Riskler ‘uç noktalarda’ birikiyor
Ağ güvenliği ve zekası, çok faktörlü kimlik doğrulama (MFA), gelişmiş uç nokta koruması ve güvenli Wi-Fi alanlarında dünya lideri olan WatchGuard® Technologies; WatchGuard Threat Lab araştırmacıları tarafından analiz edilen 2021’in üçüncü çeyreğine ilişkin trendleri ve ağ güvenliği tehditlerini vurgulayan üç aylık İnternet Güvenlik Raporu’nu yayımladı. Veriler, toplam çevresel kötü amaçlı yazılım tespit hacminin önceki çeyrekte ulaşılan yüksek seviyelere göre azalmasına rağmen uç nokta kötü amaçlı yazılım tespitlerinin 2020’de görülen toplam hacmi aştığını gösteriyor. Ayrıca kötü amaçlı yazılımların önemli bir yüzdesi, önceki çeyreklerdeki eğilimi sürdürerek şifreli bağlantılar üzerinden ulaşmaya devam ediyor. WatchGuard’ın 2021 yılı 3. Çeyrek İnternet Güvenliği Raporu’nun en dikkate değer bulguları arasında şunlar bulunuyor:
1. Sıfır gün (zero-day) kötü amaçlı yazılımlarının neredeyse yarısı artık şifreli bağlantılar aracılığıyla meydana geliyor. Sıfır gün kötü amaçlı yazılımlarının toplam miktarı üçüncü çeyrekte %3’lük artışla %67,2’ye yükselirken, Taşıma Katmanı Güvenliği (TLS) aracılığıyla gelen kötü amaçlı yazılımlar %31,6’dan %47’ye sıçradı. Şifrelenmiş sıfır günlerin daha düşük bir yüzdesi gelişmiş olarak kabul ediliyor ancak WatchGuard verilerinin, birçok kurumun bu bağlantıların şifresini çözmediğini ve bu nedenle ağlarına isabet eden kötü amaçlı yazılım miktarı konusunda zayıf bir görünürlüğe sahip olduğunu gösterdiği göz önüne alındığında yine de endişe verici olduğu görülüyor.
2. Kullanıcılar Microsoft Windows ve Office’in daha yeni sürümlerine yükseldikçe saldırganlar daha yeni güvenlik açıklarına odaklanıyor. Eski yazılımlardaki yama uygulanmamış güvenlik açıkları saldırganlar için zengin bir avlanma alanı sağlamaya devam ederken, aynı zamanda Microsoft’un yaygın olarak kullanılan ürünlerinin en son sürümlerindeki zayıflıklardan yararlanmaya da çalışıyorlar. Üçüncü çeyrekte, Microsoft Office’teki Denklem Düzenleyicisi’ndeki bir güvenlik açığından yararlanan CVE-2018-0802, önceki çeyrekteki en yaygın kötü amaçlı yazılım listesinde göründükten sonra, hacim listesine göre WatchGuard’ın ilk 10 ağ geçidi anti virüs kötü amaçlı yazılımını kırarak 6 numaraya ulaştı. Ek olarak, iki Windows kod enjektörü (Win32/Heim.D ve Win32/Heri) en çok algılanan listede sırasıyla 1. ve 6. sırada yer aldı.
3. Saldırganlar orantısız bir şekilde Amerika kıtasını hedef aldı. Ağ saldırılarının büyük bir çoğunluğu, Avrupa (%15,5) ve APAC (%20) ile karşılaştırıldığında, üçüncü çeyrekte Amerika’yı (%64,5) hedef aldı.
4. Genel ağ saldırısı algılamaları daha normal bir yörüngeye döndü ancak yine de önemli riskler oluşturuyor. WatchGuard’ın ihlal önleme hizmeti IPS, birbirini izleyen çeyreklerde %20’den fazla büyümenin ardından 3. çeyrekte yaklaşık 4,1 milyon benzersiz ağ istismarı tespit etti. %21’lik düşüş, hacimleri önceki yıla göre hala yüksek olan Q1 seviyelerine indirdi. Bu değişim, siber saldırganların muhtemelen odaklarını daha hedefli saldırılara kaydırdıkları için pes ettiği anlamına gelmiyor.
5. En yaygın 10 ağ saldırısı imzası, saldırıların büyük çoğunluğunu oluşturuyor. IPS tarafından 3. çeyrekte tespit edilen 4.095.320 saldırı girişiminin %81’i ilk 10 imzaya atfedildi. Aslında 3. Çeyrekte ilk 10’da daha eski ancak yine de yaygın olarak kullanılan Microsoft Internet Information Services (IIS) web sunucularını hedefleyen “WEB Uzaktan Dosya Ekleme /etc/passwd” (1054837) adlı yeni bir imza vardı. Bir SQL enjeksiyonu olan diğer imza (1059160), 2019’un ikinci çeyreğinden bu yana listenin başındaki konumunu korumaya devam etti.
