Fidye Yazılım Koruması: Fidye Yazılım Saldırıları Nasıl Önlenir?
Fidye yazılımlarını önlemenin en iyi yolu, aynı zamanda herhangi bir kötü amaçlı yazılım bulaşmasını önlemenin en iyi yoludur – en iyi güvenlik uygulamalarını uygulamak. Elbette, en iyi uygulamalar kolay olsaydı, hiçbir fidye yazılımı saldırısı gerçekleşmezdi.
Tüm kuruluşlar, en hazırlıklı olanlar bile, bir dereceye kadar fidye yazılımı saldırılarına karşı savunmasız olacaktır. En dayanıklı kuruluşlar, yalnızca fidye yazılımı saldırılarını, bulaşmaların oluşmasını önlemek için güvenlik uygulayarak engellemekle kalmamalı, aynı zamanda başarılı saldırıların zararını sınırlamak için stratejiler kullanmalı, ekipleri potansiyel bulaşmalara karşı anında uyarmalı ve saldırılara etkili bir şekilde tepki vermelidir.
Fidye Yazılımı Nedir: Kısa Versiyon
Fidye yazılımı terimi, verileri şifrelemeyi ve ardından bir şifre çözme anahtarı karşılığında veri fidyesini elde tutmayı amaçlayan çok çeşitli saldırılar ve araçlar için geçerlidir . Saldırganlar son birkaç yılda saldırılarını, fidye talebi ödenmediği takdirde kurbanın verilerinin kamuya açıklanmasını tehdit eden veri hırsızlığı ve şantaj planlarını içerecek şekilde geliştirdi. Fidye yazılımı saldırıları her hafta, hükümetler, okul bölgeleri, fidye yazılımı operasyonlarını kesintiye uğrattıktan sonra saldırıları kabul etmek zorunda kalan sağlık hizmeti sağlayıcıları ve özel şirketler. Sağlık hizmeti fidye yazılımı saldırıları, hasta ölümleriyle bile ilişkilendirilmiştir.
Saldırganların çoğu zorla para almak için genellikle fidye yazılımı kullanırken, bazı saldırganlar bunun yerine aşağıdakiler gibi diğer saldırı türlerini kamufle etmek için fidye yazılımı kullanır:
Rus bilgisayar korsanları , Ukrayna’da iş yapan şirketlere karşı 2017 NotPetya fidye yazılımı saldırısını gerçekleştirdi. Fidye ödenemezdi, kötü amaçlı yazılım yalnızca operasyonları aksatmaya çalıştı.
Kuzey Koreli Lazarus grubu , Uzak Doğu Uluslararası Tayvan Bankası’ndan para çalmaya yönelik 2017 girişiminde adli delilleri silmek için fidye yazılımı kullandı.
Saldırganlar , Japon şirket kurbanları içindeki saldırganların gerçek hedeflerini silmek ve gizlemek için kritik varlıklar üzerinde ONI fidye yazılımını kullanır.
Son zamanlarda, fidye yazılımı çeteleri daha hızlı hareket etmeye ve şifreleme sürecine odaklanan tespitlerden kaçınmaya çalışıyor. Bu saldırılar teknik olarak artık fidye yazılımı olarak sayılmasa da, işletmelerin, hırsızlıktan sonra verileri bozmaya çalışan veya çalıntı verileri sızdırma tehdidine dayalı olarak işletmeleri basitçe gasp etmeye çalışan benzer saldırılara karşı korunmaları gerekiyor.
Ransomware Nasıl Belirlenir
Bir işletmeye girdikten sonra, kötü niyetli bilgisayar korsanları birçok türde kötü amaçlı yazılım dağıtabilir veya sistemlere birçok farklı şekilde saldırabilir. Birçok kurban için, bir fidye yazılımı saldırısını ancak verileri şifrelendikten ve fidye notları bulunduğunda tanırlar, tıpkı aşağıdaki kötü şöhretli REvil fidye yazılımı grubundan gelen ekran ve metin mesajlarında olduğu gibi (Kaynak: Arista Networks ve Qualys).
