Haberler

Microsoft: Modern Siber Atağın Anatomisi

Kuruluşların yönetmesi gereken altı alan

Dünya daha bağlantılı ve dijital hale geldikçe, siber güvenlik de daha karmaşık hale geliyor. Kuruluşlar daha fazla altyapı, veri ve uygulamayı buluta taşıyor, uzaktan çalışmayı destekliyor ve üçüncü taraf ekosistemlerle etkileşime giriyor. Sonuç olarak, güvenlik ekiplerinin artık savunması gereken şey daha geniş, daha dinamik bir ortam ve genişletilmiş bir dizi saldırı yüzeyidir.

Tehdit aktörleri bu karmaşıklıktan faydalanarak bir kurumun koruma ve izinlerindeki boşluklardan yararlanıyor ve acımasız, yüksek hacimli saldırılar gerçekleştiriyor. Saldırılar genellikle çok yönlüdür ve bir kuruluşun operasyonlarının ve altyapısının çeşitli unsurlarını kapsar. Saldırganlar ayrıca giderek büyüyen bir hizmet olarak siber suç ortamında daha koordineli hale gelmektedir. Microsoft’un Dijital Suçlar Birimi, 2022 yılında, küresel siber suçlara karışmak için kullanmayı planlayan suç aktörlerinin önüne geçmek için 2.750.000 site kaydını engelledi.1

Günümüzün tehditlerine ayak uydurmak, e-posta, kimlik, uç nokta, Nesnelerin İnterneti (IoT), bulut ve harici dahil olmak üzere her ana saldırı yüzeyini güvence altına almak anlamına gelir. Güvenlik perspektifinden bakıldığında, yalnızca en zayıf halkalarınız kadar güçlüsünüz ve saldırganlar bunları bulmakta giderek daha iyi hale geliyor. İyi haber şu ki, tehditlerin çoğu temel güvenlik önlemlerinin uygulanmasıyla durdurulabilir. Aslında, temel güvenlik hijyeninin hala siber saldırıların %98’ine karşı koruma sağladığını tespit edildi.2

Tehditlere yönelik uçtan uca görünürlük, iyi bir güvenlik hijyeni için temeldir. Doğru tehdit istihbaratı, güvenlik ekiplerine tehdit ortamının kapsamlı bir görünümünü sunarak ortaya çıkan tehditlerin bir adım önünde olmalarını ve savunmalarını sürekli olarak iyileştirmelerini sağlar. Ve tehdit aktörleri içeri girdiğinde, bütünsel tehdit istihbaratı ne olduğunu öğrenmek ve tekrar olmasını önlemek için gereklidir.

Aşağıda, bir kuruluştaki altı ana saldırı yüzeyiyle ilgili tehdit eğilimlerini ve zorlukları bulunuyor: e-posta, kimlik, uç nokta, IoT, bulut ve dışarıdan saldırı alanları.

1. E-posta, savunma için en önemli tehdit vektörü ve odak alanı olmaya devam ediyor

Çoğu kuruluş için e-posta, günlük iş operasyonlarının önemli bir parçasıdır. Ne yazık ki, e-posta en önemli tehdit vektörü olmaya devam ediyor. 2022’deki fidye yazılımı olaylarının %35’i e-posta kullanımını içeriyordu.4 Saldırganlar her zamankinden daha fazla e-posta saldırısı gerçekleştiriyor. 2022’de kimlik avı saldırılarının oranı 2021’e kıyasla %61 arttı.5

Saldırganlar artık kimlik avı saldırılarını gerçekleştirmek için genellikle meşru kaynaklardan yararlanmaktadır. Bu durum, kullanıcıların gerçek ve kötü niyetli e-postaları ayırt etmesini daha da zorlaştırarak bir tehdidin gözden kaçma olasılığını artırıyor. Tehdit aktörlerinin meşru bulut hizmet sağlayıcılarını kötüye kullanarak kullanıcıları gizli verilere erişim izni vermeleri için kandırdığı rıza oltalama saldırıları bu eğilimin bir örneğidir.

