FireEye M-Trends 2018 Raporu

 

Bir FireEye şirketi olan Mandiant, 17 ülkede 350’den fazla danışmanıyla yılda ortalama 200.000 saatlik çalışma yapan, devlet standartlarında bir siber istihbarat ve danışmanlık şirketidir.

Bu rapor 1 Ekim 2016 ile 30 Eylül 2017 arasında Mandiant 

tarafından yapılan siber olaylara müdahale çalışmalardaki verilere dayanmaktadır.

Sızıntıların tespitine genel olarak bakıldığında organizasyonların siber olayları kendilerinin tespit etme oranı artış göstermekle beraber müdahale süresi de kısalmaktadır. Bu gelişmeye karşın dünya çapında ortalama tespit süresi 2016 yılında 99 gün iken 2017 yılında 101 gün olmuştur. Ortalama rakam 101 gün iken dağılım ele alındığında 1 hafta ile 2000 gün arasında çok geniş bir zaman aralığı görülmektedir.

 

Siber Olayların Ortalama Tespit Süreleri (Gün)

2016 2017
Dünya Çapında  99 101
2016 2017
EMEA (Avrupa, Orta Doğu, Afrika) 106 175

EMEA bölgesindeki artışın sebebi artan yasal uygulamalar olduğu düşünülmektedir. Yasal zorunluluklar birçok keşfedilmemiş sızıntıyı gün ışığına çıkarmıştır.

2016 2017
Amerika Kıtası 99 75.5
2016 2017
APAC (Asya, Pasifik) 172 489

APAC bölgesinde 489 güne çıkan ortalama tespit süresi M-Trend 2016 raporunda 520 gün olarak görülmektedir. APAC bölgesinde tespit edilen en uzun süre 2085 gündür. Saldırganların bu bölgedeki sistemlerde çok uzun süreler bulunabildiği rahatlıkla görülmektedir.

Yeni Tespit Edilen Saldırgan Grupları

Mandiant, binlerce siber tehdit oyuncusunu takip etmekle beraber bu grupların devletler tarafından desteklenenlerine daha çok önem vermektedir. Bunun asıl nedeni bu grupların (APT) gelişmiş kalıcı/hedef odaklı saldırı yöntemlerini en çok kullananlar olmasından kaynaklanmaktadır.

APT32 olarak takip edilen OceanLotus adlı grup 2014 yılında Vietnam’da yatırımı bulunan yabancı şirketleri, yabancı devletleri, gazetecileri ve Vietnamlı muhalifleri hedef almıştır. Bu grubun yeni saldırısında, sosyal mühendislik epostalarında Microsoft ActiveMime dosyaları kullanılmıştır. Grubun Vietnam hükümeti lehine çalıştığı öngörülmektedir.

APT33 olarak takip edilen İranlı siber tehdit grubu en azından 2013 yılından beri faal olup son girişiminde savunma, uzay havacılık ve petrokimya şirketlerinde siber istihbarat toplamaya çalışmıştır. Bulgulara göre Suudi Arabistan ve buraya askeri destek sağlayan batılı şirketler ana hedefleri arasında yer almaktadır.

Havacılık şirketlerine gönderilen spear phishing epostaları kullanılmış olup içerisinde popüler iş bulma sitelerine ilişkin zararlı HTML kodları yerleştirilmiştir.

APT34 olarak adlandırılan bir başka siber tehdit grubu İran’ın ulusal çıkarlarını gözetirken orta doğu bölgesindeki devletler, finans kurumları, telekomünikasyon şirketleri, enerji şirketlerini temel hedefleri yapmaktadır. Temmuz 2017 yılında FireEye, APT34 grubunun spear phishing yöntemiyle bir powershell açıklığını kullanarak orta doğuda organizasyonları hedef aldığını tespit etmiştir.

Ağustos 2017’de yoğun bir atağa başlayan APT35 (Newscaster Team) özellikle Amerika ve orta doğu ordularını hedef almaktadır. Gelişmiş sosyal mühendislik tekniklerini kullanmakta olup ikna edici sahte profiller oluşturmaktadır.

Eski Sistemlerde Yaşayan Gizli Tehditler (Asya Pasifik Örneği)

Organizasyonlar internet ayak izlerini takip etmeye ve yönetmeye çalışırken az korunan, üstünkörü ilgilenilen eski sistemlerin zafiyetlerinden faydalanılması çok iyi bilinen ve sıkça karşılaştığımız bir yöntem.

Asya kökenli büyük bir şirket, Uzak Masaüstü (RDP) bağlantıları internetten erişilebilir olduğu için sızılmalarla karşı karşıya kalanlar listesindekilerin son örneği olmuştur. Faturalandırma veri tabanındaki yetkisiz bir yönetici hesabının sayesinde fark edilmiştir. Araştırmalar neticesinde eski bir web sunucuda yetkisiz uzak masaüstü bağlantıları tespit edilmiştir. Buradan orta katmandaki kullanıcı bilgisayarlarına erişmiş ve veritabanına kadar ulaşmayı başarmıştır. Saldırının bir noktasında son kullanıcı bilgisayarının antivirüs uygulaması bazı kullanıcı çalma programlarına karşı uyarı verdiği görülmüştür.

