Şimdi 2025’in 2. yarısında, siber güvenlik peyzaj sadece aktif değildir; sektöre özeldir ve hassas hedeflidir. Gelişmiş tehdit aktörleri artık “püskürt ve dua et” yaklaşımını izlemiyor.
Bunun yerine sektörünüzü inceler, iş modelinizden yararlanır ve hatta kötü amaçlı yazılımlarını iş akışlarınızı taklit edecek şekilde eğitirler.
Baş Bilgi Güvenliği ve Strateji Sorumlusu, Concentric.ai.
Saldırganları geride bırakmak için CISO’ların sektörlerini kimin hedef aldığını, bunu nasıl ve neden yaptıklarını anlamaları ve ardından bu bilgiyi güçlü bir tehdit istihbarat programı (TIP) aracılığıyla eyleme dönüştürmeleri gerekir.
Tehdit istihbaratı olmadığında savunmalarınız tahminlere dayalıdır. Tehdit aktörleri sektörünüzü, ortamınızı ve kullanıcılarınızı tanır. Savunmalarınızın da bunları bilmesi gerekiyor.
Temel Tehdit İstihbaratı Programı (TIP)
Olgun bir tehdit istihbaratı yeteneği yalnızca bilgi toplamakla ilgili değildir; tehdit verilerini eyleme dönüştürülebilir savunmalara dönüştürmekle de ilgilidir. Modern bir programla şunları yapabilirsiniz:
– Sektörünüzü hedef alan tehdit aktörlerini ve taktiklerini, tekniklerini ve prosedürlerini (TTP’ler) yüksek doğrulukla belirleyin.
– Riski azaltmak için MITRE ATT&CK gibi çerçeveleri kullanın.
– Güvenlik bilgileri ve olay yönetimi (SIEM), güvenlik düzenlemesi yoluyla tespit ve müdahaleyi geliştirin, otomasyonve yanıt (SOAR) ve uç nokta algılama ve yanıt (EDR).
– Farkındalık eğitimini gerçek saldırı senaryolarına göre özelleştirin.
– Kararlara bilgi sağlayan, yöneticilerin kullanımına hazır raporlar sağlayın.
Tehdit istihbaratının değerini açığa çıkarmak için onu güvenlik yapınıza entegre edin. Örneğin:
Algılama mühendisliği – TTP’leri MITRE ile eşleyin, algılamalar oluşturun ve SIEM/genişletilmiş algılama ve yanıt (XDR)’ı ilgili risk aktörü göstergeleriyle (IoC’ler) zenginleştirin.
Otomatik yanıt (SOAR) – Uyarıları aktöre ve sektöre göre etiketleyin ve tehdit profillerine uygun taktik kitaplarını tetikleyin.
Güvenlik açığı yönetimi – Aktif tehditlere bağlı yamalara öncelik verin.
Güvenlik farkındalığı – Aktör tabanlı kimlik avını simüle edin (örneğin, TA577’deki QR kimlik avı) ve ekipleri derin sahte ses saldırılarına karşı eğitin.
CISO’lar, programlarının düzenli olarak planlanan güncellemelerine yönetim kuruluna ve yönetim ekibine yönelik tehdit istihbaratı güncellemelerini dahil etmelidir.
Bunlar sektördeki tehdit eğilimlerini ve akran olaylarını, aktörlerin motivasyonlarını ve gelişen teknikleri, risk sonuçlarını ve finansman ihtiyaçlarını içermelidir.
Bu içgörüler, siber güvenliği yalnızca reaktif değil, stratejik ve iş odaklı olarak çerçeveliyor.
Sektörlere göre tehdit aktörleri
Her sektör özel tehditlerle karşı karşıyadır. Sektörlere göre en önemli tehdit aktörlerinden, tekniklerinden ve trendlerinden bazılarının özetini burada bulabilirsiniz.
Sağlık Sektöründe Tehdit Aktörleri
Tehdit aktörleri arasında Scattered Spider (UNC3944), Black Basta, RansomHub ve NoEscape yer alıyor. TTP’ler, çok faktörlü kimlik doğrulamayı (MFA) atlamak için SIM değiştirmeyi, bulut ve SaaS tabanlı platformların tehlikeye atılmasını, Uzak Masaüstü Protokolü (RDP) ve yönetilmeyen uç noktalar aracılığıyla yanal hareketi ve üçüncü taraf satıcı erişiminin kötüye kullanılmasını içerir.
