“Groundhog Day” filminin bir noktasında Phil Connors, “I Got You Babe” şarkısıyla (yine) uyandığında başucu radyosunu kırar. Bu déjà vu, fidye yazılımının kurbanı olan ve uygun yanıtı organize edemeyen şirketleri bekliyor gibi görünüyor.
FBI yakın zamanda suçluların birbirine yakın iki veya daha fazla saldırı gerçekleştirmesini içeren yeni bir trend olan ikili fidye yazılımı saldırıları konusunda uyarıda bulundu. Ataklar arasındaki süre 48 saatten maksimum on güne kadar değişir.
Saldırganlar hedeflerine karşı iki farklı fidye yazılımı çeşidi kullanıyor. En bilinenleri AvosLocker, Diamond, Hive, Karakurt, LockBit, Quantum ve Royal’dir.
FBI ayrıca kurbanlara pazarlık yapmaları için baskı yapmak amacıyla özel veri hırsızlığı ve silme araçları kullanan fidye yazılımı gruplarında artış olduğu konusunda da uyarıda bulundu.
Bu kadar kısa bir sürede gerçekleşen iki fidye yazılımı saldırısı, hasarı ve buna bağlı maliyetleri artırır ve şirketleri yok olmanın eşiğine getirebilir. MGM’ye yönelik son saldırı 100 milyon dolarlık hasara neden oldu. Bir sonraki saldırı muhtemelen daha da büyük sonuçlara yol açabilirdi.
Sonsuz saldırı ve yeniden saldırı döngüsünden çıkmak için CIO’ların ve CISO’ların farklı olarak ne yapması gerekiyor?
Kabuktaki hayaletleri bulun
Bir siber saldırı sırasında BT ekibi üyeleri, kuruluşlarını bu karmaşadan kurtarmak için yüksek baskı ve aşırı stres altında çalışır. Önemli sistemler hızlı bir şekilde tekrar çalışır duruma getirilmeli, müşteriler ve ortaklar uygun şekilde bilgilendirilmelidir. Her saat önemlidir çünkü kesinti para kaybına eşittir.
Bu olağanüstü durumda ölümcül bir hata meydana gelir: BT ekipleri sıklıkla sel, yangın veya elektrik kaybı gibi geleneksel olağanüstü durum kurtarma senaryoları için oluşturulan kurtarma iş akışlarına geri döner. Sistemler, olası veri kaybını en aza indirgemek için genellikle mümkün olan en yeni kopyaları kullanarak hızlı bir şekilde yeniden çalışır hale getirilebilmeleri için mevcut yedeklemelerden yeniden oluşturulur.
Geleneksel bir felaket kurtarma senaryosunda, temel nedenler bilinir ve nedenler azaltılır, ancak bir siber saldırı senaryosunda, bulduklarınızı araştırmak ve azaltmak için uygun müdahale eylemleri olmadan, sistemler tüm kötü amaçlı hesaplar, güvenliği ihlal edilmiş parolalar, kalıcılık ile birlikte geri yüklenir. mekanizmalar ve diğer kötü niyetli yapılar, eksik kurallara sahip veya atlanan koruyucu kontroller, yinelenmeyi durdurmak için etkisiz kalır. İstismar edilen güvenlik açıkları keşfedilmeden ve yama yapılmadan kalır.
Başka bir deyişle ev, saldırganların ilk kez girdiği tüm pencereler ve arka kapılar açık olacak şekilde yeniden inşa edilecek. Aslında düşman çoktan koridora dönmüş olabilir! Sonsuz döngünün temeli atıldı. Fidye yazılımı zamanlarında sistem kurtarmayı bir süreç olarak yeniden düşünmek ve tamamen modernize etmek çok önemlidir.
Ortak bir laboratuvar olarak temiz oda
Altyapı ve güvenlik ekipleri yalnızca sistemleri kurtarmak için değil, aynı zamanda saldırının doğasını anlamak ve tekrarlanma olasılığını azaltmak için birlikte çalışmalıdır. Bu zaman kaybına neden olur ancak daha fazla maliyetli etkiyi önler.
Bu işbirliği için ideal yer temiz odadır. Bu yalıtılmış ortamda, ilgili tüm ekipler üretim verilerinin kopyalarıyla paralel olarak çalışabilir. Veri yönetimi çözümleri kullanılarak, olay zaman çizelgesinin çeşitli aşamaları boyunca sistemlerin anlık görüntü sürümleri mevcuttur. Modern veri güvenliği ve yönetim platformları, bu anlık görüntüleri kasaya alma, değişmez depolama, çok faktörlü kimlik doğrulama ve şifreleme sayesinde harici saldırılara karşı güçlendirilmiş izole edilmiş bir ortama sunabilir.
Veri yönetimi sistemi, temiz odayı çalıştırmak için gereken iletişim, işbirliği, kimlik doğrulama, dijital adli tıp ve olay müdahale araçlarının hızlı bir şekilde ayağa kaldırılmasını yöneterek, bu sistemlerin olaydan etkilenmiş olsa bile olay müdahale eylemlerinin olaydan birkaç dakika sonra başlayabilmesini sağlar. .
Bu temiz odanın içinde, dijital adli tıp, dosya sistemlerini, yapılandırmaları ve dosyaları incelemek için saldırı yaşam döngüsünün farklı noktalarındaki sistemleri birkaç dakika içinde yeniden başlatabilir. Kaçınılan veya ilgili kurallara sahip olmayan güvenlik araçları sistemlere yeniden yerleştirilebilir. Normal güvenlik açığı tarama temposu arasında meydana gelmiş olsalar bile, saldırının tam noktasındaki güvenlik açıkları keşfedilebilir.
Çoğunlukla şifrelenmemiş sistemlerde kalıcılık mekanizmaları bulunur; bu nedenle tarama ekipleri, sistemleri şişirmeye bile gerek kalmadan, veri yönetiminin hızlı indeksleme ve arama özelliklerinden yararlanarak tüm mülkte uzlaşma göstergelerini aramalı.
Bir takip saldırısını önleme
Bu yanıt eylemleri, ulaşılabilir kurtarma süresi hedefini zorlar; ancak bulunan güvenlik açıklarının yamanması, kötü amaçlı hesapların kaldırılması, koruyucu ve tespit edici kontrollerin bir yinelenmeyi önlemek veya tespit etmek için güçlendirilmesi ve üretime yeniden dağıtılmadan önce tüm kötü amaçlı eserlerin kaldırılması gerekir. . BT ekipleri doğal olarak en önemli hizmetleri çalıştıran ve en değerli verileri depolayan sistemlerin geri yüklenmesine öncelik vermek isteyecektir.
Şirketteki hem CIO hem de CISO birbirleriyle koordineli çalışmalı ve kurtarma süresini ve olası operasyonel maliyetleri yeniden ayarlamalıdır çünkü tüm kurtarma süreci önceden tahmin edilenden daha uzun sürecektir. Bu yaklaşımın avantajları açık olmalıdır: Takip saldırısı riski azalır ve tüm ortamın siber dayanıklılığı artar.