Michael Yehoshua, Başkan Yardımcısı, SCADAfence
Fidye Yazılım Çalışmaları
Bu, fidye yazılımı saldırılarının son iki yıldır neden istikrarlı bir şekilde arttığını açıklamanın en basit yolu. PurpleSec’in yakın tarihli bir raporuna göre, fidye yazılımı saldırılarının sayısı 2018’den bu yana yüzde 350 arttı, ortalama fidye ödemesi yüzde 100’den fazla arttı, kesinti süresi yüzde 200 arttı ve olay başına ortalama maliyet artıyor.
Ryuk, Egregor, Conti, Ragnar Locker ve diğerleri gibi isimlere sahip tehdit aktörleri acımasız, iyi finanse edilmiş ve herkesi hedef almaya istekli; COVID-19 aşı üreticilerinden, otomotiv üreticilerinden, kritik altyapılardan, hükümetlerden ve hastanelerden maaşlarını almak için. Aslında fidye yazılımıyla ilgili ilk ölüm, geçtiğimiz Eylül ayında, bir Alman hastanesine fidye yazılımı bulaştığı ve Covid-19 salgını sırasında hastaları tedavi edemediği zaman gerçekleşti.
SCADAfence’in sivillerin hayatlarını ve güvenliğini koruma misyonunun bir parçası olarak, endüstriyel organizasyonunuzda fidye yazılımlarını önlemenize yardımcı olmak için bu kılavuzu bir araya getirdik.
Fidye Yazılımı Şifreleme Süreci
Başa dönelim ve bu saldırıların en başta sistemleri nasıl şifrelediğini tartışalım.
Araştırdığımız önceki fidye yazılımı saldırılarından, saldırganların ilk erişim elde ettikleri andan itibaren tüm ağı birkaç saat içinde şifreleyebileceklerini öğrendik. Diğer durumlarda, saldırganlar hangi varlıkları şifrelemek istediklerini değerlendirmek için daha fazla zaman harcarlar ve depolama ve uygulama sunucuları gibi önemli sunuculara ulaştıklarından emin olurlar.
Haberlerde okuduğunuz son fidye yazılımı saldırılarının çoğu, şifreleme işlemlerinin kesintiye uğramamasını sağlamak için virüsten koruma işlemlerini sonlandırmaya çalışır. SNAKE, DoppelPaymer ve LockerGoga gibi yeni fidye yazılımı çeşitleri, Siemens SIMATIC WinCC, Beckhoff TwinCAT, Kepware KEPServerEX ve OPC iletişim protokolü gibi OT ile ilgili süreçleri sonlandırarak daha da ileri gitti. Bu, endüstriyel sürecin kesintiye uğramasını sağladı ve bu da kurbanların fidyeyi ödeme şansını artırdı. Bu tür fidye yazılımı saldırıları, Honda ve ExecuPharm’ın son saldırılarında görüldü.
Şema #1 – Bir OT Güvenlik Zorluğu: Şifrelemeye Açık Endüstriyel Bileşenler
Gördüğümüz kadarıyla fidye yazılımları genellikle Windows ve Linux makinelerini şifreler. Hala herhangi bir PLC’nin şifrelendiğini görmedik. Ancak, tarihçiler, HMI’lar, depolama, uygulama sunucuları, yönetim portalları ve OPC istemci/sunucuları gibi birçok endüstriyel hizmet Windows/Linux makinelerinde çalıştırılır.
Çoğu durumda, fidye yazılımı işlemleri BT ağında durmaz ve ayrıca OT segmentlerine de saldırır. Daha fazla şifrelenmiş cihaz, saldırganlardan daha yüksek parasal fidye talebi anlamına gelir.
Kuruluşlar, süreç açısından kritik uç noktalara ulaşmadan önce riskleri etkin bir şekilde belirlemek için BT/OT sınırı boyunca tehditleri izleyebilmeli ve tespit edebilmelidir.
Şema #2 – Fidye Yazılımı Önleme: Endüstriyel Ağlarınızda Fidye Yazılımı Saldırılarını Nasıl Önleyebilirsiniz
Fidye yazılımı operatörlerinin kullandığı araç ve tekniklerden bazıları, hedeflenen casusluk kampanyalarında ulus devlet tehdit aktörlerinin kullandığı düzeydedir.
