Bu yazıda ENISA tarafından hazırlanan raporun en büyük 15 güvenlik tehdidi ile ilgili raporunda yayınladığı tehditlerin ön önemlilerini inceleyeceğim. Detaylı rapor için aşağıdaki linkleri kullanabilirsiniz.
Her bir tehdit için detaylı bir rapor mevcuttur. Aşağıdan her bir raporun detayına ulaşabilirsiniz.
- Kötü amaçlı yazılımlar (Malware)
- Web Tabanlı Saldırılar
- Oltalama Saldırıları
- Web Uygulaması Saldırıları
- Spam E-postalar
- Servisi Devre Dışı Bırakma (DDOS) Saldırıları
- Kimlik Hırsızlığı
- Veri İhlali
- İçeriden Yapılan Saldırılar
- Bot Ağları Saldırıları
- Fiziksel Manipülasyon, Hasar, Hırsızlık ve Kayıp
- Bilgi Sızıntısı
- Fidye Yazılımı
- Siber Casusluk
- Kripto Para Madenciliği Saldırıları (Cryptojacking)
Kötü Amaçlı Yazılımlar (Malware)
ENISA, Kötü Amaçlı Yazılımları yine 1 numaralı tehdit olarak sıralayarak bazı sorunlu eğilimleri işaret ediyor. İşletmeye ait Windows bilgisayarlarda kötü amaçlı yazılım tespiti, önceki yıla göre% 13 arttı ve kötü amaçlı yazılım bulaşmalarının% 71’i, virüs bulaşmış bir kullanıcıdan diğerine yayıldı. E-posta ile gönderilen kötü amaçlı yazılımların% 46,5’i bir “.docx” dosya uzantısı kullandı ve bu, Word belgelerini e-posta yoluyla paylaşmaya yönelik güvensiz ticari uygulamalarımızın, kuruluşlarımızı ve çalışanlarımızı riske atmaya devam ettiğini gösteriyor! Diğer bir değişiklik, kötü amaçlı yazılımların% 67’sinin şifrelenmiş bir HTTPS bağlantısıyla teslim edilmesiydi – şifrelenmiş web sayfalarına sahip olmanın “artan güvenliği”, bir çalışanın bir web sayfasını ziyaret ederek kötü amaçlı yazılım aldığını anlamadaki zorluğumuzu da büyük ölçüde artırdı.
Bu raporlama dönemindeki bir numaralı kötü amaçlı yazılım ailesi, zamanın% 71’inde ABD merkezli işletmeleri ve İngiltere’nin% 24’ünü hedefleyen Emotet’ti.
Artan sayıda bankacılık truva atı da Android işletim sistemini hedef aldı. En popüler banka zararlıları Asacub, SVPeng, Agent, Faketoken ve HQWar.
Dosyasız Kötü Amaçlı Yazılım da önemli bir saldırı yöntemiydi ve genellikle Windows PE Yürütülebilir Dosyayı indirmek yerine “komut satırında” karmaşık saldırılar gerçekleştirmek için Windows Yönetim Araçları veya PowerShell komut dosyalarını kullanıyordu. En sık görülen dosyasız zararlı bulaşma yöntemlerini grafikten görebilirsiniz.
Dosyasız saldırılardan nasıl korunmanız gerektiği ile ilgili raporda öneriler yapılıyor. Bazıları;
- Ortamınızdaki yazılımların güncel olduğundan emin olun. En son çıkan güvenlik yamalarının yüklenmiş olmasını sağlayın.
- Bir çok zararlı saldırısı Microsoft ofis uygulamalarını özellikle de docx uzantılı dosyaları hedef alıyor. Bu nedenle Microsoft ofis uygulamasının güncel tutulması önemli.
- Bu tip saldırılarla baş edebilmek için entegre ve çok katmanlı bir siber savunma altyapısı kullanmanız öneriliyor.
