Intel’in yerni raporunda kurumların güvenlik operasyon merkezi (SOC) faaliyetlerine, 2016 yılında fidye yazılımlarındaki gelişmelere ve siber suçluların güvenilir kodları hedefleyen Trojan (Truva atı) ile yarattıkları fark edilmesi zor zararlı yazılımlara odaklanılıyor.
Rapor aynı zamanda, fidye yazılımı, mobil uygulamalara yönelik zararlı yazılım, makro zararlı yazılım, Mac OS’e yönelik zararlı yazılım ve diğer tehdit alanlarındaki 2016 yılı 3. çeyrek verilerini de içeriyor.
Aralık raporunun sektörün yüz yüze olduğu temel zorlukları incelediğine değinen McAfee Labs’in Başkan Yardımcısı Vincent Weafer; “Bugün güvenlik sektörünün en zor problemlerinden biri, güvenilir yazılım gibi hareket etmek üzere tasarlanan kodların zararlı eylemlerini çok düşük bir yanlış pozitif oranıyla tespit etmek. Bir kod ne kadar güvenilir görünürse, göz ardı edilmesi o kadar kolaylaşıyor. 2016 yılında fidye yazılımları “sandbox” çözümüne duyarlılığını artırırken, zararlı yazılım eylemlerinin gizlenmesi ihtiyacı da güvenilir uygulamaların Trojan ile ele geçirilmesi trendini doğurdu. Bu gelişmeler kurumların güvenlik operasyon merkezindeki (SOC) iş yükünü daha da artırıyor. Dijital dünyanın güvenliğini başarı ile sağlamak için tehditleri hızlı bir şekilde tespit etme, detaylıca analiz etme ve engelleme kabiliyeti kazanmak gerekiyor” dedi.
Intel Security, SOC’un bugünü ve yarınına ışık tutuyor
2016 yılında Intel Security, kurumların güvenlik operasyon merkezini (SOC) nasıl kullandıklarını, zamanla bu merkezlerin nasıl bir değişim gösterdiğini ve gelecekte nasıl bir yapı kazanacaklarını incelemek üzere kapsamlı bir araştırma gerçekleştirdi. Farklı coğrafyalarda farklı endüstrilerden ve kurumlardan 400 güvenlik uzmanıyla yapılan görüşmeler neticesinde SOC’ler hakkında detaylı bilgilere ulaşıldı.
Uyarı yükü: Kurumlar güvenlik uyarılarının %25’i için yeterli bir araştırma ve takip yapamıyor.
Öncelik belirleme sorunu: Katılımcıların çoğu, yoğun güvenlik alarmlarının yorucu olduğunu belirtirken, %93’ü potansiyel tehditleri önceliklendiremiyor.
Güvenlik olaylarında artış: Katılımcıların %67’si güvenlik olaylarında artış olduğunu belirtiyor. Bu yükselişte saldırıların artması kadar daha iyi takip sistemleri sayesinde daha fazla tehdit tespit etme de rol alıyor.
Artışın nedeni: Güvenlik olaylarında artış olduğunu belirten katılımcıların %57’si kurumlarına daha fazla saldırı gerçekleştirildiğini belirtirken, %73’ü ise saldırıları daha iyi tespit ettiklerine inanıyor.
Tehdit bildirimleri: Kurumların çoğu (%64) için en yaygın tehdit tespit bildirimi geleneksel güvenlik kontrol noktalarından geliyor. Bunlar arasında zararlı yazılım analiz sistemleri, güvenlik duvarı ve izinsiz giriş saptama sistemleri (IPS) yer alıyor.
Proaktif ve reaktif: Katılımcıların büyük bir çoğunluğu proaktif ve optimize güvenlik operasyonu hedefine yaklaştıklarını belirtirken, halen %26’lık bir bölüm reaktif modda, gelen tehditleri avlama ve saldırılara yanıt verme şeklinde operasyonlarını yürütüyor.
Saldırılar: 2015 yılında yapılan güvenlik araştırmalarının üçte ikisinden fazlası (%68), planlı bir dış saldırı ya da içeriden bir tehdit olmak üzere spesifik bir teşebbüsle ilintiliydi.
Araştırmanın kaynağı: Güvenlik araştırmalarına neden olan olayların başında %30’luk bir oranla genel zararlı yazılımlar geliyor. Bunu, %17 ile hedefli zararlı yazılım saldırıları, %15 ile hedefli network tabanlı saldırılar, %12 ile potansiyel tehdit ya da bilgi kaybına neden olan kullanıcı hataları, %10 ile kasıtlı iç tehditler, %7 ile direkt ulus-devlet saldırıları ve %7 ile indirekt ya da politik/sosyal amaçlı hack’leme eylemleri kapsamında yapılan ulus-devlet saldırıları takip ediyor.
Araştırmaya katılan uzmanlar, SOC’lere yapılan yatırımlarda en çok doğrulanan saldırılara yanıt verme kabiliyetinin geliştirilmesine odaklandıklarını belirtiyor. Bu alandaki çalışmalar arasında koordinasyon, iyileştirme, temizleme, öğrenme ve benzer olayların önüne geçme faaliyetleri yer alıyor.
