Giriş
Siber güvenlikteki güncel tehditler, kuruluşların operasyonlarını derinden etkilemektedir. Blackpoint Cyber’ın 2026 Yıllık Tehdit Raporu, siber saldırıların giderek daha fazla meşru yollarla gerçekleştirildiğini gözler önüne sermektedir.
Saldırı Nasıl Çalışıyor?
Rapor, analiz edilen olayların büyük bir kısmında saldırganların, güvenlik açıklarını kullanmak yerine meşru erişim yollarıyla sisteme giriş yaptığını göstermektedir. SSL VPN kötüye kullanımı, tüm belirlenebilir olayların %32.8’ini oluşturarak en yaygın başlangıç noktalarından biri haline gelmiştir. Saldırganlar, geçerli ancak ele geçirilmiş kimlik bilgileri ile kimlik doğrulaması yaparak VPN oturumları kurmuş, bu da güvenlik kontrollerine meşru görünmüştür.
Bu oturumlar, saldırganlara içeride geniş bir erişim sağlamış ve yüksek değerli sistemlere hızla yaklaşmalarına olanak tanımıştır.
Etkilenen Sistemler
Rapor, meşru Remote Monitoring and Management (RMM) araçlarının sıkça kötüye kullanıldığını da belirtmektedir. RMM kötüye kullanımı, belirlenebilir olayların %30.3’ünde görülmüş ve ScreenConnect, sahte RMM vakalarının %70’inden fazlasında tespit edilmiştir. Bu araçlar, standart IT yönetimi için yaygın olarak kullanıldıklarından, yetkisiz kurulumlar genellikle beklenen aktiviteler gibi görünmekte ve algılanması güç olmaktadır.
Ayrıca, birden fazla uzak erişim aracı kullanılan ortamlarda sahte örneklerin mevcut araçlarla kaynaşma olasılığı daha yüksektir.
Olayların Temel Nedenleri
Saldırganlar, gerçekte yazılım açıklarını istismar etmek yerine, kullanıcı etkileşimlerini en büyük tehdit kaynağı olarak kullanmaktadır. Sahte CAPTCHA ve ClickFix tarzı kampanyalar, belirlenebilir olayların %57.5’ini oluşturmakta ve raporda belgelenmiş en yaygın saldırı modeli haline gelmiştir. Kullanıcılara, rutin bir doğrulama adımı gibi görünen komutların Windows Çalıştır penceresine yapıştırılması talimatı verilmiştir. Bu işlemler, geleneksel kötü amaçlı yazılım indirmeleri veya istismar faaliyetleri olmadan, yerleşik Windows araçları kullanılarak gerçekleştirilmiştir.
Bulut Ortamlarında Tehditler
Çok faktörlü kimlik doğrulama (MFA), araştırılan olaylarla ilişkili birçok bulut ortamında etkinleştirilmiş olmasına rağmen, hesap ele geçirilmeleri yaşanmıştır. Adversary-in-the-Middle phishing türü, raporda belgelenmiş bulut hesap devre dışı bırakmalarının yaklaşık %16’sını kapsamaktadır. Bu senaryolarda MFA olduğu gibi işlemiş; saldırganlar, başarılı MFA sonrası verilen kimlik doğrulama oturum kimliklerini ele geçirmiş ve bunları bulut hizmetlerine erişim sağlamak için yeniden kullanmışlardır.
Bulut platformu açısından bu faaliyet, meşru bir kimlik doğrulama oturumu ile uyumlu görünmektedir.
Çözüm ve Korunma
Rapordan elde edilen bulgular, güvenlik ekiplerinin dikkat etmesi gereken birkaç temel önceliği vurgulamaktadır:
- Uzak erişimi yüksek riskli ve yüksek etkili bir faaliyet olarak değerlendirin.
- Onaylı RMM araçlarının tam envanterini tutun ve kullanılmayan veya eski ajansları kaldırın.
- Onaylanmamış yazılım kurulumlarını kısıtlayın ve kullanıcıların yazılabilir dizinlerden çalıştırmalarını sınırlayın.
- Cihaz durumunu, konumu ve oturum riskini değerlendiren Koşullu Erişim kontrolleri uygulayın.
Bu örüntüler, üretim, sağlık, yöneticiler, finans hizmetleri ve inşaat sektörlerini içeren sık hedeflenen alanlarda belgelenmiştir.
Sonuç
Okuyucuların, bu içgörüleri dikkate alarak sistemlerini güncellemeleri, gereksiz erişim noktalarını kapatmaları ve güvenlik önlemlerini artırmaları önemlidir. Uzak erişim araçlarını yönetim altında tutmak, tehditlere karşı alınacak önlemler arasında kilit rol oynamaktadır. Bu konuda daha fazla bilgi edinmek için planlanan Blackpoint Cyber webinarlarına katılmanız önerilmektedir.
