Siber suçlularda rekor hız! 29 dakikada ağı ele geçiriyorlar

Onur Bal - Şubat 26, 2026 10:16 | Son Güncelleme Tarihi: Şubat 26, 2026 11:16

CrowdStrike'ın küresel tehdit raporuna göre, siber saldırganlar kurumsal ağlarda ilerlemek için ortalama 29 dakikaya ihtiyaç duyuyor. Kimlik bilgisi kötüye kullanımı ve yapay zeka teknolojileri, saldırganların tespitten kaçmasını kolaylaştırıyor. Uzmanlar, savunucuların zamanla yarıştığını vurguluyor.

Kapat

HABERİN DEVAMI

CrowdStrike tarafından yayımlanan son "Küresel Tehdit Raporu", siber saldırganların kurumsal ağlardaki hareket hızında çarpıcı bir artış yaşandığını ortaya koydu. 2025 yılı verilerine göre, saldırganlar bir ağa sızdıktan sonra, sistemler arasında yayılmak için ortalama sadece 29 dakikaya ihtiyaç duyuyor. Bu süre, bir önceki yılın ortalamasına göre %65 daha hızlı gerçekleşti. Raporda, "kırılma" olarak adlandırılan en hızlı olayın sadece 27 saniye sürdüğü, başka bir vakada ise saldırganın dört dakika içinde veri sızdırmaya başladığı belirtildi. CrowdStrike, bu gelişmenin savunucular için ciddi bir alarm niteliği taşıdığını ve saldırıların tespit edilmesi ile müdahale edilmesi için gereken sürenin giderek kısaldığını açıkladı.

CrowdStrike: 'Kırılma süresi rekor seviyede hızlandı'

CrowdStrike'ın kıdemli başkan yardımcısı Adam Meyers, raporda yer alan kırılma süresi istatistiğinin en endişe verici bulgu olduğunu vurguladı. Meyers, "Sadece birkaç yıl önce ortalama kırılma süresi 62 dakikaydı. Bugün ise saldırganlar, bu süreyi 29 dakikaya kadar indirdi. Özellikle yapay zeka teknolojilerinin yaygınlaşması, saldırganların yeteneklerini ve hızını daha da artırıyor" ifadelerini kullandı. Meyers, savunucuların artık çok daha kısa sürede saldırıları tespit etmesi ve yanıt vermesi gerektiğini, aksi takdirde büyük veri kayıpları ve operasyonel aksaklıklar yaşanabileceğini söyledi. CrowdStrike, bu hızlı ilerlemenin, saldırganların tespit edilmeden çok daha fazla zarar vermesine yol açtığına dikkat çekti.

Kimlik bilgisi kötüye kullanımı ve güvenlik açıkları saldırganların işini kolaylaştırıyor

Raporda, saldırganların kurumsal ağlarda hızla ilerlemesinin başlıca nedenleri arasında kimlik bilgisi kötüye kullanımı ve güvenlik kontrollerindeki kör noktalar öne çıktı. CrowdStrike'ın analiz ettiği bulut tabanlı olayların %35'inde, saldırganlar geçerli hesap bilgilerini kullanarak ağda serbestçe dolaştı ve hiçbir uyarı tetiklenmedi. Saldırganlar, çoğunlukla kötü amaçlı yazılım kullanmak yerine, güvenilir kullanıcı ve sistemleri taklit ederek güvenlik önlemlerini aşıyor. 2025'te tespit edilen saldırıların %82'si kötü amaçlı yazılım içermedi. Bu durum, ihlallerin genellikle yetkilendirilmiş yollar ve güvenilir sistemler üzerinden gerçekleştiğini gösteriyor. Özellikle bulut ortamlarında saldırı oranı %37 artış gösterdi. Saldırganlar, tek oturum açma (SSO) kimlik bilgilerini kullanarak sisteme giriş yaptıktan sonra, hızla sanal ortamlara ve ağ cihazlarına geçiş sağladı. Meyers, "Tehdit aktörleri kimlikleri sadece ilk erişim için değil, aynı zamanda ağ içinde hızla hareket etmek için de kullanıyor" dedi.

Yönetilmeyen cihazlar ve Çin destekli tehdit aktörleri dikkat çekiyor

CrowdStrike raporunda, kurumsal ağlarda yönetilmeyen cihazların saldırganlar için önemli bir avantaj oluşturduğuna dikkat çekildi. VPN'ler, güvenlik duvarı cihazları, çalışanların kişisel cihazları, web kameraları, üçüncü taraf uygulamalar ve sanal makineler gibi yönetilmeyen cihazlar, tipik uç nokta tespit ve yanıt (EDR) kontrollerinden yoksun olduğu için saldırganların ana hedefi haline geldi. Özellikle Çin destekli tehdit grupları, bu tür cihazları hedef alma konusunda ciddi yatırımlar yaptı. Çin hükümeti ve ordusu, güvenlik araştırmacıları ve sivil sektörle işbirliği içinde, ağ cihazlarındaki zayıflıkları sistematik olarak tespit ediyor ve bu açıklardan hızla faydalanıyor. Çinli aktörlerin yeni açıklanan zayıflıkları istismar etme süresini iki güne kadar indirmeyi hedeflediği belirtildi. Bu gelişme, kurumsal ağların güvenlik açıklarını kapatmada daha hızlı hareket etmesi gerektiğini gösteriyor.