6. Uç noktalardaki komut dosyası saldırıları rekor hızda devam ediyor. 3. çeyreğin sonunda WatchGuard’ın AD360 tehdit istihbaratı ve WatchGuard Endpoint Protection, Detection and Response (EPDR) hizmeti, 2020’nin tamamına göre %10 daha fazla saldırı komut dosyası gördü (bu da önceki yıla göre %666’lık bir artış.). Hibrit çalışma, geçici veya istisna olmak yerine kalıcı ve sürekli bir durum gibi görünmeye başladığından tehditleri durdurmak için güçlü bir çevre artık yeterli görünmüyor. Siber suçluların uç noktalara saldırmasının birkaç yolu olsa da uygulama açıklarından yararlanmadan komut dosyası tabanlı “living off the land” saldırılarına kadar sınırlı becerilere sahip olanlar bile genellikle temel uç nokta algılamadan kaçınırken PowerSploit, PowerWare ve Cobalt Strike gibi komut dosyası oluşturma araçlarıyla bir kötü amaçlı yazılım yükünü tam olarak yürütebiliyor.
7. Normalde güvenli domainler bile tehlikeye girebiliyor. Microsoft’un Exchange Server Autodiscover sistemindeki bir protokol kusuru, saldırganların domain kimlik bilgilerini toplamasına ve normalde güvenilir olan birkaç domaini tehlikeye atmasına izin verdi. Genel olarak WatchGuard Firebox’lar üçüncü çeyrekte kripto madenciliği, keylogger ve uzaktan erişim truva atları (RAT’ler) için yazılım yüklemeye çalışan birkaç yeni kötü amaçlı yazılım domaini ve Office365 oturum açma kimlik bilgilerini toplamak için SharePoint siteleri gibi görünen kimlik avı domainleri dahil olmak üzere 5,6 milyon kötü amaçlı domainleri engelledi. Ayrıca bir önceki çeyreğe göre %23 düşerken, engellenen domain sayısı hala 2020’nin 4. çeyreğinde görülen seviyenin birkaç katı (1,3 milyon). Bu durum kurumların, saldırganların yararlanabileceği güvenlik açıklarını sınırlamak için sunucuları, veri tabanlarını, web sitelerini ve sistemleri en son yamalarla güncel tutmaya odaklanması için kritik ihtiyacı vurguluyor.
8. Fidye yazılımı yükselişe geçiyor. 2020’de keskin bir düşüşün ardından fidye yazılımı saldırıları, Eylül ayı sonuna kadar 2020 hacminin %105’ine ulaştı (WatchGuard’ın önceki çeyreğin sonunda tahmin ettiği gibi) ve 2021’in tüm verileri analiz edildiğinde %150’ye ulaşma hızında görünüyor. REvil ve GandCrap gibi hizmet olarak fidye yazılımı operasyonları, çok az kodlama becerisine sahip olan veya hiç olmayan suçlular için çıtayı düşürmeye devam ediyor ve fidyenin bir yüzdesi karşılığında küresel olarak saldırılar gerçekleştirmek için altyapı ve kötü amaçlı yazılım yükleri sağlıyor.
9. Çeyreğin en önemli güvenlik olayı Kaseya, devam eden dijital tedarik zinciri saldırıları tehdidinin bir başka göstergesiydi. ABD’deki 4 Temmuz tatilinde hafta sonu başlamadan hemen önce, birçok kurum uç noktalarına yönelik fidye yazılımı saldırılarını bildirmeye başladı. WatchGuard’ın olay analizi, bir hizmet olarak fidye yazılımı (RaaS) olan REvil operasyonuyla çalışan saldırganların yaklaşık 1.500 şirketten ve potansiyel olarak milyonlarca uç noktaya fidye yazılımı sağlamak için Kaseya VSA Uzaktan İzleme ve Yönetim (RMM) yazılımındaki üç sıfır gün güvenlik açığından (CVE-2021-30116 ve CVE-2021-30118 dahil) nasıl yararlandığını açıkladı. FBI sonunda REvil’in sunucularını ele geçirip birkaç ay sonra şifre çözme anahtarını elde ederken saldırı kurumların sıfır güveni benimsemek, iş ortakları erişimi için en az ayrıcalık ilkesini kullanmak ve tedarik zinciri saldırılarının etkisini en aza indirgemek için sistemlerin yamalı ve güncel olmasını sağlamak gibi proaktif adımlar atma ihtiyacına dair bir başka önemli hatırlatma sağladı.
WatchGuard’ın üç aylık araştırma raporundaki bulgular, WatchGuard Threat Lab’ın araştırma çabalarını desteklemek için verileri paylaşmayı seçen aktif WatchGuard cihazlarından alınan anonim Firebox Feed verilerine dayanmaktadır. Üçüncü çeyrekte WatchGuard, toplam 16,6 milyondan fazla kötü amaçlı yazılım varyantını (cihaz başına 454) ve 4 milyondan fazla ağ tehdidini engelledi. Raporun tamamı; 2021’in üçüncü çeyreğine ait ek kötü amaçlı yazılım ve ağ eğilimleriyle ilgili ayrıntıları, 2021’in ilk yarısında uç noktada tespit edilen tehditlere daha da derin bir bakışı, her büyüklükteki ve her sektördeki kurumlar için önerilen güvenlik stratejilerini, kritik savunma ipuçlarını ve daha fazlasını içeriyor.