Threat Intelligence

M-Trends 2026: 14 Günlük Kalış Süresi, Vishing Yükselişte

Mandiant'ın en yeni M-Trends raporu tabloyu net bir şekilde çiziyor: Saldırganlar ağlarda daha fazla zaman geçiriyor ve giderek sofistike sosyal mühendislik yöntemleri kullanıyor. Veriler, mevcut savunma stratejilerimizin yeniden gözden geçirilmesini zorunlu kılıyor.

Threat Digest 5 min read
Read in: English 日本語 한국어 Русский Türkçe
{# Always render the hero — falls back to the theme OG image when article.image_url is empty (e.g. after the audit's repair_hero_images cleared a blocked Unsplash hot-link). Without this fallback, evergreens with cleared image_url render no hero at all → the JSON-LD ImageObject loses its visual counterpart and LCP attrs go missing. #}
Siber güvenlik olay incelemelerindeki artan median kalış süresini gösteren grafik.

Key Takeaways

  • Küresel median kalış süresi, daha sofistike kaçış tekniklerini göstererek 14 güne yükseldi.
  • Sesli kimlik avı (vishing), en yaygın ikinci başlangıç vektörü haline geldi.
  • Ransomware grupları giderek artan bir şekilde yedekleri ve altyapıları hedef alarak kurtarma engellemeye odaklanıyor.
  • İlk erişim ile ikincil grup dağıtımı arasındaki süre sadece 22 saniyeye indi.
  • Yüksek teknoloji sektörü, en çok hedef alınan endüstri olarak finans sektörünün önüne geçti.

Kalış Süresi Uzuyor

Mandiant‘ın M-Trends 2026 raporu yayınlandı ve öne çıkan rakam, median kalış süresinin 11 günden 14 güne çıkması. Sayıyı takip edenler için bu %27’lik bir artış demek. Bu sadece istatistiksel bir sapma değil; saldırganların tespit edilmekten kaçınma konusunda ustalaştığını ve fark edilmeden önce ağlarda daha fazla zaman harcadığını gösteriyor. Gerçekten kalıcı tehditleri ayırdığınızda—devlet destekli casusluk grupları ve Kuzey Koreli aktörlere bağlı olanlar—bu kalış süresi tam 122 güne fırlıyor. Dört ay boyunca engelsiz erişim demek bu. Burası dijital Vahşi Batı değil; hesaplanmış, uzun süren bir sızma operasyonu.

Neden Süre Uzuyor?

Burada birkaç faktör rol oynuyor gibi görünüyor. Saldırganlar, çoğu kuruluşun artık sahip olduğu katmanlı savunmaları aşmak için tekniklerini ve prosedürlerini (TTP’ler) açıkça geliştiriyor. Rapor, özellikle casusluk aktörleri arasındaki sofistikeleşmeye dikkat çekiyor; bu gruplar ortama uyum sağlama konusunda çok yetenekli. Muhtemelen güvenlik araçlarının sıklıkla gözden kaçırdığı izlenmeyen kenar cihazları ve derinlemesine yerleşik, yerel ağ işlevlerinden yararlanıyorlar. Kaba kuvvetten çok gelişmiş kamuflaj söz konusu.

Exploitler Hala Kral, Ama Vishing Hızla Yükseliyor

Saldırıların ağlara sızma biçiminde exploitler, art arta altıncı kez ilk sıradaki yerini koruyor ve ihlallerin önemli bir %32’sini oluşturuyor. Ancak bu yılın asıl bomba haberi, son derece etkileşimli sesli kimlik avı yani vishing’in muazzam yükselişi; müdahalelerin %11’ine fırlayarak ikinci sıraya yerleşti. Bu, dedelerimizin aldığı o şüpheli e-postalar gibi değil; bu, doğrudan kulağa gelen, hedefli, insan odaklı bir aldatmaca. Güvenilir kaynak taklidi yaparak dikkatsiz çalışanlardan kimlik bilgileri veya hassas bilgiler koparmayı hedefliyor. E-posta tabanlı kimlik avı ise %6’ya geriledi; bu da o belirli saldırı vektörüne karşı otomatik savunmaların iyileştiğini gösteriyor.

“Teslimat” Penceresi Daralıyor

Siber suç ekosistemi endişe verici bir uzmanlaşma ve dürüst olmak gerekirse, verimlilik sergiliyor. İlk erişimi sağlayan aracılar artık sadece kapıyı aralamıyor; fidye yazılımı çetelerine dehşet verici bir hızla yol açıyorlar. 2022’de, ilk erişim olayı ile ikincil bir tehdit grubuna “teslimat” arasındaki median süre sekiz saatin üzerindeydi. 2025’e gelindiğinde, bu pencere sadece 22 saniyeye kadar indi. Yirmi iki saniye. Bu, ikincil grubun anahtarlar teslim edildiği anda yüklerini dağıtmaya hazır, genellikle kötü amaçlı yazılım ve yapılandırılmış erişimle önceden hazırlanmış olduğu anlamına geliyor. Önceden sağlanan erişim, genellikle bu ilk erişim aracılarının kolaylaştırdığı, artık küresel olarak üçüncü en yaygın bulaşma vektörü ve fidye yazılımı saldırıları için bir numaralı vektör haline geldi; geçen yıla göre görülme sıklığı ikiye katlandı. Bu hızlı teslimat, savunucuların büyük ölçüde ele almakta başarısız olduğu kritik bir darboğaz.

