Fidye yazılımı saldırılarını önlemek, IT yöneticileri, CISO’lar, CEO’lardan hükümetlere kadar herkesin aklında yer etmiş bir sorundur. Yeni bir sorun olmasa da, bitmek bilmeyen, giderek artan başarılı ve yıkıcı fidye yazılımları dünyanın dikkatini yeniden bu soruna odaklanmasına sebep oldu.
Aynı zamanda, tehdit aktörleri her geçen gün daha da karmaşık hale geliyor. Bu da işletme ve hükümetlerin, onarılamaz bir hasar oluşmadan öcne kapsamlı bir önlem ve koruma stratejisi geliştirmesini her zamankinden daha kritik hale getiriyor.
Fidye yazılımı gittikçe güçleniyor ve yakın bir gelecekte sonu yok:
Mart 2021’de New York’taki Buffalo Devlet Okulu sistemine yapılan bir fidye yazılımı saldırısı, bölgenin bir haftalığına kapanmasına neden oldu. Yine aynı ay, Tayvan merkezli bir bilgisayar üreticisi de saldırıya uğradı ve saldırganlar tarafından 50 milyon dolarlık fidye talep edildi.
ABD’nin en büyük sigorta şirketlerinden biri olan CNA, bir fidye yazılımı saldırısına uğradı ve Bloomberg’e göre saldırganlarına 40 milyon dolar fidye ödedi. İrlanda Halk Sağlığı Hizmetleri, sağlık hizmetlerinde büyük bir kesintiye neden olan bir fidye yazılımı saldırsının sonucu IT sistemlerini kapattı. ABD Doğu Kıyısı’nın çoğuna yakıt tedarikini kesintiye uğratan Koloni Boru Hattı saldırısı ve ABD’nin büyük bir sığır eti üreticisi olan JBS’de operasyonları birkaç gün durdurmak zorunda kaldı. Ve liste devam ediyor…
Fidye yazılımı saldırılarındaki bu benzeri görülmemiş artışa yanıt olarak ABD Hükümeti, Ulusun Siber Güvenliğini iyileştirmeye ilişkin bir yürütme kararı yayınladı. ABD işletmelerine ve hükümetine yönelik fidye yazılımı saldırılarına kapsamlı bir yanıt geliştirmek için kurumlar arası bir ekip toplanıyor. Ekip, Fidye yazılımı saldırılarını tanımlama, caydırma, bunlara karşı koruma, algılama ve yanıt verme yeteneklerini geliştirmek üzere kuruluyor. Karşı önlemler, fidye yazılım saldırılarından sorumlu siber suç operasyonlarını aktif olarak engellemek, fidye ödemek için kripto para kullanımını ele almak ve Sıfır Güven Mimarisi’nin benimsenmesi de dahil olmak üzere saldırıları engellemek için daha iyi güvenlik yaklaşımlarını zorunlu kılmak gibi konular içeriyor.
Saldırganlar İlk erişimi nasıl kazanır?
Bir fidye yazılımı saldırısını ve bu konudaki diğer çoğu kötü yazılım amaçlı yazılım saldırsını önlemek için, savunucuların, saldırganların ağ üzerinde bir dayanak oluşturma girişimlerini engellemesi gerekir. Böylece uç nokta güvenliği önleme, algılama ve iyileştirme çok önemli bir strateji haline gelir.
Genel olarak konuşursak, saldırganlar bir ağın ilk erişimini elde etmek için genellikle iki teknikten birini kullanır:
- Hedef şirketlerin ağındaki bir güvenlik açığından yararlanma: Bir güvenlik açığından yararlanmak, kötü amaçlı kod dağıtmak için manipüle edilebilecek bir yazılım kusuru, hata bulmak veya saldırgana kodu dağıtmak için bir giriş noktası verecek bir yanlış yapalandırmayı ortaya çıkarmak anlamına gelir. Bu tür güvenlik açıkları, örneğin bulut kaynaklarının yanlış yapılandırılması yoluyla veya bir tedarik zinciri saldırısından ödün verilmesine yol açabilecek 3. taraf(kullanılan yazılımlar) bağımlılıklar yoluyla ortaya çıkabilir.
- Geçerli bir hesaba yetkisiz erişim elde etme: Geçerli bir hesaba yetkisiz erişim, sosyal mühendislik yoluyla bir kullanıcı hesabının kimlik bilgilerinin çalınmasıyla sağlanır.