Fidye yazılımı saldırılarını sürecin başlarında yakalamaya çalışırken, savunucular aşağıdakiler gibi uzlaşma göstergelerini izler:
E-posta, uç nokta , güvenlik duvarı veya ağ izleme yazılımı tarafından yakalanan virüsler veya kötü amaçlı yazılım imzaları gibi bilinen kötü amaçlı yazılımlar
Büyük miktarlarda ortamın dışına kopyalanan veriler
Yerel veya ağ yedeklerini silme girişimleri
Verilerin aktif şifrelemesi
Bilgisayar korsanlığı araç setlerini indirme veya yürütme girişimleri
Olağandışı PowerShell kullanma girişimleri
Basit fidye yazılımı saldırıları, kendisini ağlar aracılığıyla yaymak ve fidye yazılımını yürütmek için yarı otomatik kötü amaçlı yazılım kullanır. Sofistike saldırılar, komut ve kontrol sunucularını, PowerShell komutlarını ve kötü amaçlı yazılım ve standart araçların kötü niyetli kullanımıyla birlikte saldırganlar tarafından ağın aktif olarak keşfedilmesini kullanır.
Fidye Yazılımlarına Karşı Savunmasız mıyım?
Herkes fidye yazılımlarına karşı savunmasızdır.
Eğitim miktarı ne olursa olsun, insanlar kimlik avı e-postalarına tıklamaya ve güvenlikte delikler açmaya devam ediyor. Dağıtılan güvenlik katmanlarının kalitesi veya miktarı ne olursa olsun, sıfır gün güvenlik açıkları , dağıtım hataları ve insan hatası, saldırganların hevesle yararlanacağı güvenlik açıkları oluşturabilir.
Sorulması gereken etkili sorular şunlar olmalıdır:
Fidye yazılımı bulaşmasını önlemek için kuruluşta ne var?
Başarılı bir saldırının zararını sınırlamak için kuruluşun elinde ne var?
Kuruluşun enfeksiyona karşı uyarmak için neleri var?
Kuruluşun bir saldırıya tepki vermek için elinde ne var?
Bu soruları inceleyeceğiz ve sonraki bölümlerde uygun cevaplar için önerilerde bulunacağız.
Fidye Yazılımını Önleme Tamamen Minimum
Olası tüm BT güvenliği en iyi uygulamalarını uygulamak, birçok kuruluşun kaynaklarının ötesindedir, ancak küçük kuruluşlar bile hizmet olarak yazılımı (SaaS) benimseyen açık kaynaklı araçlar aracılığıyla önemli sayıda en iyi uygulamayı düşük maliyetle uygulamanın yollarını bulabilir. ürünlerle veya aşağıdakiler gibi hizmet sağlayıcılarla bağlantı kurarak:
Yönetilen güvenlik hizmeti sağlayıcıları (MSSP’ler);
Yönetilen BT hizmet sağlayıcıları (MSP’ler);
Yönetilen algılama ve yanıt (MDR) satıcıları.
En sınırlı kaynaklara sahip en küçük kuruluşlar, en azından etkili yedeklemeler ve uç nokta koruma yazılımı uygulamalıdır. Bu kombinasyon, birçok fidye yazılımı bulaşmasını önleyecek ve şirketin başarılı olanlardan olabildiğince çabuk kurtulmasını sağlayacaktır.
Fidye Yazılımı Bulaşmasını Önleme En İyi Uygulamaları
Fidye yazılımı önleme, bir saldırganın veya kötü amaçlı yazılımın kuruluşun güvenli alanlarına girmesini önlemek için güçlendirici güvenlik katmanları oluşturmayı gerektirir. Bu stratejinin temel bileşenleri, cihazları korumayı, yaygın bulaşma vektörlerini engellemeyi, insan hatasını en aza indirmeyi ve güvenlik açıklarını kontrol etmeyi amaçlar.
Güvenli Cihazlar
Birçok fidye yazılımı saldırısı uç noktada başlar. Etkili uç nokta güvenliği, fidye yazılımı saldırılarının başlatılması veya tespit edilmekten kaçınma zorluğunu artırmak için güvenlik katmanları eklemek üzere derinlemesine savunma uygular.
Uç Nokta Güvenliği: Antivirüs, yerleşik fidye yazılımı kötü amaçlı yazılımlarına karşı temel düzeyde koruma sağlar. Bununla birlikte, yeni değişkenlere veya yeni kötü amaçlı yazılımlara karşı daha iyi savunma yapmak için kuruluşlar, yeni nesil antivirüs (NGAV) veya uç nokta algılama ve yanıt (EDR) araçlarına geçmeyi düşünmelidir.
