Websense tarafından hazırlanan rapor, saldırganların, teknik uzmanlar
ve uzmanlıklar yerine yüksek teknolojiye sahip araçlar kullanarak
kapasitelerini nasıl güçlendirdiklerini gösteriyor.
Birbirine bağlı
gizli yönlendirme, eski kodların yeniden kullanılması ve diğer birçok
teknik, bu saldırganların gizli kalmasına olanak sağlarken; tehdidin
saptanma sürecini zaman alan, zor ve tamamıyla güvenilmez bir hale
getiriyor.
Daha yeni ve daha güvenli olanlar yerine eski standartların geniş
çaplı kullanımı, sistemlerin savunmasız ve tehditlere açık hale
gelmesine sebep oluyor. Tehditler, Bash, OpenSSL ve SSLv3’ün kod
tabanını da içeren bir ağ sistemine kadar ulaşarak genişliyor ve hassas
verilere ele geçerebilecek bir altyapıya sahip olunuyor.
Websense uzmanlarına göre bugünkü tehditlerle başa çıkabilmek için
göz önünde bulundurulması gereken etkenleri; “Güvenlik yazılımlarının
loglarının Kill Chain etrafında analiz edilmesi, birbiriyle entegre
çözümler kullanılması, güvenlik bilincini yukarıya çekebilecek araçlar
kullanılması, SSL inspection ile SSL tabanlı atakların analiz edilmesi
ve kurum dışı güvenlik stratejilerinin; geleneksel yöntemler yerine daha
akıllı ve web tehditlerini durdurabilecek şekilde yeniden
şekillendirilmesi” olarak sıralıyor.
Websense Security Labs 2015 Tehdit Raporu,
eyleme geçirilebilir bilgi sağlama ve güvenlik personeline ağ savunma
stratejilerini oluşturma konusunda rehberlik etmenin yanı sıra,
davranışsal ve teknik temelli 8 ana saldırı trendini de gözler önüne
seriyor. Bu bulgulardan öne çıkan 4’ü ise şu şekilde sıralanıyor:
1) Sibersuç işlemek kolaylaştı : İçinde bulduğumuz
MaaS (Malware-as-a-Service) çağında, başlangıç seviyesindeki
saldırganlar bile, kiralık exploit kit’ler ve MaaS; satın alınabilir
diğer yöntemler ve gelişmiş, çok aşamalı atağın bir kısmını taşeron
olarak alma yolu ile, başarılı bir veri hırsızlığı saldırısı üretip
kullanabiliyor.
Yüksek teknolojiye sahip araçlara erişimin daha kolay
olmasının yanı sıra, malware üreticileri yeni teknolojileri eskileri ile
birleştirerek hayli etkili tekniklerin ortaya çıkmasına neden oluyor.
Websense uzmanları buna örnek olarak; “Kaynak kodu ve exploit tek ve
gelişmiş olabilir, ancak saldırılarda kullanılan altyapıların çoğu geri
dönüştürülür ve kötü amaçlarla tekrar kullanılır.” yorumunu yapıyor.
2014 yılında, zararlı dosyaların yüzde 99.3’ü, daha önce bir veya
daha fazla malware tarafından kullanılmış bir Command and Control
URL’sinden faydalanıyor. Ayrıca malware üreticilerinin yüzde 98.2 si,
diğer 5 çeşit malware’de de bulunan C%C leri kullanıyor.
2) Yeni bir şey mi dejavu mu? : Saldırganlar, makro gibi eski taktikleri yeni teknikler ile istenmeyen e-postalarda bir araya getiriyor. Eski tehditler, e-posta ve web kanallarıyla yayılan yeni tehditlerin içine geri dönüştürülüp katılıyor ve böylece, en güçlü savunma yöntemlerine karşı bile meydan okuyabiliyor.
2) Yeni bir şey mi dejavu mu? : Saldırganlar, makro gibi eski taktikleri yeni teknikler ile istenmeyen e-postalarda bir araya getiriyor. Eski tehditler, e-posta ve web kanallarıyla yayılan yeni tehditlerin içine geri dönüştürülüp katılıyor ve böylece, en güçlü savunma yöntemlerine karşı bile meydan okuyabiliyor.
10 yıl öncesinin en
önde gelen saldırı aracı olan e-posta, siber saldırılar konusunda
günümüzde daha baskın bir rol oynayan web’e rağmen halen çok güçlü bir
saldırıcı aracı olma niteliğini koruyor.
