CISA, fidye yazılımı kılavuzunu günceller

Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA), #StopRansomware kılavuzunu, orijinal kılavuzun Eylül 2020’de yayınlanmasından bu yana fidye yazılımı aktörlerinin taktiklerini ve tekniklerini hızlandırdığı gerçeğini hesaba katarak güncelledi.

#StopRansomware kılavuzu, potansiyel saldırıları ele almak için adım adım yaklaşımlar da dahil olmak üzere, kuruluşların fidye yazılımı vakalarını tespit etmek, önlemek, yanıt vermek ve bunlardan kurtulmak için en iyi uygulamalar yoluyla risklerini azaltmalarına yardımcı olmak için tek noktadan bir kaynak olarak ayarlanmıştır.

Ajans özellikle şunları ekledi:

• Yaygın ilk enfeksiyon vektörlerini önlemeye yönelik öneriler
• Bulut yedeklemelerini ve sıfır güven mimarisini (ZTA) ele almak için güncellenmiş öneriler.
• Fidye yazılımı aktörlerinin tespiti ve analizi için tehdit avlama ipuçları

CISA tavsiye listesi çok büyük olduğundan, diğer Malwarebytes kaynaklarına bağlantılar ile yeni noktalara odaklanacağız ve sonuna kendi tavsiye dizimizi ekleyeceğiz.

Güncellenmiş CISA kılavuzu

• RDP ve diğer uzak masaüstü hizmetlerinin kullanımını sınırlayın. RDP gerekliyse en iyi uygulamaları uygulayın. Tehdit aktörleri genellikle bir ağa ilk erişimi açıktaki ve güvenliği düşük uzak hizmetler aracılığıyla elde eder ve daha sonra yerel Windows RDP istemcisini kullanarak ağda gezinir. Tehdit aktörleri ayrıca genellikle sanal özel ağlardan (VPN’ler) yararlanarak veya güvenliği ihlal edilmiş kimlik bilgilerini kullanarak erişim elde eder.
• Tüm hizmetler için kimlik avına dayanıklı çok faktörlü kimlik doğrulama (MFA) uygulayın, özellikle e-posta, VPN’ler ve kritik sistemlere erişen hesaplar için. MFA’ya izin vermeyen sistemlerin, MFA’yı zorlamayan sistemlerin ve MFA’ya kayıtlı olmayan kullanıcıların keşfedilmesi üzerine üst yönetime iletin.
• Parolasız MFA kullanmayı düşünün parolaları iki veya daha fazla doğrulama faktörüyle (ör. parmak izi, yüz tanıma, cihaz pini veya kriptografik anahtar) değiştiren.
• Hizmetlere abone olmayı düşünün güvenliği ihlal edilmiş kimlik bilgileri için karanlık ağı izleyen.
• Siber güvenlik farkındalık eğitimini içerecek politikalar oluşturun ağınıza erişimi olan personel için gelişmiş sosyal mühendislik biçimleri hakkında. Eğitim, yasal olmayan web sitelerini ve arama sonuçlarını tanıyabilmeyle ilgili ipuçlarını içermelidir. Personelinizi bilgili ve uyanık tutmak için güvenlik bilinci eğitimini düzenli olarak tekrarlamak da önemlidir.
• Çoklu bulut çözümü kullanmayı düşünün Aynı satıcının altındaki tüm hesapların etkilenmesi durumunda buluttan buluta yedeklemeler için satıcı kilitlenmesini önlemek için.
• Verilere ve hizmetlere yetkisiz erişimi önlemek için sıfır güven mimarisi (ZTA) uygulayın. Erişim denetimi uygulamasını mümkün olduğunca ayrıntılı hale getirin. ZTA, bir ağın güvenliğinin ihlal edildiğini varsayar ve bilgi sistemleri ve hizmetlerinde doğru, istek başına en az ayrıcalık erişim kararlarını uygulamadaki belirsizliği en aza indirmek için tasarlanmış bir dizi kavram ve fikir sağlar.
• ZTA’yı uygulayarak mantıksal veya fiziksel ağ bölümleme araçlarını kullanın ve kuruluşunuzdaki çeşitli iş birimlerini veya departman BT kaynaklarını ayırmak ve BT ile operasyonel teknoloji arasındaki ayrımı sürdürmek.

CISA, aşağıdakileri sosyal mühendisliğin gelişmiş biçimleri olarak kabul eder:

Kendi tehdit avcılarına sahip olan ve harici bir Yönetilen Tespit ve Yanıt (MDR) hizmeti kullanmayan kuruluşlar için CISA, kurumsal ve bulut ortamları için aşağıdaki noktaları ekledi.

