Kaspersky Security Services'ın güncel raporuna göre, parola tahmini ve yetkili hesapların
suistimal edilmesi, 2025'te siber suçluların en başarılı sızma yöntemleri
oldu. Bu durum, saldırganların artık güvenlik altyapılarına takılan gürültülü
zararlı yazılımlardan uzaklaştığını kanıtlıyor. Tehdit aktörleri, tespit edilmemek
için meşru erişim haklarını kullanmaya başlayarak stratejik bir eksen kayması
gerçekleştiriyor.

Siber Dünyanın Anatomisi başlıklı kapsamlı küresel rapor, Managed Detection and
Response (MDR), Incident Response (IR), Compromise Assessment ve SOC Consulting
birimlerinin 2025 yılı boyunca elde ettiği verilere dayanıyor. Çalışmada en
sık karşılaşılan saldırgan teknikleri, araçları ve tespit senaryoları incelenirken,
tespit edilen olayların ayırt edici özelliklerine de ışık tutuyor.

Rapora göre, en yoğun şekilde izlenen saldırı tekniklerinin büyük bir kısmı kimlik
bilgileri ve kimlik yönetimi süreçleri etrafında şekilleniyor. Çeşitli Saldırı
Göstergelerinin (IoA) dönüşüm oranlarını* inceleyen analiz, siber tehditlerde
öne çıkan şu taktikleri gözler önüne seriyor:

Parola Tahmini (%34,8): Saldırganların bir hesaba erişim sağlamak için sistematik
olarak farklı parolaları denediği bu yöntem, dönüşüm listesinin zirvesinde yer
alıyor. Tekniğin ilk sırada yer almasının nedeni hem gerçek saldırılarda hem
de yetkili güvenlik testlerinde yoğun olarak kullanılması ve günümüz siber güvenlik
dünyasında kalıcı bir tehdit oluşturmasıdır. Zayıf veya yinelenen parolalar
kullanan organizasyonlar, bu köklü stratejinin işe yaramasına zemin hazırlamaya
devam ediyor.

Yerel Hesap Oluşturma (%34,7): Saldırganlar sisteme bir kez sızdıktan sonra, ilk
elde ettikleri erişim noktası fark edilip kapatılsa bile içeride kalmayı sürdürmek
için sık sık yeni yerel hesaplar açıyor. Güvenlik tatbikatlarında da sıklıkla
gözlemlenen bu teknik, doğru telemetri altyapısıyla tespit edilebiliyor, ancak
şirketler genellikle bu görünürlüğü sağlayacak telemetri altyapısı bulunmuyor.

Yetkili Hesapların Suistimal Edilmesi (%34,5): Saldırganlar sisteme zararlı yazılım
bulaştırmak yerine, ele geçirdikleri geçerli kimlik bilgileriyle giriş yaparak
normal kullanıcı faaliyetlerinin arasında kamufle oluyor. Erişim süreci tamamen
yasal göründüğü için bu durum tespiti ciddi şekilde zorlaştırıyor. Yüksek
dönüşüm oranı, sızdırılan kimlik bilgilerinin neden hâlâ en tehlikeli saldırı vektörlerinden
biri olduğunu açıkça kanıtlıyor.

Hesap Manipülasyonu (%32): Saldırganlar, içerideki erişimlerini kalıcı kılmak ve
pekiştirmek için mevcut hesaplar üzerinde değişiklik yapıyor, devre dışı bırakılmış
hesapları yeniden aktif hale getiriyor, grup üyeliklerini değiştiriyor veya
yetki yükseltiyor. Bu durum, siber korsanların sisteme yeni araçlar sokmak yerine,
halihazırda var olan unsurları kullanarak hakimiyetlerini artırdıklarına
dair genel eğilimi destekliyor.

Ağ Servislerinin Keşfi (%31,2): Saldırganlar bir ağın daha derinlerine ilerlemeden
önce, genellikle erişebilecekleri açık servisleri ve sistemleri tarar. Bu keşif
adımı, bir sonraki aşamanın (yatay ilerleme ve daha fazla sızma) en güçlü habercisidir.
Durumun erken safhada tespit edilmesi, güvenlik ekiplerine müdahale
için kritik bir zaman penceresi kazandırıyor.

Rapor, saldırgan tekniklerini, gözlemlenen şüpheli faaliyetlerin ne kadarının kesinleşmiş
birer siber olaya dönüştüğüne bakarak sıralıyor. Kaspersky uzmanlarına
göre, MITRE ATT&CK® matrisi çok geniş bir saldırgan tekniği kataloğu sunsa da
etkili bir savunma için hatalı alarm üretmekten kaçınırken, kötü niyetli olma
olasılığı en yüksek davranışlara öncelik verilmesi gerekiyor.

Kaspersky Güvenlik Operasyonları Merkezi (SOC) Müdürü Sergey Soldatov konuya ilişkin
şunları söylüyor: Siber tehdit aktörleri hedeflerine ulaşmak için her zaman
gelişmiş zararlı yazılımlara ihtiyaç duymazlar. Çoğu senaryoda, meşru yönetim
araçları ve ele geçirilmiş hesaplar, fark edilmeden bir kurum içinde ilerlemenin
en hızlı ve en etkili yoludur. Bu tekniklerin popülaritesini koruması, kurumların
saldırgan davranışlarına karşı derin bir görünürlüğe ve bir saldırının farklı
aşamalarındaki şüpheli faaliyetleri birbiriyle ilişkilendirme yeteneğine
ihtiyaç duyduğunu gösteriyor. Şirketler bu zorlukların üstesinden gelmek için,
tehdit tespitinden sürekli koruma ve müdahaleye kadar tüm olay yönetimi döngüsünü
kapsayan Kaspersky Yönetilen Tespit ve Yanıt (MDR) ile Olay Müdahalesi (IR)
çözümlerimizle güvenlik altyapılarını güçlendirebilirler.

Saldırgan taktik ve teknikleri, tespit edilen olayların nitelikleri, bunların bölgelere
ve sektörlere göre dağılımı hakkında daha fazla bilgi edinmek için raporun
tamamını okuyabilirsiniz.


-iDeal Haber Merkezi-
- twitter.com/iDealDataHaber // www.idealdata.com.tr -