Fidye yazılımına nasıl hazırlanılır

REvil ve Ryuk gibi son fidye yazılımı kampanyaları, saldırının otomatik olarak yayılmak yerine bir operatör tarafından kontrol edildiği “insan tarafından işletilen fidye yazılımı” haline geldi. Bu tür saldırılar, erişim elde etmek için genellikle iyi bilinen güvenlik zayıflıklarından yararlanır.

Örneğin, son zamanlardaki bir dizi fidye yazılımı olayının, kötü yapılandırılmış veya savunmasız uzak masaüstü protokolü (RDP) yapılandırmaları veya zayıf kimlik ve erişim yönetimi (IAM) uygulamalarıyla başladığı düşünülmektedir. Daha önce güvenliği ihlal edilmiş kimlik bilgileri de sistemlere erişim sağlamak için kullanılıyor. Bunlar, ilk erişim aracıları veya diğer karanlık web veri dökümleri aracılığıyla elde edilebilir.

İçeri girdikten sonra, saldırgan ağda dolaşacak, değerli verileri belirleyecek ve kullanılan güvenlik kontrollerini değerlendirerek genellikle uç nokta koruma araçlarını devre dışı bırakacak ve yedekleri silecektir. Ardından, veriler tanımlandığında, yüklenebilir ve daha sonra gasp (doxxing) için kullanılabilir ve verileri şifrelemek için fidye yazılımı başlatılır.

Kötü niyetli etkinliğin ilk kanıtı ile fidye yazılımının dağıtımı arasındaki medyan bekleme süresi beş gündür. Amaç, fidyenin ödenme olasılığını en üst düzeye çıkarmaktır; bu, genellikle, fidyenin hızlı bir şekilde ödenmemesi durumunda saldırının verileri herkese açık hale getirme tehditleri içerdiği anlamına gelir.

Hazır ol

Kötü aktörlerin finansal kazançlar tarafından motive edildiğini biliyoruz ve ek potansiyel gelir kaynakları için sızdırılan verileri madencilik yaptıklarına dair kanıtlar görmeye başlıyoruz.

Uzun yıllardır, siber güvenlik topluluğu bunun bir “eğer” saldırıya uğrayacağınızı değil, “ne zaman” olacağını söylüyor. Hal böyle olunca, tüm bu aşamaları incelemek ve bir olaya karşı savunmaya ve olayı önlemeye hazırlanmak için yeterli zaman ve çabanın ayrılmasını sağlamak ve aynı zamanda gerekli tespit, müdahale ve kurtarma faaliyetlerini yürütmek önemlidir.

BT güvenlik liderleri, bir fidye yazılımı saldırısının başarılı olacağı varsayımı altında çalışmalı ve kuruluşun bunu mümkün olduğunca erken tespit etmeye ve mümkün olduğunca çabuk kurtarmaya hazır olmasını sağlamalıdır. Bir fidye yazılımı saldırısını hızlı bir şekilde tespit etme ve kontrol altına alma yeteneği, neden olunan herhangi bir kesinti veya kesinti üzerinde en büyük etkiye sahip olacaktır. İlk ve en yaygın soru şudur: fidye ödenmeli mi? Sonuçta, bu bir ticari karar olmalıdır.

Yasal tavsiye ile bir yönetici veya yönetim kurulu düzeyinde yapılması gerekir. Kolluk kuvvetleri, suç faaliyetlerini sürdürmeyi teşvik ettiği için ödeme yapmamanızı tavsiye eder. Bazı durumlarda, fidyeyi ödemek, suç faaliyetlerini finanse ettiği için yasa dışı olarak görülebilir. Ne olursa olsun, tartışmanın gerçekleşmesi gerekiyor.

Bir fidye yazılımı olayı sırasında kolluk kuvvetleriyle çalışan ve işleri için en iyi seçenek olduğu için ödeme kararı veren birkaç kuruluş örneği vardır. Yakın zamanda yapılan bir anket, şirketlerin %46’sının nihayetinde fidye ödediğini ortaya koydu.