Çok Faktörlü Kimlik Doğrulama (MFA): Active Directory (AD) ve Etki Alanı Adı Sistemleri (DNS) gibi önemli uygulamaları veya hizmetleri barındıran sunucular gibi kritik kaynaklar, kullanıcının kimliğini doğrulamak için birden çok faktör ve yöntemle korunmalıdır.
Cihaz Yönetimi ve Kendi Cihazını Getir (BYOD) Kısıtlamaları: Cihazların envanterinin çıkarılması, izlenmesi ve ağa bağlanmasına izin verilmesi için belirli güvenlik kontrollerinin sürdürülmesi gerekir. Ağ erişim kontrolü (NAC) ve cihaz yönetimi çözümleri , diğer seçeneklerin yanı sıra yeterli antivirüs ve işletim sistemi güncellemelerine sahip cihazların güvenlik durumunu yetkilendirebilir ve doğrulayabilir.
Windows ve E-posta Ayarları: Yazılım, yürütülebilir dosyaların indirilmesine veya başlatılmasına izin vermek için engelleyecek veya ek yetki gerektirecek şekilde yapılandırılabilir. Benzer şekilde, Windows Komut Dosyası Sistemi, JavaScript kötü amaçlı yazılımlarına karşı bir savunma olarak devre dışı bırakılabilir.
Otomatik Çalıştırmayı Devre Dışı Bırak: Bağlı medya için otomatik çalıştırmayı devre dışı bırakın ve gerekmedikçe çıkarılabilir medyanın kullanılmasını engelleyin. Bu, kullanıcıları kötü amaçlı yazılım bulaşmış medyayı kullanmaları için kandırmaya çalışan saldırganları engelleyecektir.
Masaüstü Uzantılarını Yapılandırma: Windows varsayılandan değiştirilmelidir, böylece her zaman uzantıları görüntüler. Çalışanlar daha sonra .exe ve başlatılmaması veya indirilmemesi gereken diğer potansiyel olarak kötü amaçlı dosya türleri konusunda eğitilebilir.
PowerShell ve Hacking Yazılımı: Çoğu kullanıcı, bilgisayar korsanlığı araçlarını, PowerShell’in ne olduğunu veya bu araçları uygun şekilde nasıl kullanacaklarını bilmiyor . Bu araçların kullanımı kısıtlanmalı veya en azından hemen uyarılar oluşturulmalıdır. Beyaz liste , mobil cihaz yönetimi (MDM) veya yazılımı yalnızca resmi olarak onaylanmış yazılımlarla sınırlayan diğer araçlar da yetkisiz yazılımların başlatılmasını önlemeye yardımcı olabilir.
Güvenli Yaygın Enfeksiyon Vektörleri
Fidye yazılımı başlatılmadan önce ağa girmesi gerekir. Kuruluşların birincil enfeksiyon vektörlerine karşı savunma yapması gerekir.
E-posta Güvenliği ve Spam Filtreleri: Kötü amaçlı yazılım bulaşmalarının çoğu, kötü amaçlı bağlantılar ve eklerle yapılan kimlik avı saldırılarıyla başlar. Bulut tabanlı tehdit istihbaratı ile geliştirilmiş etkili bir spam filtresi birçok saldırıyı önleyebilir ve etkili DMARC, DKIM ve SPF e-posta güvenlik araçlarının uygulanması daha da fazlasını engelleyebilir. E-posta ağ geçitleri , bir başka etkili ilk savunma hattıdır.
Korumalı Alan Testi: Bazı e-postalar karantinaya alınabilir ve diğer e-postalar filtrelemeden kaçabilir, ancak kullanıcılar veya e-posta güvenlik araçları, potansiyel olarak kötü amaçlı ekleri işaretleyebilir. Güvenlik ekipleri , dosyayı incelemek ve kullanıcının açmasının güvenli olup olmadığını doğrulamak için bir korumalı alan kullanarak bu dosyaları inceleyebilir.
