2021'in ilk yarısında tespit edilen uç nokta tehdit istihbaratına dair yeni iç görüler içeren rapor; kötü amaçlı yazılımların %91,5'inin HTTPS şifreli bağlantılar yoluyla yayıldığını, dosyasız kötü amaçlı yazılım tehditlerinde ve ağ saldırılarında endişe verici artışlar olduğunu, fidye yazılımlarında çarpıcı bir büyüme olduğunu ve çok daha fazlasını ortaya çıkardı.
“Etkili Bir Uç Nokta Koruması (EPP) ve Uç Nokta Tehdit Algılama ve Yanıtı (EDR) Giderek Önem Kazanıyor!"
“Dünyanın büyük bir kısmı hala mobil veya hibrit bir iş gücü modelinde sıkı bir şekilde faaliyet gösterirken, geleneksel ağlar, siber savunma denklemini her zaman hesaba katmaz.” ifadelerine yer veren WatchGuard Baş Güvenlik Sorumlusu Corey Nachreiner, “Güçlü bir ağ savunması, katmanlı bir güvenlik yaklaşımının önemli bir parçası olsa da etkili bir uç nokta koruması (EPP) ve uç nokta tehdit algılama ve yanıtı (EDR) giderek daha önemli hale geliyor.” dedi.
2021’in 2. Çeyreğinde Dikkat Çeken Gelişmeler
WatchGuard'ın 2021 2. Çeyrek İnternet Güvenlik Raporu’nda yer alan önemli bulgular şu şekilde:
1. Büyük miktarda kötü amaçlı yazılım, şifreli bağlantılar üzerinden yayıldı. İkinci çeyrekte kötü amaçlı yazılımların %91,5'i, şifreli bir bağlantı yoluyla yayıldı. Bu durum, önceki çeyreğe göre çarpıcı bir artış olduğunu ve ağdaki şifreli HTTPS trafiğini incelemeyen kurumların her 10 kötü amaçlı yazılımdan 9’unu kaçırdığını gösteriyor.
2. Kötü amaçlı yazılımlar güçlü korumaları atlamak için PowerShell araçlarını kullanıyor. AMSI.Disable.A, WatchGuard'ın en iyi kötü amaçlı yazılımlar bölümünde ilk kez birinci çeyrekte göründü. Bu çeyrekte hızla yükselerek listede hacim olarak 2. sırada yer alırken, genel şifreli tehditler arasında 1. sırada yer aldı. Bu kötü amaçlı yazılım ailesi, Windows'taki çeşitli güvenlik açıklarından yararlanmak için PowerShell araçlarını kullanmaktadır. Ancak onu özellikle ilginç kılan şey, yakalanmasının zor olmasıdır. WatchGuard, AMSI.Disable.A'nın PowerShell'de Kötü Amaçlı Yazılımdan Koruma Arayüzü'nü (AMSI) devre dışı bırakabilen ve kötü amaçlı yazılım yükü algılanmadan komut dosyası güvenlik kontrollerini atlamasına olanak tanıyan kod kullandığını aktarıyor.
3. Dosyasız tehditler artarken, tespit edilmesi daha da zor hale geliyor. 2021'in yalnızca ilk altı ayında PowerShell gibi komut dosyası motorlarından kaynaklanan kötü amaçlı yazılım algılamaları, geçen yılın komut dosyasıyla başlatılan toplam saldırı hacminin %80'ine ulaştı ve bu durum, bir önceki yıla göre önemli bir artış yaşandığını gösterdi. 2021 dosyasız kötü amaçlı yazılım algılamaları şu anki hızıyla hacim olarak iki katına çıkma yolunda ilerliyor.
4. Öncelikli olarak uzaktan çalışmaya geçilmesine rağmen ağ saldırıları hızla artıyor. WatchGuard cihazlarına göre ağ saldırıları, önceki çeyreğe göre %22 artarak 2018’in başından bu yana en yüksek hacme ulaştı. İlk çeyrekte yaklaşık 4,1 milyon ağ saldırısı görülürken, takip eden çeyrekte bu sayı bir milyon daha arttı ve bu durum, kullanıcı odaklı korumaların yanı sıra ağ güvenliğini sağlamanın artan önemini vurguluyor.
5. Fidye yazılımı intikamla saldırmaya devam ediyor. Uç noktada toplam fidye yazılımı algılamaları 2018'den 2020'ye kadar aşağı yönlü bir seyirdeyken altı aylık toplam, 2020'nin tüm yıl toplamının biraz altında kaldığı için bu eğilim 2021'in ilk yarısında kırıldı. Günlük fidye yazılımı algılamaları 2021'in geri kalanında sabit kalırsa bu yılın hacmi 2020'ye kıyasla %150'nin üzerinde bir artışa ulaşacak.