Bir Kere Hedef Olan Tekrar Hedef Olur

M-Trends 2013 raporunda tekrar hedef haline gelen veya daha önce başarılı bir sızıntıyı temizlemiş ancak tekrar içeri sızılmış organizasyonlar incelenmiştir. Bu veriye göre ilk sızıntıyı bertaraf eden organizasyonların %38 tekrar saldırıya uğramıştır.

2017 verilerimize göre daha önce başarılı bir saldırıyla karşı karşıya kalan organizasyonların %56’sı son 19 ay için en az bir defa büyük siber saldırılara maruz kalmıştır.

Daha önce en az bir büyük siber saldırıyla karşı karşıya kalanların %49 bir yıl içerisinde tekrar saldırıya uğramıştır.

Aynı veya farklı bir grup tarafından birden fazla siber saldırıya uğrayanların %86’sında en az bir yeni saldırgan bulunmaktadır.


Endüstri Trendleri

Bir den fazla grup tarafından en çok hedef alınan sektörler:

  • Yüksek Teknoloji
  • Telekomünikasyon
  • Eğitim

En önemli saldırılara maruz kalan sektörler:

  • Finans
  • Yüksek Teknoloji
  • Sağlık

En çok saldırılan sektörler ile en büyük saldırılarla karşı karıya gelen sektörler farklılık göstermesine karşın yüksek teknoloji bu iki kümenin kesişiminde yer almaktadır.

Tarihsel olarak Çinli grupların hedefinde olan sektörler biden fazla grup tarafından hedef alınanlarda en üstlere çıkmıştır.

İstatistiklerimize göre daha önce bir saldırıyla karşı karşıya kaldıysanız ve siber güvenliğinize yatırım yapmadıysanız. Büyük bir risk ile yeniden karşı karşıyasınız.

Siber Güvenlik Yetenek Boşluğu

Organizasyonları koruma savaşında öncü savaşçılar sınırlı kaynak haline gelmektedir. Gelişmiş yetenekler gerektiren bir savaşta temel nitelikler ve basit çözümler yeterli gelmemektedir. Amerikan Siber Güvenlik Eğitim Girişimi verilerine göre gelecek 5 yıl içerisinde bu ihtiyaç çok daha büyük hale gelecektir. Sadece ABD’de 285.000 açık siber güvenlik pozisyonu olduğu belirtilmektedir.

Yetenek boşluğu, rollerin sayısıyla ilişkilidir. Siber Savunma Merkezi’nin birden fazla siber güvenlik ve istihbarat disiplinini tek merkezde birleştirerek geleneksel SOME anlayışından ayrılmasıyla buradaki roller en basit seviyede bile ayrışmaktadır. Rakamlar organizasyonun yapısına, büyüklüğüne göre değişmekle beraber bir Siber Savunma Merkezi (CDC) için ortalama 9-12 tam zamanlı personel gerekmektedir. Siber Savunma Merkezleri temelde olay müdahale uzmanlık seviyesine göre dağılır. Sayıca çok ancak daha az deneyimli ekip anlık olay takibi, triyaj için görevlendirilir. SSM’ler olgunlaştıkça kapasite artırımlarını da buna orantılı yürütmek durumundadırlar.

Olayları tespit edebilme bu olayların daha büyük bir girişimin parçası olabileceğinin izlerini keşfetmek imkanı sunar. Bu konu vaka müdahale (incident response) için vazgeçilmezdir. Mandiant’a göre geçtiğimiz yılın en büyük sorunlarından biri görünürlük ve tespit arasındaki kopukluktur. Bir siber hadisenin oluşunu esnasındaki anahtar noktalar genellikle üstünkörü incelemelerde kaçırılır. Tespit sistemleri var olmasına karşın yeterli eğitimi almamış kişiler tarafından yapılan zayıf konfigürasyonlar bu sistemleri yetersiz kılmaktadır. Bir başka ortak sorun ise olayları uygun biçimde soruşturmamaktır. Bu kişilerin yeterliliği ile de ilişkilidir. Mandiant hangi saldırı aşamasının ne kadar bilgi sağladığını araştırmıştır.

Mandiant’ın stratejik güvenlik servisi organizasyonların siber güvenlik olgunluğunu kritik başlıklar halinde inceler. Bu kritik başlıklarda oluşan zafiyetler düzenli olarak yetkisiz erişimlere sebebiyet vermektedir.

Siber Güvenlikte Öne Çıkan Prensipler

Vakalar esnasındaki ortak saldırı taktik ve prosedürleri daha sonra FireEye tarafından diğer verilerle birleştirilerek yeniden incelenmektedir. Ve aşağıdaki başlıklarda düzenli olarak eksiklik tespit edilmektedir.

  • Güvenlik Risk Yönetimi
  • Kimlik ve Erişim Yönetimi
  • Veri Koruma
  • Vaka Müdahale
  • Ağ, Veri Merkezi, Bulut Koruma
div#stuning-header .dfd-stuning-header-bg-container {background-image: url(http://www.infrasis.com.tr/wp-content/uploads/2019/01/20.jpg);background-size: cover;background-position: top center;background-attachment: initial;background-repeat: no-repeat;}#stuning-header div.page-title-inner {min-height: 300px;}