Makroları Devre Dışı Bırakma: Microsoft artık Office Makrolarını varsayılan olarak devre dışı bırakıyor ancak bazı şirketler hâlâ eski dosyaları kullanıyor olabilir. Makrolar yalnızca onlara kesinlikle ihtiyaç duyan kullanıcılar için etkinleştirilmelidir ve kullanıcılar yalnızca güvenilen dosyalarda makroları etkinleştirmelidir.
Kötü Amaçlı Web Sitelerini Engelleyin: Kimlik avı e-postaları, kötü amaçlı sitelere bağlantılar içerebilir veya kötü amaçlı yazılım, ek kötü amaçlı yazılım indirmek için kötü amaçlı sitelerle iletişim kurabilir. Bilinen kötü amaçlı web siteleri, güvenlik duvarlarındaki alan adı filtreleme özellikleri , web ağ geçitleri veya DNS stratejileri aracılığıyla engellenebilir.
Tarayıcı Güvenliği: Kullanıcılar, kimlik avı saldırıları yoluyla kötü amaçlı web sitelerini veya meşru web sitelerine yerleştirilen reklamları ziyaret etmeye özendirilebilir. Tarayıcı güvenliği, açılır reklamları otomatik olarak engelleyebilir ve yalnızca geçerli güvenlik sertifikalarına sahip web siteleriyle bağlantılara izin verebilir. Web’de gezinmek için bir sanal alan işlevi gören tarayıcı yalıtımı kullanılarak daha da fazla güvenlik sağlanabilir.
Güvenli Uzak Bağlantılar: Saldırganlar genellikle Uzak Masaüstü Protokolü (RDP) ve Sanal Özel Ağ (VPN) bağlantılarındaki açıklardan yararlanır. RDP devre dışı bırakılmalı ve VPN sağlamlaştırılmalı ve iyi korunmalıdır (tamamen yamalı, düzenli olarak yükseltilmeli, vb.). Bulut teknolojileri, uzaktaki kullanıcıların güvenliğini sağlamak için Sanal Masaüstü Arabirimleri (VDI’lar) ve diğer yöntemler bile sunar.
Güvenlik Duvarı ve Güvenli Ağ Geçidi Güvenliği: Güvenlik duvarları ve güvenli ağ geçitlerindeki gelişmiş güvenlik ayarları, kötü amaçlı URL’leri filtrelemek, kötü amaçlı ekleri engellemek, şüpheli ağ trafiğini karantinaya almak ve şüpheli veya anormal trafik uyarıları oluşturmak için kullanılabilir. Bu araçların inceleme özellikleri, e-posta ve tarayıcı güvenliği için bir güvenlik katmanı eklemeye de yardımcı olur.
Güvenli İnsanlar
Çoğu fidye yazılımı saldırısı, bir kullanıcının kötü amaçlı yazılım başlatan veya kötü amaçlı web sitelerine yönlendiren e-posta kimlik avına kapılmasıyla başlar. Kullanıcılara yönelik siber güvenlik eğitimleri ile “kötü tıklama” sayısı azaltılabilir . Bazı kullanıcılar potansiyel bir enfeksiyon kaynağı olmaya devam etse de eğitim, güvenliğin, kendilerini korumaya yardımcı olmak için ek güvenlik katmanlarına ihtiyaç duyan bu kullanıcıları tanımasına da yardımcı olabilir.
Saldırganlar, BT sistemlerine kapsamlı erişimleri nedeniyle BT yöneticisi kimlik bilgilerine değer verir. Yöneticiler, e-posta, web’de gezinme vb. gibi günlük görevler için ayrıcalıklı olmayan kimlik bilgilerini düzenli olarak kullanmalıdır. Ayrıcalıklı kimlik bilgileri, değerlerini ve uzlaşma fırsatlarını sınırlamak için dönem sınırlı olabilir ve yüksek oranda kısıtlanabilir.
Yama ve Bakım
Saldırganlar, açığa çıkan güvenlik açıklarından ellerinden gelen her şekilde hızla yararlanacaktır. Genellikle, bir güvenlik yamasının veya sıfırıncı gün güvenlik açığının duyurulmasının ardından, birkaç gün içinde ve bazen birkaç saat içinde bu açık zayıflığı hedef alan kötü amaçlı yazılım saldırıları yapılır.
