Bu yıl kritik veri ihlallerinin ve siber saldırıların, dünyanın dört bir yanında güvenlik ekiplerinin gerçekleştirdiği dönüm noktalarını geride bıraktığını gördük. Şirketler de olası bir siber saldırıya karşılık verme stratejilerini siber suçluların aktivitelerindeki artışa paralel olarak güncelliyor ancak şirketlerin varlıklarını kötü niyetli aktörlere karşı yeterli düzeyde korumakta zorlandığı net bir şekilde görülüyor.
Sadece son 12 ayda siber suçluların farklı sektörlerde faaliyet gösteren büyük şirketleri başarıyla hedef aldıklarını gördük. Bu şirketler arasında, üçüncü parti bir firma sunucularına erişebildiği için veri ihlali yaşayan bir otomotiv firması da yer alıyor. Siber suçlular bu sunuculara erişebilmek gereken giriş bilgilerini üçüncü parti üstlenicinin GitHub’da yayınladığı kaynak kodundan bulduğu biliniyor. Cisco da bir çalışanının giriş bilgilerinin gizliliği ihlal edildikten sonra bir siber saldırının hedefi olduğunu doğruladı. Saldırı sırasında saldırganın siber ortamda ayrıcalıklı kimlik doğrulama ve yanal hareket için makine hesaplarından yararlandığı gözlemlendi.
Yanal hareket stratejisiyle gerçekleştirilen bu ihlaller, kapsamlı oltalama denemeleri ve gelişmiş fidye yazılımları, ağların güvenliğine önemli ölçüde zararlar vererek pek çok şirketin güvenilirliğini zedeliyor ve devamında da müşterilerinin güvenini kaybetmesine neden oluyor. Geçen yıla baktığımızda güvenlik ekiplerinin elde ettiği sayısız başarıyı kabul etmek çok önemli ama öte yandan tarihin tekerrür etmemesi için yüksek profilli ihlallerden de ders çıkartmak kritik.
Önümüzdeki yılda kurumların siber güvenlik ekiplerini etkileyecek beş büyük güçlük olacağını düşünüyorum. Bu güçlükleri ise saldırılara karşılık veren teknolojilere yatırım yapmak, yanal hareket, agresif API saldırıları, derin sahtelikteki (deepfake) artış ve siber savaş olarak sıralayabiliriz.
Yeni yöntemler geliştiren siber suçlular, şirketlerin uyguladığı saldırılardan kaçınma yöntemlerinin üstesinden geliyor
Tehditlere karşılık verme alanındaki inovasyonlar, sektörün 2022’de öne çıktığı büyüme alanı oldu. VMware’in Küresel Olay Müdahale Tehdit Raporu (GIRTR) çalışmasına göre siber güvenlik profesyonelleri olaylara karşılık vermek ve siber suç aktivitelerini engellemek için sanal yamalama gibi yeni teknikleri aktif olarak kullanıma alıyor. Ancak günümüzde tehdidi yaratan aktörlerin de savunma sistemlerinden kaçınmak için pek çok stratejisi bulunuyor. Araştırmada siber suçluların büyük çoğunluğunun hedef aldığı ortama araştırma başlamadan saatler öncesinde (yüzde 43) veya dakikalar içinde (yüzde 26) girebildiği ortaya çıktı.
Tehditlere karşılık verme süresi ağ savunmasında kritik bir öneme sahip olduğu için gelişmiş tehdit aktörleriyle aynı seviyeye çıkmak, sistemleri korumak için fazlasıyla önemli. Müdahale tekniklerini güncellemek için yenilikçi yöntemler kullanmak, kötü niyetli aktiviteleri büyümeden durdurmak için atılacak ilk adımlardan birisi oluyor ve 2023’te de öncelik verilecek alanlar arasına giriyor.
Yeni savaş alanı
Göremediğiniz şeyi durduramazsınız. Bir ortamın içinde gerçekleştirilen yanal hareketler, güvenlik ekipleri için sürekli genişleyen bir savaş alanı haline geliyor. GIRTR araştırmasında raporlanan saldırıların dörtte birinin temelinde bu yöntemin yer aldığını görüyoruz. Bu sızma teknikleri, 2022’de şirketlerin yeterince dikkatini çekmedi veya etkisi biraz küçümsendi. Sadece nisan ve mayısta sızma işlemlerinin neredeyse yarısında yanal bir hareket bulunuyordu ve bunların çoğunluğunda uzaktan erişim araçları (remote access tools, RAT) veya Uzaktan Masaüstü Protokolü (Remote Desktop Protocol, RDP) veya PsExec gibi mevcut hizmetler kullanıldı.
