Websense tarafından hazırlanan rapor, saldırganların, teknik uzmanlar ve uzmanlıklar yerine yüksek teknolojiye sahip araçlar kullanarak kapasitelerini nasıl güçlendirdiklerini gösteriyor. Birbirine bağlı gizli yönlendirme, eski kodların yeniden kullanılması ve diğer birçok teknik, bu saldırganların gizli kalmasına olanak sağlarken; tehdidin saptanma sürecini zaman alan, zor ve tamamıyla güvenilmez bir hale getiriyor.
Daha yeni ve daha güvenli olanlar yerine eski standartların geniş çaplı kullanımı, sistemlerin savunmasız ve tehditlere açık hale gelmesine sebep oluyor. Tehditler, Bash, OpenSSL ve SSLv3’ün kod tabanını da içeren bir ağ sistemine kadar ulaşarak genişliyor ve hassas verilere ele geçerebilecek bir altyapıya sahip olunuyor.
Websense uzmanlarına göre bugünkü tehditlerle başa çıkabilmek için göz önünde bulundurulması gereken etkenleri; “Güvenlik yazılımlarının loglarının Kill Chain etrafında analiz edilmesi , birbiriyle entegre çözümler kullanılması , güvenlik bilincini yukarıya çekebilecek araçlar kullanılması, SSL inspection ile SSL tabanlı atakların analiz edilmesi ve kurum dışı güvenlik stratejilerinin; geleneksel yöntemler yerine daha akıllı ve web tehditlerini durdurabilecek şekilde yeniden şekillendirilmesi” olarak sıralıyor.
Websense Security Labs 2015 Tehdit Raporu, eyleme geçirilebilir bilgi sağlama ve güvenlik personeline ağ savunma stratejilerini oluşturma konusunda rehberlik etmenin yanı sıra, davranışsal ve teknik temelli 8 ana saldırı trendini de gözler önüne seriyor. Bu bulgulardan öne çıkan 4’ü ise şu şekilde sıralanıyor:
1 – Sibersuç işlemek kolaylaştı: İçinde bulduğumuz MaaS (Malware-as-a-Service) çağında, başlangıç seviyesindeki saldırganlar bile, kiralık exploit kit’ler ve MaaS; satın alınabilir diğer yöntemler ve gelişmiş, çok aşamalı atağın bir kısmını taşeron olarak alma yolu ile, başarılı bir veri hırsızlığı saldırısı üretip kullanabiliyor. Yüksek teknolojiye sahip araçlara erişimin daha kolay olmasının yanı sıra, malware üreticileri yeni teknolojileri eskileri ile birleştirerek hayli etkili tekniklerin ortaya çıkmasına neden oluyor. Websense uzmanları buna örnek olarak; “Kaynak kodu ve exploit tek ve gelişmiş olabilir, ancak saldırılarda kullanılan altyapıların çoğu geri dönüştürülür ve kötü amaçlarla tekrar kullanılır.” yorumunu yapıyor.
2014 yılında, zararlı dosyaların yüzde 99.3’ü, daha önce bir veya daha fazla malware tarafından kullanılmış bir Command and Control URL’sinden faydalanıyor. Ayrıca malware üreticilerinin yüzde 98.2 si, diğer 5 çeşit malware’de de bulunan C%C leri kullanıyor.
2 – Yeni bir şey mi dejavu mu?: Saldırganlar, makro gibi eski taktikleri yeni teknikler ile istenmeyen e-postalarda bir araya getiriyor. Eski tehditler, e-posta ve web kanallarıyla yayılan yeni tehditlerin içine geri dönüştürülüp katılıyor ve böylece, en güçlü savunma yöntemlerine karşı bile meydan okuyabiliyor. 10 yıl öncesinin en önde gelen saldırı aracı olan e-posta, siber saldırılar konusunda günümüzde daha baskın bir rol oynayan web’e rağmen halen çok güçlü bir saldırıcı aracı olma niteliğini koruyor.