Her büyüklükteki kuruluş için BT ekipleri, yazılım ve donanım güvenlik açıklarını derhal düzeltmeli ve hızlı bir şekilde yama uygulanamayan cihazları veya yazılımları korumak için azaltma uygulamalıdır. Saldırıları önlemek için en son güvenlik güncellemeleriyle (kötü amaçlı yazılım imzaları, kötü amaçlı URL’ler vb.) birlikte güvenlik yazılımı ve altyapısına yönelik güncellemelere de öncelik verilmelidir ve kuruluşlar nelerin güncelleneceğini bilmek için güncel varlık sistemlerini ve yazılım listelerini tutmalıdır.
Hataları Kontrol Et
En iyi planlar genellikle kötü uygulama veya basit bir hata nedeniyle farkında olmadan sabote edilir. Kuruluşların , güvenlik yığınının tüm katmanlarının herhangi bir güvenlik açığı veya yanlış yapılandırma tespit edilmeden beklendiği gibi çalıştığını doğrulamak için güvenlik açığı taramaları ve sızma testleri ile sistemlerini düzenli olarak kontrol etmesi gerekir .
Fidye Yazılımı Hasar Sınırlaması En İyi Uygulamaları
En iyi güvenlik araçları, insan hatası, yanlış yapılandırmalar ve sıfırıncı gün güvenlik açıkları tarafından hâlâ atlatılabilir. Ancak etkili BT tasarımı ve temel güvenlik ilkeleri, fidye yazılımının etkinliğini sınırlamak ve yayılmasını yavaşlatmak için uygulamaya konulabilir.
Veri Şifreleme
Birçok fidye yazılımı saldırısındaki temel taktiklerden biri, bu verileri halka veya rakiplere ifşa etme tehdidiyle şirketlere zorla veri hırsızlığı yapmaktır. Bu tehdidin etkinliği, hassas verilerin ve hatta kuruluştaki tüm verilerin şifrelenmesiyle önemli ölçüde azaltılabilir. Ancak, fidye yazılımı saldırganları tarafından çalınmasını önlemek için şifreleme anahtarlarının da yönetilmesi ve korunması gerekir.
Yedeklemeler ve Çevrimdışı Yedeklemeler
Bir fidye yazılımı saldırısının bir kuruluş için neden olabileceği hasar , sık sık değiştirilemez yedeklemeler gibi olağanüstü durum kurtarma çözümlerinin bakımı ile sınırlandırılacaktır . Çoğu fidye yazılımı saldırganı, yedeklemeleri yok etmeye ve sistemler için geri yükleme noktalarına çalışır, bu nedenle yedeklemenin en az bir sürümü çevrimdışı veya ağdan erişilemez durumda olmalıdır.
Geri yükleme tekniklerini uygulamak için yedekleme araçları ve süreçleri düzenli olarak test edilmelidir. Kuruluşlar ayrıca, yaygın bir fidye yazılımı saldırısı durumunda yedekleme sağlayıcısının uygun ölçekte çalışma kapasitesini de doğrulamalıdır.
Verilere ek olarak, yedeklemeler, tam sistem yedeğinin gerekli olması durumunda, tam işletim sistemini, kurulu yazılımları ve ayarları periyodik olarak almalıdır. Bulaşma öncesi verilerin ve işletim sistemlerinin geri yüklenmesinin yanı sıra uzun vadeli saldırıların adli soruşturmasına olanak sağlamak için yedekler altı aya kadar saklanmalıdır.
Segmentasyon ve Mikrosegmentasyon
Kullanıcılar için en az ayrıcalıklı ilkeler doğrultusunda, bir ağın yayılabileceği veya bir saldırganın yanal hareket gerçekleştirebileceği sınırlı boyutlu ağlar oluşturmak için cihazlar, segmentasyon ve mikro segmentasyon kullanılarak izole edilebilir. Uygulama düzeyinde katı ilkeler uygulayarak, segmentasyon ağ geçitleri, güvenlik duvarları, sıfır güven mimarisi ve yazılım tanımlı geniş alan ağı (SD-WAN) araçları , yaygın fidye yazılımı saldırılarını önleyebilir.
Varlıklara Öncelik Ver
Kuruluşlar, risk değerlendirmelerini kullanarak kuruluş için temel varlıkları ve verileri belirleyebilir ve bu önemli varlıklara ek korumalar veya uyarılar atayabilir.