Şema #3 – Fidye Yazılım Saldırılarında En Yaygın Olarak Kullanılan Taktikler, Teknikler ve Prosedürler
Kuruluşların, öldürme zincirinin her adımında fidye yazılımı bulaşma riskini en aza indirmek için bu ortak güvenlik prosedürlerini uygulamalarını öneririz:
İlk Erişim:
- RDP
- Mümkünse, RDP’yi iki faktörlü kimlik doğrulama gerektiren bir uzaktan erişim çözümüyle değiştirin; artık birçok VPN bunu destekliyor. Bu, örneğin SMS yoluyla gönderilen bir kodla saldırganların doğrulanmasını gerektirir.
- Hâlâ RDP kullanmayı seçerseniz, Windows Update’in etkinleştirildiğinden ve çalıştığından emin olun.
- E-posta Kimlik Avı
- Kuruluşun çalışanlarını kimlik avı saldırıları konusunda eğitin. Çalışanlar, doğru görünmeyen e-postalardan şüphelenmeli ve şüpheli bağlantılara tıklamamalıdır.
- Bir kimlik avı önleme çözümü yükleyin.
- İnternete Yönelik Sunucuların Yazılım Güvenlik Açıkları
- Ağ dışından kuruluşunuzun IP aralığını tarayın. Açıkta kalan tüm IP/bağlantı noktalarının beklediğiniz gibi olduğunu doğrulayın.
- Açıktaki hizmetleriniz için otomatik güvenlik güncellemelerinin etkinleştirildiğinden emin olun. Hizmetlerinizden biri (örneğin web sunucuları gibi) bu özelliğe sahip değilse, bu özelliğe sahip benzer bir hizmetle değiştirmeyi düşünün.
Yanal Hareket:
- Güvenlik Duvarları ve Windows Güncellemesi
Tüm iş istasyonlarınızda ve sunucularınızda güvenlik duvarlarını etkinleştirin.
Windows Update’in etkinleştirildiğinden emin olun. Bu, makinelerinizin en son güvenlik açıkları için yamalanmasını ve ayrıca yanal hareket tekniklerine daha az eğilimli olmasını sağlayacaktır. Microsoft, güvenlik ilkelerini ve güvenlik duvarı kurallarını sürekli olarak günceller.
İyi bir örnek, görev zamanlayıcıyı kullanarak süreçlerin uzaktan oluşturulmasını devre dışı bırakmalarıdır. ‘at’ emretmek. - Uç Nokta Koruması
Uç nokta koruması çalışır. Klasik bilgisayar korsanlarının tekniklerini engellemenin ötesinde, bazıları fidye yazılımlarına karşı da savunmaya sahiptir ve varlıklarınızı şifrelemeden koruyacaktır.
- Ağ Segmentasyonu
İdeal olarak, bir fidye yazılımı saldırısına maruz kaldığında endüstriyel ağınızın etkilenme riskini en aza indirmek istersiniz.
- BT ağını OT ağ segmentinden mümkün olduğunca ayırın. Segmentler arasındaki erişimi izleyin ve sınırlayın.
- OT ve BT ağlarına (Windows etki alanları, vb.) farklı yönetim sunucuları kullanın. Bunu yaparak, BT etki alanından ödün vermek OT etki alanından ödün vermez.
- Sürekli Ağ İzleme
- Sürekli bir ağ izleme platformu (gerçekten iyi bir tane biliyoruz), ağ trafiğini analiz ederken tehditleri belirlemenize ve ağınızda neler olup bittiğine dair daha büyük resmi görmenize yardımcı olacaktır.
- Veri Sızıntısı
Olağan dışı giden trafik için ağınızı izleyin. Günlük kullanıcı etkinliği, kullanıcı başına günlük yaklaşık 200 MB’den daha yüksek yukarı bağlantı etkinliği oluşturmamalıdır.
SCADAfence Size Nasıl Yardımcı Olur?
Kapsamlı bir çözüm sunuyoruz – Sizinki gibi endüstriyel kuruluşları endüstriyel siber saldırılardan (fidye yazılımı dahil) korumak için oluşturulmuş SCADAfence platformu. Ayrıca yerleşik özellikleri arasında daha iyi güvenlik uygulamaları uygulamanıza yardımcı olur. Bunlardan bazıları şunlardır:
- Varlık Yönetimi
- Ağ Haritaları
- Trafik Analizörleri
Bu araçlar, güvenlik duvarlarınızın düzgün çalıştığından ve OT ağındaki her cihazın yalnızca iletişim kurmaları gerekenlerle iletişim kurduğundan emin olmak için kuruluşunuzun daha iyi ağ segmentasyonu uygulamasına yardımcı olacaktır. Ayrıca, olması gereken yerde olmayan varlıkları, örneğin DMZ’deki unutulmuş varlıkları da tespit edebileceksiniz.