Sağlık hizmetlerini etkileyen aktörler (1) sahte gibi sosyal mühendislik kullanıyor iş içerideki kişilerin veya satıcıların kimliğine bürünme teklifleri; (2) yardım masası ve kurtarma sürecini kötüye kullanarak MFA’yı atlamak; ve (3) bölümlere ayrılmış ağlarda varlığını sürdürmek için Karada Yaşayan İkili Dosyalar (LOLBins), Windows Yönetim Araçları (WMI) ve PsExec gibi gelişmiş yanal hareketten yararlanmak.
FBI, Scattered Spider oyuncularının sağlık hizmetlerini hedef aldığı konusunda uyardı yardım masası yazılımı ve destek çağrısı kimliğine bürünme yoluyla iki faktörlü kimlik doğrulamanın (2FA) atlanması. Lifewire, MFA bypass’ının tüm dünyada ortak bir giriş noktası haline geldiğini bildiriyor fidye yazılımı Sağlık alanında kampanyalar.
Finansal Hizmetler – Aktörler arasında APT38 (Lazarus), TA577 ve Storm 1811 bulunmaktadır. TTP’ler arasında Deepfake özellikli ses dolandırıcılığı, mobil bankacılık uygulamalarını hedefleyen QR kimlik avı, hileli yatırımların dağıtımı ve ödeme uygulamalarıve üçüncü taraf ödeme işlemcilerinin kötüye kullanılması.
Finansal hizmetlerde tehdit aktörleri
Finansal hizmetlerde tehdit aktörleri (1) sahte transferlere izin vermek için deepfake ses dolandırıcılığı kullanıyor; (2) finansal kimlik bilgilerini çalmak için QR kodu kimlik avını başlatmak; ve (3) verileri toplamak ve dağıtmak için sahte uygulamalar yaymak kötü amaçlı yazılım—eğitim, mobil güvenlik ve satıcı riskindeki açıklardan yararlanılıyor.
FBI yakın zamanda derin sahte ses dolandırıcılığı planlarının yükselişine dikkat çekti ve bu durum finansal kurumlarda multimilyon dolarlık elektronik dolandırıcılık kayıplarına yol açtı.
Siber güvenlik firmaları, büyük bankaların kimliğine bürünen QR kodlu kimlik avı kampanyalarında, kimlik bilgilerinin tehlikeye atılmasına ve hesapların ele geçirilmesine yol açan bir artış olduğunu bildiriyor. Sektör uyarıları, meşru fintech araçları gibi görünen hileli mobil uygulamaların ortaya çıktığını, bunun da kimlik bilgileri hırsızlığına ve mobil kötü amaçlı yazılım bulaşmalarına maruz kalma olasılığını artırdığına dikkat çekti.
Üretim ve OT’deki tehdit aktörleri
Buradaki tehdit aktörleri arasında Volt Typhoon, Sandworm, LockBit 3.0 ve Muddled Libra Scattered Spider yer alıyor. TTP’ler, WMI ve PsExec’in kullanıldığı arazide yaşama tekniklerini, kimlik bilgileri toplamayı, ICS (endüstriyel kontrol sistemleri) protokol manipülasyonunu ve eski ve OT’ye özgü protokollerin kullanılmasını içerir.
Bu dikey alanda Volt Typhoon, hibrit bilgi teknolojisi (IT)/operasyonel teknoloji (OT) ortamlarını hedef alıyor ve uzun vadeli erişimi sürdürmek ve gelecekte kesintiye yol açmak için zayıf segmentasyon ve kimlik kontrollerinden yararlanıyor. Birçok devlet kurumu, Volt Typhoon’un potansiyel sabotaj için OT’ye yönelmek üzere BT ağlarında önceden konumlandığını doğruladı (CISA Tavsiyesi).
Analistler, Volt Typhoon’un küçük bir ABD kamu hizmeti kuruluşunun OT ağına neredeyse bir yıl boyunca gizli erişimi sürdürdüğünü ve bu sayede gelişmiş bir dayanıklılık ve gizlilik sergilediğini bildiriyor. Sandworm’un endüstriyel kontrol sistemlerini hedeflemeye devam etmesi, imalat ve kritik altyapı sektörlerine yönelik artan riskin altını çiziyor.
Perakende ve e-ticaretteki tehdit aktörleri
Buradaki aktörler arasında Magecart Group 6, Storm‑0539 (aka ATLAS LION) ve LAPSUS$ yer alıyor. TTP’ler, tarayıcı eklentileri ve JS skimmer’ları aracılığıyla ödemenin ele geçirilmesini, kimlik bilgileri veya oturum hırsızlığı yoluyla hesabın ele geçirilmesini ve doğrudan sistem erişimi için içeriden yardım alan saldırıları içerir.
