Güvenlik açığı yönetiminde ‘sıfır güven’ esas olmalı!
IBM Security, fidye yazılımlar ile güvenlik açığı istismarlarının 2021’de işletmeleri nasıl kontrol altına aldığını açıkladı. Üretimin en fazla hedeflenen sektör olarak öne çıktığını gözler önüne seren X-Force Tehdit İstihbaratı Endeksi, bu durumun küresel tedarik zincirleri üzerindeki baskıyı nasıl artırdığını da açıkladı. Rapora göre, siber saldırıların en yaygın nedenlerinden bir tanesi Kimlik Avı dolandırıcılığı olarak belirlendi. Ek olarak fidye yazılımların 2021’de siber saldırı gerçekleştirmek için en fazla başvurulan yöntem olduğu ortaya çıktı. Bu saldırıların yüzde 44’ünü yama uygulanmamış yazılımlardaki güvenlik açıkları oluştururken, geçen seneye oranla bu rakamın yüzde 33 artış gösterdiği gözlemlendi.
2022 raporu, 2021’de fidye yazılımlarının yüzde 23 ile en fazla saldırıya uğrayan sektörü haline gelen üretim sektörüne yönelik saldırılarını ve bu saldırıların küresel tedarik zincirlerinin omurgasını nasıl kırmaya çalıştığını ayrıntılı olarak açıklıyor. Saldırganlar, üretim kuruluşlarında yaşanan aksaklıkların kendilerine bağımlı tedarik zincirlerinde yaratacağı dalgalanma etkisine odaklanıyor. Bu durum diğer tüm sektörlerden daha fazla fidye yazılımı saldırısına uğrayan üretim sektörünü fidyeyi ödemeleri için baskı altına alıyor. Bu saldırıların hedefinde olan kurban kuruluşların yüzde 47’si ise güvenlik açıkları nedeniyle henüz yazılımlarına yama uygulayamıyor. Bu durum, kuruluşların güvenlik açığı yönetimine öncelik vermeleri gerektiğini gözler önüne seriyor.
2022 IBM Security X-Force Tehdit İstihbaratı Endeksi, IBM Security’nin ağ ve uç nokta saptama cihazları, siber olaylara müdahale etkileşimleri, kimlik avı dolandırıcılığı kiti takibi ve daha fazlası dahil olmak üzere kendi verilerinde ve Intezer tarafından sağlanan verilerde gözlemlediği ve analiz ettiği yeni trendlerin ve saldırı kalıplarının haritasını oluşturuyor. Bu yılın raporundan öne çıkan başlıca konular arasında şunlar:
• Fidye yazılımları, 2021’de en fazla gözlemlenen saldırı yöntemi olmayı sürdürdü. Çökertilen fidye yazılımları giderek artmaya devam. 2022 raporuna göre bir fidye yazılımı faaliyetine son verinceye ya da adını değiştirinceye kadar ortalama yaşam süresi 17 ay.
• X-Force’a göre yama uygulanmamış güvenlik açıkları Avrupa, Asya ve Ortadoğu-Afrika bölgelerindeki işletmeler için 2021’deki saldırıların yaklaşık yüzde 50’sine neden oldu. Bu durum işletmelerin en fazla zorlandığı güvenlik açıklarına yama uygulanmasının önemini gözler önüne serdi.
• Siber suçlular bulut ortamlarını hedeflemek için ihtiyaç duydukları altyapıyı oluşturuyor. 2022 raporu yeni Linux fidye yazılımı kodunda yüzde 146 artış ve Docker odaklı hedeflemeye doğru bir eğilimi gösteriyor. Bu da daha fazla tehdidin kötü amaçlar için bulut ortamlarından yararlanmasını kolaylaştırıyor.
Çıkmaza düşmemek için…
IBM X-Force Yöneticisi Charles Henderson konuyla ilgili “Geçmişte siber suçlular genellikle parayı hedeflerken günümüzde fidye yazılımlarıyla koz kovalıyorlar. İşletmeler, güvenlik açıklarının onları bir çıkmaza düşürdüğünü anlamak zorundalar. Bu güvenlik açıkları fidye yazılımı kullanıcıları için bir avantaj oluşturuyor. Saldırı alanı sürekli olarak genişliyor, bu nedenle işletmelerin çalışma ortamlarındaki her güvenlik açığına yama uygulandığını varsayarak hareket etmek yerine bir ihlal yaşandığını varsayarak hareket etmeleri ve güvenlik açığı yönetimini bir Sıfır Güven stratejisiyle iyileştirmeleri gerekiyor” yorumunu yaptı.
Fidye yazılımı kullanıcıları, kolluk kuvvetlerinin son zamanlarda artan fidye yazılımı çökertme müdahalelerine karşılık kendilerini temize çıkartmak adına kurtarma planlarını etkinleştirmeye başlamış olabilir. X-Force analizine göre bir fidye yazılımı grubunun faaliyetine son verinceye ya da adını değiştirinceye kadar ortalama yaşam süresi ortalama 17 ay. Örneğin 2021’de gerçekleşen tüm fidye yazılımı saldırılarının yüzde 37’sinden sorumlu olan REvil, adını değiştirerek dört yıl boyunca faaliyetini sürdürdü. Bu durum 2021 ortalarında çok sayıda devletin katıldığı bir operasyonla çökertilmesine rağmen saldırganların yeniden ortaya çıkabileceğini gösteriyor.