Fidye Yazılımı Artık Kurtarma Engelleme

Fidye yazılımı artık sadece verileri şifrelemekle kalmıyor; gelişmiş bir kurtarma engelleme stratejisine dönüştü. Mandiant, Akira ve Qilin gibi yaygın grupların dosyaları kilitlemekle kalmayıp, yedek altyapılarını, kimlik hizmetlerini ve sanallaştırma yönetim düzlemlerini aktif olarak hedefleyip yok ettiğini gözlemledi. Bir saniye düşünün. Sadece değerli eşyalarınızı çalmıyorlar; kasayı yıkıyor ve anahtarları eritiyorlar. Saldırganlar, kalıcı yönetici hesapları oluşturmak için Active Directory Sertifika Hizmetleri’ndeki yanlış yapılandırmaları silahlandırıyor ve bulut depolamadaki yedek nesneleri doğrudan siliyor. Veri sızdırma ve şifrelemeden, kurtarma yeteneklerinin tamamen yok edilmesine doğru bu kayma, fidye yazılımı saldırılarının etkisinde ve ciddiyetinde önemli bir tırmanışı temsil ediyor.

“Küresel median kalış süresi 11 günden 14 güne yükseldi. Bu değişim, özellikle savunmadan kaçınmada artan bir sofistikeleşmeyi yansıtıyor.”

Raporun bu alıntısı en çarpıcı gösterge. Kuruluşların tehditleri tespit etme konusunda aniden daha kötü hale gelmesi değil; tehditlerin kendilerinin tespit edilmesinin doğası gereği daha zor hale gelmesi. Çalınan kimlik bilgilerine artan bağımlılık ve sabit kodlanmış anahtarlara ve oturum çerezlerine erişim için üçüncü taraf SaaS satıcılarının kullanılması, saldırganların içeridenmiş gibi ayrıcalıklarla hareket ettiği anlamına geliyor. Büyük ölçekli veri hırsızlığı gerçekleştirmek için aşağı yöndeki müşteri ortamlarına geçme kolaylığı, bu gelişen saldırı yüzeyinin doğrudan bir sonucudur.

İç Tespit Artıyor… Şimdilik

Ancak küçük de olsa bir umut ışığı var. Kuruluşlar, kötü niyetli faaliyetleri şirket içinde tespit etme konusunda daha iyi hale geliyor. 2025’te, soruşturmaların %52’si iç tespitle başladı; bu da 2024’teki %43’lük orandan kayda değer bir artış. Bu, tespit ve müdahale yeteneklerine yapılan yatırımların meyve vermeye başladığını gösteriyor. Ancak bu olumlu eğilim, artan kalış süreleri ve tehdit aktörlerinin saf uyum sağlama yeteneği tarafından gölgelenebilir. Bu bir yarış ve savunucular bazı alanlarda ilerleme kaydederken, düşmanlar özellikle tespit edilmeden operasyonları sürdürme yeteneklerinde diğer alanlarda hızla ilerliyor.

Yüksek Teknoloji Sektörü Yeni Finans Hedefi Oldu

Coğrafi olarak, yüksek teknoloji sektörü finans sektörünü geride bırakarak en çok hedef alınan endüstri haline geldi; olayların %17’si bu sektöre aitken finans sektörünün payı %14,6. Finans sektörünün son iki yıldır elinde tuttuğu birinciliği kaybetmesi, saldırganların muhtemelen fikri mülkiyet hırsızlığı, tedarik zinciri saldırıları veya teknoloji sektörünün kendi içindeki devam eden dijital dönüşüm çabalarıyla ilgili yeni sızma yolları aradığını gösteriyor.

🧬 İlgili İçgörüler

Sıkça Sorulan Sorular

Mandiant’ın M-Trends Raporu Neleri Analiz Ediyor?

M-Trends, Mandiant’ın geçen yıl dünya çapında gerçekleştirdiği 500.000 saatin üzerindeki ön cephe olay inceleme verilerini analiz ederek ortaya çıkan siber tehdit taktiklerini, tekniklerini ve prosedürlerini (TTP’ler) belirliyor.

Kuruluşum Vishing Saldırılarından Güvende mi?

Hiçbir kuruluş tamamen güvende değil. Vishing’in yükselişi, sosyal mühendislik taktikleri konusunda gelişmiş çalışan eğitimini, güçlü çağrı doğrulama protokollerinin uygulanmasını ve iletişim desenlerindeki anormallikleri tespit edebilen güvenlik çözümlerinin kullanımını gerektiriyor.

Siber Güvenlikte Kalış Süresi Neden Önemlidir?

Kalış süresi, bir saldırganın bir ağ içinde tespit edilmeden kaldığı süredir. Daha uzun bir kalış süresi, saldırganlara ayrıcalıkları yükseltme, veri sızdırma, kötü amaçlı yazılım dağıtma ve keşfedilip kaldırılmadan önce daha büyük hasara neden olma fırsatı tanır.

Written by
Threat Digest Editorial Team

Curated insights, explainers, and analysis from the editorial team.

#cyber-threats #dwell-time #m-trends-2026 #mandiant #ransomware #vishing
More in Threat Intelligence →

Worth sharing?

Get the best Cybersecurity stories of the week in your inbox — no noise, no spam.

Originally reported by Mandiant Blog

Related Stories