Fortinet’in yaptığı araştırma hızla evrimleşen teknoloji altyapılarını hedefleyen sofistike saldırıların hızla büyüyen yeraltı siber suç ekonomisi nedeniyle artışını gözler önüne seriyor.
Yüksek performanslı siber güvenlik çözümleri alanında dünyanın önde gelen şirketlerinden Fortinet, Global Tehdit Dünyası Raporu’nun sonuçlarını yayınladı. Araştırma, siber suçluların uyguladıkları metot ve stratejileri detaylı bir şekilde ortaya çıkarırken bu uygulamaların dijital ekonomi üzerinde gelecekte yaratabileceği potansiyel etkiyi de ortaya koydu. Eski tehditler yeniden ortaya çıkarken ve yeni, otomatik ve yüksek hacimli saldırılar artarken “En büyük tehdit ne?” sorusu yanıtlanması en zorlu soru olarak kalmaya devam ediyor.
Raporla ilgili değerlendirmede bulunan Fortinet Bilişim Güvenlik Yöneticisi (CISO) Phil Quade, “Günümüzün organizasyonlarının bugün karşılaştıkları siber güvenlik zorlukları, hızla evrimleşen tehdit dünyası nedeniyle kompleks hale gelmiş durumda. Tehditler zeki, otomatik ve tespiti daha da zorlu bir hal alırken eski tehditler daha gelişmiş bir şekilde geri dönüyor, yeni tehditler ortaya çıkıyor. Buna ek olarak, tehdit geliştirme araçlarına ve servislerine erişimin saldırılardan elde edilebilecek karşılıkların potansiyeli ile birleşmesi, global siber suç dünyasının on milyarlarca dolarlık bir büyüklüğe doğru yol almasına neden oluyor. CISO’ların kendilerini korumaları için IoT’tan buluta kurum genelindeki tüm ortamlarda ve cihazlarda veri ve güvenlik bileşenlerinin entegre edildiğinden, otomatikleştirildiğinden ve istihbaratın paylaşılabilirliğinden emin olması gerekiyor.” dedi.
Fortinet’in blog sayfası üzerinden detaylarına ulaşılabilen araştırmadan öne çıkan noktalar ise şunlar:
Altyapı trendleri ve bu trendlerin tehditler ile ilişkisi
• Altyapı trendlerinin ve bu trendlerin tehdit dünyası ile ilişkileri önemli. Exploit’ler, malware’ler ve botnet’ler dışarıdan kopuk bir şekilde gerçekleşmediği gibi tehditlerin tespiti ve önlenmesi de ağ altyapılarının evrimleşmesiyle daha da komplike bir hal alıyor.
• Veriler SSL kullanılarak şifrelenmiş trafiğin %50 civarında sabit kaldığını ve bu trafiğin bir organizasyon içerisindeki web trafiğin yaklaşık yarısına tekabül ettiğini gösteriyor. HTTPS trafik kullanımı takip edilmesi önemli bir trend çünkü bu trafik her ne kadar mahremiyet için iyi olsa da şifrelenmiş iletişim içerisine gizlenebilen tehditlerin tespitini zorlaştırıyor. SSL trafiği, trafiğin açılması, denetlenmesi ve yeniden şifrelenmesi için aşırı işlem yükü gerektirdiğinden genellikle denetlenmiyor. Bu da ekipleri koruma ve performans arasında bir seçim yapmak zorunda bırakıyor.
• Kurum başına tespit edilen toplam uygulamalar açısından bulut uygulamaların sayısı 63 ile yükselen bir trend izleyerek tespit edilen tüm uygulamaların yaklaşık üçte birini oluşturuyor. BT ekipleri, bulut uygulamaları içerisinde yer alan verilerin kullanımı ve bu verilere kimlerin erişim sağladığı üzerinde daha az etkiye sahip olduğundan bu trend ciddi sonuçlar doğuruyor. Sosyal medya, yayınlanan müzik ve videolar ve P2P uygulamaları ise ciddi bir yükseliş trendine sahip değil.
Dijital yeraltı dünyasının güçlendirdiği nesneler ordusu
• IoT cihazları, dünya genelindeki siber suçlular için aranılan emtialar. Saldırganlar “nesnelerden” oluşan kendi ordularını kuruyor. Bu sayede saldırıların ucuz maliyetle çarpıcı bir hızda tekrarlanabilmesi ve ölçeklenebilmesi modern siber suç ekosisteminin merkezine oturdu.
• 2016 yılının 4. çeyreğinde, endüstri Yahoo! ve Dyn DDoS saldırılarından darbe aldı. Çeyrek dönemin yarısı bitmeden her iki vaka kayıtların bozulmasına neden olmakla kalmadı aynı zamanda saldırılar iki katına çıktı.
• Mirai botnet’i tarafından ele geçirilen nesnelerin interneti (IoT) cihazları, çoklu kayıt-ayarlı DDoS saldırıları başlattı. Mirai’nin kaynak kodlarının yayınlaması botnet aktivitesini bir hafta içerisinde 25 kat, yıl sonuna kadar ise 125 kat arttırdı.
• Bazı cihaz kategorilerinde IoT-ilişkili exploit aktivitesi, savunmasız ev router’larında ve yazıcılarında üst sırada yer alsa da DVR/NVR’ler 6+ şiddetinde bir sıçrama ile kısa süreliğine router’ları gölgede bıraktı.
