Siber suçlular güvenlik açıklarını istismar ediyor

FortiGuard Labs Raporu, tedarikçilerin en iyi güvenlik açığı ifşa uygulamalarına uyması ve kurumların siber hijyen ve yama yönetimini iyileştirmesi gerektiğini vurguluyor.

Ağ ve güvenliğin yakınsamasına öncülük eden küresel siber güvenlik lideri Fortinet, FortiGuard Labs 2H 2023 Küresel Tehdit Ortamı Raporu'nu yayınladı. Altı ayda bir yayınlanan en son rapor, aktif tehdit ortamının anlık bir görüntüsünü veriyor ve siber saldırganların siber güvenlik endüstrisindeki yeni tanımlanan açıklardan yararlanma hızı ve endüstriyel ve OT sektörüne karşı hedeflenen fidye yazılımı ve wiper (silici) faaliyetlerinin yükselişine ilişkin analizler de dahil olmak üzere 2023 yılının Temmuz ayından Aralık ayına kadar olan eğilimleri vurguluyor.

FortiGuard Labs Baş Güvenlik Stratejisti ve Tehdit İstihbaratı Küresel Başkan Yardımcısı Derek Manky, "FortiGuard Labs'ın 2Y 2023 Küresel Tehdit Ortamı Raporu, tehdit aktörlerinin yeni açıklanan güvenlik açıklarından ne kadar hızlı faydalandığına ışık tutmaya devam ediyor. Bu ortamda hem tedarikçilere hem de müşterilere önemli görevler düşüyor. Tedarikçiler, ürün geliştirme yaşam döngüsünün tüm aşamalarında sağlam güvenlik incelemesi yapmalı ve güvenlik açığı açıklamalarında sorumlu ve şeffaf davranmaya kendilerini adamalıdır. NIST tarafından belirtildiği üzere 2023 yılında 2.000'den fazla satıcıda 26.447'den fazla güvenlik açığı bulunması nedeniyle, müşterilerin istismar riskini azaltmak için sıkı bir yama rejimi sürdürmeleri de kritik önem taşıyor" dedi.

2023'ün ikinci yarısından elde edilen önemli bulgular şunlar:

Saldırılar, yeni açıkların kamuya açıklanmasından ortalama 4,76 gün sonra başladı: 2023'ün ikinci yarısında saldırganların yeni duyurulan güvenlik açıklarından yararlanma hızlarını artırdıkları görüldü (1Y 2023'ünilk yarısından %43 daha hızlı). Bu durum, tedarikçilerin güvenlik açıklarını dahili olarak keşfetmeleri ve istismar gerçekleşmeden önce bir yama geliştirmelerini gerektiğini gösteriyor (0 Gün güvenlik açıklarını azaltmaları gerekiyor). Ayrıca, tedarikçilerin, siber saldırganlar N-day güvenlik açıklarından yararlanmadan önce müşterilerin varlıklarını etkili bir şekilde korumaları için gereken bilgilere sahip olduklarından emin olmalarını sağlamasının, güvenlik açıklarını proaktif ve şeffaf bir şekilde müşterilere açıklamasının ne kadar önemli olduğunu ortaya koyuyor.

Bazı N-Day güvenlik açıkları 15+ yıl boyunca yamalanmadan kalıyor: CISO'ların ve güvenlik ekiplerinin endişelenmesi gereken yalnızca yeni tanımlanan güvenlik açıkları değil. Fortinet telemetrisi, kurumların %41'inin bir aydan daha eski açıkların istismar edildiğini tespit ettiğini ve neredeyse her kurumun (%98) en az beş yıldır var olan N-Day güvenlik açıkları bulduğunu gördü. FortiGuard Labs ayrıca, tehdit aktörlerinin 15 yıldan daha eski güvenlik açıklarını da istismar ettiğini gözlemlemeye devam ediyor, bu da güvenlik hijyeni konusunda tetikte olma ihtiyacını vurguluyor ve kurumların tutarlı bir yama ve güncelleme programı aracılığıyla hızlı hareket etmelerinin kritik olduğunu gösteriyor. Ayrıca ağların genel güvenliğini iyileştirmek için Ağ Dayanıklılık Koalisyonu gibi kuruluşların en iyi uygulamalarının ve rehberliğinin kullanılması öneriliyor.

