Çinli grup Salt Typhoon tarafından gerçekleştirildiği iddia edilen son saldırılar telekomünikasyon şirketlerine ve ülkelere – aralarında olacaktı Brezilya – bıraktı tüm dünyayı alarmda. Haberler konuşuyor saldırıların sofistike seviyesinden ve, ne olduğu daha alarm verici – suçluları, teorik olarak, hala bu şirketlerin ağlarının içinde olurlardı
Bu grup hakkındaki ilk bilgiler 2021'de ortaya çıktı, Microsoft'un Threat Intelligence ekibi Çin'in nasıl başarılı bir şekilde çeşitli internet hizmet sağlayıcılarına sızdığı hakkında bilgi yayınladığında, şirketleri gözetlemek için – ve veri yakalam. Grup tarafından gerçekleştirilen ilk saldırılardan biri Cisco yönlendiricilerde bir ihlalden oldu, ki bu cihazlar aracılığıyla meydana gelen internet faaliyetlerini izlemek için bir gateway olarak hizmet ediyorlardı. Bir kez ki erişim elde ediliyordu, hackerlar ulaşımlarını ilave ağlara genişletebiliyorlardı. Ekim 2021'de, Kaspersky'yi doğruladı ki siber suçlular zaten saldırıları Vietnam'a gibi diğer ülkelere genişletmişti, Endonezya, Tayland, Malezya Mısır, Etiyopya ve Afganistan'a.
Eğer ilk zayıflıklar zaten 2021'den biliniyordu – niye hala saldırıya uğradık? Cevap var, tam olarak, bu kırılganlıklarla nasıl başa çıktığımızda günden güne
İhlalleme yöntemi
Şimdi, son günlerde, ABD hükümetinin bilgileri bir dizi saldırıyı ⁇ şirketlere ve ülkelere ⁇ doğruladı – ki olurlardı bir VPN uygulamasında bilinen zayıflıklardan meydana gelmiş, üreticisinin Ivanti, Fortinet Forticlient EMS'de, kullanılan sunucularda izlemeyi yapmak için, Sophos firewalls'da ve aynı zamanda Microsoft Exchange sunucularında.
Microsoft'un zayıflığı 2021'de açıklanmıştı ne zaman, hemen sırayla, şirket düzeltmeleri yayınladı. Sophos güvenlik duvarlarındaki kusur 2022'de yayınlandı – ve Eylül 2023'te düzeltilmiş. Forticlient'te bulunan sorunlar 2023'te kamuya açıldı, ve düzeltilmiş Mart 2024'te – hem de Ivanti'nin olanlar, ki aynı zamanda CVEs (Common Vulnerabilities and Exposures)'ları 2023'te kaydedildi. Şirket, bu arada, sadece zayıflığı geçen Ekim'de düzeltti.
Tüm bu zayıflıklar suçluların kolayca saldırılan ağlara sızmasını sağladı, kimlik ve softwares meşru kullanarak, bu da bu saldırıların tespitini neredeyse imkansız hale getiriyor. Oradan itibaren, suçlular lateral olarak hareket ettiler bu ağların içinde, malware'lar yerleştirerek, ki yardım ettiler uzun süreli casusluk işinde.
Son saldırılarda endişe verici olan şey, Salt Typhoon grubunun hackerları tarafından kullanılan yöntemlerin Çinli devlet ajanlarına atfedilen önceki kampanyalarda gözlenen uzun vadeli taktiklerle tutarlı olmalarıdır. Bu yöntemler rutin işlemler gibi kötü niyetli faaliyetleri maskelemek için meşru kimliklerin kullanımını içerir, geleneksel güvenlik sistemleri tarafından tanımlanmayı zorlaştırarak. Odak yaygın olarak kullanılan softwarelerde, VPN'ler ve firewalls gibi, göster derinlemesine bir bilgiyi kurumsal ve hükümet ortamlarında zayıflıklardan
Zayıflıkların sorunu
Kullanılan zayıflıklar aynı zamanda endişe verici bir model ortaya koyuyor: yamaların uygulanmasında gecikmeler ve güncellemeler. Her ne kadar üreticiler tarafından sağlanan düzeltmeler, birçok şirketin operasyonel gerçekliği bu çözümlerin hemen uygulanmasını zorlaştırıyor. Uyumluluk testleri, görev kritik sistemlerde kesintileri önlemenin gerekliliği ve, bazı durumlarda, başarısızlıkların ciddiyeti hakkında farkındalığın olmaması maruz kalma penceresinin artmasına katkıda bulunur
Bu mesele sadece teknik değil, ama aynı zamanda örgütsel ve stratejik, içeren işlemler, öncelik ve, çoğu zaman, kurumsal kültür
Kritik bir yön, birçok şirket yamaların uygulanmasını operasyonel süreklilik ile karşılaştırıldığında bir ⁇ ikinci ⁇ görev olarak tedavi etmeleridir. Bu downtime'ın ikilemi denilen yaratır, liderlerin karar vermesi gereken sistemleri güncellemek için anlık hizmetler kesintisi ve gelecek bir istismarın potansiyel riski arasında. Ancak, son saldırılar gösteriyor ki bu güncellemeleri ertelemek çok daha pahalı çıkabilir, hem finansal hem itibarlı açıdan
Ayrıca, uyumluluk testleri ortak bir boğazdır. Birçok kurumsal ortam, özellikle telekomünikasyon gibi sektörlerde, kalıtımlı ve modern teknolojilerin karmaşık bir kombinasyonuyla çalışırlar. Bu, her güncellemenin patch'in bağımlı sistemlerde sorun yaratmamasını sağlamak için önemli bir çaba talep etmesini sağlar. Bu tür bakım anlaşılır bir şeydir, ancak daha sağlam test ortamları ve otomatik doğrulama süreçleri gibi uygulamaların benimsenmesiyle hafifletilebilir
Başka bir nokta ki patch'ların uygulanmasında gecikmeye katkıda bulunuyor hataların ciddiyeti hakkında farkındalığın eksikliğidir. Çoğu zaman, BT ekipleri belirli bir CVE'nin önemini küçümsüyor, özellikle o geniş çapta keşfedilmediğinde şu ana kadar. Sorun şu ki saldırganlar için fırsat penceresi kuruluşların sorunun ciddiyetini fark etmeden açılabilir. Bu, tehditlerin zekasının ve teknoloji tedarikçileri ve şirketler arasındaki açık iletişimin tüm farkı yapabileceği bir alan.
Sonuç olarak, şirketlerin zayıflıkların yönetimi için daha proaktif ve öncelikli bir yaklaşım benimsemeleri gerekiyor, bu da patching süreçlerinin otomasyonunu içerir, ağların segmentasyonunu, olası istilaların etkisini sınırlayarak, olası saldırıları düzenli simüle etme rutini, bu da potansiyel ⁇ zayıf noktaları ⁇ bulmaya yardımcı.
Yama ve güncellemelerdeki gecikmeler meselesi sadece teknik bir zorluk değil, ama aynı zamanda kuruluşların güvenlik yaklaşımlarını dönüştürmeleri için bir fırsat, onu daha çevik hale getirerek, uyarlanabilir ve dirençli. Her şeyden önce, bu operasyon modu yeni değil, ve yüzlerce diğer saldırı aynı ile gerçekleştirilirçalışma şekli, zayıflıklardan itibaren ki giriş kapısı olarak kullanılır. Bu dersten yararlanmak kurban olmak veya bir sonraki saldırı için hazır olmak arasındaki farkı olabilir