Perakende tehdit aktörleri, ödeme kartı şifreleyicileri eklemek, ödeme akışlarını ele geçirmek ve sahte hediye kartları oluşturmak için, genellikle QR ve SMS yoluyla, ele geçirilen çalışan kimlik bilgilerinden ve kimlik avı kampanyalarından yararlanıyor.
Bu operasyonlar giderek artan bir şekilde yapay zeka destekli kimlik avı ve içeriden bilgi toplama taktiklerini birleştirerek MFA’yı atlıyor ve gizlice tehlikeye giriyor. POS sistemlerive müşteri ödeme verilerini uzun süreler boyunca toplayın. Magecart skimmer’ları ödeme kartlarını çalıyor e-ticaret siteler ve JS tabanlı ödeme yöntemlerinin yeniden canlanmasına neden oluyor.
Microsoft ABD’deki perakendecilerdeki hediye kartı iş akışlarını hedef alan Storm-0539 hedefli kimlik avı ve smishing kampanyalarını gözlemliyor ve yapay zeka destekli kimlik avı sayfaları (Microsoft) aracılığıyla MFA’nın atlanmasını sağlıyor. CISA uyarıları ve vaka çalışmaları, LAPSUS$’ın içeriden kişileri işe aldığını ve perakende kuruluşlar (CISA) genelinde fidye dışı veri gaspı için geçerli hesapları kötüye kullandığını ortaya koyuyor.
Teknoloji ve SaaS alanındaki tehdit aktörleri
Buradaki aktörler arasında Midnight yer alıyor kar fırtınası (APT29), UNC5537 ve UNC3886. TTP’ler, OAuth token sızmasını, CI/CD tedarik zinciri zehirlenmesini (örn. GitHub Eylemleri) ve DLL yan yüklemesini içerir.
Teknoloji ve SaaS APT’leri bulutta yerel işlem hatlarını hedefliyor, OAuth belirteçlerinden ve sürekli entegrasyon (CI)/sürekli teslim/dağıtım (CD) iş akışlarından yararlanırken, gizli kalıcılık ve yükseltme için dinamik bağlantı kitaplığı (DLL) yandan yüklemeyi kullanıyor.
APT29, derin sızma için OAuth token hırsızlığından yararlanmaya devam ediyor bulut hizmetleri ve SaaS ortamları (Microsoft). Son tedarik zinciri saldırıları GitHub Eylemleri iş akışlarına odaklandı ve arka kapı eklemek için yapı hatlarını zehirledi (CISA Uyarısı). UNC5537 ve UNC3886’nın, uygulama beyaz listesini atlamak ve meşru yazılım (CrowdStrike) kisvesi altında kötü amaçlı yazılım yürütmek için DLL yan yüklemesini kullandığı gözlemlendi.
Enerji ve Kritik Altyapı – Aktörler arasında Volt Typhoon, ChamelGang, Xenotime ve DarkTortilla yer alıyor. TTP’ler, ürün yazılımı implantasyonlarını, satıcı portallarına yapılan sulama deliği saldırılarını ve saha mühendisi kimlik bilgileri hırsızlığını içerir.
Kritik altyapıyı hedef alan tehdit aktörleri, ürün yazılımı implantasyonlarını, satıcılara yönelik su kaçağı saldırılarını ve çalınan saha mühendisi kimlik bilgilerini kullanarak tedarik zinciri ve kimlik zayıflıklarından yararlanır. Volt Typhoon, bulut hizmetlerine ve SaaS ortamlarına (CISA) derinlemesine sızmak için OAuth token hırsızlığından yararlanmaya devam ediyor.
Xenotime, endüstriyel kontrol sistemlerini hedef alan kötü amaçlı yazılımları dağıtması, saha personelinin çalınan kimlik bilgilerinden yararlanarak erişimi artırmasıyla tanınıyor (Dragos).
Son Söz: Sadece Güvenliği Sağlamayla Değil, Düşmana Karşı Mücadele Edin
Tehdit istihbaratı olmadan savunmalarınız tahminlerden ibarettir. Tehdit aktörleri sektörünüzü, yazılımınızı ve sistemlerinizi bilir. Savunmalarınız da bunları bilmeli ve bu bilgiyi yönetim kurulunuza veya yönetici ekibinize iletmelisiniz.
Kuruluşlar siber güvenlik programlarını varsayımlara değil, rakiplerine göre oluşturmalıdır. Tehdit aktörleri sektöre aşırı odaklanmıştır; bu nedenle tespit, müdahale ve eğitimi besleyen merkezi bir tehdit istihbaratı motoru oluşturmak kritik öneme sahiptir.
Son olarak ekipler acil durumu bildirmek için haber destekli istihbarat kullanmalı ve üç ayda bir yönetici brifingleri düzenlemelidir.