Saldırıya uğrayan güvenilir yazılımlarda artış yaşanıyor
Raporda siber suçluların saldırılarını gizlemek üzere genel olarak kabul görmüş kodlar içerisine Truva atı yerleştirme yöntemleri de detaylı bir şekilde yer aldı.
McAfee Labs bu konuda yapılan pek çok farklı yaklaşımı tespit etti:
-MITM (Ortadaki Adam) atağı ile çalıştırılabilir dosyaların indirilmesi esnasında yamalanarak zararlı kodların eklenmesi
-Bağlayıcı ve birleştirici programlar kullanarak “temiz” ve “kirli” dosyaların bir paket haline dönüştürülmesi
-Yorumlanmış, açık kaynaklı veya ayrıştırılmış kod aracılığıyla değiştirme
-Yama programlarla yürütülebilir dosyaların değiştirilmesi ve böylece uygulama kullanımının pürüzsüzce sürdürülmesi
-Ana kaynak kodun zehirlenmesi (özellikle yeniden dağıtımı yapılmış kütüphanelerde)
2016, fidye yazılımlarının en hareketli yılı oldu
3. çeyrek sonu itibariyle, bu yıl ortaya çıkan yeni fidye yazılımı örneklerinin toplam sayısı, yılın başından itibaren %80 artışla 3.860.603’e ulaştı. Hacimsel büyümenin yanı sıra fidye yazılımları teknik anlamda da önemli bir gelişim kaydetti. Tüm verilerin ya da belirli klasör ve dosyaların şifrelenmesi, güvenilir uygulamalar tarafından kullanılan web sitelerinin şifrelenmesi, “sandbox” çözümüne karşı önlemler, fidye yazılımı için çok daha sofistike saldırı kitleri ve fidye yazılımının bir servis olarak sağlanması, başlıca gelişmeler olarak tespit edildi.
Fidye yazılımlarında 2015 yılında başlayan artışın 2017’de yavaşlayacağını öngördüklerini belirten Vincent Weafer, “Bu yıl fidye yazılımlarının hem sayısında hem de yapılarında önemli bir gelişime şahit olduk. Bu zararlı yazılımla gerçekleştirilen büyük çaplı saldırılar kamuoyunun gündeminde yer aldı. Bununla birlikte güvenlik sektörü ile kanun uygulayıcıların daha yakın çalışmaya başlaması ve rakip güvenlik şirketlerinin artan iş birliği ile daha iyi sonuçlar artık alınabiliyor. Dolayısıyla, 2017 yılında fidye yazılımlarında düşüş yaşanmasını bekliyoruz” dedi.
Siber tehditler 3. çeyrekte de yükselişte
2016 yılı 3. çeyreğinde McAfee Labs’in Global Tehdit İstihbarat ağı; fidye yazılımları, mobil uygulamalara yönelik zararlı yazılımlar ve makro zararlı yazılımlarda kayda değer bir artış gözlemledi:
Fidye yazılımı: Fidye yazılımları 3. çeyrek itibarıyla %18, yıl başından itibaren ise %80 oranında büyüdü.
Mac OS zararlı yazılımı: Mac OS’leri hedef alan yeni zararlı yazılımlar 3. çeyrekte %637’lik rekor bir büyüme sağladı, ancak bu büyüme Bundlore adlı tek bir reklam yazılımı ailesinden kaynaklandı. Toplam Mac OS zararlı yazılımı, diğer platformlara kıyasla oldukça düşük bir oranda seyrediyor.
Yeni zararlı yazılım: 3. çeyrekte yeni tekil zararlı yazılımlar %21 oranında düşüş gösterdi.
Mobil uygulamalara yönelik zararlı yazılımlar: 3. çeyrek döneminde, mobil ugulamalara yönelik 2 milyondan fazla yeni zararlı yazılım tespit edildi.
Makro tabanlı zararlı yazılımlar: Başta Word olmak üzere Microsoft Office programlarını hedef alan makro tabanlı yeni zararlı yazılımlar artış göstermeye devam etti.
Spam botnet’ler: Necurs botnet 2. çeyreğe kıyasla hacmini neredeyse 7 kat artırarak 3. çeyreğin en yüksek hacimli spam botnet’i oldu. Kelihos ile yapılan spam saldırıları ise 2016 yılında ilk kez 3. çeyrek döneminde keskin bir düşüş yaşadı.
Dünya çapında botnet yayılımı: Solucan ve indirme uygulamaları dağıtan Wapomi’nin 2. çeyrekte %45 olan yayılımında düşüş görülmesine rağmen 3. çeyrekte de yine de ilk sırada yer aldı. Botnet’ler aracılığıyla dağıtılan CryptXXX fidye yazılımı ise bir önceki çeyrekte sadece %2 oranında trafik sağlarken 3. çeyrekte ikinci sıraya yükseldi.