Bir CASB Kullanın
Bulut erişim güvenliği aracıları (CASB’ler) , bulut kaynaklarının ve verilerin saldırılara karşı korunmasında ek görünürlük, uyumluluk, veri güvenliği ve tehdit koruması sağlar.
Fidye Yazılımı Bulaşma Uyarısı En İyi Uygulamaları
Kötü amaçlı yazılımların ağa girmesini önlemek için güvenlik ekiplerinin tüm çabalarına rağmen, basit bir hata fidye yazılımının bulaşmasına neden olabilir. Fidye yazılımı saldırısının kuruluşa zarar verme yeteneğini sınırlandırmak için, güvenlik ekiplerinin kötü amaçlı faaliyetlerle ilgili uyarılar alması ve bu uyarıları tanıma ve bunlara göre hareket etme kapasitesine sahip olması gerekir.
Güvenlik Aracı Uyarıları: Güvenlik araçları ( uç nokta algılama ve müdahale, izinsiz giriş tespit/önleme sistemleri, ağ tespit ve müdahale, güvenlik duvarları, vb.) kötü amaçlı, potansiyel olarak kötü niyetli ve anormal faaliyetler için güvenlik ekibine uyarı gönderecek ve bunları algılayacak şekilde yapılandırılmalıdır.
Segmentasyon İzleme: Birçok güvenlik ekibi yalnızca ağ ile dış ortam arasında izleme yapar. Yüksek değerli ağ segmentleri de segmente özel güvenlik duvarları ve benzeri kontrollerle izlenmeli ve kontrol edilmelidir.
Veri Uyarıları: Güvenlik ekipleri, kötü amaçlı etkinliklere veya anormal büyük ölçekli kopyalamaya veya veri aktarımlarına ilişkin uyarılar oluşturmak için veri kaybı koruması (DLP) araçlarını veya kullanıcı ve varlık davranışı analitiği (UEBA) çözümlerini devreye alabilir.
Aldatma Teknolojisi: Kötü amaçlı faaliyet konusunda uyarıda bulunmak için bir işaret fişeği ateşlemenin bir yolu, saldırganları alarm vermeye ikna etmek için bal küplerini ve diğer aldatma teknolojilerini kullanmaktır.
Aktif İzleme: En iyi güvenlik araçlarından alınan en iyi uyarılar, bu uyarıları izleyen kimse yoksa yine de ciddi sorunlara yol açabilir.
Etkili güvenlik , uyarıyı hızlı bir şekilde tanımak ve harekete geçebilmek için güvenlik bilgileri ve olay yönetimi (SIEM) araçlarının , güvenlik operasyon merkezlerinin (SOC) , yönetilen algılama ve yanıtın (MDR) ve özenli güvenlik uzmanlarının kullanılmasını gerektirir. Bu profesyonellerin ayrıca, aksi takdirde zaman kaybına neden olabilecek ve yanlış pozitif uyarıların gürültüsünde kritik uyarıları kaybedebilecek yanlış alarmları en aza indirmek için araçlarda ince ayar yapmaları gerekecektir.
Fidye Yazılımı Tepkisi En İyi Uygulamaları
Gelişmiş araçlar, virüslü cihazları karantinaya almak veya kötü amaçlı yazılımın çalışmasını engellemek için otomatik eylemde bulunmak üzere yapılandırılabilir. Ancak, diğer saldırılar yalnızca uyarılar oluşturabilir.
Bir fidye yazılımı uyarısı algılandıktan sonra, olay müdahale ekiplerinin fidye yazılımı saldırısının verileri yaymasını veya verileri şifrelemesini önlemek için tepki vermek için çok az zamanı olacaktır. Bu makalenin başında bir fidye yazılımı saldırısından kurtulmak için bir dizi kaynak listeliyoruz, ancak kısa versiyon:
Olay Müdahalesi
Güvenlik ekibinin olay müdahalesini gerçekleştirmek için atanmış uzmanları veya sözleşmeli satıcıları olması gerekir . Bu ekipler, gerçek bir olaya anında yanıt verebilmek için bir fidye yazılımı saldırısına yanıt vermek üzere bir oyun kitabı geliştirmeli ve uygulamalıdır. Olay müdahale ekibinin tepkisi şunları içerebilir:
Olay müdahale araçları soruşturma ve kurtarmada yardımcı olabilir, ancak ekiplerin hızlı, güvenli ve etkili bir şekilde hareket etmelerini sağlamak için ekiplerin yerel ortamda kullanımları konusunda önceden pratik yapmaları gerekir.
