Kaspersky Security Services tarafından yayımlanan güncel rapora göre, siber suçluların en etkili sızma yöntemlerinin başında parola tahmini ve yetkili hesapların suistimali yer alıyor. Rapora göre, bu durum, saldırganların artık geleneksel güvenlik altyapılarına takılan gürültülü zararlı yazılımlardan uzaklaştığını gösteriyor. Tehdit aktörleri, tespit edilmemek için meşru erişim haklarını kullanarak stratejik bir değişim gerçekleştirmekte.

“Siber Dünyanın Anatomisi” başlıklı kapsamlı global rapor, Managed Detection and Response (MDR), Incident Response (IR), Compromise Assessment ve SOC Consulting birimlerinin 2025 yılı boyunca elde ettiği verilere dayanmaktadır. Çalışmada en sık karşılaşılan saldırgan teknikleri, araçları ve tespit senaryoları incelenmiş, ayrıca tespit edilen olayların ayırt edici özellikleri üzerinde durulmuştur.

Rapora göre, izlenen saldırı tekniklerinin büyük bir kısmı, kimlik bilgileri ve kimlik yönetimi süreçleri etrafında şekillenmektedir. Çeşitli Saldırı Göstergeleri’nin (IoA) dönüşüm oranlarını inceleyen analiz, siber tehditlerde öne çıkan bazı taktikleri gözler önüne sermektedir:

Parola Tahmini (%34,8): Saldırganların bir hesaba erişim sağlamak amacıyla sistematik olarak farklı parolaları denediği bu yöntem, dönüşüm listesinin zirvesindedir. Bu tekniğin öncelikli olmasının nedeni, hem gerçek saldırılarda hem de yetkili güvenlik testlerinde yoğun bir şekilde kullanılmakta olması ve günümüz siber güvenlik dünyasında kalıcı bir tehdit oluşturmasıdır. Zayıf veya tekrar eden parolalar kullanan organizasyonlar, bu köklü stratejinin işlemesine zemin hazırlamaya devam etmektedir.

Yerel Hesap Oluşturma (%34,7): Saldırganlar, sisteme bir kez sızdıktan sonra, edindikleri erişim noktasının fark edilip kapatılması durumunda bile içeride kalmaya devam etmek için sık sık yeni yerel hesaplar oluşturuyorlar. Bu teknik, güvenlik tatbikatlarında da sıkça gözlemlenmekte olup, doğru telemetri altyapısıyla tespit edilebilmektedir; ancak şirketler genellikle bu görünürlüğü sağlayacak altyapıya sahip değildir.

Yetkili Hesapların Suistimali (%34,5): Saldırganlar, sisteme zararlı yazılım bulaştırmak yerine ele geçirdikleri geçerli kimlik bilgileriyle giriş yaparak normal kullanıcı faaliyetlerinin arasına karışıyorlar. Bu durum, erişim sürecinin tamamen yasal görünmesi nedeniyle tespiti ciddi şekilde zorlaştırmaktadır. Yüksek dönüşüm oranı, sızdırılmış kimlik bilgilerinin neden hala en tehlikeli saldırı vektörlerinden biri olduğunu açıkça kanıtlıyor.

Hesap Manipülasyonu (%32): İçerideki erişimlerini kalıcı hale getirmek ve pekiştirmek amacıyla mevcut hesaplar üzerinde değişiklikler yapan saldırganlar, devre dışı bırakılmış hesapları yeniden aktif hale getirebiliyor, grup üyeliklerini değiştirebiliyor veya yetkiyi artırabiliyorlar. Bu durum, siber korsanların sisteme yeni araçlar sokmaktansa mevcut unsurları kullanarak hakimiyetlerini artırdığına dair genel eğilimi desteklemektedir.

Ağ Servislerinin Keşfi (%31,2): Saldırganlar, bir ağın derinliklerine inmeye başlamadan önce, erişebilecekleri açık servisleri ve sistemleri tarayarak keşif adımı gerçekleştirirler. Bu keşif aşaması, bir sonraki aşamanın –yatay ilerleme ve daha fazla sızma– en güçlü habercisi olmaktadır. Durumun erken safhada tespit edilmesi, güvenlik ekiplerine müdahale için kritik bir zaman penceresi kazandırır.

Rapor, saldırgan tekniklerini, gözlemlenen şüpheli faaliyetlerin ne kadarının kesinleşmiş birer siber olaya dönüştüğüne bakarak sıralamaktadır. Kaspersky uzmanlarına göre, MITRE ATT&CK® matrisi çok geniş bir saldırgan teknik kataloğu sunsa da, etkili bir savunma için hatalı alarm üretiminden kaçınırken, kötü niyetli olma olasılığı en yüksek davranışlara öncelik verilmesi gerektiği belirtilmektedir.

Kaspersky Güvenlik Operasyonları Merkezi (SOC) Müdürü Sergey Soldatov, konuya ilişkin düşüncelerini şu şekilde dile getiriyor: "Siber tehdit aktörleri, hedeflerine ulaşmak için her zaman gelişmiş zararlı yazılımlara ihtiyaç duymazlar. Çoğu senaryoda, meşru yönetim araçları ve ele geçirilmiş hesaplar, fark edilmeden bir kurum içinde ilerlemenin en hızlı ve etkili yoludur. Bu tekniklerin popülaritesini koruması, kurumların saldırgan davranışlara karşı derin bir görünürlüğe ve bir saldırının farklı aşamalarındaki şüpheli faaliyetleri birbiriyle ilişkilendirme yeteneğine ihtiyaç duyduğunu gösteriyor. Şirketler bu zorlukların üstesinden gelmek için, tehdit tespitinden sürekli koruma ve müdahaleye kadar tüm olay yönetimi döngüsünü kapsayan Kaspersky Yönetilen Tespit ve Yanıt (MDR) ile Olay Müdahalesi (IR) çözümlerimizle güvenlik altyapılarını güçlendirebilirler."

Saldırgan taktik ve teknikleri, tespit edilen olayların nitelikleri, bunların bölgelere ve sektörlere göre dağılımı hakkında daha fazla bilgi için raporun tamamını okuyabilirsiniz.