6. Büyük oyun fidye yazılımı, "av tüfeği patlaması" tadında saldırılara uğradı. 7 Mayıs 2021'deki Colonial Pipeline saldırısı, fidye yazılımının bir tehdit olarak burada kalacağını korkutucu bir şekilde ortaya koydu. Çeyreğin en önemli güvenlik olayı olan bu ihlal, siber suçluların yalnızca hastaneler, endüstriyel kontrol ve altyapı gibi en hayati hizmetleri hedef almakla kalmayıp aynı zamanda bu yüksek değerli hedeflere yönelik saldırıları nasıl artırdığının da altını çiziyor. WatchGuard olay analizi, kritik altyapı güvenliği için geleceğin nasıl göründüğünü, herhangi bir sektördeki kuruluşların bu saldırılara karşı savunmaya yardımcı olmak ve yayılmalarını yavaşlatmak için atabilecekleri adımları inceliyor.
7. Eski hizmetler değerli hedefleri kanıtlamaya devam ediyor. Önceki üç aylık raporlarda her zaman görülen bir ya da iki yeni imza haricinde, WatchGuard'ın ikinci çeyrek için en yaygın 10 ağ saldırısı arasında dört yepyeni imza vardı. Özellikle en sonuncusu popüler web komut dosyası dili PHP'de 2020’deki güvenlik açığıydı. Ancak diğer üçü ise hiç yeni değildi. Bunlar arasında 2011 Oracle GlassFish Server güvenlik açığı, tıbbi kayıt uygulaması OpenEMR'de 2013 SQL enjeksiyon hatası ve Microsoft Edge'de 2017 uzaktan kod yürütme (RCE) güvenlik açığı yer alıyor. Tarihli olsa da yama yapılmadan bırakılırsa hepsi hala risk oluşturmaktadır.
8. Microsoft Office tabanlı tehditler popülaritesini sürdürüyor. 2. çeyrekte en yaygın 10 ağ saldırısı listesine yeni bir ekleme yapıldı ve bu ilk kez en tepede yer aldı. 1133630 imzası Microsoft tarayıcılarını etkileyen, yukarıda bahsedilen 2017 RCE güvenlik açığıdır. Her ne kadar eski bir istismar ve çoğu sistemde yamalı olsa da bir saldırganın kendisinden önce ulaşabilmesi durumunda henüz yama yapmamış olanlar kaba bir uyanış içindedirler. Aslında, CVE-2021-40444 olarak izlenen çok benzer bir yüksek önem derecesine sahip RCE güvenlik açığı, bu ayın başlarında Windows 10 bilgisayarlarında Microsoft Office ve Office 365'e yönelik hedefli saldırılarda aktif olarak kullanıldığında manşetlere çıktı. Office tabanlı tehditler, kötü amaçlı yazılım söz konusu olduğunda popüler olmaya devam ediyor. Bu yüzden WatchGuard, hala bu test edilen ve onaylanan saldırıları vahşi ortamda tespit ediyor. Neyse ki hala test edilen ve onaylanan IPS savunmaları tarafından tespit ediliyorlar.
9. Kimlik avı domainleri resmi ve yaygın olarak bilinen domainler gibi görünüyor. WatchGuard, son derece hassas konumlarda uzaktan erişim truva atlarını (RAT'ler) indirmek için Microsoft Exchange sunucularını ve genel e-posta kullanıcılarını hedefleyen kötü amaçlı yazılım kullanımında bir artış gözlemledi. Bunun nedeni büyük olasılıkla 2. çeyreğin, uzak çalışanların ve öğrencilerin karma ofislere ve akademik ortamlara ya da daha önceden normal aktivite davranışlarına geri döndükleri ardışık ikinci çeyrek olmasından kaynaklanmaktadır. Her durumda veya konumda güçlü güvenlik bilinci ve bağlı cihazlara doğrudan bağlı olması gerekmeyen cihazlarda giden iletişimlerin izlenmesi öneriliyor.
WatchGuard’ın üç aylık araştırma raporundaki bulgular, WatchGuard Threat Lab’ın araştırma çabalarını desteklemek için verileri paylaşmayı seçen aktif WatchGuard cihazlarından alınan anonim Firebox Feed verilerine dayanmaktadır. WatchGuard 2. çeyrekte, toplam 16,6 milyondan fazla kötü amaçlı yazılım varyantını (cihaz başına 438) ve yaklaşık 5,2 milyon ağ tehdidini (cihaz başına 137) engelledi. Raporun tamamı; 2021 yılının ikinci çeyreğine ait ek kötü amaçlı yazılımlar ve ağ eğilimleri hakkında ayrıntıları, 2021'in ilk yarısında uç noktada tespit edilen tehditlere daha da derin bir dalışı, her büyüklükteki ve her sektördeki kurumlar için önerilen güvenlik stratejilerini, kritik savunma ipuçlarını ve daha fazlasını içeriyor.