Yapay zeka hem saldırı aracı hem de hedef oldu

Yapay zeka, siber saldırganlar için hem güçlü bir silah hem de yeni bir saldırı yüzeyi haline geldi. CrowdStrike'ın raporuna göre, organize suç grupları ve devlet destekli aktörler, yapay zekayı keşif süreçlerini hızlandırmak, oltalama içerikleri üretmek, açıklar geliştirmek ve savunmalardan kaçmak için yoğun şekilde kullanıyor. 2025 yılında yapay zeka tabanlı saldırıların sayısı bir önceki yıla göre %89 arttı. Punk Spider, Kuzey Kore'nin Chollima grubu ve Rusya'nın Fancy Bear gibi gruplar, yapay zekayı saldırı stratejilerinde aktif olarak kullandı. Fancy Bear'ın 2025 ortasında yayımladığı LameHug adlı kötü amaçlı yazılım, büyük dil modeli (LLM) entegrasyonu ile dikkat çekti. Ancak, CrowdStrike bu yazılımın işlevselliğinin geleneksel araçlardan çok farklı olmadığını belirtti ve yapay zekanın saldırı amaçlı kullanımında henüz erken aşamada olunduğunun altını çizdi.

Kurumsal yapay zeka platformları yeni tehditlerin odağında

Saldırganlar, sadece yapay zekayı saldırı aracı olarak kullanmakla kalmadı; aynı zamanda kurumsal yapay zeka platformlarını da hedef aldı. Artan sayıda tehdit aktörü, iş akışlarında ve yazılım geliştirme süreçlerinde yapay zeka araçlarının entegrasyonundan doğan yeni zayıflıkları istismar etti. Özellikle Langflow platformunda tespit edilen CVE-2025-3248 açığı, saldırganların kimlik bilgilerini çalmasına, ihlal edilen ortamlarda kalıcılık sağlamasına ve fidye yazılımı ile diğer zararlı yazılımları dağıtmasına olanak tanıdı. Ayrıca, LLM istemci enjeksiyon saldırıları ve model bağlam protokolü (MCP) sunucularının kötüye kullanımı hızla yaygınlaştı. Bir örnekte, bir tehdit aktörü, npm kayıt defterinden indiren şirketlerden API anahtarları, şifreler ve finansal veriler toplamak için sahte bir MCP sunucusu kurdu.

Kimlik bilgisi saldırıları ve yapay zeka entegrasyonu savunma stratejilerini zorluyor

CrowdStrike, 90'dan fazla organizasyonda saldırganların üretken yapay zeka platformlarına kötü niyetli istemler enjekte ettiğini ve bu yolla kimlik bilgileri ile kripto para çaldığını tespit etti. Diğer vakalarda, saldırganlar yapay zeka destekli yazılım geliştirme platformlarındaki zayıflıkları kullanarak kötü amaçlı yazılım dağıttı, kalıcılık sağladı ve güvenilir hizmetleri taklit ederek veri ele geçirdi. Yeraltı forumlarında en çok tartışılan yapay zeka modelleri arasında ChatGPT, Claude, Grok ve Gemini gibi popüler platformlar yer aldı. Bu gelişmeler, şirketlerin siber güvenlik stratejilerini yeniden gözden geçirmesini ve özellikle kimlik bilgisi saldırılarına karşı daha proaktif önlemler almasını zorunlu kılıyor.

Uzmanlar: 'Siber güvenlikte zamanla yarış başladı'

Sonuç olarak, CrowdStrike'ın küresel tehdit raporu, siber saldırganların kurumsal ağlarda ilerleme hızının rekor seviyelere ulaştığını ve kimlik bilgisi kötüye kullanımı ile yapay zeka teknolojilerinin bu süreci daha da hızlandırdığını ortaya koydu. Uzmanlar, savunucuların artık zamanla yarıştığını, saldırıların tespit ve müdahale sürelerinin daha da kısalması gerektiğini belirtiyor. Özellikle kimlik bilgisi güvenliği, yönetilmeyen cihazların kontrolü ve yapay zeka tabanlı tehditlere karşı alınacak önlemler, şirketlerin siber savunma stratejilerinde öncelik kazanıyor. CrowdStrike, kurumların saldırganların hızına ayak uydurabilmek için güvenlik politikalarını güncellemesi ve yeni nesil tehditlere karşı hazırlıklı olması gerektiğini vurguladı.

Etiketler:

siber güvenlik CrowdStrike yapay zeka saldırıları kimlik bilgisi kurumsal ağlar siber saldırganlar yapay zeka teknolojileri