Uç nokta izolasyonu, belirli cihazlara yönelik saldırıları içerebilir ve ağ boyunca yayılmasını önleyebilir.
Saldırı zaten ağ içindeki birden fazla cihaza yayılmışsa ağ izolasyonu gerekebilir.
Diğer yöntemlerle kontrol altına alınamayan büyük saldırılarda, cihazların tamamen kapatılması veya fiziksel olarak bağlantısının kesilmesi garanti edilebilir. Bu en yıkıcı tepkidir, dolayısıyla bu eylem hafife alınamaz.
Adli Analiz
Herhangi bir fidye yazılımı tespit edildikten sonra , giriş nokta(lar)ı, ortamdaki süre, etkilenen sistem(ler), dışarı sızan veriler ve bozulan veriler hakkında bir araştırma yapılması gerekir. Kuruluş, yalnızca soruşturma tamamlandıktan sonra fidye yazılımı saldırısının kontrol altına alındığını onaylayabilir.
Fidye Yazılımı Tarafından Saldırıya Uğradığında Ne Yapmalı?
İdeal olarak, fidye yazılımı tepkisi en iyi uygulamaları, olay müdahale uygulamasının hızlanmasına ve hızlı bir çözüme yol açmasına olanak tanır. Olay müdahale planları olmayan kuruluşlar için genel adımlar şunları içermelidir:
İlk Telefon Görüşmeleri
Siber Güvenlik Sigortası Sağlayıcısı: Siber güvenlik sigortası poliçeleri, genellikle kuruluşların sigorta şirketi tarafından teminat kapsamına alınabilmesi için şart koşulan satıcıları kullanmasını gerektirir. Kuruluş sigorta kapsamına girmeyi planlıyorsa, ilk çağrı sigortacı olmalıdır.
Olay Müdahalesi veya Fidye Yazılımı Kurtarma Uzmanları : Kuruluşun kurum içi uzmanlığı yoksa, fidye yazılımı saldırılarını araştırma, kontrol altına alma ve düzeltme konusunda deneyimli uzmanlar çağırmalıdır.
Diğer Paydaşlar: Olaya müdahale ve olağanüstü durum kurtarma politikaları, bir olay durumunda temasa geçilmesi gereken kuruluşun yöneticilerinin, yönetim kurulu üyelerinin, kolluk kuvvetlerinin ve hukuk müşavirlerinin güncel listelerini içermelidir. Bu taraflar, durumu çözmek için gerekli olabilecek olağandışı adımlara ve masraflara izin vermeleri gerekebilir.
Fidye Yazılımı Tepkisi En İyi Uygulamalarını Uygulayın
Yukarıda belirtildiği gibi, ilk adımlar saldırıyı kontrol altına almak ve ardından kötü amaçlı yazılımı durdurmak olacaktır. Saldırı kontrol edildikten sonra, olay müdahale ekibinin, saldırının tekrarını önlemek için tüm kötü amaçlı yazılımları, sistem arka kapılarını veya diğer saldırı izlerini ortadan kaldırmak için sistemler üzerinde adli bir araştırma yapması gerekecektir.
Verileri Kurtar
Sistemlerin temizlendiği doğrulandıktan sonra, kuruluş kurtarma sürecini başlatabilir.
Sürüm Geri Yükleme: Bazı basit fidye yazılımı saldırıları, sistem geri yükleme sürümünü olduğu gibi bırakır ve kurtarma ekibinin sistemi önceki bir sürüme geri döndürmesini sağlar. Bu, nadiren mümkün olacak en iyi durum senaryosudur.
Yedeklemeden Geri Yükleme: İyi bir sistem ve veri yedeklemesine sahip kuruluşlar, uygulanması en hızlı yol olabileceği için muhtemelen bu rotayı izlemek isteyeceklerdir. Ancak, sistem için bilinen son “iyi” durum geçmişte hatırı sayılır bir zaman geçmişse, kurtarma ekibinin iki seçeneği karşılaştırması gerekecektir:
İşletim sistemini (OS) ve verileri geri alın ve o zamandan beri tüm düzeltme eklerini ve güncellemeleri gözden geçirin ve verileri ayrı olarak geri yükleyin.
