Güvenlik 30 MART 2016 / 10:18

Riskler git gide çeşitleniyor

Intel Security,  500 siber güvenlik profesyonelinin siber tehdit istihbaratının (CTI) paylaşımına yönelik düşüncelerini değerlendirdiği, Adwind uzaktan yönetim aracının (RAT) iç işleyişini ve 2015’in 4. çeyreğindeki fidye yazılımı, kötü amaçlı mobil yazılım ve genel kötü amaçlı yazılımlardaki artışın detaylarını incelediği McAfee Labs Tehditler Raporu: Mart 2016’yı yayınladı. Katılımcılar, kurumlarda CTI’a ilişkin mevcut durum ve fırsatlarla ilgili şu açıklamaları yaptı: 
  • Değer algısı ve benimseme: Katılımcıların sadece yüzde 42’si siber tehdit istihbaratını kullanıyor. Paylaşılan tehdit istihbaratını kullandığını bildirenlerin yüzde 97’si, bu kullanımın şirketleri için daha iyi bir koruma yapmalarına olanak sağladığını düşünüyor. Bu katılımcıların yüzde 59’u, istihbarat paylaşımını organizasyonları için “çok değerli” bulurken, yüzde 38’i paylaşımı “biraz değerli” buluyor.
  • Sektöre özel istihbarat: Katılımcıların yüzde 91’i sektöre özel siber tehdit istihbaratı ile ilgilendiklerini söylerken, yüzde 54’ü “çok ilgilendiğini”, yüzde 37’si ise “biraz ilgilendiğini” belirtti. Finansal servisler ve kritik altyapı gibi sektörler, McAfee Labs’ın bu sektörlerde izlediği tehditlerin özel doğası göz önüne alındığında, sektöre özel CTI’dan en büyük fayda sağlayabilecekler arasında öne çıkmaktadırlar.
  • Paylaşma istekliliği: Katılımcıların yüzde 63’ü, güvenli ve özel bir platformda paylaşılabildiği sürece, sadece paylaşılan CTI’ı almanın ötesine gidip, kendi verileri ile de bu istihbarata katkıda bulunmak isteyebileceklerini söylüyorlar. Bununla birlikte, kendi verilerini paylaşma fikri farklı istek dereceleri ile karşılanıyor, yanıt verenlerin yüzde 24’ü paylaşımı “çok istediğini” söylerken, yüzde 39’u paylaşımı “biraz istediğini” belirtiyor.
  • Paylaşılan veri tipleri: Hangi tip tehdit verilerini paylaşmak isteyecekleri sorulduğunda, katılımcıların yanıtları, kötü amaçlı yazılımların davranışları  (%72), URL isimleri (% 58), harici IP adreslerinin isimleri (% 54), sertifika isimleri (% 43) ve dosya isimleri (% 37) oldu.
  • CTI için engeller: Kurumlarında neden paylaşılan CTI’ı uygulamadıkları sorulduğunda, katılımcıların yüzde 54’ü neden olarak şirket politikasını belirtirken, yüzde 24’ü sektörel mevzuatın eksikliğine dikkat çekti. Organizasyonları verileri paylaşmayan katılımcılar ise konu ile ilgilendiklerini ancak daha fazla bilgiye ihtiyaçları olduğunu (% 24) veya paylaşılan verilerin firmalarına veya şahsi olarak kendilerine bağlanacağı yönünde kaygıları olduğunu belirttiler (% 21).  Bu bulgular, farklı sektörler için geliştirilmiş olan çeşitli CTI entegrasyon seçeneklerine ilişkin bilgi ve deneyim eksikliklerini ve CTI paylaşımının hukuki boyutuna ilişkin bilgilerin yetersiz olmasını akla getiriyor.
 
