Bir siber saldırının ardından, birçok kuruluş içgüdüsel olarak sistemlerini kapatmanın hasarı en aza indirmenin en hızlı ve en etkili yolu olduğuna inanmaktadır. Bu yanıt mantıklı görünse de, aslında iyileşme çabalarını karmaşıklaştırabilir ve öngörülemeyen sonuçlara yol açabilir. Sistemleri kapatma kararının, soruşturmayı zayıflatabileceği, iyileşmeyi engelleyebileceği ve potansiyel olarak iyilikten daha fazla zarar verebileceği için dikkatle dikkate alınmalıdır.
1. Önemli adli kanıtların kaybı
Bir sistem kapatıldığında, değerli adli kanıtlara erişmeyi etkili bir şekilde silebilir veya zorlaştırabilir. Siber güvenlik dünyasında, hem mevcut hasarı azaltmak hem de gelecekteki ihlalleri önlemek için bir saldırının “nasıl” ve “nedenini” anlamak şarttır. Sistem günlükleri, bellek dökümleri ve kötü amaçlı etkinlik izleri gibi kritik veriler, bir makine çalıştırıldığında kaybolabilir. Bu veriler genellikle saldırganlar tarafından kullanılan taktikler, teknikler ve prosedürler (TTP’ler) ve sistemi ilk etapta nasıl ihlal ettikleri hakkında bilgi verir.
Örneğin, birçok modern siber saldırı son derece sofistikedir ve sistem günlüklerinde veya hatta sistem belleğinde tam olarak yürütülmeden önce TellTale işaretlerini geride bırakır. Bir makine hemen güçlendirilirse, adli tıp uzmanları saldırganın ağ üzerindeki hareketlerini izlemek için yeterli bilgiye sahip olmayabilir, sömürdükleri güvenlik açıklarını belirleyin veya saldırganların hala ağın içinde olup olmadığını belirler. Bu kritik detaylar olmadan, saldırıya yanıt vermek ve içermek çok daha zor hale gelir.
2. Soruşturma sürecini engellemek
Siber güvenlik uzmanları genellikle saldırının kökenlerini izlemek ve kötü amaçlı yazılımların yayılmasını izlemek için canlı sistemlere güvenir. Etkilenen sistemlerin kapatılması, gerçek zamanlı verilere erişimi ortadan kaldırarak ihlalin temel nedenini belirlemeyi zorlaştırır. Birçok durumda, saldırganlar dijital yazılım dosyaları – mal yazılımı dosyaları, tehlikeye atılmış kullanıcı kimlik bilgileri veya ağ etkinliklerinin izleri – geride kalmış olabilir.
Müfettişlerin, saldırının nasıl ortaya çıktığını anlamak için tehlikeye atılan sistemle etkileşime girmeleri gerekebilir. Örneğin, saldırganın hala mevcut olup olmadığını belirlemek için ağ trafiğini izleyebilir veya sistem süreçlerini gerçek zamanlı olarak gözlemleyebilirler. Sistemi erken kapatarak, bu temel verileri toplama fırsatını kaybetme riski vardır, bu da potansiyel olarak saldırının tam kapsamının ve doğasının yanlış tanısına yol açar.
3. Potansiyel veri kaybı ve sistem yolsuzluğu
Yapılandırılmış bir yaklaşım olmadan sistemlerin kapatılması önemli veri kaybına neden olabilir. Bir saldırı devam ettiğinde, dosyalar değiştirilmenin, şifrelenmenin veya aktarılmanın ortasında olabilir. Örneğin, fidye yazılımı saldırılarında, dosyalar kısmen şifrelenebilir ve makinenin kapatılması şifreli verilere tam erişimi önleyerek bozuk bir durumda bırakabilir. Bu sadece iyileşmenin karmaşıklığını arttırmakla kalmaz, aynı zamanda kalıcı veri kaybına neden olabilir.
Ayrıca, aktif olarak değiştirilen veritabanları, kapatma işlemi ani ise yolsuzluktan muzdarip olabilir. Sistematik bir yedekleme ve restorasyon stratejisi olmadan, bu tür yolsuzluk geri döndürülemez olabilir. Eksik veya hasarlı dosyaların varlığı, kurtarma çabalarını da engelleyebilir, bu da sistemi işlevsel bir duruma geri yüklemeyi daha zor hale getirir.
4. Ağın ek risklere maruz bırakılması
Bazı durumlarda, kötü amaçlı yazılım, sistemlerin kapatıldığını tespit ettikten sonra ağlara yayılacak şekilde tasarlanabilir. Örneğin, bazı fidye yazılımı veya solucan türleri, ağ ortamını tespit ettiklerinde veya sistemlerin bağlantısı kesildiğinde daha hızlı yayılabilir. Enfekte bir sistemi önce izole etmeden kapatarak, kötü amaçlı yazılımların diğer bağlı sistemlere atlama ve genel hasarı daha da kötüleştirme riski vardır.
