BlackCat fidye yazılımı çetesi Şubat ayında sağlık hizmetleri faturalama hizmetleri firması Change Healthcare’i tehlikeye attığında, birkaç güvenlik kontrolü başarısız oldu: Şirket Citrix uzaktan erişim portalını yeterince korumadı, çalışanların çok faktörlü kimlik doğrulama (MFA) kullanmasını gerektirmedi ve güçlü bir yedekleme stratejisi uygulama konusunda başarısız oldu.
UnitedHealth’in yan kuruluşu da siber sigortam yoktuana şirketinin en az 872 milyon dolarlık faturayı ödemek zorunda kalması ve -geriye dönüp bakıldığında, belki de aynı derecede önemli olan- bir siber sigortacının hangi stratejilerin tazminatları en aza indirebileceğine odaklanmasının faydasını gözden kaçırması anlamına geliyor. Hem sigortacılar hem de sigorta ve güvenlik hizmetlerini birleştiren “insursec” şirketleri, mevcut tehdit ortamı ve en büyük farkı yaratan teknolojiler hakkında veriyle dolup taşıyor -bunların arasında yedeklemeler, MFA ve uzaktan erişim sistemlerini koruma yer alıyor.
Siber sigortacı Corvus Insurance’da CISO olan Jason Rebholz, fidye yazılımı olaylarının son birkaç yılda hız kazanması nedeniyle işletmeler için doğru güvenlik teknolojilerini bulmanın giderek daha önemli hale geldiğini söylüyor. Saldırganlar, firmaya göre 2024’ün 2. çeyreğinde sızıntı sitelerine en az 1.248 kurbanın adını gönderdi ve bu, bugüne kadarki en yüksek üç aylık hacim oldu.
“Şüphesiz saldırılar sıklık ve ciddiyet açısından artıyor – veriler buna işaret ediyor,” diyor. “Ayrıca belirli güvenlik kontrollerine odaklandığınızda, hem bu olayları önlemede hem de sadece olaydan kurtulmada anlamlı bir etki yaratabileceğinizi görüyoruz [with fewer costs].”
Siber sigorta, güvenlik açısından en iyi uygulama haline geldi; güvenlik açısından olgun şirketlerin büyük çoğunluğu (%84) siber sigorta poliçesi tutarken, diğer %9’u ise bir poliçe edinme sürecinde. yakın zamanda yapılan bir anket sigorta şirketi At-Bay ve analist şirketi Omdia tarafından 400 güvenlik karar vericisinin katılımıyla Karanlık OkumaAnkete göre, tüm firmaların %72’si siber sigortanın kuruluşları için kritik veya önemli olduğunu düşünüyor.
Her Şirketin İhtiyaç Duyduğu Üç (veya Beş) Savunma
At-Bay’e göre sigorta taleplerinin %60’tan fazlası fidye yazılımı olayını içerirken, e-posta tabanlı dolandırıcılık taleplerin %20’sini oluşturuyor. At-Bay’de risk yöneticisi ve kurucu ortak olan Roman Itskovich, başarılı saldırıların çoğunun savunmasız veya yanlış yapılandırılmış uzaktan erişim noktaları kullandığını veya e-posta yoluyla bireysel bir sistemi tehlikeye attığını, bu iki vektördeki güvenliği iyileştirmenin çok önemli olduğunu söylüyor.
Sigortacı, aşağıdaki durumlarda müşterilerden daha az ücret alır: Google Workspace gibi daha iyi güvenliğe sahip e-posta sistemlerini kullanınve şirket içi e-posta sistemleri için daha fazlası, çünkü Google kullanıcıları daha az talepte bulundu. Sigortacılık firması ayrıca kendi kendine yönetilen sanal özel ağlar kullanan şirketlerin fidye yazılımı iddiasında bulunma olasılığı 3,7 kat daha fazla.
“VPN’leri fiyatlandırma şeklimizde çok ciddiye alıyoruz [our policies] ve şirketlerimize hangi tavsiyelerde bulunuyoruz… ve bunların çoğu fidye yazılımlarıyla ilgili” diyor Itskovich.
Bu sebeplerden dolayı, işletmeler ortamlarını daha iyi güvence altına almak ve dolayısıyla politika maliyetlerini azaltmak istiyorlarsa VPN güvenliklerine ve e-posta güvenliklerine bir göz atmalıdır. Bir saldırgan sonunda çoğu şirketi tehlikeye atmanın bir yolunu bulacağından, tehditleri tespit edip yanıtlamanın bir yoluna sahip olmak hayati önem taşır ve yönetilen tespit ve yanıt (MDR) sonunda kendini amorti edecek başka bir teknolojidir, diyor.
