CrowdStrike 2025 Küresel Tehdit Raporu

2024 yılı, tehdit aktörlerinin her zamankinden daha hızlı olgunlaştığı bir yıl oldu. Yeni teknikler ve araçlar icat ettiler, modern savunmaları aşmak için yaratıcı çözümler buldular ve hedeflerine lazer odaklı kaldılar. Taktiklerini kolaylaştırıyor, başarılı stratejileri rafine ediyor ve ölçeklendiriyorlar. Hem kendi hem de meslektaşlarının hatalarından ve başarılarından öğrenerek saldırıları iş odaklı bir yaklaşımla gerçekleştiriyorlar.

İşte değişen tehdit ortamı hakkında bilmeniz gereken bazı önemli noktalar:

"Breakout Time" (Ağa Yayılma Süresi) Tüm Zamanların En Düşüğüne Geriledi: Bir tehdit aktörünün ağınızda yanal hareket etmeye başlaması için gereken süre geçtiğimiz yıl tüm zamanların en düşük seviyesine indi. Ortalama süre 48 dakikaya düşerken, gözlemlediğimiz en hızlı yayılma süresi yalnızca 51 saniye oldu.... Bu, savunmacıların saldırganlar daha derin kontrol sağlamadan önce tespit ve müdahale etmek için bir dakikadan az süreye sahip olabileceği anlamına geliyor.

Sesli Kimlik Avı (Vishing) Saldırıları Patlama Yaşadı: Tehdit aktörlerinin ikna edici sosyal mühendislik teknikleriyle faaliyetlerini artırmak için kurbanları aradığı vishing saldırıları, 2024'ün ilk yarısı ile ikinci yarısı arasında %442 oranında fırladı. 2024 boyunca, çeşitli e-suç tehdit aktörleri, ağlara sızmak için vishing, geri arama tabanlı kimlik avı ve yardım masası sosyal mühendisliği saldırılarını giderek daha fazla benimsedi.

Başlangıç Erişimiyle İlgili Saldırılar Arttı: CrowdStrike tarafından 2024'te gözlemlenen zafiyetlerin %52'si başlangıç erişimiyle ilgiliydi.... Erişim satma hizmeti gelişen bir iş haline geldi; erişim aracıları için ilanlar bir önceki yıla göre %50 arttı... Tehdit aktörleri, geleneksel zararlı yazılımlar yerine vishing, sosyal mühendislik, erişim aracıları ve güvenilir ilişkilerin kötüye kullanılması gibi daha hızlı ve daha gizli yöntemleri tercih ediyor.

Çin Bağlantılı Faaliyetler Önemli Ölçüde Arttı: Ulus-devletler arasında, Çin bağlantılı faaliyetler genel olarak %150 arttı.... Bazı hedeflenen sektörler önceki yıla göre %200 ila %300 daha fazla saldırıya maruz kaldı. Finansal hizmetler, medya, imalat ve endüstriyel ve mühendislik sektörlerinde gözlemlenen Çin bağlantılı sızma olaylarında önceki yıllara göre %200-300'lük artışlar yaşandı.

Zararlı Yazılım İçermeyen Saldırılar Yaygınlaştı: 2024'teki tespitlerin %79'u zararlı yazılım içermiyordu... Bu, tehdit aktörlerinin meşru kullanıcı etkinliğiyle karışan ve tespiti zorlaştıran "hands-on-keyboard" tekniklerini kullandığını gösteriyor. Bu, son beş yılda belirleyici bir trend oldu; 2019'da bu oran %40 idi.

Temel Tehdit Aktörü Temaları

Rapor, günümüz tehdit aktörlerinin yaklaşımını ve kullandığı teknikleri detaylandıran birkaç önemli tema vurgulamaktadır:

Sosyal Mühendislik İşi: Kimlik uzlaşması ve insan merkezli taktikler, başlangıç erişimi ve yanal hareket için giderek daha fazla kullanılıyor. Vishing, geri arama tabanlı kimlik avı ve yardım masası sosyal mühendisliği tekniklerini kullanan farklı kampanyalarda büyük bir artış gözlemlendi. Bu teknikler, bir yazılımdaki veya işletim sistemindeki bir kusurdan ziyade insan zayıflığını veya hatasını hedef aldığı için etkili oluyor. CURLY SPIDER, CHATTY SPIDER ve PLUMP SPIDER gibi tehdit aktörleri bu yöntemleri kullanıyor... Tehdit aktörleri, hedef alınan kuruluşların BT yardım masasını arayarak meşru bir çalışanı taklit edip şifreleri ve/veya MFA'yı sıfırlatmaya çalışıyor. Bu tür kampanyalarda kimlik avcıları genellikle kamu kaynaklarından veya sosyal medyadan elde edilebilen bilgileri kullanıyor.