Daha da kötüsü, bir sistemi ağın geri kalanından izole etmeden kapatılması, ağ izleme araçlarını veya saldırıya karşı aktif olarak savunabilecek güvenlik cihazlarını da bozabilir. Bu, yanlışlıkla saldırganın daha fazla hasar vermesine izin verirken, kuruluş sistemlerinin kontrolünü yeniden kazanmak için uğraşır.
5. Gerçek zamanlı azaltma yeteneklerinin eksikliği
Sistemlerin kapatılması, canlı bir siber saldırı sırasında gerekli olan gerçek zamanlı hafifletmeler uygulama yeteneğini ortadan kaldırır. Örneğin, BT ekipleri tehlikeye atılan hesapları izole edebilir, kötü amaçlı IP adreslerini engelleyebilir veya kötü amaçlı yazılımların harici komut ve kontrol sunucularıyla iletişim kurmasını önleyebilir-bunların hepsi pistlerinde saldırıyı durdurmak için kritik öneme sahiptir.
Sistemleri çevrimiçi ve aktif tutarak (ağ erişimini sınırlamak için adımlar atarken), kuruluş saldırıyı içermek ve izole etmek için izinsiz giriş önleme sistemleri (IPS), güvenlik duvarları veya antivirüs programları gibi karşı önlemleri kullanma şansına sahiptir. Birçok durumda, bu adımlar saldırı araştırılırken kötü amaçlı yazılımların yayılmasını yavaşlatabilir veya hatta durdurabilir.
6. İyileşmenin ve restorasyonun karmaşıklığı
Bir sistem bir saldırıdan sonra güçlendirildikten sonra, temiz ve operasyonel bir duruma geri yüklemek daha zor ve zaman alıcı olabilir. Kapatma işlemi, saldırı vektörünün tanımlanmasını zorlaştırabilir ve çoğu durumda, sistem ayarlarının kaybı veya uygun iyileşme için gereken önemli konfigürasyonlar gibi ek teknik sorunlara neden olabilir.
Sistem dikkatli bir şekilde değerlendirilmeden silinir veya yeniden inşa edilirse, restorasyon süreci sırasında aynı kötü amaçlı yazılımları çevreye yeniden getirme riski de vardır. Bu riski azaltmak için, kuruluşların kötü amaçlı yazılımlar için yedeklemeleri tarama, kritik dosyaların bütünlüğünü doğrulayan ve sistemleri geri getirmeden önce herhangi bir sistem güvenlik açıklarının yamalanmasını sağlayan iyi tanımlanmış bir kurtarma planı izlemeleri gerekir.
7. Daha iyi alternatifler: izolasyon ve muhafaza
Siber güvenlik profesyonelleri, uzlaşılmış sistemleri derhal kapatmak yerine, etkilenen makineleri ağın geri kalanından izole etmeyi önerir. Bu, bunları internetten ayırarak veya kritik sistemlere erişimlerini sınırlandırarak yapılabilir, bu da kötü amaçlı yazılımların daha fazla yayılmasını önlemeye yardımcı olur. Kötü amaçlı yazılımlar hala sistemde aktifse, sınırlama kuruluşun altyapısının diğer bölümlerini etkilemesini engelleyebilir.
Ayrıca, izole sistemler güvenlik ekibinin enfekte edilmiş makinelerde devam eden etkinliği izlemesine izin verir. Sistemin kontrollü bir ortamda çalışmasını sağlayarak, adli araştırmacılar ek uzlaşma belirtileri arayabilir, analiz araçları çalıştırabilir ve saldırganın sonraki adımlarını belirlemeye çalışabilir. Bu, saldırının daha net bir resminin geliştirilmesine yardımcı olur ve en önemlisi, tam bir soruşturma için gereken verilerin korunmasını sağlar.
Sonuç: Ölçülen bir yanıt anahtardır
Bir siber saldırı durumunda, sistemleri kapatma kararı aceleyle verilmemelidir. Sistemleri kapatmak, saldırıyı durdurmanın etkili bir yolu gibi görünse de, bunu uygun hazırlık ve düşünmeden yapmak zararlı sonuçlara sahip olabilir. Değerli adli kanıtları silebilir, veri kaybına neden olabilir, kötü amaçlı yazılımların yayılmasına izin verebilir ve kurtarma çabalarını engelleyebilir.
Bunun yerine, kuruluşlar sınırlama, adli soruşturma ve gerçek zamanlı azaltma stratejilerine öncelik vermelidir. Meydan okulu sistemleri izole ederek, kritik kanıtları koruyarak ve iyi yapılandırılmış bir yanıt planını takiben, saldırının etkisini azaltabilir, iyice araştırabilir ve normal işlemleri mümkün olduğunca hızlı ve güvenli bir şekilde geri yükleyebilirler.
Reklam
LinkedIn Group Bilgi Güvenlik Topluluğumuza katılın!