Saldırganlar giderek daha fazla gürültülü, doğrudan saldırıları bırakıp daha incelikli, sinsi taktikler tercih ediyor. Radarın altından uçuyorlar ve daha modüler stratejiler ve karmaşık, çok aşamalı yardımıyla uzun bekleme süreleri elde ediyorlar kötü amaçlı yazılım.
Sonuç olarak savunmacıların, saldırmadan önce bu gizli tehditleri açığa çıkarma yaklaşımlarını yeniden düşünmeleri gerekiyor.
OPSWAT’ta Tehdit Analizi CTO’su.
Kaçınma yeni normal mi?
Siber saldırganlar genellikle en az direnç gösteren yolu seçerler; eğer bir taktik işe yararsa onu kullanmaya devam ederler. Yeterli sayıda şirket etkili savunmalarla donatıldığında, saldırı araçları ve taktikleri bunların etrafından dolaşmaya uyum sağlayacak.
Artık böyle bir dönüm noktası görüyoruz. Geleneksel tespit sistemleri standart saldırıları yeterince güvenilir bir şekilde tespit edebildiği için suç grupları daha incelikli ve karmaşık seçenekleri araştırıyor. Tehdit aktörleri, büyük ölçekli kaba kuvvet kampanyaları başlatmak yerine kalıcılık için optimizasyon yapıyor.
Haftalarca veya aylarca gömülü kalmak, sessizce bilgi toplamak istiyorlar veri veya daha etkili saldırılara hazırlanmak.
Bu gizlilik öncelikli zihniyet aynı zamanda ekonomi tarafından da yönlendirilmektedir. Hizmet Olarak Siber Suç, gelişmiş kaçırma tekniklerini geniş çapta kullanılabilir hale getirdi; bu, düşük seviyeli operatörlerin bile gizli, modüler araçları hazırdan satın alabileceği anlamına geliyor.
OPSWAT’ın kendi telemetrisi, kötü amaçlı yazılım karmaşıklığının yalnızca altı ayda %127 arttığını gösterdi; bu artış, genellikle statik algılamayı atlamak üzere tasarlanmış çok aşamalı, gizlenmiş veriler biçimindeydi.
En çarpıcı trendler neler?
Kötü amaçlı yazılımların hızla artan karmaşıklığı kesinlikle en endişe verici gelişmelerden biridir.
Temel kötü amaçlı yazılım sıkıntısı olmasa da, giderek daha fazla grup çok aşamalı, karmaşık komut dosyası zincirleri kullanıyor. Genellikle PowerShell’i birleştirirler, JavaScriptve yürütmenin her aşamasını gizleyen Toplu komut dosyaları. Bu hafif, modüler yükleyiciler algılamayı daha da zorlaştırır.
Bu yıl analiz ettiğimiz ortalama çok aşamalı örnekte, altı ay önce sekiz olan davranışsal düğüm sayısı 18’e yükseldi. Bu sıçrama, saldırganların her zincire nasıl daha fazla gizleme ve karar mantığı kattığını gösteriyor.
Saldırganların, kaçış taktiklerine yardımcı olmak için çalışanlar tarafından yaygın olarak kullanılan platformları, giderek artan şekilde aşağıdaki gibi araçların içine saklanan komuta ve kontrol trafiğiyle silahlandırdığını da görüyoruz. Google E-Tablolar veya Takvim.
Kampanyalar aynı zamanda kurbanları kötü amaçlı Windows Çalıştır komutlarını çalıştırmaya yönlendiren ‘ClickFix’ saldırısı gibi insan davranışlarından da yararlanmayı amaçlayacak. Hiçbir kötü amaçlı yazılım verisi veya kötü amaçlı URL yoktur, dolayısıyla standart araçların algılayabileceği hiçbir şey yoktur.
Neden bu kadar çok savunucu hâlâ bu tehditleri tespit etmekte zorlanıyor?
Pek çok kuruluş hâlâ “bilinen tehditler” zihniyetiyle çalışıyor ve tanıdık olan her şeyi işaretlemek için statik, imza tabanlı araçlara güveniyor. Bu, yıllardır saldırganların değişiklik yapmak zorunda kaldığı noktaya kadar oldukça başarılı oldu.
Ancak günümüzün daha gelişmiş kötü amaçlı yazılımları nadiren iki kez aynı görünüyor. Şaşırtma, şifrelemeve dosyasız yürütme, genellikle bu sistemlerin eşleşebileceği hiçbir şeyin olmadığı anlamına gelir.