Kolluk kuvvetlerinin müdahaleleri, fidye yazılımı saldırganlarını yavaşlatmanın yanı sıra adlarını değiştirmek veya altyapılarını yeniden oluşturmak için finansmana ihtiyaç duymalarına da neden oluyor. Günümüz koşulları değişirken kuruluşların, ister şirket içi ister bulut üzerinde olsun, verilerini onları korumaya yardımcı olabilecek bir ortama yerleştirmek için altyapılarını modernize etmeleri büyük önem taşıyor. Bu işlem, işletmelerin iş yüklerini yönetmelerine, kontrol etmelerine ve korumalarına yardımcı olurken, hibrit bulut ortamlarındaki kritik verilere erişimi zorlaştırarak bir ihlal durumundaki olası tehditlerin kozlarını ortadan kaldırabiliyor.
Bulutlar arasındaki ortak noktalar yeni hedef
X-Force raporu, Endüstriyel Kontrol Sistemlerinde yıllık bazda yüzde 50 artan güvenlik açıklarıyla birlikte 2021’de açığa çıkarılan güvenlik açığı sayısının rekor düzeye ulaştığını belirtiyor. Son on yılda 146.000’den fazla güvenlik açığı belirlenmiş olmasına rağmen kuruluşlar, dijital yolculuklarını ancak son birkaç yılda, daha çok pandeminin etkisiyle hızlandırdı. Bu durum güvenlik açığı yönetimi zorluğunun henüz tepe noktasına ulaşmamış olabileceğini gösteriyor.
Güvenlik açığı istismarı aynı zamanda giderek daha popüler hale gelen bir saldırı yöntemi. X-Force, önceki yıla kıyasla bu istismar türünde yüzde 33 artış gözlemledi. 2021’de gözlemlenen güvenlik açıkları arasında en fazla istismar edilen iki program olan Microsoft Exchange, Apache Log4J Library ise yaygın olarak kullanılan kurumsal uygulamalar arasında. Dijital altyapılar büyürken, işletmeler denetim ve bakım gereksinimleri karşılamakta zorlanıyor. Bu durum kuruluşların güvenlik açıklarını yönetmede karşılaştıkları zorlukların giderek artmasına yol açabilir. Tüm bunlar göz önünde bulundurulduğunda, ihlal gerçekleştiğini varsayarak hareket etmenin ve bir Sıfır Güven stratejisi uygulamanın önemi tekrar gözler önüne seriliyor.
X-Force, 2021’de daha fazla saldırganın, RedHat tarafından en yaygın konteyner çalıştırma zamanı motoru olduğu belirtilen, Docker gibi konteynerleri hedeflediğini gözlemledi. Saldırganlar, konteynerlerin kuruluşlar arasındaki ortak noktalar olduğunu biliyor. Buna bağlı olarak saldırıganlar platformlar arasında hareket edebilen ve kurbanların altyapılarındaki başka bileşenler için atlama noktası olarak kullanılabilen kötü amaçlı yazılımlarla yatırım getirilerini en yüksek düzeye çıkaracak yöntemlere odaklanıyor.
2022 raporu aynı zamanda tehditlerin özgün, daha önce gözlemlenmemiş kötü amaçlı Linux yazılımlarına yatırım yapmaya devam ettikleri konusunda da uyarıyor. Intezer tarafından sağlanan veriler, yeni kod içeren Linux fidye yazılımlarında yüzde146 artış olduğunu gösteriyor. Saldırganlar kararlı bir biçimde bulut ortamları aracılığıyla faaliyetlerinin ölçeğini artırmaya çalışırken, işletmelerin hibrit altyapılarının görünürlüğünü artırmaya odaklanmaları gerekiyor. Birlikte çalışabilirlik ve açık kaynaklar esas alınarak oluşturulan hibrit bulut ortamları, kuruluşların kör noktaları saptamalarına ve güvenlik olaylarına müdahaleleri hızlandırıp otomatikleştirmelerine yardımcı olabilir. 2022 raporunun diğer bulgularına göre, IBM tarafından 2021’de tüm dünyada gözlemlenen her 4 saldırıdan 1’ine maruz kalan Asya bölgesi geçtiğimiz yıl diğer tüm bölgelerden daha fazla siber saldırıya maruz kaldı. Finansal hizmetler ve üretim kuruluşları, Asya bölgesindeki saldırıların yaklaşık yüzde 60’ını oluşturuyor. Kimlik avı dolandırıcılığı 2021’de siber saldırıların en yaygın nedeni olurken, X-Force Red’in testlerinde, telefon aramalarıyla birleştirilen kimlik avı dolandırıcılığı kampanyalarının tıklanma oranları üç kat arttı.