Saldırıları görselleştirmek için e-posta sinyallerini daha geniş olaylarla ilişkilendirme yeteneği olmadan, e-posta yoluyla giriş yapan bir tehdit aktörünü tespit etmek uzun zaman alabilir. Ve o zamana kadar hasarı önlemek için çok geç olabilir. Bir saldırganın bir kuruluşun özel verilerine erişmesi için geçen ortalama süre sadece 72 dakikadır.6 Bu da kurumsal düzeyde ciddi kayıplara yol açabilir. İş e-postalarının ele geçirilmesi (BEC) 2021’de tahmini olarak 2,4 milyar dolarlık kayba mal oldu.7



URL kontrolü ve makroların devre dışı bırakılması gibi önlemlere ek olarak, tehditlerin etkili olmasını önlemek için çalışanların eğitimi de çok önemlidir. Simüle edilmiş kimlik avı e-postaları ve kötü niyetli içeriğin (meşru görünse bile) nasıl tespit edileceğine dair eğitici materyaller kritik önleyici güvenlik tedbirleridir. Tehdit aktörlerinin e-posta saldırılarında sosyal mühendislik kalitesini artırmaya devam edeceğini, kötü niyetli e-postaların ikna ediciliğini ve kişiselleştirilmesini geliştirmek için yapay zeka ve diğer araçlardan yararlanabilirler. Ve bu sadece bir örnek – kuruluşlar günümüzün e-posta tehditlerini ele alma konusunda daha iyi hale geldikçe, tehditler de gelişmeye devam edecek.

2. Genişleyen kimlik ortamı tehdit aktörleri için fırsatları da artırmaktadır

Günümüzün bulut destekli dünyasında, erişimin güvence altına alınması her zamankinden daha kritik hale gelmiştir. Sonuç olarak, özellikle saldırıların sıklığı ve yaratıcılığı arttıkça, kullanıcı hesabı izinleri, iş yükü kimlikleri ve bunların potansiyel güvenlik açıkları dahil olmak üzere kuruluşunuzdaki kimlik hakkında derinlemesine bilgi edinmek hayati önem taşımaktadır.

Parola saldırılarının sayısı 2022’de tahminen her saniye 921 saldırıya yükseldi – 2021’e göre %74’lük bir artış.8 Microsoft olarak, tehdit aktörlerinin çok faktörlü kimlik doğrulamayı (MFA) atlatma konusunda daha yaratıcı olduklarını, kurumların verilerine erişmek için ortadaki düşman kimlik avı saldırıları ve belirteci kötüye kullanma gibi teknikleri kullandıkları görüldü. Kimlik avı kitleri, tehdit aktörlerinin kimlik bilgilerini çalmasını daha da kolaylaştırdı. Microsoft’un Dijital Suçlar Birimi, geçtiğimiz yıl kimlik avı kitlerinin karmaşıklığında bir artış gözlemlemiş ve giriş için çok düşük engellerle birlikte – bir satıcı günlük 6 $ gibi düşük bir fiyata kimlik avı kitleri sunmaktadır.9

Kimlik saldırı yüzeyini yönetmek, kullanıcı hesaplarını güvence altına almaktan daha fazlasıdır – bulut erişiminin yanı sıra iş yükü kimliklerini de kapsar. Güvenliği ihlal edilmiş kimlik bilgileri, tehdit aktörlerinin bir kuruluşun bulut altyapısına zarar vermek için kullanabileceği güçlü bir araç olabilir.



Saldırganlar sıklıkla üçüncü taraf hesaplarına veya bir kuruluşa bağlı diğer yüksek ayrıcalıklı hesaplara erişim elde etmekte ve ardından bu kimlik bilgilerini buluta sızmak ve veri çalmak için kullanmaktadır. İş yükü kimlikleri (diğer hizmetlere ve kaynaklara erişmek için uygulamalar gibi yazılım iş yüklerine atanan kimlikler) izin denetiminde genellikle göz ardı edilse de, iş yüklerinde gizlenen kimlik bilgileri bir tehdit aktörüne kuruluşun tüm verilerine erişim sağlayabilir.