ENISA, EC3 İnternet Organize Suç Tehdit Değerlendirmesinden alıntı yaparak, tüm kötü amaçlı yazılım dağıtımlarının% 94’ünün 2019 boyunca e-posta yoluyla yapıldığını söylüyor . Bu zararlıların çoğunun çalışanların aktiviteleri ve Windows’daki güvenlik açıkları nedeniyle yaygınlaştığı belirtiliyor.
Bu raporda önerilen önlemler, web, e-posta ve mobil uygulamalar dahil olmak üzere ağa giren ve çıkan SSL / TLS trafiği dahil tüm trafiği detaylı olarak taranması gerektiği belirtiliyor. Bir zararılı bulaşması durumunda “tespit sonrası” hangi işlemlerin ve eskalasyonların gerçekleşmesi gerektiğini içerecek şekilde güvenlik politikalarının ve prosedürlerinin olması gerektiği belirtiliyor. En önemli konulardan birisi de günlük izlemelerin geliştirilmesidir.
Kurumların son kullanıcı bilgisayarlarında PowerShell programının çalışmasını devre dışı bırakması yada kısıtlamasıöneriliyor ki son derece yerinde bir öneri. Çok fazla kötü amaçlı yazılım, özellikle fidye yazılımları, PowerShell’i kullanarak kullanıcı dosyalarını şifreliyor!
Ek öneriler için lütfen tam rapora bakın.
Web Tabanlı Saldırılar
Web Tabanlı Saldırılar, ENISA tarafından dört ana vektöre ayrılır. Dosya indirmeleri, Web sitelerine zararlı kodlar yerleştirerek yapılan (watering hole) saldırılar, form hırsızlığı ve kötü amaçlı URL’ler.
“MageCart” saldırıları, finansal kimlik bilgilerini elde etmek için önemli bir yöntem olmaya devam ediyor. Bir avuç dolusu çevrimiçi “ödeme” sisteminin büyük popülaritesi nedeniyle, birçok organize suç grubu, bu sistemlere yeni sıfır gün saldırıları yaratmak için “ulus-devlet” düzeyinde yeteneklere sahip bilgisayar korsanlarına yoğun bir şekilde yatırım yapmaktadır. Alışveriş yapanlar, sipariş bilgileri şeffaf bir şekilde suçlulara aktarılırken en büyük ve en tanınmış “güvenilir” çevrimiçi satıcılardan bile alışveriş yaptıkları için temelde savunmasızdır.
Saldırganlar, water hole saldırılarını oldukça başarılı hale getirebilecek tarayıcı güvenlik açıklarına ek olarak, genellikle temel tarayıcı ürünlerinin kendisinden daha az sıkı güvenlik güncellemelerine sahip olan popüler web tarayıcısı uzantılarına da saldırmaktadır.
Oltalama Saldırıları
Oltalama saldırıları, bir sosyal mühendislik e-postası aracılığıyla bilinen bir adresten posta geliyormuş şeklinde gönderilen bir e-posta vasıtası ile kullanıcıları yasadışı bir web sitesine çeken bir saldırı türüdür. COVID-19 Salgını ile bağlantılı artan sayıda oltalama saldırıları nedeniyle 26 Milyar Dolarlık zarar meydana gelmiştir. COVID-19 Pandemisinin ilk ayında ENISA, kimlik avı saldırılarının% 667 arttığını belirtiyor! Daha önce de belirtildiği gibi, bu tehlikeli e-postaların artık truva atı alınmış bir Microsoft Office ailesi belgesi içermesi çok muhtemeldir.
ENISA, kimlik avı URL’lerinin artık SMS, WhatsApp ve Sosyal Medya platformları aracılığıyla daha sık iletildiği ve orijinal e-posta platformunun ötesine geçildiği konusunda uyarıyor.
Oltalama, geçmişte finans kurumlarını hedef alırken, ENISA, web postasının 2019’un 1. çeyreğinde kimlik avının önde gelen hedefi haline geldiğini ve Microsoft 365 hizmetlerinin özellikle hedeflendiğini söylüyor.
Oltalama e-postalarının% 99’unun etkili olabilmesi için insan etkileşimi gerektirdiğinden kullanıcı eğitimi ve bilgilendirmesi kritik bir strateji olmaya devam ediyor.
