Gelişmiş tehditler artık her zamankinden daha erişilebilir. Dark Web’de sıfır gün saldırıları, dosyasız kötü amaçlı yazılımlar, tedarik zinciri ihlalleri ve cihaz belleği işlemlerini hedefleyen kötü amaçlı yazılımlar satın alabilir veya kiralayabilirsiniz.
2021’de ilk beş arasında en yaygın olanı hafızadan ödün verilmesiydi MITRE saldırı tekniklerive dosyasız saldırıların sayısı %900’ün üzerinde artış. Doğada görülen sıfır gün sayısı 2020’ye göre iki kattan fazla arttı, Google’ın Project Zero’ya göre. 2022’de veri ihlalleri sadece 60 eksikti 1.862 ihlalin tüm zamanların rekoru2021’de geçiyor. 2022’nin ilk yarısında veri ihlali hacimlerinde kayda değer bir düşüş oldu, bunun nedeni muhtemelen Rusya merkezli siber suçluların Ukrayna’nın işgali ve kripto para piyasasındaki oynaklık nedeniyle dikkatlerinin çok dağılması veya meşgul olmasıydı.
İyi korunan ağlara yönelik gelişmiş siber saldırılar, petrol boru hatlarının, okul sistemlerinin ve hatta tüm ülkeler. Ve asla halka açıklanmayan büyük kuruluşlara yönelik kaç tane başarılı saldırı olduğunu asla bilemeyeceğiz.
Tehditler Algılanmayı Önlemek İçin Bellekte Saklanır
Algılama teknolojileri herhangi bir BT ortamında temel savunmalardır. Yeni nesil antivirüs (NGAV), uç nokta koruma platformu (EPP), uç nokta algılama ve yanıt/genişletilmiş algılama ve yanıt (EDR/XDR) ve yönetilen algılama ve yanıt (MDR) içerir. Ancak en gelişmiş tehditler ve mevcut tehditlerin yeni çeşitleri, genellikle bellekte saklanarak bu araçlardan kaçmak için özel olarak tasarlanmıştır.
Tarayıcılar, bilinen imzalara bakarak kötü amaçlı yazılımları ve kötü amaçlı etkinlikleri belirlemeye çalışır. Ancak birden çok güvenlik teknolojisi katmanına sahip olsanız bile, bu tarayıcılar tanınabilir imzaları olmayan, dosyasız veya bellekte var olan ve çalışma zamanında etkili bir şekilde taranması mümkün olmayan tehditleri göremez. Sonuçta, ne arayacağınızı bilmiyorsanız ve çevrenizi gerçek zamanlı olarak göremiyorsanız, göremediğinizi de bulamazsınız.
Bellek, modern siber güvenlikte önemli bir güvenlik açığıdır çünkü standart siber güvenlik araçları bellekteki sinsi, bilinmeyen ve kaçamak tehditleri bulamaz – kesinlikle saldırıları durduracak kadar hızlı değildir. Sonuç olarak, güvenlik ekipleri tehdit aktörlerinin bir adım gerisinde kalıyor.
Bellek Güvenlik Açığı Büyüyor
Tehdit aktörleri, görünmez kalırken bir cihazda kalmak için en iyi yer olduğu için belleği hedefliyor. Bunun nedeni, çalışma zamanı belleğinin o kadar büyük bir alan olmasıdır ki, performansı büyük ölçüde düşürmeden tarama yapmak temelde imkansızdır ve bu da onu çoğunlukla güvenlik kontrolleri tarafından savunmasız bırakır.
Performanstan ödün vermemek için, EDR gibi algılamaya dayalı çözümler belleğe seçici olarak bakmalıdır. Yakın zamanda yayınlanan Cobalt Strike Yara kuralları gibi belirli göstergeleri taramak ve aramak için bellekte belirli zamanları ve boşlukları seçmeye bağlıdırlar.
Tehditler çok geniş bir alana gizlenebildiğinden ve kural setlerini tetiklemekten kaçınmak için yeniden yapılandırılabildiğinden, tarama çözümleri neredeyse her zaman kaçamak tehditleri kaçırır.
Bir cihazın çalışma zamanı bellek ortamında, tehditler kimlik bilgilerini çalabilir, meşru işlemleri ele geçirebilir ve hatta düşük ayrıcalıklı bir kullanıcıyı sistem yöneticisine dönüştürebilir.
Örneğin, sızma testi çerçevesi Cobalt Strike’ın kötü amaçlı sürümleri, tehdit aktörlerinin PowerShell gibi meşru bir uygulamanın belleğine bir yükleyici yerleştirmesine olanak tanır. Bu, bir uygulama çalışırken tehdidin yalnızca bellek ortamında var olduğu anlamına gelir.
Bellek Savunmaları Ekleme
Gelişmiş tehditler tarafından güvenliğin aşılmasını güvenilir bir şekilde önlemenin tek yolu, saldırganların hayatını zorlaştıran katmanlı bir güvenlik duruşu kullanmaktır. Bu, kötü niyetli davranışları tespit etmek ve güvenlik ekiplerini ağ etkinliği hakkında bilgilendirmek için güvenli ağlar oluşturmak, sistemleri güçlendirmek ve EDR, EPP ve AV gibi güvenlik teknolojilerini devreye almak anlamına gelir. Güvenlik ekiplerinin, güvenilmeyen aktörlerin erişimini engelleyerek belleği koruyan çözümleri de değerlendirmesi gerekir.
Belleği korumanın bir yolu kullanmaktır hareketli hedef savunması Saldırganların aradıklarını bulamamaları için çalışma zamanı bellek ortamını rastgele hale getiren teknoloji, saldırı zincirlerini kırar. Saldırgan, statik, bilinen bir hedef ortam yerine, yem tuzakları içeren dinamik bellek ortamı adli analiz için yetkisiz etkinliği yakalayan.
Gelişmiş tehditler daha yaygın hale geldikçe, bellek savunmasını içeren katmanlı güvenlik gerekli hale geliyor. Bu olmadan, cihaz belleğini hedef alan tehditleri durdurmanın etkili bir yolu yoktur.
