Hedefli saldırıların hacmi ve etkisi artıyor
Fortinet, FortiGuard Labs’in altı ayda bir yayınladığı Küresel Tehdit Manzarası Raporu’nu açıkladı. FortiGuard Labs, 2023’ün ilk yarısında fidye yazılımlarını tespit eden kurum sayısında düşüş, gelişmiş kalıcı tehdit (APT) gruplarında faaliyet artışı, saldırganlar tarafından kullanılan MITRE ATT&CK tekniklerindeki değişiklikler ve çok daha fazlasını gözlemledi. Aşağıdaki önemli noktalara ek olarak, 2023 ilk yarıyıl Global Threat Landscape Report içinde analizin tamamı bulunabiliyor.
Kötü niyetli aktörlerin daha da karmaşıklaşması ve hedefli saldırıların artması nedeniyle kurumlar kendilerini reaktif bir konumda tutmaya devam ederken, 2023 ilk Yarıyıl Küresel Tehdit Ortamı Raporu’ndaki tehdit ortamının sürekli analizi, potansiyel tehdit faaliyetlerinin erken uyarı sistemi olarak hizmet edebilecek ve güvenlik liderlerinin güvenlik stratejilerini ve yama çabalarını önceliklendirmelerine yardımcı olabilecek değerli istihbarat sağlamaya yardımcı oluyor. Raporda öne çıkan başlıklar şöyle:
Fidye yazılımlarını tespit eden kurum sayısı azalıyor: FortiGuard Labs, Hizmet Olarak Fidye Yazılımlarının (RaaS) kullanımının ardından son yıllarda fidye yazılımı varyantlarının artışında önemli artışlar olduğunu belgeledi. Ancak FortiGuard Labs, beş yıl öncesine (%22) kıyasla 2023’ün ilk yarısında daha az kurumun fidye yazılımı tespit ettiğini (%13) ortaya koydu. Genel düşüşe rağmen kuruluşlar tetikte olmalı. Bu durum, FortiGuard Labs’ın son birkaç yıldır gördüğü, saldırganların artan karmaşıklığı ve saldırı başına yatırım getirisini (ROI) artırma arzusu sayesinde fidye yazılımlarının ve diğer saldırıların giderek daha fazla hedeflendiği eğilimini destekliyor. Araştırma ayrıca, fidye yazılımı tespitlerinin hacminin değişken olmaya devam ettiğini, 2023’ün ilk yarısını 2022’nin sonundan 13 kat daha yüksek kapattığını, ancak yıldan yıla karşılaştırıldığında genel olarak hala düşüş eğiliminde olduğunu ortaya koydu.
En önemli EPSS zafiyetlerine saldırma olasılığı yüksek: Fortinet, başlangıcından bu yana Exploit Prediction Scoring System’i (EPSS) yani tahmini istismar puanlama sistemini desteklemek için istismar faaliyeti verilerinin temel bir katılımcısı oldu. Bu proje, bir güvenlik açığının farklı ortamlarda istismar edilme olasılığını ve ne zaman istismar edileceğini tahmin etmek için sayısız veri kaynağından yararlanmayı amaçlıyor. FortiGuard Labs, istismar tespit edilen 11.000’den fazla yayınlanmış güvenlik açığını kapsayan altı yıllık verileri analiz etti ve yüksek EPSS puanı (en yüksek %1 önem derecesi) ile kategorize edilen Yaygın Güvenlik Açıkları ve Maruziyetlerin (CVE’ler) yedi gün içinde istismar edilme olasılığının diğer tüm güvenlik açıklarına göre 327 kat daha fazla olduğunu buldu. Türünün ilk örneği olan bu analiz, kömür madenindeki kanarya görevi görerek CISO’lara ve güvenlik ekiplerine kuruluşlarına yönelik hedefli saldırılar hakkında erken bir gösterge sağlayabiliyor. Son Tehdit Ortamı Raporunda tanıtılan Kırmızı Bölge gibi, bu istihbarat da güvenlik ekiplerinin kuruluşlarının riskini en aza indirmek için yama çalışmalarını sistematik olarak önceliklendirmelerine yardımcı olabiliyor.