Üretken Yapay Zeka (GenAI) ve Girişimci Tehdit Aktörü: GenAI, ulus-devlet, e-suç ve hacktivist dahil olmak üzere tüm ana kategorilerdeki tehdit aktörleri tarafından erken ve hevesli bir şekilde benimsendi. Ticari büyük dil modellerine (LLM'ler) kolay erişim, tehdit aktörlerini daha üretken hale getiriyor, öğrenme eğrilerini ve geliştirme döngülerini kısaltıyor ve faaliyetlerinin ölçeğini ve hızını artırmalarına olanak tanıyor. GenAI, özellikle sosyal mühendislik çabalarını... ve yüksek tempolu Bilgi Operasyonları (IO) kampanyalarını desteklemek için kullanıldı.... FAMOUS CHOLLIMA, kurban kuruluşlara sızmak için GenAI ile oluşturulmuş son derece ikna edici sahte BT iş adayları oluşturdu. Deepfake video ve ses klonları, İş E-postası Uzlaşması (BEC) dolandırıcılıklarını mümkün kıldı. LLM tarafından oluşturulan kimlik avı mesajlarının, insan tarafından yazılanlara göre önemli ölçüde daha yüksek tıklama oranına sahip olduğunu gösteren çalışmalar bulunmaktadır. Tehdit aktörleri ayrıca zararlı CNO'yu (örn. script yazma, araç geliştirme).. ve zafiyet araştırmasını3839 desteklemek için LLM'leri kullanmayı araştırıyor.

Çin'in Siber Girişimi: Çin'in siber casusluk ve istihbarat toplama yetenekleri 2024'te bir dönüm noktasına ulaştı. Faaliyetler, CrowdStrike Intelligence'ın izlediği hemen hemen her sektörde arttı. Çin bağlantılı tehdit aktörlerinin ve onları destekleyen ekosistemin yetenek ve kapasite açısından olgunlaştığı gözlemlendi. Artan OPSEC (Operasyonel Güvenlik) uygulamaları ve at-scale altyapı yönetimi ile faaliyetlerini gizlemeye çalıştılar, örneğin ORB (Operasyonel Aktarım Kutusu) ağları kullandılar. 2024'te yedi yeni Çin bağlantılı tehdit aktörü belirlendi.

Bulut Bilinçli Tehdit Aktörleri Yenilik Yapmaya Devam Ediyor: 2024'te yeni ve atfedilemeyen bulut sızmaları %26 arttı, bu da daha fazla tehdit aktörünün bulut hizmetlerini istismar etmek istediğini gösteriyor. Saldırganların geçerli hesaplar aracılığıyla başlangıç erişimi elde ettiği, yanal hareket için bulut ortamı yönetim araçlarını kullandığı ve bulut sağlayıcı komut satırı araçlarını kötüye kullandığı daha fazla sızma olayı gözlemlendi. Geçerli hesapları kötüye kullanmak, buluta birincil başlangıç erişim vektörü haline geldi ve 2024'ün ilk yarısındaki bulut olaylarının %35'ini oluşturdu. Bilgi hırsızları ve güven ilişkilerini kötüye kullanma gibi yöntemlerle kimlik bilgisi toplama yaygınlaştı.

Girişimci Zafiyet İstismarı: Tehdit aktörleri, geleneksel EDR görünürlüğünün genellikle sınırlı olduğu ağ çevresindeki cihazları hedeflemeye devam etti. Yönetilmeyen internete açık ana bilgisayarların, özellikle ağ cihazlarının istismarı, 2024 boyunca popüler bir ilk erişim vektörü olmaya devam etti. Saldırganlar, kimlik doğrulaması gerektirmeyen uzaktan kod çalıştırmaya (RCE) doğrudan izin veren zafiyetleri hedeflemeyi tercih ediyor ve başarı şanslarını artırmak için katmanlı yaklaşımlar kullanıyor: zafiyetleri zincirleme ve meşru özellikleri kötüye kullanma.... Zafiyet zincirleme, birden fazla istismarı tek bir saldırı dizisinde birleştirmeyi ve RCE elde etmeyi sağlıyor. Ayrıca, satıcı yamaları sağladıktan sonra bile, aynı savunmasız bileşenleri hedeflemek için önceki yamalardan alınan hafifletmeleri aşmak genellikle kolaydır.

