Kaspersky’nin Yönetilen Tehdit Tespiti ve Müdahale İstatistikleri Raporu, kurumsal ağ parazitlerine dikkat edilmesi gerektiğini hatırlatıyor.

Kaspersky’nin Yönetilen Tehdit Tespiti ve Müdahale İstatistikleri Raporu’na göre, 2019’un ilk yarısında, aygıt uç noktalarındaki Saldırı Belirtisi (IoA) uyarılarının sadece küçük bir kısmı (%1,26) siber güvenlik vakası olarak tanımlandı. Saldırı Belirtileri aracılığıyla oluşturulan 40.806 uyarının sadece 515’i vaka olarak tespit edildi. Buna rağmen, söz konusu vakaların çoğu, tehdit grupları tarafından meşru kullanıcı ve yönetici davranışları içine zararlı aktiviteler saklamak amacıyla kullanılan ve “living off the land” teknikleri adıyla anılan karmaşık hedefli saldırılarla ilişkiliydi.

Sızma Belirtisi (IoC) tabanlı tespit yöntemlerinin aksine, Saldırı Belirtileri (IoA) saldırının bilinen zararlı dosyalara ve diğer yapılara göre değil, tehdit gruplarının kullandığı sözde taktikler, teknikler ve prosedürlere göre tespit edilmesine olanak tanıyor. Diğer bir deyişle, saldırılar belirli tehdit gruplarının kurbanlarına saldırma biçimlerine göre belirleniyor. “Living off the land” tekniklerinden yararlanan saldırılar giderek daha da popüler hale gelirken, IoA tabanlı tespit yöntemlerinin bunları belirlemede en etkili yöntem olduğu kanıtlandı.

 

Finans, kamu, endüstri, ulaşım, BT ve telekom sektörlerindeki birden fazla kurumdan elde edilen verilerle Kaspersky Managed Protection Service tarafından gerçekleştirilen çok katmanlı analizlerin sonuçlarını içeren rapordaki diğer bulgular da bu yöntemin etki düzeyini doğruluyor.

Siber güvenlik vakaları, “siber saldırı zinciri” için kullanılan neredeyse tüm taktiklerde tespit edilirken en fazla sayıda saldırı, “parazitin” ve dolayısıyla yanlış pozitif olasılığının daha yüksek olduğu düşünülen aşamalarda bulundu: çalıştırma (%37), savunmadan kurtulma (%31), yatay hareket (%16) ve etki (%16). Araştırma sonuçlarına göre, bu taktiklerle mücadele ederken, tespit edilen vakaların reklam yazılımları ve riskli yazılımlar gibi istenmeyen programlar dahil %97’si (Truva atları ve şifreleyiciler gibi zararlı yazılımlar dahil %47’si orta ciddiyet düzeyinde) için en etkili tehdit müdahale aracı uç nokta koruma ürünleri (EPP) oluyor.

Ancak, ileri düzey ve bilinmeyen tehditler veya yüksek ciddiyet düzeyinde (%3) sınıflandırılan tehditler söz konusu olduğunda, geleneksel EPP çözümleri tek başına yeterince etkili olamıyor. Genellikle “living off the land” taktikleriyle başlatılan hedefli saldırılar veya karmaşık zararlı yazılımlar gibi bu türden tehditler için ekstra TPP tabanlı tespit, manuel tehdit avı ve analiz gerekiyor.

 

Kaspersky’de Güvenlik Operasyonları Merkezi’nin başkanı olan Sergey Soldatov, “Son altı aydır üzerinde çalıştığımız Yönetilen Tehdit Tespiti ve Müdahale Analizi’nden çıkardığımız başlıca sonuçlardan biri, ağınızda büyük miktarda yanlış pozitif etkinlikler görmüyorsanız, bunun muhtemelen birçok önemli güvenlik vakasını kaçırdığınız anlamına geldiği. Bu durumda, diğer araçlara ek olarak daha geniş kapsamlı Saldırı Belirtisi yöntemleri kullanmaya yönelmeniz gerekiyor. “Living off the land” ve zararlı yazılım içermeyen diğer gizli saldırı teknikleri kullanılırken, sadece klasik IoC tabanlı yöntemlere veya bilindik diğer metodlara güvenmek tamamen etkisiz kalıyor. Etkili bir IoA oluşturabilmek ve ardından IoA tetiklendiğinde manuel analizler yapabilmek için çok fazla araştırma yapılması gerektiğinden IoA tabanlı uyarıları araştırmak çok daha zor olsa da, istatistiklerimize göre bu, yanlış pozitiflere en yatkın fakat en etkili yöntem ve gerçekten kritik öneme sahip vakaları da bulmanızı sağlıyor.” dedi.