Ödemenin dikkate alınması gerekiyorsa, CEO’yu, yönetim kurulunu ve kilit operasyonel personeli içeren bir yönetişim ve yasal süreç oluşturmak önemlidir. Kuruluşların kötü aktörlerle rehberlik etmeden pazarlık yapmaları önerilmez. Bu genellikle bir üçüncü taraf müzakere hizmeti sağlayıcısı tarafından yapılır. Birincil müzakereci olmanın yanı sıra, ödemeleri kolaylaştırma ve çoğu durumda işletmenin kripto para birimini sürdürme gereksinimini ortadan kaldırma yeteneğine de sahiptirler.

Yedekleme ve kurtarma

İyi bir yedekleme süreci ve stratejisi, fidye yazılımlarından sonra veri kurtarma için birincil savunma hattıdır. Yedekleme çözümünün fidye yazılımı saldırılarına karşı dayanıklı olduğundan emin olun ve yedeklemelerin durumunu ve bütünlüğünü sürekli olarak izleyin. Özellikle, çoğu yedekleme tedarikçisi, yedeklerin veya değişmez anlık görüntülerin değişmez ikincil kopyalarını oluşturmak için bir mekanizma sağlar.

Kurtarma, verileri geri yüklemenin ötesine geçer. Fidye yazılımı, fidye yazılımı notu ile bir makineyi etkili bir şekilde kilitler ve makineleri bilinen iyi bir duruma geri yüklemek, verileri geri yüklemekten daha karmaşık olabilir. Uç noktaları altın bir görüntüye geri yüklemek için araçlara ve işlemlere sahip olmak, kurtarma süresini hızlandırabilir.

Bazı kuruluşlar, uzak ve denizaşırı konumlar için USB cihazlarına başvurur. Gartner bazen müşterilerin bir makineyi temizlemeye veya geri yüklemeye çalışmadığını bile görüyor. Bunun yerine, fidye yazılımı olayı, donanımı yenilemek için bir neden olarak görülüyor. Süreç ne olursa olsun, eksiklikleri ortaya çıkarmak için düzenli olarak simüle edilmelidir.

Kullanıcı antremanı

Güvenlik hijyeni, “insan tarafından işletilen” fidye yazılımlarına karşı korunmak için kritik öneme sahiptir ve tüm organizasyonun bütünsel bir görünümü gereklidir. Eğitimi güçlendirmek için düzenli uyarılar ve güvenlik “bültenleri” ile kullanıcıları görülen saldırı türleri konusunda sürekli olarak eğitin. Düzenli olarak tekrarlanan basit bir dizi güvenlik mesajı oluşturun. Uyarıcı bir kullanıcının sosyal mühendisliğe düşme olasılığı daha düşük olmakla kalmaz, aynı zamanda erken uyarı işlevi de görebilir.

Kullanıcıların, özellikle kötü niyetli e-postaları nasıl tespit edecekleri konusunda düzenli olarak eğitilmelerini sağlayın. Şüpheli e-postaları bildirmek için kolay bir mekanizma sağlayın ve bunu kullanıcının doğru şeyi yaptığına dair onayla güçlendirin. E-posta güvenliğini kapsayan M-SOAR veya genişletilmiş algılama ve yanıt (XDR) gibi e-posta odaklı güvenlik düzenleme otomasyonu ve yanıt (SOAR) araçlarını düşünün. Bu, e-posta saldırılarına verilen yanıtı otomatikleştirmenize ve iyileştirmenize yardımcı olacaktır.

Kaçınılmaz olarak, fidye yazılımı savunmanızı ve uygulanan korumaları geçebilir. O zaman, olayı ne kadar çabuk tespit edebildiğiniz meselesi haline gelir. Koruma için açıklanan araçların çoğu, algılama için verileri ve telemetriyi de sağlayacaktır.

Özellikle, uç nokta algılama ve yanıt (EDR) ve ağ algılama ve yanıt (NDR) araçları, bir saldırının “yolda olabileceğini” gösterebilecek anormal davranışlara karşı sizi uyaran tehlike göstergelerini (IOC’ler) ve olayları toplar. EDR ayrıca, güvenliği ihlal edilmiş hesaplar ve ayrıcalıklar toplanırken saldırının sessiz kaldığı “oyuklanma”nın belirlenmesine de yardımcı olabilir.

