Siber Güvenlik ve Altyapı Güvenliği Ajansı direktörü Jen Easterly, Çarşamba günü düzenlenen bir etkinlikte, ABD hükümeti ve ortaklarının son üç yılda fidye yazılımı artışını yavaşlattığını söyledi.
Ancak Güvenlik ve Teknoloji Enstitüsü’nün yıllık fidye yazılımı görev gücü etkinliğinde konuşan Easterly, fidye yazılımının oluşturduğu döngüsel ve kalıcı tehditlerin yeni düşünme yolları gerektirdiğini söyledi. Easterly’e göre savunucuların ve paydaşların mercekleri yazılım ve donanım satıcılarına çevirmesi gerekiyor.
“Kötü adamlarla ilgili çok şey var. Kurbanlarla ilgili çok şey var. Satıcılar hakkında yeterince konuşmuyoruz” dedi.
Easterly, “Saldırıların sayısını ve başarılı saldırıların sayısını gerçekten azaltmanın yolu, yukarı doğru hareket etmemiz ve konuşlandırılan ve teslim edilen teknolojinin aslında güvenli olması için önceliklendirilmesini sağlamamızdır” dedi. “Özellikler değil, pazara sunma hızı değil, maliyetleri düşürmüyor ama güvenli. Bu yüzden bu konunun içindeyiz.”
Tasarım gereği güvenliTeknoloji ürünleri ve hizmetlerinde güvenlik sorumluluğunu üreticilere ve satıcılara devretmeye yönelik kolektif bir çaba olan, ilkelere dayalı bir çalışma devam etmektedir. Şimdilik, var yaptırım mekanizması yok bu yönergelere bağlıdır.
Yetkililer, alt tarafta hâlâ yapacak işleri olduğunu ve olumlu sonuçların gerçekleşmesinin yıllar alabileceğini biliyor.
Stopransomware.gov, Ortak Fidye Yazılımı Görev Gücü gibi çabalar, fidye yazılımı öncesi bildirim girişimi, fidye yazılımı güvenlik açığı uyarı pilotu Easterly, bilinen istismar edilen güvenlik açıkları kataloğunun sihirli çözümler olmadığını, bunlar olmadan saldırı sayısının çok daha yüksek olacağını söyledi.
Easterly, CISA’nın fidye yazılımı öncesi bildirim girişimi ve fidye yazılımı güvenlik açığı uyarı pilotunun her birinin, 2022’nin sonlarında başladığından bu yana yaklaşık 2.000 bildirimle sonuçlandığını söyledi. Bu çabalar bazı saldırıların gerçekleşmesini veya felaketlere dönüşmesini engelledi, ancak fidye yazılımı hala büyük bir sorun olmaya devam ediyor.
Easterly, kurbana veya saldırının neden gerçekleştiğine odaklanmak yerine, paydaşların satıcıların neden yaygın güvenlik açıklarına sahip ürünler sunduğunu ele alması gerektiğini söyledi.
Easterly, MOVEit’teki “çok temel” SQL enjeksiyon güvenlik açığının 20 yıl önce çözüldüğünü söyledi. MOVEit dosya aktarım hizmetindeki bu güvenlik açığıyla bağlantılı fidye yazılımı saldırıları Yaklaşık 2.300 kuruluşu etkiledi ve 93 milyondan fazla bireysel kaydı açığa çıkardı.