Kaspersky Security Services’ın güncel raporuna göre; parola tahmini ve yetkili hesapların suistimal edilmesi, 2025’te siber suçluların en başarılı sızma yöntemleri oldu. Bu durum, saldırganların artık güvenlik altyapılarına takılan gürültülü zararlı yazılımlardan uzaklaştığını kanıtlıyor. Tehdit aktörleri, tespit edilmemek için meşru erişim haklarını kullanmaya başlayarak stratejik bir eksen kayması gerçekleştiriyor.
“Siber Dünyanın Anatomisi” başlıklı kapsamlı küresel rapor; Managed Detection and Response (MDR), Incident Response (IR), Compromise Assessment ve SOC Consulting birimlerinin 2025 yılı boyunca elde ettiği verilere dayanıyor. Çalışmada en sık karşılaşılan saldırgan teknikleri, araçları ve tespit senaryoları incelenirken, tespit edilen olayların ayırt edici özelliklerine de ışık tutuyor.
Rapora göre, en yoğun şekilde izlenen saldırı tekniklerinin büyük bir kısmı kimlik bilgileri ve kimlik yönetimi süreçleri etrafında şekilleniyor. Çeşitli Saldırı Göstergelerinin (IoA) dönüşüm oranlarını* inceleyen analiz, siber tehditlerde öne çıkan şu taktikleri gözler önüne seriyor:
Parola Tahmini (%34,8): Saldırganların bir hesaba erişim sağlamak için sistematik olarak farklı parolaları denediği bu yöntem, dönüşüm listesinin zirvesinde yer alıyor. Tekniğin ilk sırada yer almasının nedeni hem gerçek saldırılarda hem de yetkili güvenlik testlerinde yoğun olarak kullanılması ve günümüz siber güvenlik dünyasında kalıcı bir tehdit oluşturmasıdır. Zayıf veya yinelenen parolalar kullanan organizasyonlar, bu köklü stratejinin işe yaramasına zemin hazırlamaya devam ediyor.
Yerel Hesap Oluşturma (%34,7): Saldırganlar sisteme bir kez sızdıktan sonra, ilk elde ettikleri erişim noktası fark edilip kapatılsa bile içeride kalmayı sürdürmek için sık sık yeni yerel hesaplar açıyor. Güvenlik tatbikatlarında da sıklıkla gözlemlenen bu teknik, doğru telemetri altyapısıyla tespit edilebiliyor; ancak şirketler genellikle bu görünürlüğü sağlayacak telemetri altyapısı bulunmuyor.
Yetkili Hesapların Suistimal Edilmesi (%34,5): Saldırganlar sisteme zararlı yazılım bulaştırmak yerine, ele geçirdikleri geçerli kimlik bilgileriyle giriş yaparak normal kullanıcı faaliyetlerinin arasında kamufle oluyor. Erişim süreci tamamen yasal göründüğü için bu durum tespiti ciddi şekilde zorlaştırıyor. Yüksek dönüşüm oranı, sızdırılan kimlik bilgilerinin neden hâlâ en tehlikeli saldırı vektörlerinden biri olduğunu açıkça kanıtlıyor.
Hesap Manipülasyonu (%32): Saldırganlar, içerideki erişimlerini kalıcı kılmak ve pekiştirmek için mevcut hesaplar üzerinde değişiklik yapıyor; devre dışı bırakılmış hesapları yeniden aktif hale getiriyor, grup üyeliklerini değiştiriyor veya yetki yükseltiyor. Bu durum, siber korsanların sisteme yeni araçlar sokmak yerine, halihazırda var olan unsurları kullanarak hakimiyetlerini artırdıklarına dair genel eğilimi destekliyor.
Ağ Servislerinin Keşfi (%31,2): Saldırganlar bir ağın daha derinlerine ilerlemeden önce, genellikle erişebilecekleri açık servisleri ve sistemleri tarar. Bu keşif adımı, bir sonraki aşamanın (yatay ilerleme ve daha fazla sızma) en güçlü habercisidir. Durumun erken safhada tespit edilmesi, güvenlik ekiplerine müdahale için kritik bir zaman penceresi kazandırıyor.
Rapor, saldırgan tekniklerini, gözlemlenen şüpheli faaliyetlerin ne kadarının kesinleşmiş birer siber olaya dönüştüğüne bakarak sıralıyor. Kaspersky uzmanlarına göre, MITRE ATT&CK® matrisi çok geniş bir saldırgan tekniği kataloğu sunsa da etkili bir savunma için hatalı alarm üretmekten kaçınırken, kötü niyetli olma olasılığı en yüksek davranışlara öncelik verilmesi gerekiyor.
Kaspersky Güvenlik Operasyonları Merkezi (SOC) Müdürü Sergey Soldatov konuya ilişkin şunları söylüyor: “Siber tehdit aktörleri hedeflerine ulaşmak için her zaman gelişmiş zararlı yazılımlara ihtiyaç duymazlar. Çoğu senaryoda, meşru yönetim araçları ve ele geçirilmiş hesaplar, fark edilmeden bir kurum içinde ilerlemenin en hızlı ve en etkili yoludur. Bu tekniklerin popülaritesini koruması; kurumların saldırgan davranışlarına karşı derin bir görünürlüğe ve bir saldırının farklı aşamalarındaki şüpheli faaliyetleri birbiriyle ilişkilendirme yeteneğine ihtiyaç duyduğunu gösteriyor. Şirketler bu zorlukların üstesinden gelmek için, tehdit tespitinden sürekli koruma ve müdahaleye kadar tüm olay yönetimi döngüsünü kapsayan Kaspersky Yönetilen Tespit ve Yanıt (MDR) ile Olay Müdahalesi (IR) çözümlerimizle güvenlik altyapılarını güçlendirebilirler.”
Saldırgan taktik ve teknikleri, tespit edilen olayların nitelikleri, bunların bölgelere ve sektörlere göre dağılımı hakkında daha fazla bilgi edinmek için raporun tamamını okuyabilirsiniz.
*Dönüşüm (Conversion): Belirli bir MITRE ATT&CK tekniğine ait toplam uyarı sayısı içinde, “gerçek pozitif” (gerçek bir tehdit) olarak sınıflandırılan uyarıların oranıdır.
