Kimlik Bilgilerine Dayalı Saldırı Teknikleri, Siber Saldırganların En Etkili Yöntemleri Arasında Yer Alıyor

Kaspersky Security Services tarafından yayımlanan güncel rapora göre; parola tahmini ve yetkili hesapların suistimal edilmesi, siber suçluların en başarılı sızma yöntemleri olarak öne çıktı. Tehdit aktörlerinin artık güvenlik altyapılarına yakalanan gürültülü zararlı yazılımlar yerine, tespit edilmemek amacıyla meşru erişim haklarını kullanmaya başladığı ve stratejik bir eksen kayması gerçekleştirdiği belirlendi.

Zararlı Yazılımlar Demode Oldu: Siber Korsanlar Artık Yasal Hesaplarla Kamufle Oluyor!

Siber güvenlik dünyasında tehdit aktörlerinin savunma duvarlarını aşmak için kullandığı yöntemler radikal bir biçimde değişiyor. Kaspersky Security Services'ın hazırladığı "Siber Dünyanın Anatomisi" başlıklı kapsamlı küresel rapor; Managed Detection and Response (MDR), Incident Response (IR), Compromise Assessment ve SOC Consulting birimlerinin elde ettiği verilere dayanarak siber korsanların yeni gözde taktiklerini ortaya koydu.

En sık karşılaşılan saldırgan tekniklerini ve şüpheli faaliyetlerin kesin siber olaylara dönüşme oranlarını inceleyen çalışma, en yoğun şekilde izlenen tekniklerin kimlik bilgileri ve kimlik yönetimi süreçleri etrafında şekillendiğini gösteriyor.

Siber Tehditlerde Öne Çıkan 5 Kritik Taktik

Analiz kapsamında incelenen Saldırı Göstergelerinin (IoA) dönüşüm oranlarına göre siber korsanların en başarılı olduğu yöntemler şu şekilde sıralanıyor:

• Parola Tahmini (%34,8): Saldırganların bir hesaba erişim sağlamak için sistematik olarak farklı kombinasyonları denediği bu yöntem, dönüşüm listesinin zirvesinde yer alıyor. Hem gerçek siber saldırılarda hem de yetkili güvenlik testlerinde yoğun olarak kullanılan bu köklü stratejinin işe yaramasına, organizasyonlardaki zayıf veya yinelenen parolalar zemin hazırlıyor.

• Yerel Hesap Oluşturma (%34,7): Sisteme bir kez sızmayı başaran saldırganlar, ilk elde ettikleri erişim noktası fark edilip kapatılsa bile içeride kalıcı olmayı sürdürmek için sık sık yeni yerel hesaplar açıyor. Güvenlik ekiplerinin bu şüpheli faaliyeti tespit edebilmesi için güçlü bir telemetri altyapısına sahip olması gerekiyor.

• Yetkili Hesapların Suistimal Edilmesi (%34,5): Saldırganlar sisteme zararlı yazılım bulaştırmak yerine, ele geçirdikleri geçerli kimlik bilgileriyle giriş yaparak normal kullanıcı faaliyetlerinin arasında kamufle oluyor. Erişim süreci tamamen yasal göründüğü için bu durum tespiti ciddi şekilde zorlaştırıyor.

• Hesap Manipülasyonu (%32): İçerideki erişimlerini kalıcı kılmak ve pekiştirmek isteyen siber korsanlar; mevcut hesaplar üzerinde değişiklik yapıyor, devre dışı bırakılmış hesapları yeniden aktif hale getiriyor, grup üyeliklerini değiştiriyor veya yetki yükseltiyor. Bu durum, korsanların sisteme yeni araçlar sokmak yerine halihazırda var olan unsurları kullanma eğilimini destekliyor.

• Ağ Servislerinin Keşfi (%31,2): Ağın daha derinlerine ilerlemeyi (yatay ilerleme) hedefleyen saldırganlar, ilk aşamada erişebilecekleri açık servisleri ve sistemleri tarıyor. Bu keşif adımının erken safhada fark edilmesi, güvenlik ekiplerine müdahale için kritik bir zaman penceresi kazandırıyor.

Hatalı Alarmlardan Kaçınmak Şart

Raporda, şüpheli faaliyetlerin ne kadarının kesinleşmiş birer siber olaya dönüştüğüne bakılarak yapılan bu sıralamanın savunma ekipleri için bir rehber niteliğinde olduğu belirtiliyor. Kaspersky uzmanlarına göre, MITRE ATT&CK® matrisi çok geniş bir saldırgan tekniği kataloğu sunsa da etkili bir savunma inşa edebilmek için hatalı alarm üretmekten kaçınmak ve kötü niyetli olma olasılığı en yüksek olan bu davranışlara öncelik vermek gerekiyor.