Davranışsal olarak analiz edildiğinde, halka açık yayınlar tarafından zararsız olduğu gerekçesiyle reddedilen 14 dosyadan birinin kötü amaçlı olduğu ortaya çıktı. Bu, bilinen tehdit imzalarına dayanan herhangi bir savunma stratejisi için büyük bir kör noktadır.
Kuruluşlar bu gizli saldırılarla nasıl başa çıkabilir?
Ortalıkta dolaşan sayısız alt düzey tehdit için standart tespit araçlarına hâlâ ihtiyaç duyulacak, ancak güvenlik Mimarlar aynı zamanda önce davranış stratejisini benimsemelidir.
Bu, bir dosyanın yalnızca neye benzediğini değil, ne yaptığını belirlemeye odaklanır. Savunmacılar, statik göstergelere güvenmek yerine, bir dosyanın nasıl davrandığını görmek için yürütmeyi gerçek zamanlı olarak analiz eder. Bu, hangi süreçleri ürettiğini, hangi kayıtlara dokunduğunu ve sistemle nasıl etkileşime girdiğini değerlendirmeyi içerir. ağ veya sistem belleği.
Uyarlanabilir korumalı alan oluşturma ve öykünme, yalnızca bellekte bulunan kötü amaçlı yazılımlar veya şifresini çözen ve yalnızca çalışma zamanında çalıştırılan komut dosyaları gibi gizli davranışları güvenli bir şekilde ortaya çıkarabilir.
OPSWAT’ta davranış analizini makine öğrenimi destekli benzerlik aramasıyla birleştirmenin %99,97 tespit doğruluğu sağladığını gördük. Bu yaklaşım, yeni tehditleri halka açık OSINT yayınlarında görünmeden 24 saat öncesine kadar ortaya çıkararak tespitin yanı sıra hassasiyeti de hızlandırır.
Güvenlik liderleri dayanıklılığı artırmak için başka neler yapabilir?
Gerçek dayanıklılık oluşturmanın en önemli faktörlerinden biri çok katmanlı bir yaklaşım benimsemektir.
Dolayısıyla, önce davranışa dayalı bir yaklaşım çok önemli olsa da dikkate alınması gereken başka unsurlar da vardır. Önemli bir yetenek, veri diyotlarının uygulanmasıdır. Bunlar, tek yönlü veri akışını güçlendiren ve daha incelikli C2 ve sızma taktiklerine karşı etkili bir bariyer sağlayan donanım birimleridir.
Bunun yanı sıra, Yönetilen Dosya Aktarımı (MFT) çözümünün dağıtılması, potansiyel riskleri otomatik olarak engelleyip korumalı alana alarak başka bir savunma katmanı sağlayacaktır.
Son olarak, bir başka değerli yaklaşım da İçerik Silahsızlandırma ve Yeniden Yapılandırma’yı (CDR) uygulamaktır. Bu, gelen tüm dosyalara varsayılan olarak kötü amaçlı dosya muamelesi yapar ve gizli tehditlerin sisteme girmesine izin verilmeden önce tamamen ortadan kaldırılması için bunları yeniden oluşturur ve temizler.
En önemli adım, gizliliğin varsayılan saldırı modu haline geldiğini kabul etmektir. Savunmacıların insanlar, süreçler ve teknoloji genelinde uyarlanabilirliğe öncelik vererek buna göre gelişmeleri gerekiyor. Belirli bir noktaya kadar taramanın yerini sürekli tespit ve yanıt almalı, tehdit istihbaratı ise araçlar ve ekipler arasında serbestçe akmalıdır.
Güvenlik liderleri bir tehdidin nasıl davrandığını bilmeye odaklanmalıdır. Güvenlik hattının her aşamasına davranışsal bağlam oluşturmak, ekiplerin daha hızlı, daha akıllı kararlar almasına yardımcı olur.
Her şeyden önce başarılı savunma, güvenliğe sürekli bir yaklaşım gerektirir. Her olaydan ders alan kuruluşlar her zaman önde olacaktır.
En iyi çevrimiçi siber güvenlik kursunu sunduk.
Bu makale, günümüz teknoloji endüstrisindeki en iyi ve en parlak beyinleri öne çıkardığımız TechRadarPro’nun Expert Insights kanalının bir parçası olarak üretildi. Burada ifade edilen görüşler yazara aittir ve mutlaka TechRadarPro veya Future plc’ye ait değildir. Katkıda bulunmak istiyorsanız buradan daha fazla bilgi edinin: https://www.techradar.com/news/submit-your-story-to-techradar-pro