- Özel Araçlardan ve Kötü Amaçlı Yazılımlardan Kaçınarak Gizliliğe Ulaşmak
- Daha Büyük Etki için Siber ve Etki Operasyonlarını Birleştirme
- SOHO Ağ Uç Cihazlarını Hedefleyerek Gizli Ağlar Oluşturma
- İlk Erişim ve Kalıcılık için Kamuya Açıklanan POC’lerin Hızla Benimsenmesi
- Fidye Yazılımı Ekonomisinde Uzmanlaşmaya Öncelik Verme
Siber güvenlik sürekli gelişiyor ve bu nedenle düzenli dikkat gerektiriyor.
Microsoft, en son saldırı vektörlerini ve tekniklerini daha iyi anlamak için her gün 78 trilyondan fazla güvenlik sinyalini analiz ediyor. Geçen yıldan bu yana, tehdit aktörlerinin davranış biçiminde bir değişiklik olduğunu fark ettik. Ulus devlet desteğinin ölçeklendirilmesi ve kullanılması. Kuruluşların her zamankinden daha fazla saldırı yaşamaya devam ettiği ve saldırı zincirlerinin daha karmaşık hale geldiği açıktır. Bekleme süreleri kısaldı ve taktikler, teknikler ve prosedürler (TTP’ler) doğası gereği daha çevik ve daha kaçamak hale gelecek şekilde gelişti.
Bu öngörülerden yola çıkarak, son kullanıcı kuruluşlarının düzenli olarak izlemesi gereken beş saldırı eğilimini burada bulabilirsiniz.
Özel Araçlardan ve Kötü Amaçlı Yazılımlardan Kaçınarak Gizliliğe Ulaşmak
Bazı tehdit aktörü grupları, kurbanlarının cihazlarında halihazırda mevcut olan araç ve süreçlerden yararlanarak gizliliğe öncelik veriyor. Bu, saldırganların radarın altına sızmasına ve saldırı başlatmak için benzer yöntemler kullanan diğer tehdit aktörlerinin eylemlerini gizleyerek tespit edilmemesine olanak tanır.
Bu eğilimin bir örneği şu şekilde görülebilir: Volt Tayfunuarazide yaşama teknikleriyle ABD’nin kritik altyapısını hedef alarak manşetlere çıkan, Çin devleti destekli bir aktör.
Daha Büyük Etki için Siber ve Etki Operasyonlarını Birleştirme
Ulus-devlet aktörleri aynı zamanda siber operasyonlar ile nüfuz operasyonları (IO) yöntemlerini birleştiren yeni bir taktik kategorisi de yarattılar. “Siber destekli etkileme operasyonları” olarak bilinen bu hibrit, veri hırsızlığı, tahrifat, dağıtılmış hizmet reddi ve fidye yazılımı gibi siber yöntemleri veri sızıntısı, kuklalar, kurban kimliğine bürünme, yanıltıcı sosyal medya gönderileri gibi etkileme yöntemleriyle birleştirir. ve kötü amaçlı SMS/e-posta iletişimi — düşmanların ağ erişimi veya siber saldırı yeteneklerindeki eksiklikleri artırmak, abartmak veya telafi etmek için.
Örneğin Microsoft, birden fazla İranlı aktörün bu yöntemi kullanmaya çalıştığını gözlemledi. toplu SMS mesajlaşma Siber etki operasyonlarının güçlendirilmesini ve psikolojik etkilerini artırmak. Ayrıca, siber saldırının veya uzlaşmanın etkilerine güvenilirlik kazandırmak amacıyla, siber destekli nüfuz operasyonlarının, mağdur olduğu iddia edilen kuruluşları veya bu kuruluşlardaki önde gelen kişileri taklit etmeye çalıştığını da görüyoruz.
SOHO Ağ Uç Cihazlarını Hedefleyerek Gizli Ağlar Oluşturma
Küçük ofis/ev-ofis (SOHO) ağ uç cihazlarının giderek artan kötüye kullanımı, dağıtılmış veya uzak çalışanlar için özellikle önemlidir. Tehdit aktörlerinin gizli ağlar oluşturmak için yerel bir kafedeki yönlendirici gibi hedef SOHO cihazlarını kullandığını giderek daha fazla görüyoruz. Hatta bazı rakipler, dünya çapındaki savunmasız uç noktaları tespit etmek ve bir sonraki saldırıları için sıçrama noktalarını belirlemek için programlar bile kullanacak. Bu teknik, ilişkilendirmeyi karmaşık hale getirerek saldırıların neredeyse her yerden görünmesini sağlar.
İlk Erişim ve Kalıcılık için Kamuya Açıklanan POC’lerin Hızla Benimsenmesi
Microsoft, belirli ulus devlet alt gruplarının, Internet’e yönelik uygulamalardaki güvenlik açıklarından yararlanmak amacıyla kamuya açıklanmış kavram kanıtını (POC) yayınlandıktan kısa bir süre sonra benimsediğini giderek daha fazla gözlemlemiştir.
Bu eğilim aşağıdaki gibi tehdit gruplarında görülebilir: Nane Kum Fırtınasıortak kurumsal uygulamalardaki N günlük güvenlik açıklarını hızla silah haline getiren ve ilgi duyulan ortamlara hızlı ve başarılı bir şekilde erişmek için yüksek hedefli kimlik avı kampanyaları yürüten İranlı bir ulus devlet aktörü.
Fidye Yazılımı Ekonomisinde Uzmanlaşmaya Öncelik Verme
yönünde sürekli bir ilerleme gözlemliyoruz. fidye yazılımı uzmanlığı. Tehdit aktörleri, uçtan uca bir fidye yazılımı operasyonu yürütmek yerine, küçük bir yetenek ve hizmet yelpazesine odaklanmayı tercih ediyor.
Bu uzmanlık Fidye yazılımı saldırısının bileşenlerini karmaşık bir yeraltı ekonomisinde birden fazla sağlayıcıya yayarak parçalayıcı bir etkiye sahiptir. Şirketler artık fidye yazılımı saldırılarının yalnızca bireysel bir tehdit aktöründen veya grubundan geldiğini düşünemez. Bunun yerine, hizmet olarak fidye yazılımı ekonomisinin tamamıyla mücadele ediyor olabilirler. Buna yanıt olarak Microsoft Tehdit İstihbaratı artık fidye yazılımı sağlayıcılarını ayrı ayrı izliyor ve ilk erişimde hangi grup trafiğini, hangilerinin başka hizmetler sunduğunu kaydediyor.
Siber savunucular güvenlik duruşlarını güçlendirmenin daha etkili yollarını ararken, geçmiş yıllardaki önemli eğilimlere ve ihlallere referans vermek ve bunlardan ders çıkarmak önemlidir. Bu olayları analiz ederek ve farklı düşmanların amaçlarını ve tercih edilen TTP’lerini anlayarak gelecekte benzer ihlallerin meydana gelmesini daha iyi önleyebiliriz.
– Devamını oku Microsoft Security’den İş Ortağı Perspektifleri