Bilinen tüm uç nokta güvenlik açıklarının %9'undan azı saldırılar tarafından hedef alındı: 2022'de FortiGuard Labs, tehdit aktörlerinin belirli güvenlik açıklarından yararlanma olasılığının ne kadar olduğunu daha iyi anlamalarına yardımcı olan "kırmızı bölge" kavramını tanıttı . Bu noktayı açıklamak için, son üç Küresel Tehdit Ortamı Raporu, uç noktaları hedef alan toplam güvenlik açığı sayısına baktı. 2023'ün ikinci yarısında yapılan araştırmalar, uç noktalarda gözlemlenen tüm CVE'lerin %0,7'sinin aslında saldırı altında olduğunu ve güvenlik ekiplerinin iyileştirme çabalarına odaklanması ve önceliklendirmesi için çok daha küçük bir aktif saldırı yüzeyi ortaya çıkardığını ortaya koydu.  

Tüm fidye yazılımı ve wiper (silici) örneklerinin %44'ü endüstriyel sektörleri hedef aldı: Fortinet'in tüm sensörlerinde fidye yazılımı algılamaları 2023'ün ilk yarısına kıyasla %70 düştü. Geçen yıl fidye yazılımlarında gözlemlenen yavaşlama, en iyi şekilde, saldırganların geleneksel "rastgele ateş açma" stratejisinden uzaklaşarak, büyük ölçüde enerji, sağlık, üretim, ulaşım ve lojistik ve otomotiv endüstrilerine yönelik daha hedefli bir yaklaşıma geçmesine bağlanabilir.

Botnet'ler inanılmaz bir dayanıklılık gösterdi ve ilk tespitten sonra komuta ve kontrol (C2) iletişiminin durması ortalama 85 gün sürdü: Bot trafiği 2023'ün ilk yarısına göre sabit kalırken, FortiGuard Labs Gh0st, Mirai ve ZeroAccess gibi son birkaç yılın daha belirgin botnet'lerini görmeye devam etti, ancak 2023'ün ikinci yarısında üç yeni botnet daha ortaya çıktı: AndroxGh0st, Prometei ve DarkGate. 

MITRE tarafından listelenen 143 gelişmiş kalıcı tehdit (APT) grubundan 38'inin 2H 2023'te aktif olduğu gözlemlendi: Fortinet'in dijital risk koruma hizmeti FortiRecon, istihbarat, MITRE'nin izlediği 143 Gruptan 38'inin 2023'ün 2. yarısında aktif olduğunu gösteriyor. Bunlardan Lazarus Group, Kimusky, APT28, APT29, Andariel ve OilRig'in en aktif gruplar olduğu görüldü. Siber suçluların uzun ömürlü ve uzun süreli saldırılarına kıyasla APT ve ulus devlet siber gruplarının hedefli doğası ve nispeten kısa ömürlü saldırıları göz önüne alındığında, bu alandaki evrim ve faaliyet hacminin FortiGuard Labs tarafından sürekli olarak izleneceği açık.

Karanlık Web Söylemi

2023 2. Yarı Küresel Tehdit Ortamı Raporu, karanlık web forumlarında, pazar yerlerinde, Telegram kanallarında ve diğer kaynaklarda tehdit aktörleri arasındaki söyleme bir bakış sağlayan FortiRecon'un bulgularını da içeriyor.Bulgulardan bazıları şunlar:

Tehdit aktörleri, en çok finans sektöründeki kuruluşları hedef almayı tartıştı, bunu iş hizmetleri ve eğitim sektörleri izledi.

Önde gelen karanlık web forumlarında 3.000'den fazla veri ihlali paylaşıldı.

Darknet'te 221 güvenlik açığı aktif olarak tartışılırken, Telegram kanallarında 237 güvenlik açığı tartışıldı.

850.000'den fazla ödeme kartının satışı ilan edildi.

Rüzgarın yönü siber suçlara karşı esmeli

Saldırı yüzeyinin sürekli genişlemesi ve sektör genelinde siber güvenlik becerileri eksikliği nedeniyle, işletmelerin tek amaca yönelik ürünlerden gelen uyarıların hacmine ve tehdit aktörlerinin kurbanlarını tehlikeye atmak için kullandıkları çeşitli taktiklere, tekniklere ve prosedürlere ayak uydurmak şöyle dursun, farklı çözümlerden oluşan karmaşık altyapıyı düzgün bir şekilde yönetmesi her zamankinden daha zor.

Siber suçlara karşı gidişatı tersine çevirmek, siber güvenlik alanındaki bireysel kurumlardan daha büyük ölçekte bir işbirliği, şeffaflık ve hesap verebilirlik kültürü gerektiriyor. Siber tehditlere karşı bozulma zincirinde her kurumun bir yeri var.