Siber güvenlik alanında yaşanan stratejik değişimler, saldırganların yöntemlerine de doğrudan yansımaya devam ediyor. Kaspersky Security Services tarafından hazırlanan güncel bir rapora göre, 2025 yılında sisteme sızma amacıyla en çok parola tahmini ve yetkili hesapların suistimal edilmesi yöntemleri kullanıldı. Tehdit aktörleri, güvenlik duvarlarına yakalanan gürültülü ve fark edilmesi kolay zararlı yazılımlar yerine, tespit edilmeyi zorlaştıran meşru erişim haklarını tercih ediyor.
Geniş bir veri tabanına dayanan araştırma; kurumlarda en sık karşılaşılan saldırgan tekniklerini, kullanılan araçları ve siber olayların ayırt edici özelliklerini mercek altına alıyor. Elde edilen bulgular, siber tehditlerin büyük bir kısmının kimlik bilgileri ve kimlik yönetimi süreçleri etrafında şekillendiğini gösteriyor.
En sık kullanılan beş sızma yöntemi
Saldırganların şüpheli faaliyetlerinin ne kadarının kesinleşmiş bir siber olaya dönüştüğünü inceleyen analiz, öne çıkan taktikleri şu şekilde sıralıyor:
- Parola tahmini (%34,8): Saldırganlar bir hesaba erişmek amacıyla sistematik olarak farklı şifre kombinasyonlarını deniyor. Zayıf veya tekrarlanan parolalar kullanan organizasyonlar, bu eski yöntemin başarıya ulaşmasına zemin hazırlıyor.
- Yerel hesap oluşturma (%34,7): Sisteme bir kez sızan siber suçlular, ilk giriş noktaları fark edilip kapatılsa bile içeride kalmayı sürdürmek amacıyla yeni yerel hesaplar açıyor. Şirketlerin büyük bir kısmında bu durumu fark edecek telemetri altyapısı bulunmuyor.
- Yetkili hesapların suistimal edilmesi (%34,5): Zararlı yazılım kullanmak yerine ele geçirilen geçerli kimlik bilgileriyle sisteme giriş yapılıyor. Erişim süreci tamamen yasal göründüğü için normal kullanıcı faaliyetlerinin arasında kamufle olan bu yöntemi tespit etmek ciddi şekilde zorlaşıyor.
- Hesap manipülasyonu (%32): Siber korsanlar mevcut hesaplar üzerinde değişiklikler gerçekleştiriyor. Devre dışı bırakılan hesapları yeniden aktif hale getirmek veya yetki yükseltmek gibi yöntemlerle içerideki hakimiyetlerini artırıyorlar.
- Ağ servislerinin keşfi (%31,2): Saldırganlar ağın derinlerine ilerlemeden önce açık servisleri ve sistemleri tarıyor. Bu adımın erken safhada fark edilmesi, güvenlik ekiplerine müdahale için kritik bir zaman kazandırıyor.
Altyapı görünürlüğü ve ilişkilendirme yeteneği önem kazanıyor
Siber tehdit aktörleri hedeflerine ulaşmak adına her senaryoda gelişmiş zararlı yazılımlara ihtiyaç duymuyor. Meşru yönetim araçları ve ele geçirilmiş hesaplar, fark edilmeden bir kurum içinde ilerlemenin en hızlı yollarından biri. Kaspersky Güvenlik Operasyonları Merkezi (SOC) Müdürü Sergey Soldatov, bu tekniklerin popülaritesini korumasının, kurumların derin bir görünürlüğe ihtiyaç duyduğunu gösterdiğini belirtiyor. Saldırının farklı aşamalarındaki şüpheli faaliyetleri birbiriyle ilişkilendirme yeteneği, etkin savunmanın anahtarını oluşturuyor.
Uzmanlar, siber saldırılara karşı hatalı alarm üretmekten kaçınırken kötü niyetli olma olasılığı en yüksek davranışlara öncelik verilmesi gerektiğinin altını çiziyor. Kurumlar, olay yönetimi döngüsünü kapsayan yönetilen tespit, yanıt ve olay müdahale çözümlerinden faydalanarak güvenlik altyapılarını güçlendirme yoluna gidiyor.