Kurumsal ortamlar için

• Yeni oluşturulan Active Directory hesapları veya artırılmış ayrıcalıklara sahip hesaplar ve Etki Alanı Yöneticileri gibi ayrıcalıklı hesaplarla ilgili son etkinlikler.
• Anormal VPN cihazı girişleri veya diğer şüpheli girişler.
• Yedeklemeleri, gölge kopyayı, disk günlüğünü veya önyükleme yapılandırmalarını bozabilecek uç nokta değişiklikleri. Yerleşik Windows araçlarının anormal kullanımına bakın. bcdedit.exe, fsutil.exe (günlüğü sil), vssadmin.exe, wbadmin.exeVe wmic.exe (gölge kopya veya gölge depolama). Bu araçların kötüye kullanılması, sistem kurtarmayı engellemek için yaygın olarak kullanılan bir fidye yazılımı tekniğidir.
• Cobalt Strike işaretçisinin/istemcisinin varlığına dair işaretler. Cobalt Strike, ticari bir penetrasyon testi yazılım paketidir. Kötü niyetli aktörler, varlıklarını gizlemek ve araştırmaları karmaşık hale getirmek için genellikle Cobalt Strike Windows işlemlerini meşru Windows işlemleriyle aynı adlarla adlandırır.
• Uzaktan izleme ve yönetim (RMM) yazılımının (kurulu olmayan taşınabilir yürütülebilir dosyalar dahil) beklenmeyen kullanımına ilişkin işaretler. RMM yazılımı, kalıcılığı korumak için kötü niyetli aktörler tarafından yaygın olarak kullanılır.
• Herhangi bir beklenmeyen PowerShell yürütmesi veya PsTools paketinin kullanımı.
• AD ve/veya LSASS kimlik bilgilerinin dökümünün yapıldığına dair işaretler (örn. Mimikatz veya NTDSutil.exe).
• Beklenmeyen uç noktadan uç noktaya (sunucular dahil) iletişim belirtileri.
• Ağdan dışarı sızan potansiyel veri işaretleri. Veri hırsızlığına yönelik yaygın araçlar arasında Rclone, Rsync, çeşitli web tabanlı dosya depolama hizmetleri (tehdit aktörleri tarafından etkilenen ağa kötü amaçlı yazılım/araçlar yerleştirmek için de kullanılır) ve FTP/SFTP bulunur.
• Yeni oluşturulan hizmetler, beklenmeyen zamanlanmış görevler, yüklenen beklenmedik yazılımlar vb.

Bulut ortamları için

• IAM, ağ güvenliği ve veri koruma kaynaklarında yapılan değişiklikleri algılamak ve önlemek için araçları etkinleştirin.
• Yaygın sorunları (ör. özelliklerin devre dışı bırakılması, yeni güvenlik duvarı kurallarının getirilmesi) tespit etmek için otomasyonu kullanın ve bunlar meydana gelir gelmez otomatik eylemler gerçekleştirin. Örneğin, açık trafiğe (0.0.0.0/0) izin veren yeni bir güvenlik duvarı kuralı oluşturulursa, bu kuralı devre dışı bırakmak veya silmek için otomatik bir eylem gerçekleştirilebilir ve bu kuralı oluşturan kullanıcıya ve bunun için güvenlik ekibine bildirimler gönderilebilir. farkındalık. Bu, uyarı yorgunluğunun önlenmesine yardımcı olacak ve güvenlik personelinin kritik konulara odaklanmasını sağlayacaktır.

Fidye yazılımlarından korunmak için Malwarebytes’in ipuçları

• Yaygın giriş biçimlerini engelleyin. İnternete açık sistemlerdeki güvenlik açıklarını hızlı bir şekilde yamalamak için bir plan oluşturun; ve RDP ve VPN’ler gibi uzaktan erişimi devre dışı bırakın veya güçlendirin.
• İzinsiz girişleri önleyin. Tehditleri, uç noktalarınıza sızmadan veya bulaşmadan erken durdurun. Fidye yazılımı dağıtmak için kullanılan açıkları ve kötü amaçlı yazılımları engelleyebilen uç nokta güvenlik yazılımını kullanın.
• İzinsiz girişleri tespit edin. Ağları bölümlere ayırarak ve ihtiyatlı bir şekilde erişim hakları atayarak davetsiz misafirlerin kuruluşunuzun içinde çalışmasını zorlaştırın. Bir saldırı gerçekleşmeden önce olağandışı etkinliği algılamak için EDR veya MDR’yi kullanın.
• Kötü amaçlı şifrelemeyi durdurun. Fidye yazılımını belirlemek için birden fazla farklı algılama tekniği ve hasarlı sistem dosyalarını geri yüklemek için fidye yazılımı geri dönüşü kullanan Malwarebytes EDR gibi Uç Nokta Tespiti ve Yanıtı yazılımını dağıtın.
• Tesis dışında, çevrimdışı yedeklemeler oluşturun. Yedeklemeleri, saldırganların erişemeyeceği bir yerde, tesis dışında ve çevrimdışı tutun. Temel iş işlevlerini hızlı bir şekilde geri yükleyebildiğinizden emin olmak için bunları düzenli olarak test edin.
• İki kez saldırıya uğrama. Salgını izole ettikten ve ilk saldırıyı durdurduktan sonra, tekrar saldırıya uğramamak için saldırganların tüm izlerini, kötü amaçlı yazılımlarını, araçlarını ve giriş yöntemlerini kaldırmalısınız.

Malwarebytes EDR ve MDR, fidye yazılımının tüm kalıntılarını kaldırır ve yeniden virüs bulaşmanızı engeller. İşletmenizi korumaya nasıl yardımcı olabileceğimiz hakkında daha fazla bilgi edinmek ister misiniz? Aşağıdan ücretsiz bir deneme edinin.

ŞİMDİ DENE