Kimlik ortamı genişlemeye devam ettikçe, kimliği hedef alan saldırıların hem hacim hem de çeşitlilik açısından artmaya devam etmesini beklenilir.. Bu da kimlik ve erişim konusunda kapsamlı bir anlayışa sahip olmanın kritik önem taşımaya devam edeceği anlamına geliyor.

3. Hibrit ortamlar ve gölge BT, uç nokta kör noktalarını artırdı

Günümüzün hibrit ortamındaki çok sayıda cihaz göz önüne alındığında, uç noktaların güvenliğini sağlamak daha zor hale geldi. Değişmeyen şey, uç noktaların – özellikle de yönetilmeyen cihazların – güvenliğinin sağlanmasının güçlü bir güvenlik duruşu için kritik önem taşıdığıdır, çünkü tek bir tehlike bile tehdit aktörlerinin kuruluşunuza girmesine neden olabilir.

Kurumlar BYOD (“Kendi Cihazını Getir”) politikalarını benimsedikçe, yönetilmeyen cihazlar çoğaldı. Sonuç olarak, uç nokta saldırı yüzeyi artık daha büyük ve daha açık hale gelmiştir. Ortalama olarak, bir kuruluşta bir uç nokta tespit ve müdahale aracısı tarafından korunmayan 3.500 bağlı cihaz bulunmaktadır.11

Yönetilmeyen cihazlar (“gölge BT” ortamının bir parçası olan) tehdit aktörleri için özellikle caziptir çünkü güvenlik ekipleri bunları güvence altına almak için gerekli görünürlükten yoksundur. Microsoft’ta, kullanıcıların yönetilmeyen bir cihazdan virüs kapma olasılığının %71 daha fazla olduğunu tespit edildi.12 Şirket ağlarına bağlandıkları için, yönetilmeyen cihazlar saldırganların sunuculara ve diğer altyapılara daha geniş saldırılar başlatması için de fırsatlar sunar.

Yönetilmeyen sunucular da uç nokta saldırıları için potansiyel vektörlerdir. 2021 yılında Microsoft Security, bir tehdit aktörünün yamalanmamış bir sunucudan yararlandığı, dizinler arasında gezindiği ve hesap kimlik bilgilerine erişim sağlayan bir parola klasörü keşfettiği bir saldırı gözlemledi.



Saldırgan daha sonra kurum genelinde çok sayıda cihazda oturum açarak fikri mülkiyet de dahil olmak üzere büyük miktarda veri topladı ve dışarı sızdırdı. Bu da saldırganın, fidye ödenmediği takdirde bilgilerin serbest bırakılacağı tehdidinde bulunması şeklinde oluyor. Bu “çifte gasp” olarak bilinen bir uygulamadır ve geçtiğimiz yıl daha sık gördüğümüz endişe verici bir senaryodur.13 Ayrıca fidye ödense bile verilerin şifresinin çözüleceğinin ya da hatta iade edileceğinin garantisi yoktur.

Uç noktaların sayısı artmaya devam ettikçe, tehdit aktörleri şüphesiz uç noktaları (özellikle yönetilmeyenleri) cazip hedefler olarak görmeye devam edecektir. Sonuç olarak, uç nokta görünürlüğünü ve güvenlik hijyenini iyileştirmek kuruluşlara önemli bir değer sunabilir.

4. IoT cihazları katlanarak büyüyor ve IoT tehditleri de öyle

En çok göz ardı edilen uç nokta saldırı vektörlerinden biri, hem büyük hem de küçük milyarlarca cihazı içeren IoT’dir (Nesnelerin İnterneti). IoT güvenliği, ağa bağlanan ve ağ ile veri alışverişi yapan yönlendiriciler, yazıcılar, kameralar ve diğer benzer cihazlar gibi fiziksel cihazları kapsar. Ayrıca, üretim hatlarındaki akıllı ekipmanlar gibi operasyonel cihazları ve sensörleri (operasyonel teknoloji veya “OT”) de içerebilir.

