Dünyanın lider güvenlik şirketi McAfee, Nisan 2017 McAfee Labs Tehditler Raporu ’nu yayınladı.
McAfee Labs Tehditler Raporu, kurumlar arasında tehditlere dair kritik bilgilerin paylaşılması, Mirai botnet’lerinin mimarisi ve iç yapısı, farklı sektörlere yapılan saldırıların değerlendirilmesi ve 2016 yılının dördüncü çeyreğindeki zararlı yazılımların gelişimine ışık tutuyor.
McAfee Labs Tehditler Raporu bu güç birliğinin sağlanmasına yönelik olarak tehdit istihbarat ve bilgi paylaşımının perde arkasına odaklanıyor. Tehdit istihbaratlarının bileşenleri, kaynakları, paylaşım modelleri, paylaşılan verinin kullanımı ve veri paylaşımının zorlukları raporda yer alıyor. Bu bölümde öne çıkan bilgiler ise şunlar:
- Hacim: Sinyal-gürültü probleminin büyüklüğü, tehditlerin önceliklendirilmesi, işlenmesi ve en yüksek öneme sahip olanlar için hızlı aksiyon alınmasında güvenlik ekiplerini zorlamaya devam ediyor.
- Doğrulama: Siber suçlular, tehdit istihbarat sistemlerini yanlış yönlendirmek ya da verimliliklerini engellemek amacıyla sahte rapor yayınlayabiliyor ya da güvenilir kaynakların verileri doğru şekilde korunmuyorsa bu veriler ile oynayarak yanıltıcı bilginin yayılmasına neden olabiliyor.
- Kalite: Ürün ve hizmet sağlayıcılarının sadece tehdit verisi toplama ve paylaşmaya odaklanması durumunda sağlanan bu veriler mükerrer olabiliyor ve zaman ve emek kaybına yol açabiliyor. Sensörlerin zorlu saldırıların temel yapısal özelliklerini belirlemede yardımcı olacak şekilde daha zengin verileri yakalamaya odaklanması gerekiyor.
- Hız: Bir saldırıyı önlemek için ulaştırılan istihbarat, aksiyon alınmasında çok değerli olmasına rağmen, eğer geç ele geçirilmişse alınan aksiyonda geç kalınacağı için etkisi ve değeri azalır. Güvenlik sensörleri ve sistemlerinin saldırıların hızına yetişebilmesi için tehdit istihbaratlarını neredeyse gerçek zamanlı paylaşmaları gerekir.
- Korelasyon: Tehdit verilerindeki ilgili bağlantı ve kilit veri noktalarının belirlenememesi verinin güvenlik operasyon ekiplerini yönlendirecek istihbarat ve anlamlı bilgiye dönüşmesini imkansız hale getiriyor.
McAfee, istihbarat paylaşımını daha verimli ve etkili bir seviyeye ulaştırmak üzere üç temel alanda öneriler sunuyor:
- Önceliklendirme: Tehditlerin sınıflandırılması ve önceliklendirilmesini basitleştirin ve güvenlik ekiplerinin yüksek öncelikli tehditleri araştırması için daha iyi bir ortam yaratın.
- Noktaları birleştirmek: Zararlı yapılara işaret eden özellikler arasında ilişki kurun, böylece güvenlik ekipleri, saldırıları hızlıca tespit etmek üzere aralarındaki ilişki ve kurulan korelasyonlardan yararlanabilir.
- Daha iyi paylaşım modelleri: Kendi ürünleriniz ve diğer firmalar arasındaki tehdit istihbarat paylaşımı yöntemlerini geliştirin.
Mirai Botnet Yayılımı
Mirai, 2016 yılının 4. çeyreğine damga vuran, büyük bir DNS servis sağlayıcısı olan Dyn’e yapılan DDOS saldırısını gerçekleştirdi. Mirai, zayıf bir şekilde korunan IoT (Nesnelerin İnterneti) cihazlarını tespit edip ele geçirerek, onları hedeflediği noktalara saldırmak üzere bir ‘bot’ olarak kullanmasıyla ünlü.