2014 yılında,Websense tarafından taranan iletilerin yüzde 84’ünün kötü amaçlı olduğu anlaşılmış. Bu rakam, bir önceki yıla oranla yüzde 25’lik bir artış anlamına geliyor.Websense aynı zamanda, kötü amaçlı e-postaların yüzde 28’ini bir antivirüs programı uyarı vermeden önce teşhis ettiğini belirtiyor. Websense Security Labs, 2014 yılının sadece son 1 ayında bile makro atak içeren 3 milyondan fazla e-posta tespit etmiş durumda.
Dijital Darvinizm – Gelişen tehditler karşısında hayatta kalma: Tehdit üreticileri, ürettikleri tehditlerin sayısından ziyade niteliği ile ilgileniyor. Websense Security Labs, 2014 yılında 3.96 milyar güvenlik tehdidini tespit etmiş durumda; bu sayı 2013 yılına oranla yüzde 5.1 daha düşük. Yine de, çok büyük miktarda güvenlik yatırımları yapan önemli kuruluşların maruz kaldığı sayısız veri sızıntısı, geçen yılın tehditlerinin ne kadar etkili olduğunun bir ispatı olarak tanımlanıyor.
Saldırganların, görünürlüklerini azaltmak için saldırı metodlarını yeniden yapılandırdığı da raporda dikkat çeken bir konu. Bunu, Kill Chain’in aşamalarını takip ederken daha az doğrusal hareket ederek sağlayabiliyorlar. Websense uzmanları bu yöntemi uygulayan saldırganların tespit edilmesinin zor olduğunu belirtirken, nedenini ise “çünkü aşamaları atlarlar, tekrar ederler ya da aşamalara kısmen dahil olurlar. Böylelikle daha az görünür olurlar.” sözleriyle açıklıyor.
Tanımlama tuzağından kaçının: Hacker’ların bilgiyi kafesleyebildikleri, ‘logging and tracking’i atlatabildikleri veya gizliliklerini koruyabildikleri durumlarda tanımlama yapmak zorlaşıyor. Aynı ikinci dereceden kanıtın çok kez analiz edilmesi, çok farklı sonuçların elde edilmesiyle sonuçlanıyor. Bir atağı onarım aşamasında takip etmek için yeterli zaman ayırılması gerekiyor.
Rapordaki diğer başlıklar
BT’nin IQ’sunu yükseltme: Kaynak kullanımları ve teknolojilerin benimsenmesi konusunda yeni yaklaşımlar edinilmezse, 2017 yılına gelindiğinde güvenlik personelinde 2 milyonluk bir açık olması bekleniyor. Böyle bir durumda, kurumların rakipleri tarafından alt edilmesi kaçınılmaz olabilir.
İç tehditleri anlama: Çalışanlar tarafından kazara veya kasıtlı olarak gerçekleştirilmiş eylemlerin, iç tehdit olarak veri güvenliği konusundaki risk faktörlerinden biri olmaya devam edeceği görülüyor.
Hassas altyapı: 2014 yılında, tehdit unsurlarının ağ altyapısına dek yayıldığı tespit edilmiş durumda. Çünkü gizli kalmış zayıfsızlıklar, Bash, OpenSSL, SSLv3 ve yıllardır kullanılan diğer popüler kod temellerinde ortaya çıkıyor.
Nesnelerin interneti – tehdit çoğaltıcı: Nesnelerin internetinin, 2020 yılına gelindiğinde, 20 ila 50 milyar arası cihaz aracılığıyla saldırı fırsatlarını arttıracağı öngörülüyor. Nesnelerin interneti, eskiden aklımıza bile gelmeyecek bağlantı ve aplikasyonlar sunuyor. Burada, yayılma kolaylığı ve keşfetme arzusu, güvenlikle ilgili endişelere üstün geliyor.
Websense Security Labs 2015 Tehdit Raporu verileri, ThreatSeeker Intelligence Cloud kullanılarak, tüm dünyadan gelen, günde 5 milyara kadar girdinin alınmasıyla elde edilmiş ve işlenmiştir. Uzman yorumları, Avrupa, Orta Doğu, Asya ve Kuzey Amerika’da bulunan araştırmacı ve mühendislerin Kill Chain üzerinde gerçekleşen saldırı aktivitelerini incelemesi sonucu ve anketler sonucu, Websense Security Labs tarafından hazırlanmıştır.