Kırmızı Bölge, CISO’lara destek: FortiGuard Labs’ın farklı ortamlarda EPSS istismarına ilişkin analizi, aktif olarak saldırıya uğrayan uç noktalardaki mevcut güvenlik açıklarının oranını ölçmeye yardımcı olan Kırmızı Bölge’ye getirdiği tanımları genişletiyor. 2022’nin ikinci yarısında Kırmızı Bölge yüzde 8,9 civarındaydı; bu da bilinen 16.500’den fazla CVE’den yaklaşık 1.500 CVE’nin saldırı altında olduğu anlamına geliyordu. Bu sayı 2023’ün ilk yarısında hafif bir düşüşle yüzde 8,3’e geriledi. 2Y 2022’nin 2. yarısı ve 2023’ün ilk yarısı arasındaki fark çok az ve uç noktalardaki güvenlik açıklarını hedef alan kötü niyetli aktörler için bir cazip bir nokta gibi görünüyor.
Beş yıllık karşılaştırma, benzersiz açıklar, kötü amaçlı yazılım varyantları ve botnet kalıcılığındaki patlamayı ortaya koyuyor:
• Benzersiz açıklar artıyor: FortiGuard Labs, 2023’ün ilk yarısında, beş yıl öncesine göre yüzde 68 artışla 10.000’den fazla benzersiz açık tespit etti. Benzersiz açık tespitlerindeki artış, güvenlik ekiplerinin farkında olması gereken kötü niyetli saldırıların hacmini ve saldırıların nispeten kısa bir süre içinde nasıl çoğaldığını ve çeşitlendiğini vurguluyor. Rapor aynı zamanda beş yıllık süre zarfında kurum başına istismar girişimlerinde yüzde 75’in üzerinde bir düşüş ve ciddi istismarlarda yüzde 10’luk bir azalma olduğunu göstermekte ve kötü niyetli aktörlerin istismar araç setleri büyürken saldırıların beş yıl öncesine göre çok daha hedefli olduğunu ortaya koyuyor.
• Zararlı yazılım aileleri ve türevleri kat be kat arttı: Zararlı yazılım aileleri ve varyantlarındaki önemli artışa ek olarak, bir başka şaşırtıcı bulgu da küresel kuruluşların en az yüzde 10’una (kayda değer bir yaygınlık eşiği) yayılan kötü amaçlı yazılım ailelerinin sayısının son beş yılda iki katına çıkmış olması. Zararlı yazılım hacmi ve yaygınlığındaki bu artış, son yıllarda daha fazla siber suç ve APT grubunun operasyonlarını genişletmesine ve saldırılarını çeşitlendirmesine bağlanabilir. Son Küresel Tehdit Manzarası raporunun önemli bir odak noktası, büyük ölçüde Rusya-Ukrayna çatışmasına bağlı olarak silici kötü amaçlı yazılımlardaki artıştı. Bu artış 2022 boyunca devam etti ancak 2023’ün ilk yarısında yavaşladı. FortiGuard Labs, silicilerin ulus devlet aktörleri tarafından kullanıldığını gözlemlemeye devam ediyor, ancak bu tür kötü amaçlı yazılımların siber suçlular tarafından benimsenmesi, teknoloji, üretim, devlet, telekomünikasyon ve sağlık sektörlerindeki kuruluşları hedef aldıkça artmaya devam ediyor.
• Botnetler, artık ağlarda daha uzun süre kalıyor: Rapor, son yarım on yılda daha fazla aktif botnet (+%27) ve kurumlar arasında daha yüksek bir görülme oranı (+%126) tespit ederken, en şok edici bulgulardan biri, FortiGuard Labs’ın bir sensörde belirli bir botnet girişiminin ilk vuruşu ile sonuncusu arasında geçen süre olarak tanımladığı toplam “aktif gün” sayısındaki üstel artış oldu. 2023’ün ilk altı ayında, botnet’lerin komuta ve kontrol (C2) iletişimi kesilmeden önce geçirdiği ortalama süre 83 gündü ve bu süre beş yıl öncesine göre 1.000 kattan fazla bir artışı temsil ediyor. Bu, yanıt süresinin kısaltılmasının kritik önem taşıdığı bir başka örnektir çünkü kurumlar botnetlerin oyalanmasına ne kadar uzun süre izin verirlerse, işlerine verdikleri zarar ve risk de o kadar büyük oluyor.