlı sayıda çalışanı hedef aldı.”
Alışılmadık Uzun Bekleme Süresi
News Corp’taki ihlalin tespit edilmeden kaldığı süre, mevcut standartlara göre bile yüksek. IBM’in 2022 baskısı ve Ponemon Enstitüsü’nün yıllık veri ihlali maliyeti raporu, kuruluşların bir ihlali tespit etmek ortalama 207 gün sürdüve kontrol altına almak için 70 gün daha. Bu, bir kuruluşun bir ihlali tespit etmesi için 2021’de geçen ortalama 212 günden ve bu ihlali ele alması için geçen 75 günden biraz daha düşüktü.
MyCena Security Solutions CEO’su Julia O’Toole, “Bir ihlali tespit etmek için iki yıl ortalamanın çok üzerinde bir süre” diyor. O’Toole, saldırganların ağa bu kadar uzun süre eriştikleri göz önüne alındığında, büyük olasılıkla ilk algılanandan çok daha fazla bilgiyle paçayı sıyırdıklarını söylüyor.
Bu yeterince kötü olsa da, daha da kötüsü, meydana gelen ihlallerin üçte birinden daha azı gerçekten tespit ediliyor. O’Toole, “Bu, daha birçok şirketin aynı durumda olabileceği ve bunu bilmeyebileceği anlamına geliyor” diyor.
O’Toole şöyle açıklıyor: “Bir sorun, tehdit tespit araçlarının ve bu araçları izleyen güvenlik analistlerinin, saldırganlar güvenliği ihlal edilmiş oturum açma kimlik bilgileri kullanıyorsa ağdaki tehdit aktörlerini tespit edememesidir,” diye açıklıyor. [threat detection] araçlarla, ihlallerin %82’sinden fazlası hâlâ güvenliği ihlal edilmiş çalışan erişim kimlik bilgilerini içeriyor.”
Görünürlük Eksikliği
Comforte AG’nin siber güvenlik uzmanı Erfan Shadabi, kuruluşların varlıkları üzerinde görünürlük olmaması ve güvenlik hijyeninin yetersiz olması nedeniyle siber saldırıları genellikle kaçırdığını söylüyor. Sofistike tehdit aktörlerinin tespitten kaçmak için kullandıkları (meşru trafikteki faaliyetlerini gizlemek gibi) gittikçe artan gelişmiş taktikler, tespit edilmeyi de büyük bir zorluk haline getirebilir, diyor.
Kuruluşların algılama ve yanıt verme yeteneklerini desteklemek için alabileceği önlemlerden biri, sıfır güven güvenlik modeli uygulamaktır. Shadabi, Dark Reading’e “Kullanıcı kimliğinin ve yetkilendirmesinin sürekli olarak doğrulanmasının yanı sıra güvenliği sağlamak için kullanıcı etkinliğinin sürekli olarak izlenmesini gerektirir.”
Kuruluşlar ayrıca ağlarını ve sistemlerini olağan dışı etkinliklere karşı izlemek için izinsiz giriş tespit sistemleri (IDS) ve güvenlik bilgileri ve olay yönetimi (SIEM) sistemleri gibi araçlar kullanıyor olmalıdır. Çok faktörlü kimlik doğrulama (MFA), güvenlik açığı yönetimi ve denetimi, olay müdahale planlaması, üçüncü taraf risk yönetimi ve güvenlik farkındalığı eğitimi dahil olmak üzere güçlü erişim kontrolü önlemleri, kuruluşların saldırganın bekleme sürelerini azaltmak için atabilecekleri diğer önemli adımlardır, diyor.
KnowBe4’ün lider farkındalık savunucusu Javvad Malik, “Genel olarak konuşursak, kuruluşlar, özellikle büyük olanlar, geniş teknoloji varlıkları nedeniyle saldırıları tespit etmekte zorlanıyorlar” diyor. “Birçok kuruluşun güncel bir donanım ve yazılım varlık envanteri bile yok, bu nedenle tümünü ihlal ve saldırılara karşı izlemek son derece zor” diyor. “Birçok durumda, ortamların karmaşıklığına indirgenir.”