Eski güvenlik paketleri ve dünün stratejileri ile yüklenen savunucular, daha kolay erişilebilirlik yoluyla fidye yazılımı saldırılarının çoğaldığı bir dünyada verilini güvende tutmak için mücadele ediyor. Yaklaşımlarını değiştirmeden, becerikli saldırganlar, istismar etmek ve kullanıcıları kandırmak için güvenlik açıklarını bulmaya devam edecek.
Çok katmanlı bir yaklaşımla uzlaşmanın önlenmesi:
Yeni nesil kimlik ve yapay zeka tabanlı uç nokta koruması, fidye yazılımlarına karşı daha iyi bir çözüm sunar. Parola tabanlı kimlik doğrulama veya AV imzaları üzerine kurulu uç nokta koruması gibi geleneksel, önceki nesil çözümler, günümüz fidye yazılımlarını durdurmada ciddi eksikliklere sahiptir. Önleme noktası ilk sızmayı durdurmak olduğundan, bu modern güvenlik çözümlerinin fidye yazılımlarına karşı mücadelede nasıl yeni silahlar sunabileceğini özellikle analiz edelim.
Teknik #1: Saldırıya Dayanıklı Kullanıcı Kimlik Doğrulaması Oluşturmak:
Birçok başarılı fidye yazılımı saldırısı, geçerli bir hesaba ait kimlik bilgilerini deşifre ederek veya çalarak kurbanlarının ağındaki ilk erişim noktasını elde eder. Bunu etkili bir şekilde önlemek için, tahmin edilmesi, kırılması veya çalınması zor olan sağlam kullanıcı kimlik doğrulama bilgilerine ihtiyaç vardır.
Bu yılın başlarında Colonial Pipeline’a yapılan başarılı saldırıda, örneğin geçerli bir hesaba erişim, saldırganlara ilk erişim sağladı. Benzer şekilde, MAZE ve diğer insan tarafından işletilen fidye yazılımları için saldırı giriş noktası, genellikle RDP aracılığıyla erişilen internete açık bir sistemin çalınan parolası veya zayıf bir parolayla bir Citrix web portalı hesabına giriş yapılmasıdır.
Geleneksel çok faktörlü kimlik doğrulama (MFA) yaklaşımları, parolalara özgü güvenlik açıklarını gidermeye yardımcı olur, ancak yine de temelde bir insan kullanıcının hatırlaması ve bilmesi gereken bir şeye dayanır ve telefon tabanlı yaklaşımlar %100 güvenli değildir. Daha da önemlisi, MFA’nın ek güvenliği, çözüme sahip olmak ve onu işletmek için önemli maliyetlerle birlikte gelir ve bu da önemli ölçüde kullanıcı endişesine neden olur.
Parolasız MFA, kimlik bilgisi hırsızlığını önler ve parolaların tahmin edilmesini saldırganlar için imkansız hale getirir. Çünkü, birden çok kimlik doğrulama faktörü kullanır, ancak geleneksel parolaları hariç tutar. Parolasız MFA için en yaygın olarak kullanılan kimlik doğrulama faktörleri, kullanıcının kayıtlı mobil cihazı ve cihazın yerleşik parmak izi sensörü aracılığıyla bir kullanıcı PIN’i veya parmak izidir. Geleneksel parolalara olan ihtiyacı ortadan kaldırarak, güvenlik anında ve doğal olarak iyileştirilir, kullanıcı deneyimi kolaylaştırılır ve maliyetler azaltılır.
Teknik #2. Fidye Yazılımı Anında Tespiti, Karantinaya Alınması ve Kaldırılması:
Gerçekçi olarak, önleyici tedbirlerin alınmış olması, saldırganların hiçbir zaman sistemi aşmayacağını ve bir kullanıcının cihazına erişmeyeceğini garanti etmez. Bir sonraki en iyi savunma hattınız, herhangi bir veri kaybı, finansal kayıp veya zaman yatırımı gerçekleşmeden önce, uç nokta düzeyinde şüpheli etkinliği algılayabilen ve içerebilen otonom, makine hızında koruma, algılama ve yanıt mekanizmasıdır.