İşletim sistemini ve yazılımı sıfırdan yeniden yükleyin ve ardından verileri geri yükleyin.
Şifre Çözme Girişimleri: Kullanılabilir yedekleri olmayan kuruluşların verilerin şifresini çözmeye çalışması gerekecektir . Ne yazık ki, şifre çözmenin iyi bir başarı oranı yoktur ve kritik veriler genellikle kaybolur.
Etkinlik Sonrası Analiz ve Öneriler
Sistemler ve veriler başarılı bir şekilde kurtarıldıktan sonra, kuruluş aşağıdakileri gerçekleştirmek için bir olay sonrası inceleme yapmalıdır:
Tekrarlanan bir olayı önlemek veya hafifletmek için nedeni ve kontrolleri değerlendirin.
Olay müdahale sürecini gözden geçirin ve olası ayarlamalar veya iyileştirmeler önerin.
Ek eğitimin geliştirilip kullanıcılara veya siber güvenlik personeline sağlanması gerekip gerekmediğini belirleyin.
Yöneticilere ve paydaşlara verilen zararları, düzeltme maliyetlerini, gelecekteki saldırıları önlemek için atılan adımları ve daha fazla kontrol için tavsiyeleri özetleyen raporlar geliştirin ve onaylayın.
Sonuç olarak: Etkili Hazırlık, En İyi Fidye Yazılımı Korumasıdır
Fidye yazılımı saldırganları gelişmeye ve becerilerini geliştirmeye devam ediyor. Bazı saldırılar, özellikle kararlı ve yetenekli saldırganlar tarafından kaçınılmaz ve kaçınılmaz olabilir. Ancak BT ortamlarının saldırıları zorlaştıracak ve sıkıcı hale getirecek şekilde sertleştirilmesi, aktif saldırganların daha kolay fırsat hedeflerine öncelik vermesine neden olabilir.
Olumsuz tanıtım tehdidiyle ve genellikle kurtarılamayan verilerle karşı karşıya kalan teknik olmayan yöneticiler ve yönetim kurulu üyeleri, genellikle güvenlik ekiplerinden veya hizmet sağlayıcılarından fidye yazılımlarını ve kuruluşlarının fidye yazılımı saldırılarını nasıl önleyebileceğini açıklamalarını ister.
Güvenlik uzmanları fidye yazılımları hakkında kitapların tamamını yazabilirken, yöneticilerin anlamayabilecekleri kısaltmalar, ıvır zıvır şeyler veya teknik ayrıntılar içermeyen bir dilde temel bilgileri sağlayan özlü, üst düzey bilgilere ihtiyacı vardır.
BT yöneticilerinin, fidye yazılımı saldırılarına karşı en iyi korumanın etkili hazırlık olduğunu açıklaması gerekir. BT ortamlarında erişimi sınırlayan, etkili güvenlik araçları uygulayan, saldırı belirtileri için uyarıları izleyen ve hızla yanıt veren kuruluşlar, fidye yazılımı saldırılarından kaynaklanan zararı önemli ölçüde azaltacaktır.
Yeterli sayıda kuruluş, ortamlarını sağlamlaştırabilir ve zararlarını sınırlayabilirse, fidye yazılımı işi kesinlikle arka planda kaybolacaktır. Fidye yazılımı geçmişte azaldı ve şu anki fidye yazılımı patlaması, hedef açısından zengin bir ortamda ilgi gören eski bir saldırı yönteminin yeniden canlanmasından başka bir şey değil.
Yetenekli saldırganlar her zaman parayı gasp etmek veya çalmak için tasarlanmış yeni bir saldırı tarzına yönelecek ve BT ekiplerinin güvenlik taktiklerini ortaya çıktıkça bu yeni tehditleri ele alacak şekilde ayarlamaları gerekecek. Mevcut saldırıların yanı sıra gelecek saldırılara da yalnızca güçlü temeller hazırlanabilir.
Kaynak:
https://www.esecurityplanet.com/threats/ransomware-protection/