SaaS İstismarı Muhtemelen Devam Edecek: Birçok kuruluş verilerini bulut tabanlı hizmetlere taşıdıkça, tehdit aktörlerinin taktiklerini buna göre uyarlaması bekleniyor. 2024 boyunca, çeşitli e-suç ve hedefli sızma tehdit aktörlerinin, yanal hareket, gasp ve üçüncü tarafları hedef alma amaçlı veri elde etmek için bulut tabanlı SaaS uygulamalarına erişimi kullandığı gözlemlendi. Çoğu ilgili vakada, tehdit aktörleri bir SSO (Tek Oturum Açma) kimliğini ele geçirdikten sonra SaaS uygulamalarına erişti. Microsoft 365 (SharePoint ve Outlook) popüler hedefler haline geldi. Tehdit aktörleri, ele geçirilen SSO kimliklerini kullanarak SaaS uygulamalarını tarayıp kimlik bilgileri, ağ mimarisi belgeleri, siber sigorta ve gelir bilgileri gibi hassas verileri arıyor....

Önleyici Savunma Şarttır

Tehdit aktörleri, geleneksel savunmaları aşmak için daha hızlı hareket etmek üzere taktiklerini geliştiriyor ve güvenilir erişimi istismar ediyor. Erişim aracısı faaliyetlerindeki, geçerli kimlik bilgisi kötüye kullanımındaki ve interaktif sızmalardaki patlayıcı büyüme, kuruluşların bu tehditleri gerçek zamanlı olarak önleyen, tespit eden ve bunlara yanıt veren proaktif güvenlik stratejilerini benimsemeleri için acil bir ihtiyaç olduğunu vurgulamaktadır.

Güvenlik ekipleri şunları yapmalıdır:

Yetkisiz erişimi önlemek için kimlik korumasına öncelik verin.

Kimlik bilgisi kötüye kullanımına karşı bulut ortamlarını sertleştirin ve yanlış yapılandırmaları giderin.

Hızlı yayılma olaylarına karşı yanıt sürelerini hızlandırın.

Gizli tehdit aktörü hareketlerini tespit etmek için AI güdümlü tehdit avcılığından yararlanın.

CrowdStrike olarak, tehdit aktörlerinin bir sonraki "aha" anını yaşamasını beklemiyoruz. Kendi AI tekniklerimizi hızlandırıyoruz – temel makine öğrenimi yeteneklerimizden önde gelen üretken ve ajan tabanlı AI modellerimize kadar – müşterilerimizin bir sonraki sıfırıncı gün saldırılarını önceden tahmin etmelerine ve kendilerini proaktif olarak aşılamalarına yardımcı olmak için. Bu, siber savunmaya AI-yerel bir yaklaşımın özüdür. CrowdStrike Counter Adversary Operations ekibi, tehdit istihbaratının gücünü, özel avcılık ekiplerinin hızı ve AI-yerel CrowdStrike Falcon® platformundan gelen trilyonlarca keskin telemetri olayı ile birleştirerek günümüzün sofistike tehdit aktörlerini tespit etmek, bozmak ve durdurmak suretiyle kötü niyetli siber operasyonların maliyetini artırıyor.

Sonuç

2025 yılına başlarken, siber güvenlik ortamı hızla gelişmeye devam ediyor ve tüm sektörlerdeki ve coğrafyalardaki kuruluşlar için önemli zorluklar sunuyor. Tehdit aktörlerinin dayanıklılığı, yenilikçiliği ve uyarlanabilirliği, günümüz tehditlerinin tüm yönleriyle kapsamlı bir şekilde anlaşılmasına olan kritik ihtiyacı vurgulamaktadır.

2024'te tehdit aktörleri olgunluk ve sofistikasyonlarını artırdılar. 2025'te bu tehditler evrildikçe, CrowdStrike Counter Adversary Operations ekibi, tehdit aktörlerini her zaman ve her yerde tespit etmeye, izlemeye ve bozmaya kararlı kalmaya devam edecektir. Unutmayın, siber saldırı dakikalar, hatta saniyeler içinde gerçekleşebilir. Hazırlıklı olmak, bir felaket ile sınırlama arasındaki fark olabilir.