IoT cihazlarının sayısı arttıkça, güvenlik açıklarının sayısı da artmaktadır. IDC, 2025 yılına kadar 41 milyar IoT cihazının kurumsal ve tüketici ortamlarında bulunacağını öngörmektedir.15 Birçok kuruluş, tehdit aktörlerinin ihlal etmesini zorlaştırmak için yönlendiricileri ve ağları sertleştirdiğinden, IoT cihazları daha kolay ve daha çekici bir hedef haline geliyor. Tehdit aktörlerinin IoT cihazlarını proxy’lere dönüştürmek için güvenlik açıklarından yararlandığını sık sık görüldü. Saldırganlar için bulunmaz nimet; Açıkta kalan bir cihazı ağda bir dayanak noktası olarak kullanmak. Bir tehdit aktörü bir IoT cihazına erişim sağladıktan sonra, diğer korumasız varlıklar için ağ trafiğini izleyebilir, hedeflerinin altyapısının diğer bölümlerine sızmak için yanlara doğru hareket edebilir veya hassas ekipman ve cihazlara büyük ölçekli saldırılar planlamak için keşif yapabilir. Bir çalışmada, güvenlik uygulayıcılarının %35’i son 2 yıl içinde bir IoT cihazının kurumlarına daha geniş çaplı bir saldırı düzenlemek için kullanıldığını bildirmiştir.16

Ne yazık ki IoT, görünürlük açısından kuruluşlar için genellikle bir kara kutudur ve birçoğu uygun IoT güvenlik önlemlerinden yoksundur. Güvenlik uygulayıcılarının %60’ı IoT ve OT güvenliğini, BT ve OT altyapılarının en az güvenli yönlerinden biri olarak
belirtmiştir.17



IoT cihazlarının kendileri de genellikle tehlikeli güvenlik açıkları içeriyor. Microsoft istihbarat verileri, internette herkese açık olarak görülebilen 1 milyon bağlı cihazın, IoT cihazlarında ve yazılım geliştirme kitlerinde (SDK’lar) hala yaygın olarak kullanılan eski, desteklenmeyen bir yazılım olan Boa web sunucusunu çalıştırdığını ortaya çıkardı.18

Giderek artan sayıda ülke bu kör noktalara dikkat çekiyor ve IoT cihazlarının siber güvenliğinde iyileştirmeler yapılmasını zorunlu kılıyor.19,20 Bu düzenlemeler, hem işletmeler hem de tüketiciler IoT cihazlarının güvenlik açıkları konusunda daha fazla endişe duymaya başladıkça IoT güvenliğine daha fazla odaklanıldığının bir göstergesidir. IoT şu anda ilgi odağı olsa da, siber güvenlik düzenlemeleri diğer alanlarda da genişliyor ve kuruluşların saldırı yüzeylerinde görünürlük kazanmasını daha da acil hale getiriyor.

5. Bulutu korumak hem kritik hem de karmaşıktır

Kuruluşlar altyapılarını, uygulama geliştirmelerini, iş yüklerini ve büyük miktarda veriyi giderek daha fazla buluta taşıyor. Bulut ortamının güvenliğini sağlamak, birden fazla buluta dağıtılmış SaaS, IaaS ve PaaS dahil olmak üzere bir dizi hizmeti savunmak anlamına gelir. İlgili hizmetlerin genişliği ve dağılımı göz önüne alındığında, her katmanda uygun düzeyde görünürlük ve koruma elde etmek zor olabilir.