Java temelli riskler
McAfee Labs Tehditler Raporu: Mart 2016, ayrıca, Java dosyalarını destekleyen çeşitli platformları hedefleyen, Java* temelli bir arka kapı Truva atı olan Adwind uzaktan yönetim aracını (RAT) da değerlendiriyor. Adwind tipik olarak, kötü amaçlı yazılım yüklü e-posta ekleri dağıtan spam kampanyalar, ele geçirdikleri web siteleri ve ‘drive-by’ indirmeleri yoluyla yayılıyor. McAfee Labs Raporu, McAfee Labs araştırmacılarının Adwind olarak belirlediği .jar dosya örnekleri sayısında hızlı bir artış olduğunu gösteriyor. 2015 yılının 1. çeyreğinde bu sayı 1,388 iken, 4. çeyrekte 7,295’e çıkarak % 426’lık bir artış gösterdi. 2015 4. çeyrek tehdit istatistikleri şöyle sıralanıyor: 
  • Fidye yazılımları tekrar hız kazandı: Yıl ortasında biraz yavaşladığı gözlenen yeni fidye yazılımları, 2015’in 4. çeyreğinde bir önceki çeyreğe göre % 26’lık bir artışla tekrar hızlı bir büyüme yakaladılar. Açık kaynak fidye yazılımı kodu ve bir-servis-olarak-fidye yazılımı, saldırıları başlatmayı basitleştirmeye devam ediyorlar, Teslacrypt ve CryptoWall 3 kampanyaları erişimlerini genişletmeye devam ediyor ve fidye yazılımı kampanyaları finansal olarak da kazançlı olmaya devam ediyor. CryptoWall 3 fidye yazılımının 2015 Ekim’indeki bir analizi, böyle kampanyaların finansal ölçeğini açığa çıkarırken,  McAfee Labs araştırmacıları sadece bir kampanya çerçevesinde kurbanların ödedikleri fidye meblağının 325 milyon dolara ulaştığını hesapladılar.
  • Kötü amaçlı mobil yazılımlardaki artış: 2015’in 4. çeyreğinde, kötü amaçlı yazılım yazarlarının yeni kötü amaçlı yazılımları daha hızlı ürettikleri ortaya çıkarken, yeni kötü amaçlı mobil yazılım örneklerinde çeyrek dönem bazındaki artış % 72’yi buldu.
  • Kök kullanıcı takımı (rootkit) kötü amaçlı yazılımları düşüşte: Yeni kök kullanıcı takımı (rootkit) kötü amaçlı yazılım örneklerinin sayısı dördüncü çeyrekte hızla düştü, bu arada bu tip saldırılardaki uzun vadeli düşüş trendi de devam ediyor. McAfee Labs, 2011’in 3. çeyreğinde başlayan bu düşüşü, müşterilerin 64-bit Microsoft Windows* ile birlikte 64-bit Intel® işlemcilerini benimsemeye devam etmelerine bağladı. Bu teknolojiler, kök kullanıcı takımı (rootkit) kötü amaçlı yazılımları gibi tehditlere karşı birlikte daha iyi bir koruma sağlayan, Kernel Patch Protection* ve Secure Boot* gibi özellikleri içeriyorlar.
  • Kötü amaçlı yazılımlar geri dönüyor: Üç çeyreklik düşüşten sonra, yeni kötü amaçlı yazılım örneklerinin toplam sayısı 4. çeyrekte yeniden yükselmeye başladı. Bu çeyrekte 42 milyon kötü amaçlı sağlama (hash) bulundu. Bu rakam 3. çeyreğe göre % 10’luk artış anlamına geliyor ve McAfee Labs tarafından şimdiye kadar kaydedilen en yüksek ikinci sayı. 4. çeyrekteki bu büyüme kısmen, 2.3 milyon veya 3. çeyrekten 1 milyon daha fazla olan yeni kötü amaçlı mobil yazılım örneği ile destekleniyor.
  • Kötü amaçlı yazılım imzalı binaryler düşüşte: Yeni kötü amaçlı yazılım imzalı binarylerin sayısı geçen yıl her çeyrekte düştü, 2015’in 4. çeyreğinde ise 2013’ün 2. çeyreğinden bu yana en düşük seviyesine ulaştı. McAfee Labs, bu düşüşün kısmen, karaborsada önemli bir yeri olan eski sertifikaların ya süresinin bitmesine ya da kurumların daha güçlü sağlama (hashing) fonksiyonları için geçiş yaparken bunların iptal edilmiş olmalarından kaynaklandığını düşünüyor. Ayrıca, Microsoft Internet Explorer’ın* parçası olan, ancak Windows’un diğer parçalarına da taşınabilen Smart Screen* gibi teknolojiler, kötü amaçlı binarylere imza atmayı kötü amaçlı yazılım yazarları için daha az kazançlı hale getiren ek güvenlik testleri sunuyorlar.