Tehlikeyi önceden sezmek: Şüpheli nesnelerin yaklaşık dörtte üçü kötü amaçlı çıkıyor

Kaspersky uzmanları, petabyte’larca global güvenlik istihbaratı verisine sahip Kaspersky Threat Intelligence Portal’a gelen taleplere ait anonim istatistikleri toplayıp analiz etti. Aralıksız çalışan Kaspersky Threat Intelligence Portal’daki güvenlik istihbaratı verileri neredeyse gerçek zamanlı olarak güncelleniyor. Yapılan analizlerde, güvenlik araştırmacılarının daha fazla ayrıntı istediği şüpheli nesnelerin yüzde 72’sinin^[1] kötü amaçlı olduğu ve incelenmediği takdirde kurumsal güvenlik için risk teşkil ettiği görüldü.

Kurumlar gelen güvenlik uyarılarının ortalama yüzde 44’ünü incelemiyor. Bunun ardında, güvenlik ekiplerinin başa çıkamayacağı kadar çok sayıda uyarı sinyalinin gelmesi yatıyor. Bu nedenle analistlerin hangi uyarılarla ilgileneceklerini, hangilerini göz ardı edeceklerini dikkatli seçmeleri gerekiyor. Böyle durumlarda karar almaya yardımcı olan bir yapıya sahip olmak çok kullanışlı oluyor.

Kaspersky Threat Intelligence Portal’dan toplanan anonim verilere göre, çoğu durumda hangi uyarıların inceleneceğine dair doğru karar veriliyor. Servis üzerinden gönderilen ve analiz edilen taleplerin çoğunda (10’da 7) kötü amaçlı nesneler tespit ediliyor. İnternet ile alakalı nesnelerde bunun oranı daha da yüksek (alan adları – yüzde 86, IP adresleri – yüzde 75 ve URL’ler – yüzde 73). Dosyalarda ise oran az da olsa düşüyor. Bunların yalnızca yüzde 61’inin tehlikeli olduğu görülüyor. Bu da araştırmacıların uygun tehdit istihbaratına başvurmadan düzgün dosyalarla zararlı dosyaları birbirinden ayırmakta zorlandığını gösteriyor.

Genel olarak araştırmacılar ağlarındaki uç noktaların hangi kaynaklarla iletişim halinde olduğunu öğrenmeye ilgi gösteriyor. Toplam taleplerin yüzde 41’i bu kategoride yer alıyor. IP adresi itibarı ve bunlara bağlı web siteleri ile dosyalar hakkındaki bilgilerden yararlanan güvenlik ekipleri kaynaklara erişimi kesmeye veya herhangi bir kaynakla tüm iletişimi engellemeye karar verebiliyor. Bunlara ek olarak, taleplerin üçte biri (yüzde 31) sağlama dosyaları hakkında oluyor. Bu da analistlerin inceleme için dosya hakkında ek bilgiler (örn. coğrafi dağılım, popülerlik ve diğer nesnelerle bağlantı) aradığı anlamına geliyor.

Kaspersky Teknoloji Çözümleri Ürün Yönetimi Grup Müdürü Anatoly Simonenko, “İstatistikler, kurumlardaki güvenlik analistlerinin risk teşkil eden ve ayrıntılı incelenmesi gereken uyarıları tespit ederken çok nadir hata yaptığını gösteriyor. Ancak hipotezlerin doğru olup olmadığını kontrol etmek tek başına yeterli değil. Vakalara daha hızlı müdahale etmek ve inceleme becerilerini artırmak için analistlerin tehdit hakkında daha geniş kapsamlı bilgiye hızla ulaşması gerekiyor. Tam da bu imkanı sunan tehdit istihbaratı, az kişiden oluşan güvenlik ekiplerine zaman kazandırıyor.” dedi.

Kaspersky Threat Intelligence Portal, müşterilere Kaspersky’nin siber tehditler hakkında topladığı bilgileri sunan bir hizmet. Şirket şüpheli dosyalar, sağlama dosyaları, IP adresleri ve diğerleri hakkında temel bilgileri https://opentip.kaspersky.com/ adresinde ücretsiz olarak paylaşıyor.

[1] Yalnızca, bir nesnenin kötü amaçlı olup olmadığına kesin bir karar vermeye yetecek bilgi bulunan taleplerde