Giriş
Kurumsal güvenlik operasyonlarının karanlık bir gerçeği, savunucuların alarm sinyallerini önem derecelerine göre sınıflandırarak bazılarını göz ardı etme pratiğini kurumsal hale getirmesidir. Bu durum, 25 milyon güvenlik uyarısını inceleyen bir rapor ile belgelenmiştir ve önemli sayıda tehditin, düşük önem derecelerine sahip uyarılara gizlendiğini göstermektedir.
Saldırı Nasıl Çalışıyor?
Yapılan analizde, 25 milyon uyarıdan neredeyse %1’inin, başlangıçta düşük önem derecesine veya bilgi amaçlı olarak sınıflandırılmış olaylardan kaynaklandığı tespit edilmiştir. Özellikle uç noktalar için bu oran %2’ye kadar yükselmektedir. Kurumsal ölçek düşünüldüğünde, bu yüzdeler basit bir gürültü değildir; yıllık ortalama 450,000 uyarı üreten bir organizasyon, bu sayılar göz önüne alındığında yılda yaklaşık 54 gerçek tehditle karşılaşmakta, bunların her biri de geleneksel SOC veya MDR modelinde asla incelenmemektedir.
Etkilenen Sistemler
Güvenlik ekipleri tarafından göz ardı edilen bu uyarılar, çoğu zaman gerçek tehditleri barındıran bir kategori olmaktadır. Rapordan çıkarılan verilere göre, 82,000 canlı forensik bellek taraması yapılan uyarıdan 2,600 tanesinde aktif enfeksiyonlar saptanmıştır; bu enfekte uç noktaların %51’i ise ilgili EDR (Endpoint Detection and Response) tarafından “hafifletilmiş” olarak işaretlenmiştir.
- Mimikatz
- Cobalt Strike
- Meterpreter
- StrelaStealer
Bu malware aileleri, aktif suç ve devlet destekli operasyonların temel bileşenleridir ve çoğu organizasyonunun güvenlik ağları üzerinden temiz görünüyorlar.
Çözüm ve Korunma
Slack’teki belirttiğimiz üzere, phishing tehditleri; %6’dan azının ekli dosyalar içermesi, genellikle bağlantılar ve dil yoluyla yayılmaları, saldırganların güvenilir platformlara taşınması gibi önemli değişimlere sahiptir. Özellikle PayPal gibi meşru altyapılardan gelen tehdit e-postaları, dolandırıcılık için yeni bir zemin yaratmaktadır. Söz konusu tehdit yöntemleri, çok sayıda e-posta geçişinde geleneksel güvenlik duvarlarını aşmakta etkilidir. Aşağıda birkaç saldırı tekniği yer almaktadır:
- SVG dosya içinde gizlenmiş Base64 yükleri.
- PFD ek bellek meta verilerine yerleştirilmiş bağlantılar.
- Meşru OneDrive paylaşımları aracılığıyla dinamik olarak yüklenen phishing sayfaları.
- QR kodu içeren arşivlenmiş HTML içeren DOCX dosyaları.
Bu tür saldırıları önlemenin en etkili yolu, güvenlik sistemlerinizi güncelleyerek ve tüm e-posta geçişlerinin sorgulanması gerektiğini unutmadan hareket etmektir. Ayrıca, EDR ve SOC üzerindeki yüklerin azaltılması için otomasyon çözümleri araştırılabilir.
Sonuç
Bu raporların ışığında, düşük önem derecesine sahip uyarıların incelenmemesinin sonuçları, gerçek tehditlerin gözden kaçmasına sebep olmaktadır. Tüm uyarıların detaylıca incelenmesi ile daha yüksek güvenlik standartlarına ulaşabilir, 2026 verilerine yönelip uygun önlemleri hayatınıza geçirebilirsiniz. Şimdi güvenlik sistemlerinizi güncelleyerek, yanlış kanaatlere dayalı karar verme sürecini gözden geçirmelisiniz. Ayrıca, mümkünse tüm ağ trafiğinizi denetlemek ve yedeklemelerinizi güncel tutmak da önemlidir.