2016 Ekim ayında Mirai kaynak kodunun yayınlanması pek çok yeni ‘bot’ üretilmesine neden oldu; bunların büyük bir çoğunluğu acemi hacker’lar tarafından üretilmesi nedeniyle çok büyük bir etki yaratmadılar. Bununla birlikte, kaynak kod yayılımı “bir servis olarak DDoS” sunulmasına da neden oldu, bu da yeterli bilgiye sahip olmadan saldırı planlayanların zayıf bir şekilde korunan IoT cihazlarını kullanarak Mirai tabanlı DDoS saldırıları yapmalarını kolaylaştırdı. Mirai botnet tabanlı DDoS saldırıları siber suç dünyasında 50 Dolar’dan 7.500 Dolar’a dek uzanan bir piyasa değerinde sunulmaya başlandı.
McAfee Labs 2016 yılının 4. çeyrek dönemi sonu itibariyle, Mirai tarafından ele geçirilen IoT cihazları sayısının 2,5 milyona ulaştığını hesapladı. Bu dönemde her 1 dakikada yaklaşık 5 IoT cihazı IP adresi Mirai botnet’lerine eklendi.
2016 Yılı Son Çeyreğinde, Belirli Tehditlerde Düşüş Yaşandı
McAfee Labs Küresel Tehdit İstihbarat Ağı, 2016 yılının 4. çeyreğinde siber tehditlerin gelişiminde ve tüm sektörlerdeki siber saldırılarda önemli trendler tespit etti. Yılın 4. çeyreğinde, her bir dakikada 176, saniyede 3 yeni tehdit ortaya çıktı.
- Zararlı yazılım: çeyrekte zararlı yazılım örneklerinde %17 düşüş yaşandı, yılın tamamında ise toplam sayı %24 artışla 638 milyona ulaştı.
- Mobil cihazlara yönelik zararlı yazılımlar: Mobil cihazlara yönelik zararlı yazılım örnekleri 4. çeyrekte %17 oranında azaldı. 2016 yılı toplam mobil zararlı yazılım sayısı ise %99 arttı.
- Fidye yazılımı: çeyrekte yeni fidye yazılımı örnek sayısı %71 oranında azaldı, bunun öne çıkan sebepleri jenerik fidye yazılımı tespitindeki düşüş ve Locky ve CryptoWall fidye yazılımlarının kullanımının azalması oldu. 2016 yılında fidye yazılımı toplamda %88 arttı.
- Mac OS zararlı yazılım: Windows tehditlerine kıyasla halen sayıları az olmasına rağmen yeni Mac OS zararlı yazılım örnek sayısı, zararlı reklam yazılımları nedeniyle 4. çeyrekte %245 arttı. 2016 yılı toplamında ise artış %744’e ulaştı.
- Spam botnet’ler: çeyrekte ilk 10 botnet tarafından yayılan spam e-posta mesaj sayısı, %24 azalarak 181 milyon adet oldu. Bu botnet’ler, 2016 yılında 934 milyon spam mesaj ürettiler.
- Raporlanan güvenlik olayları: McAfee, 4. çeyrekte 197, yılın tamamında ise 974 halka açıklanan güvenlik olayı tespit etti. Güvenlik olayları, değerli bilgilerin bütünlüğünün, gizliliğinin ya da ulaşılabilirliğinin bozulmasıdır. Bu olayların bir kısmı bilgi sızıntıları kaynaklıdır.
- Kamuya yönelik siber saldırılar: Kamu sektörü 2016 yılında şimdiye dek yaşanmış en yoğun şekilde tehdit ve saldırılara maruz kaldı. Ancak, McAfee, bu durumun kamuda tehditlerin raporlanması konusunda artık daha titiz davranılmasından ve Amerika’daki başkanlık seçimlerinde yaşanan seçmen veri tabanlarına yönelik tehditler ve seçim sayfalarına yönelik saldırılardan kaynaklandığını düşünüyor.
- Bankacılık ve oyun sektörlerine yönelik saldırılar: 3. çeyrekte yazılım geliştirme sektöründe yaşanan olaylardaki hızlı artış, oyun platformlarına yapılan saldırılardaki yükselişten kaynaklandı. Finans sektöründe bankalara yapılan SWIFT saldırıları 2. çeyrekteki güvenlik olaylarında yükseliş yarattı.
- Botnet aktiviteleri: 4. çeyrekte sahte ilaç ve Rus otomotiv parçaları (“Kış ve yaz lastiklerinde rekabetçi fiyatlar” vb.) satıcısı KelihosC botnet, toplam hacmini artırdı.