Oltalama saldırıları ile mücadelenin en etkili yolu, iki faktörlü kimlik doğrulama (2FA) uygulamasının kullanılması olarak belirtiliyor.
2019 da en fazla kullanılan oltalama saldırı temaları;
- Generic Email Credential Harvesting
- Office 365 Account Phishing
- Financial Institution PhishingMicrosoft OWA Phishing
- OneDrive Phishing
- American Express Phishing
- Chalbhai Generic Phishing
- Adobe Account Phishing
- DocuSign Phishing
- Netflix Phishing
- Dropbox Account Phishing
- LinkedIn Account Phishing
- Apple Account Phishing
- Postal/Shipping Company Phishing
- Microsoft Online Document Phishing (Excel and Word)
- Windows Settings PhishingGoogle Drive Phishing
- PayPal Phishing
Fidye Yazılımı (Ransomware) Saldırıları
Fidye yazılımı saldırılarını özellikle 2020 de çok duyar olduk. Ülkemizde dahil çok bilinen bir e-ticaret platformuna yapılan bir saldırıyı hepimiz biliyoruz.
ENISA raporunda 2019 yılında fidye yazılımı saldırıları sonucunda yaklaşık 10,1 milyar Euro fidye ödendiği tahmin ediliyor. Bu rakam 2018 yılında 3,3 milyar Euro olarak belirtilmiş, artışa dikkat! Bu artışla birlikte özellikle siber sigorta poliçelerine ilgi oldukça artmış durumda. 2019 yılında sadece Amerika da 8 Milyar Usd lik poliçe düzenlenmiş!
Fidye yazılım saldırıları için RDP (Remote Desktop Protocol- Uzak Masa Üstü Erişim Protoklü) zaafiyetleri önemli bir kaynak teşkil ediyor. Microsoft Azure bulut altyapısı üzerinde güvenlik yamaları yapılmamış 800.000 adet sunucuda RDP erişimi genele açık bir şekilde bulunduğu belirtiliyor!
Saldırganların hedefinde Kamu Kurumları, Eğitim Kurumları, Sağlık Kurumları, Yönetilen ve Bulut Servis Sağlayıcıları ön sıralarda bulunuyor.
Peki bu saldırıdan korunmak için ne yapmak gerekiyor;
- Öncelikle her kurumun güvenilir bir yedekleme ve yedekten geri dönme (backup/restore) altyapısına sahip olması gerekiyor.
- Yedeklerden üç kopya; birinci kopya hızlı geri dönüşler için online, ikinci kopya aynı lokasyonda çevrim dışı ortamda üçüncü kopya da farklı bir lokasyonda çevrim dışı ortamda saklanmalıdır.
- Yedeklerin alındığından ve geri dönülebildiğinden de emin olmak için düzenli aralıklarla geri dönüş testlerini ihmal etmeyin.
- Fidye saldırıları oluşacak hasarlar için siber sigorta poliçesi yaptırmalısınız
- Ağ segmantasyonu ve izolasyonu uygulamalısınız.
- Kritik verileri mümkünse şifreleyerek saklayın.
- Saldırıları anında tespit edebilecek erken uyarı ve izleme sistemleri/hizmetleri kullanın
- Fidye saldırılarına karşı mutlaka gerekli yetkinlikte güvenlik uygulamalarını kullanın
- Güçlü ve etkin bir zafiyet ve yama yönetimi uygulamalısınız
- Son kullanıcı cihazlarında istenmeyen zararlı yazılımların çalışmasını algılayacak güvenlik çözümleri kullanın
Diğer tehditler için raporları mutlaka inceleyin. Oldukça detaylı hazırlanan raporlar için ENISA ya ve tüm emeği geçenlere teşekkür ediyorum.
Kaynak: http://garwarner.blogspot.com/2020/11/enisa-top-15-threats.html
Raporla ilgili diğer yazılar için aşağıdaki linkleri kullanabilirsiniz.
