Potansiyel fidye yazılımı saldırıları konusunda Siber Güvenlik ve Altyapı Güvenliği Ajansı’ndan doğrudan uyarı alan kuruluşların yarısından azı Sistemlerindeki savunmasız cihazları azaltmak için harekete geçti Geçen yıl, ajans geçen hafta söyledi.
CISA, 2023 yılında internet erişimli güvenlik açığı bulunan bir cihazı işleten kritik altyapı kuruluşlarına 1.754 fidye yazılımı güvenlik açığı uyarısı gönderdi. “Bulgularımız, güvenlik açığı bulunan 1.754 cihaz bildiriminden 852’sinin ya yamalandığını, telafi edici bir kontrol uygulandığını veya CISA’dan gelen bildirimin ardından çevrimdışına alındığını gösterdi. ” dedi ajans.
Pilot program olan 2022’nin sonlarında yola çıktıCISA’ya göre, fidye yazılımı saldırılarında yaygın olarak kullanılan, bilinen güvenlik açıklarına sahip açıkta kalan cihazları izliyor.
CISA’nın bir sözcüsü e-posta yoluyla şunları söyledi: “Fidye yazılımı güvenlik açığı uyarı pilotu ve siber hijyen güvenlik açığı taramasıyla ilgili bu eğilimler doğru yönde ilerlemeyi temsil etse de, CISA iyileştirme için yer olduğunu kabul ediyor – bu yalnızca başlangıç.”
CISA’ya göre CISA, uyarıların üçte birinden fazlasını devlet tesislerine, dörtte biri ise sağlık ve halk sağlığı kuruluşlarına gönderdi. Uyarıların neredeyse üçte biri enerji, finansal hizmetler, ulaşım, kritik imalat ve BT sektörlerinin birleşiminden oluştu.
CISA, her bir kritik altyapı sektörünün, uyarı aldıktan sonra harekete geçme konusunda ne ölçüde performans gösterdiğini ayrıntılı olarak açıklamadı.
Censys’in baş güvenlik araştırmacısı Emily Austin, daha fazla temel ölçüm bilmeden, CISA’nın şu ana kadarki RVWP çabalarının başarısını genel olarak ölçmenin zor olduğunu söyledi.
Austin, “İnternet cihazları ve hizmetleri geçici olabilir ve analizin, herhangi bir nedenle bir tarama sırasında çevrimiçi, bir sonraki taramada çevrimdışı olabilen, ancak daha sonraki bir tarihte tekrar çevrimiçi olabilen cihazları nasıl dikkate alıp almadığı belirsizdir” dedi.
Ancak kritik altyapı kuruluşlarının genel olarak eyleme geçmemesi, çalışma süresi gereklilikleri gibi olağanüstü zorlukların altını çiziyor ve bu durum bazen bu kuruluşların bilinen güvenlik açıklarını azaltmak için acil eyleme geçmesini engelliyor.
“Tipik bir kuruluşta harekete geçilmesine yol açabilecek siber güvenlik endişeleri, çalışma süresi garantilerini zorlaştıran güvenlik kontrollerinin uygulanması gerektiğinde ciddi engellerle karşılaşabilir. Pompaların çalışması gerekiyor, ameliyathanelerin çalışması gerekiyor ve hiçbir şeyin bunu durdurmasına izin verilemez.” Jason Soroko, Sectigo’nun üründen sorumlu başkan yardımcısıe-posta yoluyla söyledi.
Soroko, “Bulgular beni şaşırtmadı ve kritik altyapı kuruluşlarının kurumsal meslektaşlarının gerisinde kalması konusunda yıllardır cesaretim kırıldı” dedi. “Kültürel olarak bu kuruluşlar, güvenlik kontrolleriyle tipik işletmelerle aynı ölçüde ilgilenmek zorunda kalmaya alışık değiller. Bunu düzeltmek uzun bir yol olacak.”
Ortak Fidye Yazılımı Görev Gücü ile uyumlu olan bu çabalar, sihirli çözümler değilCISA Direktörü Jen Easterly geçen hafta Güvenlik ve Teknoloji Enstitüsü’nün yıllık fidye yazılımı görev gücü etkinliğinde yaptığı açıklamada, saldırıların sayısının onlar olmadan çok daha yüksek olacağını söyledi.