Birçok kuruluş, özellikle de veriler giderek daha fazla sayıda bulut ve hibrit ortamda bulunduğundan, bulut ekosistemlerinde uçtan uca görünürlük elde etmekte zorlanmaktadır. Çoğu zaman, bu görünürlük eksikliği bir güvenlik açığı olduğu anlamına gelir. Microsoft’ta, fidye yazılımı saldırılarına maruz kalan kurumların %84’ünün çoklu bulut varlıklarını güvenlik araçlarıyla entegre etmediğini tespit ettik ki bu kritik bir gözetimdir.21

Buluta geçişin yaygınlaşması, siber suçluların yararlanabileceği yeni saldırı vektörlerinin sayısını da artırdı ve birçoğu izin güvenliğindeki boşluklardan erişim elde etti. Bulutta geliştirilen uygulamalardaki bilinmeyen kod tabanlı güvenlik açıkları, tehlikeye girme riskini önemli ölçüde artırmıştır. Sonuç olarak, kuruluşlar arasında gördüğümüz en önemli bulut saldırı vektörü artık bulut uygulaması geliştirme.



“Shift-left” güvenlik yaklaşımını benimsemek – uygulama geliştirmenin en erken aşamalarında güvenlik düşüncesini dahil etmek – kuruluşların güvenlik duruşlarını güçlendirmelerine ve bu güvenlik açıklarını ilk etapta ortaya çıkarmaktan kaçınmalarına yardımcı olabilir.

Yanlış izinler kullanıcı verilerini riske atabileceğinden, bulut depolama giderek yaygınlaşan bir başka saldırı vektörüdür. Ayrıca, bulut hizmetleri sağlayıcılarının kendileri de tehlikeye atılabilir. 2021 yılında Midnight Blizzard (daha önce NOBELIUM olarak bilinen Rusya bağlantılı bir tehdit aktörü grubu) ayrıcalıklı kamu müşteri hesaplarını tehlikeye atmak ve bunlardan yararlanmak amacıyla bir bulut hizmetleri sağlayıcısına karşı kimlik avı saldırıları başlattı.22 Bu, modern bulut tehdidinin yalnızca bir örneğidir ve gelecekte daha fazla çapraz bulut saldırısı görmesi bekleniyor..

6. Dış saldırı yüzeyinin güvenliğini sağlamak internet ölçeğinde bir zorluktur

Günümüzde bir kurumun dış saldırı yüzeyi birden fazla bulutu, karmaşık dijital tedarik zincirlerini ve devasa üçüncü taraf ekosistemlerini kapsamaktadır. İnternet artık ağın bir parçasıdır ve neredeyse akıl almaz boyutuna rağmen, güvenlik ekipleri kuruluşlarının internetteki varlığını güvenlik duvarlarının arkasındaki her şeyle aynı derecede savunmalıdır. Sıfır Güven ilkelerini benimseyen kuruluşların sayısı arttıkça, hem iç hem de dış saldırı yüzeylerini korumak internet ölçeğinde bir zorluk haline geldi.

Küresel saldırı yüzeyi internetle birlikte büyüyor ve her geçen gün genişliyor. Microsoft’ta, kimlik avı saldırıları gibi birçok tehdit türünde bu artışın kanıtlarını gördük. Microsoft’un Dijital Suçlar Birimi, 2021 yılında 96.000’den fazla benzersiz kimlik avı URL’sinin ve 7.700 kimlik avı kitinin kaldırılmasını sağladı ve bu da çalınan müşteri kimlik bilgilerini toplamak için kullanılan 2.200’den fazla kötü amaçlı e-posta hesabının tanımlanmasına ve kapatılmasına yol açtı.24

Dış saldırı yüzeyi, bir kuruluşun kendi varlıklarının çok ötesine uzanır. Genellikle tedarikçileri, ortakları, şirket ağlarına veya varlıklarına bağlı yönetilmeyen kişisel çalışan cihazlarını ve yeni satın alınan kuruluşları içerir. Sonuç olarak, potansiyel tehditleri azaltmak için harici bağlantıların ve maruziyetin farkında olmak çok önemlidir. 2020 Ponemon raporu, kuruluşların %53’ünün son 2 yıl içinde üçüncü bir tarafın neden olduğu en az bir veri ihlali yaşadığını ve bunun düzeltilmesinin ortalama 7,5 milyon dolara mal olduğunu ortaya koymuştur.25



