Mandiant tarafından yürütülen olay müdahalesi (IR) soruşturmalarına ilişkin yeni bir rapora göre, saldırganların kurbanın ağında tespit edilmeden kalma süresi, 2020’de 24 günden 2021’de 21 güne düşerek art arda dördüncü yıl azaldı.
Mandiant, IR vakalarında, şirketlerin ortalama beş gün içinde tespit edilen fidye yazılımlarıyla en tehlikeli saldırıları hızlı bir şekilde bulmak için tespit yeteneklerini ayarladıklarını tespit etti; Fidye yazılımı olmayan saldırılar, 2020’de 45 günden azalarak 2021’de 36 gün boyunca etkin kaldı. Ancak hasım kıdemli direktörü Steven Stone, fidye yazılımı saldırılarının daha hızlı tespit edilmesinin, bunun yerine yükün etkinleştirilmesinden kaynaklanmasının olumlu olmayabileceğini söylüyor. Mandiant için operasyonlar.
Bununla birlikte, genel olarak, daha fazla şirket üçüncü taraf siber güvenlik firmalarıyla çalıştığından ve devlet kurumları ve güvenlik firmaları genellikle saldırıların kurbanlarını bilgilendirerek daha hızlı algılamaya yol açtığından, iyileştirme fidye yazılımı olmayan tehditlerin daha hızlı algılanmasıyla sağlanıyor.
Stone, “Bu gibi faktörlerin kombinasyonunun, bu bölgelerde yıldan yıla iyileşmeler olarak gördüğümüz şeylere katkıda bulunduğunu düşünüyoruz” diyor. “Nihayetinde, ilk tehdit vektörleri, saldırgan seçimlerine ve farklı güvenlik açıklarının mevcudiyetine bağlıdır. Genel olarak, bazı saldırı gruplarının aynı anda farklı yöntemler kullandığını ve muhtemelen hedef çaba başına bir tercih gösterdiğini görüyoruz.”
Şirketler, son on yılda tespit sürelerini önemli ölçüde iyileştirdi ve saldırganları tespit etme süresini 2011’de 418 günden 2021’de 21 güne kadar neredeyse 20 kat azalttı. Mandiant M-Trends 2022 raporu.
Asya-Pasifik bölgesindeki firmaların sözde “bekleme süresi”, 2020’de 76 günden 2021’de 21 güne çarpıcı bir düşüşle görmeleriyle birlikte, şirketin algılama yeteneklerindeki iyileşme bölgeye göre önemli ölçüde değişiklik gösterdi. Avrupalı şirketler de önemli bir düşüş gördü 2020’de 66 günden 48 güne çıkarken, Kuzey Amerika şirketlerinin tespiti değişmeyerek 17 gün seviyesinde kaldı.
Saldırganlar Kobalt Grevini Seviyor
En popüler saldırı aracı, tanımlanan tüm kötü amaçlı yazılım ailelerinin %28’ini oluşturan Beacon arka kapısı olarak kaldı. Beacon, kötü niyetli saldırganlar arasında da popüler olan Cobalt Strike sızma testi aracının bir bileşenidir. Diğer saldırı araçlarının sıklığı hızla düştü ve .NET ortamları için Sunburst arka kapısı, Metasploit sızma testi platformu ve bir proxy araç takımı olan SystemBC’yi içeriyor.
Mandiant’a göre, genel olarak, iki ilk uzlaşma yöntemi – güvenlik açıklarından ve tedarik zinciri aracılığıyla saldırılardan yararlanma – 2020’de %30’dan daha az bir saldırı payına sahipken, 2021’de tanımlanmış bir ilk enfeksiyon vektörüyle tüm saldırıların %54’ünü oluşturdu. Mandiant’ın hizmet sunumundan sorumlu başkan yardımcısı Jurgen Kutscher, raporu açıklayan bir bildiride, değişen taktiklerin şirketlerin saldırganların tekniklerinden haberdar olmaları gerektiğinin altını çizdiğini söyledi.
“Başlangıçta bir uzlaşma vektörü olarak açıklardan yararlanmanın sürekli artan kullanımı ışığında, kuruluşların varlık, risk ve yama yönetimi gibi güvenlik temellerini yürütmeye odaklanmaları gerekiyor” dedi. “Dayanıklılık oluşturmanın anahtarı hazırlıkta yatar. Sağlam bir hazırlık planı ve iyi belgelenmiş ve test edilmiş kurtarma süreci geliştirmek, kuruluşların bir saldırıyı başarılı bir şekilde yönetmesine ve normal iş operasyonlarına hızla dönmesine yardımcı olabilir.”
Bullseye’daki Active Directory
Başka bir eğilimde, saldırganlar giderek artan bir şekilde hibrit Active Directory (AD) kurulumlarını hedefliyorlar, çünkü kimlik bilgilerinin ve anahtarların şirket içi AD hizmetleri ile buluttaki Azure Active Directory arasında senkronize edildiği hibrit kimlik modelindeki yanlış yapılandırmalar, güvenlik ihlallerine yol açıyor. Mandiant raporda belirtti.
Şirketler, hibrit Active Directory sunucularını varlıkların en hassas düzeyi, katman 0 olarak ele almalı ve yalnızca bölümlere ayrılmış bir ağdan ayrıcalıklı iş istasyonundan erişime izin vermelidir. Mandiant’ın küresel kırmızı ekibinin genel müdürü Evan Pena, izlemenin yanı sıra bu adımların sömürüyü çok daha zor hale getirmesi gerektiğini söylüyor.
Neyse ki, hibrit AD sunucuları için en iyi güvenlik uygulamalarını uygulamanın doğru olması zor değil, diyor.
“Şirketler hibrit modeller kullanırken kaynaklarını buluta taşıdıkça, saldırganlar hem etki alanı hem de buluttan ödün vermek için bu hibrit sunucuları hedefleyecek” diyor. “Bu hibrit sunucuların şirket içi sunuculara karşı üst düzey ayrıcalıklara sahip olması yaygın bir durumdur — [such as] etki alanı denetleyicileri – ve bulut kaynakları.”
Şirketler, Active Directory uygulamalarını güvenlik açıkları veya yanlış yapılandırmalar için gözden geçirip değerlendirerek, ortamlarındaki olağandışı yanal hareket girişimlerini nasıl tespit edip önleyeceklerini anlayarak ve ilk erişim saldırılarını önemli ölçüde sınırlamak için uygulama beyaz listeye alma ve devre dışı bırakma makroları uygulayarak bu yıl birincil tehditle mücadele etmelidir. diyor Pena.