2023’te siber suçluların kendilerini sistem yöneticisi gibi göstermek için uzaktan masaüstü protokolünü kullanmaya devam edeceğini düşünüyoruz. Yeni yıla girerken CISO’ların hackerlar dış bariyerleri aştıktan sonra ele geçirebileceği veri merkezlerini, erişim noktalarını ve kritik altyapıları korumak için EDR (uç nokta tespit ve karşılık) ve NDR (ağ tespit ve karşılık) entegrasyonuna öncelik vermesi gerekiyor.
Denetlenmeyen API’lar
2023’te siber suçluların şirketlerin sistemlerinde yer alabilmek için öncelik verdikleri erişim yöntemlerinin gelişmeye devam ettiğini göreceğiz. Bu tür erişimin temel amacı ise modern altyapıları hedef alan agresif API saldırıları gerçekleştirmek ve bir ortamdaki iş yükü güvenlik açıklarından yararlanmak oluyor. Bu modern uygulamalardaki trafiğin çoğu genellikle denetlenmeyen API trafiği üzerinden gerçekleşiyor ve siber suçlular ortama girdikten sonra sanal masaüstü altyapıları, sanal makineler ve geleneksel uygulamalar üzerindeki tehdit tespit etme yöntemlerinden kaçınmak için yanal hareketlerini artırıyor. Bu ilk erişim teknikleri, şirketlerin görüntülemedeki sınırlamalarının farkında olan kötü niyetli aktörler için giderek daha çekici hale gelecek ve suçluları güvenlik açıklarını aramaya sevk edecek.
Derin sahtelik
2022’de derin sahtelik saldırılarında büyük bir artış oldu. Hatta derin sahtelik hareketlerinin eğlence ortamlarına ek olarak şirketleri ve kurumları da etkilemeye başladığını da görüyoruz. Şirketlerin üçte ikisi (yüzde 66) son 12 ayda bir derin sahtelik saldırısına şahit olduğunu belirtiyor. Bu teknoloji, güvenlik ekiplerinin şirketlerin bütünlüğünü ve saygınlığını zedeleyecek şekilde tasarlanmış yanlış bilgilerle ve kimlik sahtecilikleriyle uğraşmasına neden oluyor. E-postalar, mobil mesajlaşmalar, ses kayıtları ve sosyal medya üzerinden gerçekleştirilen derin sahtecilik saldırıları, dolandırıcıların tercih ettiği silaha dönüşecek kadar esnek olabiliyor.
Tüm bunları göz önünde bulundurunca derin sahtecilik saldırılarının 2023’te de artmaya devam ettiğini göreceğiz. Bu yüzden şirketlerin derin sahteciliği tanıyabileceklerinden emin olabilmeleri için tespit yazılımlarına ve çalışan eğitimlerine yatırım yapması ve böylece derin sahtecilik temelli bir dolandırıcılığa maruz kalma riskini azaltmak için proaktif adımlar atması şart.
Büyük kırmızı (dijital) tuş
Siber suç araçları tahmin edilenden daha hızlı geliştirileceği için 2023, kritik altyapıların pek çok zafiyetinin ortaya çıkacağı bir yıl olacak. GIRTR çalışmasına katılanların çoğunluğu (yüzde 65), Rusya’nın Ukrayna’yı işgal etmesiyle bağlantılı olan siber saldırılarda artış yaşandığını belirtiyor. Rusya’nın dijital saldırıları, savaşta güç şebekeleri gibi altyapıları durdurarak önemli kamu hizmetlerinin çökertildiği yeni bir çağ başlattı. Ukrayna’nın tehditlere karşılık vermedeki hazırlığı ise savunmasında kilit bir rol oynadığı gibi siber yöntemlerin modern silahlı çatışmanın önemli bileşenlerinden biri haline gelecek şekilde büyüyeceği de aşikâr. Tüm bunlar bizlere siber saldırılara karşı tetikte olmanın, siber güvenlik stratejisinin verimliliğini belirleyecek önemli etkenlerden birisi olduğunu gösteriyor.
2023 için güvenlik eğitim birliği
Yeni bir yıla giriş yapıyoruz ve siber suçluların hedefi hala değerli bilgiler barındıran sistemlere erişebilmek, giriş bilgilerini çalmak, yanal hareket etmek, verileri almak ve bunu bir gelir haline getirmek. Savunmaların verimliliğini ileriye taşımak için güvenlik ekiplerinin iş yüklerine bütüncül bir şekilde yaklaşması, bant içi trafiği denetlemesi, EDR özelliklerine sahip NDR entegre etmesi, Sıfır Güven prensiplerini benimsemesi ve kesintisiz tehdit avları gerçekleştirmesi çok önemli. Çünkü şirketler sadece kapsamlı kurallarla güvenlik ekiplerini önlerindeki zorluklarla yüzleşmeleri için güçlendirebiliyor.