Kurumsal ağ parazitlerine dikkat

Kaspersky'nin yayımladığı rapora göre, 2019'un ilk yarısında, aygıt uç noktalarındaki saldırı belirtisi (IoA) uyarılarının sadece yüzde 1,26'sı siber güvenlik vakası olarak tanımlandı

Kurumsal ağ parazitlerine dikkat

Kaspersky'nin yayımladığı rapora göre, 2019'un ilk yarısında, aygıt uç noktalarındaki saldırı belirtisi (IoA) uyarılarının sadece yüzde 1,26'sı siber güvenlik vakası olarak tanımlandı

Kurumsal ağ parazitlerine dikkat
15 Ekim 2019 - 12:18

Kaspersky Güvenlik Operasyonları Merkezi Başkanı Sergey Soldatov: "Son 6 aydır üzerinde çalıştığımız Yönetilen Tehdit Tespiti ve Müdahale Analizi'nden çıkardığımız başlıca sonuçlardan biri, ağınızda büyük miktarda yanlış pozitif etkinlikler görmüyorsanız bunun muhtemelen birçok önemli güvenlik vakasını kaçırdığınız anlamına geldiğidir"

İSTANBUL (AA) - Kaspersky'nin Yönetilen Tehdit Tespiti ve Müdahale İstatistikleri Raporu'na göre, 2019'un ilk yarısında, aygıt uç noktalarındaki saldırı belirtisi (IoA) uyarılarının sadece yüzde 1,26'sı siber güvenlik vakası olarak tanımlandı.

Kaspersky'den yapılan açıklamaya göre, saldırı belirtileri aracılığıyla oluşturulan 40 bin 806 uyarının sadece 515'i vaka olarak tespit edildi. Buna rağmen söz konusu vakaların çoğu, tehdit grupları tarafından meşru kullanıcı ve yönetici davranışları içine zararlı aktiviteler saklamak amacıyla kullanılan ve "living off the land" teknikleri adıyla anılan karmaşık hedefli saldırılarla ilişkiliydi.

Sızma belirtisi (IoC) tabanlı tespit yöntemlerinin aksine, saldırı belirtileri (IoA) saldırının bilinen zararlı dosyalara ve diğer yapılara göre değil, tehdit gruplarının kullandığı sözde taktikler, teknikler ve prosedürlere göre tespit edilmesine olanak tanıyor. Diğer bir deyişle, saldırılar belirli tehdit gruplarının kurbanlarına saldırma biçimlerine göre belirleniyor. "Living off the land" tekniklerinden yararlanan saldırılar giderek daha da popüler hale gelirken, IoA tabanlı tespit yöntemlerinin bunları belirlemede en etkili yöntem olduğu kanıtlandı.

Finans, kamu, endüstri, ulaşım, BT ve telekom sektörlerindeki birden fazla kurumdan elde edilen verilerle Kaspersky Managed Protection Service tarafından gerçekleştirilen çok katmanlı analizlerin sonuçlarını içeren rapordaki diğer bulgular da bu yöntemin etki düzeyini doğruluyor.

Siber güvenlik vakaları, "siber saldırı zinciri" için kullanılan neredeyse tüm taktiklerde tespit edilirken, en fazla sayıda saldırı, "parazitin" ve dolayısıyla yanlış pozitif olasılığının daha yüksek olduğu düşünülen aşamalarda bulundu. Buna göre, çalıştırma (yüzde 37), savunmadan kurtulma (yüzde 31), yatay hareket (yüzde 16) ve etki (yüzde 16) oldu.

Araştırma sonuçlarına göre, bu taktiklerle mücadele ederken, tespit edilen vakaların reklam yazılımları ve riskli yazılımlar gibi istenmeyen programlar dahil yüzde 97'si (Truva atları ve şifreleyiciler gibi zararlı yazılımlar dahil yüzde 47'si orta ciddiyet düzeyinde) için en etkili tehdit müdahale aracı uç nokta koruma ürünleri (EPP) oluyor.

Ancak ileri düzey ve bilinmeyen tehditler veya yüksek ciddiyet düzeyinde yüzde 3 sınıflandırılan tehditler söz konusu olduğunda, geleneksel EPP çözümleri tek başına yeterince etkili olamıyor. Genellikle "living off the land" taktikleriyle başlatılan hedefli saldırılar veya karmaşık zararlı yazılımlar gibi bu türden tehditler için ekstra TPP tabanlı tespit, manuel tehdit avı ve analiz gerekiyor.

"Daha geniş kapsamlı saldırı belirtisi yöntemleri kullanmaya yönelmeniz gerekiyor"

Açıklamada görüşlerine yer verilen Kaspersky'de Güvenlik Operasyonları Merkezi Başkanı Sergey Soldatov, şunları kaydetti:

"Son 6 aydır üzerinde çalıştığımız Yönetilen Tehdit Tespiti ve Müdahale Analizi'nden çıkardığımız başlıca sonuçlardan biri, ağınızda büyük miktarda yanlış pozitif etkinlikler görmüyorsanız bunun muhtemelen birçok önemli güvenlik vakasını kaçırdığınız anlamına geldiğidir. Bu durumda diğer araçlara ek olarak daha geniş kapsamlı saldırı belirtisi yöntemleri kullanmaya yönelmeniz gerekiyor. 'Living off the land' ve zararlı yazılım içermeyen diğer gizli saldırı teknikleri kullanılırken, sadece klasik IoC tabanlı yöntemlere veya bilindik diğer metotlara güvenmek tamamen etkisiz kalıyor. Etkili bir IoA oluşturabilmek ve ardından IoA tetiklendiğinde manuel analizler yapabilmek için çok fazla araştırma yapılması gerektiğinden IoA tabanlı uyarıları araştırmak çok daha zor olsa da istatistiklerimize göre bu, yanlış pozitiflere en yatkın fakat en etkili yöntem ve gerçekten kritik öneme sahip vakaları da bulmanızı sağlıyor."