• Mobil malware her zamankinden daha büyük bir probleme dönüştü. Her ne kadar toplam malware hacminin sadece 17’sini oluştursalar da her beş organizasyondan biri, mobilde görülen walware’ların neredeyse tamamının Android üzerinde gerçekleştiğini raporladı. Mobil walware saldırılarında önemli bölgesel farklılıklar da görüldü. Bu saldırıların yüzde 36’sı Afrikalı organizasyonlardan, yüzde 23’ü Asya’dan, yüzde 16’sı Kuzey Amerika’dan ve sadece yüzde 8’i Avrupa’dan geldi. Bu veriler günümüz kurumsal ağlarındaki güvenli cihazlar için sonuçlar doğuruyor.
Otomatik ve yüksek hacimli saldırılar yaygın
• Exploit hacmi ve yaygınlığı arasındaki korelasyon malware ile saldırıların otomatikleştiğini, maliyetlerin düştüğünü ve derin internet üzerinden araçların dağıtıldığını gösteriyor. Bu durum, siber suçluların saldırıları gerçekleştirmesini her zamankinden daha ucuz ve kolay hale getiriyor.
• SQL Slammer, exploit tespit listesinde başı çekiyor ve özellikle eğitim kurumlarını etkiliyor.
• Microsoft Uzaktan Masaüstü Protokolü (RDP) üzerinden “brute force” saldırısını kullanan bir exploit yaygınlık açısından ikinci sırada yer alıyor. Bu exploit her 10 saniyede bir 200 kez RDP çalıştırıyor ki bu durum global kurumlarda bu exploitin yüksek hacimde tespit edilme nedenini de açıklıyor.
• Windows Dosya Yöneticisi içerisinde Memory Corruption açığı ile bağlantılı bir imza üçüncü sırada yer alıyor. Bu açık sayesinde uzaktan bir saldırı, savunmasız uygulamalar içerisinde bir jpg dosyası ile rastgele kod çalıştırabiliyor.
• H-Worm ve ZeroAccess botnet ailesi içerisinde yaygınlık ve hacim açısından en yüksek seviyeye sahip botnetler. Her iki botnet siber suçlulara etkilenmiş sistemleri kontrol etme imkanı sunarak verileri elde etmelerini veya fraud tıklama ve bitcoin madenciliği yapmalarını sağlıyor. Teknoloji ve hükümet sektörleri bu iki botnet ailesinin en yüksek seviyede saldırı gerçekleştirdiği sektörler olarak öne çıkıyor.
Fidye yazılımlar hiçbir yere gitmiyor
• Fidye yazılımlar, tüm endüstrilerde dikkatleri üzerine çekerken yüksek-değerli saldırı metotları servis olarak fidye yazılım (RaaS) büyümesi nedeniyle muhtemelen büyümeye devam edecek. Bu saldırı yönteminde potansiyel suçlular, hiçbir eğitime veya yeteneğe sahip olmaksızın araçları indirerek kurbanları hedef alabiliyor.
• Organizasyonların %36’ı botnet aktivitelerin fidye yazılımlar ile ilişkili olduğunu tespit etti. TorrentLocker ilk sırada, Locky ise üçüncü sırada yer alıyor.
• Malware ailesinin Nemucod ve Agent üyeleri, siber suçlarda başı çekiyor. Tüm malware olaylarının yüzde 81,4’ü bu iki üyeden kaynaklanıyor. Nemucod ailesinin adı fidye yazılım olarak ün salmış durumda.
• Fidye yazılımlar, tüm bölge ve sektörlerde görünse de özellikle sağlık kurumlarında daha fazla görülüyor. Bu durum oldukça önemli çünkü hasta verileri ele geçirildiğinde bunun telafisi çok daha zorlu olabiliyor. Çünkü bu veriler diğer verilere kıyasla geçerliliklerini ve değerlerini çok daha uzun koruyor.
Cesur saldırılar, eski artık yeni
• Saldırganlar, “geride hiçbir iz bırakma” politikasını uyguluyor. Ancak ne yazık ki eski cihaz ve yazılımlarda güvenlik yamalarına ve açıklarına odaklanılması günümüzün dijital cihazları tarafından arttırılan saldırılara odaklanılması için daha az vakit anlamına geliyor.
• Exploit açıkları ile saldırıların gerçekleştirildiği firmaların %86’sı bu saldırıların yaşı on yıldan fazla açıklara yönelik yapıldığını tespit etti. Bu şirketlerin yaklaşık %40’ı bu süreden daha eski açıklara saldırılar yapıldığını belirtti.
• Kurum başına ortalama 10.7 benzersiz uygulama exploit’i tespit edildi. Her 10 firmadan 9’u kritik veya yüksek tehlikede exploitler tespit etti.
• Genel olarak, Afrika, Orta Doğu ve Latin Amerika, benzersiz exploit, malware ve botnetin ortalama sayısı dikkate alındığında her bir kategori için daha yüksek sayıda ve çeşitlilikte olay yaşadı. Bu farklılıklar botnetler de daha fazla öne çıktı.
Rapor metodolojisi
Fortinet Global tehdit Raporu, FortiGuard Labs’in 2016 yılının 4.çeyreğinde global, bölgesel, sektörel ve organizasyonel verilerden topladığı istihbarattan oluşuyor. Rapor tehdit dünyasının üç merkezi ve tamamlayıcı yönüne odaklanıyor: Uygulama exploitleri, zararlı yazılımlar (malware) ve botnetler.