Aynı zamanda en yüksek puanlı OT & IoT güvenlik platformu olan platform, tipik fidye yazılımı saldırılarında bulunanlar da dahil olmak üzere herhangi bir tehdit için ağ trafiğini de izler; gibi:
- Ağ üzerinden gönderilen güvenlik açıkları.
- En son teknikleri kullanarak yanal hareket denemeleri.
- Ağ taraması ve ağ keşfi.
Bir güvenlik ihlali durumunda, SCADAfence’in ayrıntılı uyarıları, bu tehditleri mümkün olan en kısa sürede kontrol altına almanıza yardımcı olacaktır. Sonuç olarak, bu aracı endüstriyel kuruluşların saldırı yüzeylerini anlamalarına, kötü niyetli veya anormal faaliyetler için etkili segmentasyon ve sürekli ağ izleme uygulamasına yardımcı olmak için oluşturduk.
Endüstriyel bir fidye yazılımı siber saldırısına karşı son olay yanıtımızın gerçek bir hikayesini sizinle paylaşmak istiyoruz. SCADAfence’in olay müdahale ekibi, siber güvenlik acil durumlarında şirketlere yardımcı olur. Bu videoda, yer aldığımız yakın tarihli bir olay müdahale etkinliğini inceleyeceğiz. Bu araştırma, kuruluşların bu tür olayları planlamalarına ve ağlarında hedeflenen endüstriyel fidye yazılımlarının etkisini azaltmalarına yardımcı olmak amacıyla yayınlandı.
Bu hikaye hakkında daha ayrıntılı bilgi için burada tam bir teknik inceleme hazırladık:
yazar hakkında
Michael Yehoshua, Başkan Yardımcısı, SCADAfence
Michael, 15 yıllık pazarlama yaratıcılığını ve sıra dışı düşünmeyi SCADAfence’e getiriyor. Ekibe katılmadan önce Michael, düşünce liderliği ve küçük, düşüşte olan bir girişimi kendi sektörlerinde başarılı, kârlı dünya lideri bir satıcıya dönüştürmesiyle ünlü olduğu TrapX Security’de Pazarlama Direktörüydü. Bundan önce, Michael AMC’de Pazarlama Başkan Yardımcısıydı ve tüm pazarlama mimarisini yeniden inşa ederek firmanın on yıllardır görmediği güçlü gelir rakamları sağladı. Michael, Harvard Business School’da, Bar Ilan Üniversitesi’nde MBA ve Lander College’da Pazarlama ve İşletme Yönetimi lisans dereceleri için okudu. Michael’a [email protected] adresinden ve şirketimizin web sitesi https://www.scadafence.com/ adresinden ulaşılabilir.
ADİL KULLANIM BİLDİRİMİ: “Adil kullanım” yasası uyarınca, başka bir yazar, orijinal yazarın eserini izin almadan sınırlı olarak kullanabilir. 17 ABD Yasası § 107 uyarınca, telif hakkıyla korunan materyalin “eleştiri, yorum, haber raporlama, öğretim (sınıf kullanımı için birden çok kopya dahil), burs veya araştırma gibi amaçlarla belirli kullanımları, bir telif hakkı ihlali değildir.” Politika gereği, adil kullanım, halkın telif hakkıyla korunan materyallerin bölümlerini yorum ve eleştiri amacıyla özgürce kullanma hakkına sahip olduğu inancına dayanır. Adil kullanım ayrıcalığı, bir telif hakkı sahibinin münhasır haklarındaki belki de en önemli sınırlamadır. Siber Savunma Medya Grubu, siber haberleri, olayları, bilgileri ve çok daha fazlasını ücretsiz olarak web sitemiz Cyber Defense Magazine’de bildiren bir haber raporlama şirketidir. Tüm görüntüler ve raporlama, yalnızca ABD telif hakkı yasasının Adil Kullanımı kapsamında yapılır.