Bu IOC’leri ve olayları anlamak, yorumlamak ve araştırmak daha yüksek düzeyde uzmanlık gerektirir. Bu, giderek artan bir şekilde bir EDR çözümünün parçası olarak veya daha geniş bir yönetilen algılama yanıtı (MDR) çözümü olarak satın alınmaktadır. Bu hizmetleri kullanmak, kendi güvenlik operasyon merkezlerini (SOC’ler) işletecek personele veya becerilere sahip olmayan kuruluşlar için faydalı olabilir. Kuruluşları bu saldırılara karşı korumak, uç nokta korumasının ötesine geçer ve birçok farklı güvenlik aracını ve kontrolünü kapsar.

Bir fidye yazılımı saldırısı tespit edildiğinde, etkiyi en aza indirmek çok önemlidir. En yaygın teknik izolasyondur. Çeşitli izolasyon teknikleri vardır ve birçok EDR aracı, olaya müdahale edenlerin makineleri ağın geri kalanından yalıtırken iyileştirmenin gerçekleştirilmesine yönelik uzaktan erişime izin vermesini sağlamak için cihaz üzerinde izolasyon işlevi sağlar.

Ağ tabanlı izolasyon daha çok kör bir araçtır ve donanım düzeyindeki MAC adresine dayalı olarak şüpheli cihazların yasaklanmasını gerektirir (dolayısıyla olgun varlık yönetiminin önemi). Bu, şirket içi ağ anahtarlarına, sanal özel ağlara (VPN’ler), ağ erişim denetimine (NAC) ve kuruluşun Wi-Fi erişim noktalarına uygulanır. Çoğu zaman bu, ağ kablolarını çılgınca çekme süreci haline gelir. Ancak bu, düzeltme için cihazlara fiziksel erişim gerektirdiğinden kurtarma aşamasını yavaşlatabilir.

Ek koruma

Güvenli e-posta ağ geçitleri (SEG’ler) ve güvenli web ağ geçitleri (SWG’ler), ek koruma katmanları sağlayabilir. Web izolasyonu gibi teknolojiler de etkiyi sınırlayabilir. Gartner, kurumsal ağ üzerinden yanal hareketi önlemek için savunmasız RDP bağlantı noktalarındaki delikleri bulmak için penetrasyon testinin kullanılmasını da önerir.

Güvenlik bilgileri olay yönetimi (SIEM) ve NDR, erken algılama sağlamaya yardımcı olabilir. Aldatma araçları da etkili olabilir. Bu, gerçekte hiç kullanılmayan sahte yönetici hesapları kurmak kadar basit olabilir, böylece kullanılmaya çalışılırsa bir uyarı gönderilebilir. Aldatma platformları ve bal küpleri gibi diğer cazibe türleri de fidye yazılımı savunma stratejisinin bir parçası olarak kullanılabilir. İzleme araçları, depolama şifrelemesinin ne zaman tetiklendiğini veya önemli veri hırsızlığı olayları olduğunda belirleyebilir.

Fidye yazılımı, etkilenen kuruluşları bir geri sayım sayacına koyması bakımından diğer herhangi bir güvenlik olayından farklıdır. Karar verme sürecindeki herhangi bir gecikme ek risk getirir. Gartner, kuruluşların bir fidye yazılımı oyun kitabı geliştirmelerini önerir. “Ödeme/ödememe” kararı verme konusunda rehberlik dahil edilmelidir. Fidye yazılımı anlaşma şirketleri gibi üçüncü taraf hizmetlerin de tanımlanması ve gerekli iletişim bilgilerinin kullanıma sunulması gerekir. Ayrıca, fidye yazılımı talebine göre kalan yanıt süresini izlemek için bir zaman tutucu rolüne ihtiyaç vardır.


Bu makale, Gartner’ın “Fidye yazılımı saldırılarına nasıl hazırlanılır” raporundan bir alıntıya dayanmaktadır. Paul Furtado, Gartner’da başkan yardımcısı analistidir. Furtado, Barselona’daki son Gartner Sempozyumu’nda fidye yazılımı saldırılarındaki değişikliklere hazırlanmak hakkında konuştu.

Read Previous

Çevrimiçi dolandırıcılık kurbanlarının her biri ortalama 1.000 £ kaybeder

Read Next

Fidye yazılımları konusunda şeffaf olalım

Leave a Reply

E-posta hesabınız yayımlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir

organik hit - iş fikirleri -