Siber saldırıların arkasındaki altyapı arttıkça, tehdit altyapısına görünürlük kazandırmak ve internete maruz kalan varlıkların envanterini çıkarmak her zamankinden daha acil hale geldi. Kuruluşların genellikle dış maruziyetlerinin kapsamını anlamakta zorlandıklarını ve bunun da önemli kör noktalara yol açtığını tespit ettik. Bu kör noktalar yıkıcı sonuçlar doğurabilir. 2021’de işletmelerin %61’i, iş operasyonlarının en azından kısmen kesintiye uğramasına neden olan bir fidye yazılımı saldırısı yaşadı.26

Microsoft olarak, müşterilerimize güvenlik duruşlarını değerlendirirken kurumlarını dışarıdan içeriye doğru görmelerini sık sık söylüyoruz. VAPT’nin (Güvenlik Açığı Değerlendirmesi ve Sızma Testi) ötesinde, ortamınızın ve genişletilmiş ekosisteminizin tamamındaki güvenlik açıklarını belirleyebilmeniz için dış saldırı yüzeyinizde derinlemesine görünürlük elde etmeniz önemlidir. İçeri girmeye çalışan bir saldırgan olsaydınız, nelerden faydalanabilirdiniz? Kuruluşunuzun dış saldırı yüzeyini tam olarak anlamak, onu güvence altına almanın temelini oluşturur.

Kaynak: https://www.microsoft.com/en-us/security/business/security-insider/threat-briefs/anatomy-of-a-modern-attack-surface/?ocid=eml_pg401735_gdc_comm_mw&rtc=1

Alt kaynak: 1. 2022 Microsoft Digital Defense Report, p. 18
2. 2022 Microsoft Digital Defense Report, p. 108
3. 2022 Microsoft Digital Defense Report, p. 21
4. 2022 Verizon Data Breach Investigations report, p. 28
5. SlashNext’s State of Phishing Report Reveals More Than 255 Million Attacks in 2022, Signaling a 61% Increase in Phishing Year-Over-Year (prnewswire.com)
6. 2022 Microsoft Digital Defense Report, p. 21
7. 2021 FBI Internet Crime Report, p. 3
8. 2022 Microsoft Digital Defense Report, p. 2
9. 2022 Microsoft Digital Defense Report, p. 19
10. 2022 Microsoft Digital Defense Report, p. 14
11. 2022 Microsoft Digital Defense Report, p. 92
12. Secure unmanaged devices with Microsoft Defender for Endpoint now – Microsoft Security Blog
13. The many lives of BlackCat ransomware – Microsoft Security Blog
14. 40% fell victim to a phishing attack in the past month – Help Net Security
15. The Growth in Connected IoT Devices is Expected to Generate 79.4ZB of Data in 2025, According to a New IDC Forecast | Business Wire
16. “The State of IoT/OT Cybersecurity in the Enterprise” 2021 Ponemon Institute Research Report, p. 2
17. “The State of IoT/OT Cybersecurity in the Enterprise” 2021 Ponemon Institute Research Report, p. 2
18. 2022 Microsoft Cyber Signals Report, p. 3
19. EU Cyber Resilience Act | Shaping Europe’s digital future (europa.eu)
20. Recommended Criteria for Cybersecurity Labeling for Consumer Internet of Things (IoT) Products, NIST 2022
21. 2022 Microsoft Digital Defense Report, p. 16
22. 2022 Microsoft Digital Defense Report, p. 37
23. 2022 Microsoft Digital Defense Report, p. 95
24. Digital Crimes Unit: Leading the fight against cybercrime – On the Issues (microsoft.com)
25. The Rise Of Third-Party Digital Risk (forbes.com)
26. Malware Statistics in 2023: Frequency, impact, cost & more (comparitech.com)
27. 2021 Identity Theft Resource Center Annual Data Breach Report, p. 5

İlgili Makaleler

Bir Yorum

Bir yanıt yazın

E-posta adresiniz yayınlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir

Başa dön tuşu