Modern Genişletilmiş Algılama ve Yanıt(XDR) Çözümleri, yerel süreçleri gerçek zamanlı olarak izler ve davranışlarını ayrıntılı olarak analiz ederek, kötü niyetli kodların detaylı tanımlanmasını ve anında müdahele adımlarının atılmasını mümkün kılar. Bu şekilde, saldırı, yerel bellekten veya uzaktan yürütülen tehdit aktörleri istedikleri hedeflere erişmeden önce, başladığı anda durdurulur.
Teknik açıdan, anında müdahele seçenekleri değişiklik gösterir – sistem, duruma ve kuruluş politikalarına bağlı olarak kodun kaynağını silebilir, ilgili tüm süreçleri sonlandırabilir, şüpheli dosyaları karantinaya alabilir veya etkilenen uç noktanın ağ bağlantısını tamamen kesebilir.
Devam eden bir saldırıyı durdurmak, herhangi bir XDR çözümünün en önemli işidir, ancak rolü burada bitmez. Devam eden bir saldırıyı durdurmak için kritik adımlar attıktan sonra, IT ve güvenlik ekipleri, kötü amaçlı yazılımın etkinliğinin bir zaman çizelgesini, giriş noktası ve saldırı vektörünü ve etkilenen tüm dosya ve ağların bir listesini içeren ayrıntılı bir adli görünüm elde etmelidir. Yöneticiler daha sonra gelecekteki tehditlere daha iyi hazırlanmak için saldırıyı analiz edebilir ve üstlerine, kolluk kuvvetlerine ve sigortacılara ilgili tüm verileri sağlayabilir.
Teknik #3. Fidye Yazılımından Yapılan Değişiklikleri Geri Alma:
Bu çok katmanlı yaklaşımdaki üçüncü unsur ve belki de fidye yazılımlarından etkilenenler için en önemli unsur, zamanı geri alma ve tüm verileri ve yapılandırmaları saldırıdan önceki orijinal durumlarına geri yükleme yeteneğidir. Bu kritik adım, hızlı bir kurtarma sağlar ve bir saldırının ne kadar geniş ve derinden etkilediğine bakılmaksızın eksiksiz bir iş sürekliliği sağlar.
Daha önce bilinmeyen kötü amaçlı yazılımlar veya yeni saldırı taktikleri, algılama bileşeni tarafından otomatik olarak yakalanmayabilir ve engellenmeyebilir, bu nedenle eylemlerini geri almak, geriye kalan tek önlemdir. Ayrıca tehlike, şifrelenen veya silinen dosyalarla sınırlı değildir. Kötü amaçlı yazılım, sonraki saldırılarda yararlanılabilecek erişim izinlerini ve güvenlik yapılandırmalarını da değiştirebilir.
Bu tür çok adımlı saldırılar, kurumsal ağları ve kamu altyapısını hedef alan bilgisayar korsanları tarafından yaygın olarak kullanılır ve özellikle tehlikeli bir tehdit oluştururlar. Bu uzun vadeli kampanyalarda, ilk aşama genellikle yalnızca tatiller veya önemli iş etkinlikleri gibi belirli tarihlerde saldırıların daha kolay yürütülmesi için ortam hazırlama amaçlıdır. Bu şekilde saldırganlar kurbanlarını şaşırtıyor ve hazırlıksızlıklarından yararlanarak onlara fidye miktarının tamamını ödemekten başka seçenek bırakmıyor.
Kötü niyetli veya şüpheli kodlar tarafından yürütülen tüm değişikliklerin otomatik olarak geri alınması, ne kadar küçük olursa olsun, yöneticilere bir güvenlik ağı sağlayarak onları ve tüm etki alanını başarılı siber saldırıların korkunç sonuçlarından korur.
Fidye Yazılımını Önleme için Kapsamlı Bir Güvenlik Mimarisi:
Özetle, siber güvenlik mimarları ve kurumsal ağların savunucuları için temel hedef önlemedir ve konu fidye yazılımı olduğunda önleme, saldırganların işletmenin herhangi bir bölümüne ilk erişimini reddetmekle ilgilidir. Kapsamlı bir strateji, kullanıcı kimlik doğrulama saldırılarını dirençli hale getirmeyi, tehditleri anında tespit edip kaldırmayı ve son olarak, saldırganlar ve kötü amaçlı yazılımları tarafından tespit edilemeyen saldırılara karşı gerçekleştirilen tüm eylemleri geri almayı içerir.