2014 yılında,Websense tarafından taranan iletilerin yüzde 84’ünün
kötü amaçlı olduğu anlaşılmış. Bu rakam, bir önceki yıla oranla yüzde
25’lik bir artış anlamına geliyor.Websense aynı zamanda, kötü amaçlı
e-postaların yüzde 28’ini bir antivirüs programı uyarı vermeden önce
teşhis ettiğini belirtiyor. Websense Security Labs, 2014 yılının sadece
son 1 ayında bile makro atak içeren 3 milyondan fazla e-posta tespit
etmiş durumda.
Dijital Darvinizm – Gelişen tehditler karşısında hayatta kalma : Tehdit
üreticileri, ürettikleri tehditlerin sayısından ziyade niteliği ile
ilgileniyor. Websense Security Labs, 2014 yılında 3.96 milyar güvenlik
tehdidini tespit etmiş durumda; bu sayı 2013 yılına oranla yüzde 5.1
daha düşük.
Yine de, çok büyük miktarda güvenlik yatırımları yapan
önemli kuruluşların maruz kaldığı sayısız veri sızıntısı, geçen yılın
tehditlerinin ne kadar etkili olduğunun bir ispatı olarak tanımlanıyor.
Saldırganların, görünürlüklerini azaltmak için saldırı metodlarını
yeniden yapılandırdığı da raporda dikkat çeken bir konu. Bunu, Kill
Chain’in aşamalarını takip ederken daha az doğrusal hareket ederek
sağlayabiliyorlar. Websense uzmanları bu yöntemi uygulayan
saldırganların tespit edilmesinin zor olduğunu belirtirken, nedenini ise
“çünkü aşamaları atlarlar, tekrar ederler ya da aşamalara kısmen dahil
olurlar. Böylelikle daha az görünür olurlar.” sözleriyle açıklıyor.
Tanımlama tuzağından kaçının : Hacker’ların bilgiyi
kafesleyebildikleri, ‘logging and tracking’i atlatabildikleri veya
gizliliklerini koruyabildikleri durumlarda tanımlama yapmak zorlaşıyor.
Aynı ikinci dereceden kanıtın çok kez analiz edilmesi, çok farklı
sonuçların elde edilmesiyle sonuçlanıyor. Bir atağı onarım aşamasında
takip etmek için yeterli zaman ayırılması gerekiyor.
Rapordaki diğer başlıklar BT’nin IQ’sunu yükseltme : Kaynak kullanımları ve
teknolojilerin benimsenmesi konusunda yeni yaklaşımlar edinilmezse,
2017 yılına gelindiğinde güvenlik personelinde 2 milyonluk bir açık
olması bekleniyor. Böyle bir durumda, kurumların rakipleri tarafından
alt edilmesi kaçınılmaz olabilir.
İç tehditleri anlama : Çalışanlar tarafından kazara
veya kasıtlı olarak gerçekleştirilmiş eylemlerin, iç tehdit olarak veri
güvenliği konusundaki risk faktörlerinden biri olmaya devam edeceği
görülüyor.
Hassas altyapı : 2014 yılında, tehdit unsurlarının ağ
altyapısına dek yayıldığı tespit edilmiş durumda. Çünkü gizli kalmış
zayıfsızlıklar, Bash, OpenSSL, SSLv3 ve yıllardır kullanılan diğer
popüler kod temellerinde ortaya çıkıyor.
Nesnelerin interneti – tehdit çoğaltıcı : Nesnelerin
internetinin, 2020 yılına gelindiğinde, 20 ila 50 milyar arası cihaz
aracılığıyla saldırı fırsatlarını arttıracağı öngörülüyor. Nesnelerin
interneti, eskiden aklımıza bile gelmeyecek bağlantı ve aplikasyonlar
sunuyor.
Burada, yayılma kolaylığı ve keşfetme arzusu, güvenlikle ilgili
endişelere üstün geliyor. Websense Security Labs 2015 Tehdit Raporu verileri, Threat Seeker
Intelligence Cloud kullanılarak, tüm dünyadan gelen, günde 5 milyara
kadar girdinin alınmasıyla elde edilmiş ve işlenmiştir.
Uzman yorumları,
Avrupa, Orta Doğu, Asya ve Kuzey Amerika’da bulunan araştırmacı ve
mühendislerin Kill Chain üzerinde gerçekleşen saldırı aktivitelerini
incelemesi sonucu ve anketler sonucu, Websense Security Labs tarafından
hazırlanmıştır.
Kaynak :
http://www.techinside.com/