“Kıyıya yeni varmış birini, veritabanınıza erişmeden veya muhasebe sisteminize ulaşmadan önce nasıl yakalarsınız?” diyor Itskovich. “Bunun için, EDR’lerin çok, çok etkili olduğunu görüyoruz – daha spesifik olarak, yönetilen EDR’ler.”
Yedekleyin, Ancak Doğrulayın
Cowbell’in siber güvenlik hizmetleri başkan yardımcısı Matthieu Chan Tsin, daha küçük şirketler için e-posta güvenliği, siber güvenlik farkındalığı eğitimi ve çok faktörlü kimlik doğrulamanın kritik öneme sahip olduğunu söylüyor. Ayrıca, güvenli veri depolama, bir şirketin hızla tekrar faaliyete geçmesine yardımcı olarak bir fidye yazılımı saldırısının işletme üzerindeki etkisini en aza indirebilir diyor.
“Şifrelemeye ve poliçe sahiplerimizin verileri daha iyi depolamasına nasıl yardımcı olabileceğimize bakıyoruz,” diyor Tsin. “İyi yedeklemelere, bazı bulut yedeklemelerine, bazı şirket içi yedeklemelere sahip olmak [are critical]çünkü bu onları mümkün olan en kısa sürede işe geri döndürecek tek şeydir.”
Corvus Insurance’a göre, sağlam yedeklemeleri olan şirketlerin fidye ödemesi olasılığı yaklaşık 2,4 kat daha azdır. Siber sigortacı, işletmenin en az iki farklı medya türüne üç farklı yedekleme yaptığı ve en az bir yedeklemenin şirket dışında tutulduğu “3-2-1 politikası”nı öneriyor. Şirket, güçlü yedekleme stratejileri olan poliçe sahiplerinin sağlam yedeklemeleri olmayan işletmelere göre %72 daha az hasar talep ettiğini buldu. 2024 2. Çeyrek Siber Tehdit Raporuna göre.
Strateji o kadar etkili ki saldırganlar, verileri kullanılamaz hale getirmek için şifrelemekle kalmayıp aynı zamanda işletmeyi gasp etmek için verileri çaldıkları çift fidye tekniklerine geçtiler. 2024’te, fidye yazılımı olaylarının neredeyse tamamı (%93) veri hırsızlığı içeriyordu; bu, olayların yarısından azının veri hırsızlığı içerdiği 2022’ye göre keskin bir artış.
Corvus’tan Rebholz, “Fidye yazılımı yoluyla saldırıya uğradığınızda, yedeklemeler bir tür son savunma hattı olarak oldukça anlamlı bir etkiye sahip olabilir” diyor.
Kara At: Üçüncü Taraflardan Kaynaklanan Kesinti Riski
Saldırganlar ayrıca toplayıcıları tehlikeye atmaya odaklanmış gibi görünüyor; bu üçüncü taraf firmaların bir dizi başka şirkete bir tür ayrıcalıklı erişimi var: Ağ izleme hizmeti gibi firmalar SolarRüzgarlarsağlık faturalandırma sağlayıcısı Sağlık Hizmetlerini Değiştirve otomobil bayiliği hizmetleri firması CDK KüreselCorvus’a göre, 2024’ün ikinci çeyreğinde üçüncü taraf ihlal olayları, işlenen tüm taleplerin yaklaşık %40’ını oluştururken, 2023’ün son çeyreğinde bu oran %20 idi.
“BT hizmetlerini darbe alan sektörlerden biri olarak adlandırıyoruz ve bunun nedenlerinden biri de bu – bu bir tür birden çoğa [relationship]değil mi?” Corvus’tan Rebholz diyor. “Bu yıldan -özellikle yılın ilk yarısından- görebildiğimiz şey, üçüncü taraflar olan ve vurulan bazı büyük isimlerin olması ve bundan dolayı sıklıkta daha sonra bir artış görebiliyoruz.”
Büyük yıkıcı saldırılar, örneğin: Ağlamak İstiyorum ve SolarWinds, siber sigortacılar için önemli maliyetlere yol açabilir ve bazı açılardan doğal afetlere benzeyebilir. Ancak, bu tür olaylar için doğru risk derecelendirmelerini belirlemek daha zordur çünkü nedenler ve meydana gelme olasılığı basit olmaktan uzaktır, diyor At-Bay’den Itskovich.
“[SolarWinds] güncelleme mekanizması aracılığıyla kötü amaçlı yazılım dağıtan bir tehdit aktörüydü; KalabalıkGrev güncellemede bir yazılım hatası vardı; CDK Global şirkete yönelik bir fidye yazılımı saldırısıydı; WannaCry yaygın bir güvenlik açığıydı” diyor. “Eğer [think about] “Doğal afetler, kasırgalar, depremler ve belki birkaç ikincil tehlikeyle daha uğraşıyorsunuz – çok daha basit.”