Fidye yazılımı her ölçekteki kuruluş için büyük bir tehdittir. Bir araştırmaya göre felaket kurtarma olaylarının yaklaşık üçte ikisi fidye yazılımlarından kaynaklanıyor. Bu arada firmaların normal faaliyetlerine dönmeleri ortalama 21 gün sürüyor.
Fidye yazılımının büyümesi, veri depolama ve yedeklemeyi siber savunmanın ön saflarına yerleştirdi ve firmalar fidye yazılımına karşı önlemlerini güçlendirdikçe, saldırganlar daha karmaşık ve tehlikeli hale geldi.
Saldırganlar üretim verilerini şifrelemekten yedekleri ve yedekleme sistemlerini hedeflemeye geçti. Amaçları kuruluşların toparlanmasını zorlaştırmak ve böylece fidye ödeme olasılıklarını artırmak. Ayrıca, suç gruplarının hassas verileri ifşa etme ve hatta bireyleri hedef almak için kullanma tehdidinde bulunduğu ikili ve üçlü gasp saldırıları, riski daha da artırdı.
Buna yanıt olarak, baş bilgi güvenliği görevlileri (CISO’lar) ve baş bilgi görevlileri (CIO’lar), değişmez anlık görüntüler, hava boşluklu yedeklemeler ve yapay zeka (AI) tabanlı tehdit algılama kullanarak sistemleri fidye yazılımı saldırılarına karşı güçlendirmeye çalıştı. Tedarikçiler ayrıca fidye yazılımına karşı koruma araçlarını da güçlendirdi. Bazıları, bir saldırının gerçekleşmesi durumunda mali tazminat sunan fidye yazılımı kurtarma garantileri bile sunuyor.
Fidye yazılımı saldırıları, verilere erişimi devre dışı bırakan kötü amaçlı yazılımları yayarak çalışır. Kötü amaçlı yazılım genellikle kuruluşa kimlik avı, virüs bulaşmış belgeler veya güvenliği ihlal edilmiş veya kötü amaçlı web siteleri aracılığıyla girer. Verileri şifrelemek için hareket eder ve ardından saldırganlar şifre çözme anahtarı için fidye talep eder.
İlk savunma hattı, istemci cihazlarda ve ağda antivirüs ve kötü amaçlı yazılım tespiti ve kullanıcı farkındalığı ve eğitimi yoluyla kimlik avı saldırılarını tespit etmek ve engellemektir.
Bunların çoğu standart siber hijyendir. Kötü amaçlı yazılımlara ve kimlik avına karşı çalışan yöntemlerin çoğu, fidye yazılımlarına karşı da aynı şekilde çalışır. Güvenlik araştırmacıları, fidye yazılımı saldırılarının kötü amaçlı yazılım bileşeninin genellikle çok karmaşık olmadığına dikkat çekiyor.
Ancak siber hijyen önlemleri riskleri azaltsa da kusursuz değildir. Bu nedenle firmalar, ağdaki şüpheli etkinlikleri tespit edip engellemenin yanı sıra, şifrelemeye karşı daha derin veri koruma düzeylerine de bakıyor.
İyi yedeklemeler fidye yazılımlarına karşı önemli bir savunma olmaya devam ediyor. Bir firma verilerini temiz bir yedekten kurtarabilirse, fidye ödemeye gerek kalmadan normal faaliyetlerine dönme şansı yüksektir. Ayrıca Birleşik Krallık’taki NCSC gibi güvenlik danışmanlarının da belirttiği gibi, fidyeyi ödemenin verileri kurtarabilmenin garantisi olmadığı belirtiliyor.
Tesis dışı yedekleme veya “hava boşluklu” ve üretim sistemlerinden fiziksel veya mantıksal olarak ayrılmış veriler iyi düzeyde koruma sağlar, ancak tesis dışı yedeklemelerden kurtarma yavaş olabilir.
Temiz bir kurtarma aynı zamanda kullanıcıların, yedeklemelere kötü amaçlı yazılım bulaşmasını önlemek için bir saldırıyı yeterince erken tespit etmesini de gerektirir. Ayrıca saldırganlar artık devre dışı bırakmak veya yedekleme dosyalarını bozmak amacıyla yedekleme sistemlerini aktif olarak hedef alıyor.
Bu, depolama tedarikçilerinin, ek savunma katmanları sağlamak için depolama ve yedekleme teknolojilerine ilave fidye yazılımı koruması düzeyleri eklemesine yol açtı.
Satıcılar kurtarmaya mı geliyor?
Fidye yazılımlarına karşı tedarikçiler tarafından uygulanan en yaygın önlemlerden biri değişmez yedeklemelerdir. Çoğu zaman bunlar, genellikle değişmez olan anlık görüntülerdir. Anlık görüntüler, hızlı geri yükleme süreleri gibi ek bir avantaja sahiptir ve yerel olarak, tesis dışında veya genel bulutta depolanabilir. Dezavantajları ise işgal ettikleri kapasitenin hızlı bir şekilde büyüyebilmesidir, dolayısıyla anlık görüntü saklama süreleri genellikle oldukça düşüktür.
Artık çok sayıda tedarikçi, yedekte veya doğrudan üretim depolama alanında değişmez veri kopyaları sunuyor.
Örnekler arasında nesne depolama için Wasabi’nin Nesne Kilidi değişmezlik özelliği ve FlashBlade ve FlashArray sistemlerinde Pure’un SafeMode anlık görüntülerinin yanı sıra PortWorx’ta nesne kilitleme yer alır.
Vast Data, Yıkılmazlık adını verdiği bir özelliği kullanarak değişmez yedeklemeler sağlayan başka bir tedarikçidir. Amazon S3 kullanan firmalar da klasörlere Nesne Kilidi uygulayabilir. Bir diğer yaklaşım ise işletim sistemini güçlendirmektir; Scality’nin Artesca aygıtlarında Linux ile yaptığı şey budur. Tedarikçi, işletim sistemini güçlendirerek, bir saldırganın verileri yok etmek veya şifrelemek için kullanabileceği yönetici araçlarını kısıtlıyor.
Ancak değişmezliğin farklı seviyeleri vardır. Databarracks’ın genel müdürü James Watts’ın belirttiği gibi, değişmezliğin etkinliği sistemlerin nasıl yapılandırıldığına bağlıdır. Yedekleme düzeyinde değişmezlik sağlayan bir araç seti, örneğin bir saldırganın temeldeki depolama birimlerini silmesini engellemez. Nihai koruma için, yedek kopyaların bile ve depolama hedefinin “etki alanı dışında” tutulmasını önerir.
Yedekleme tedarikçilerinin çoğunluğu artık verilerin hava boşluklu kopyalarını destekliyor ve giderek artan sayıda tedarikçi, değişmez yedeklerin tesis dışında depolanmasını daha kolay ve daha az sermaye gerektiren bir hale getirmek için doğrudan genel bulut depolamayla çalışacak.
Bilişim şefleri ve veri depolama yöneticileri, yedekleme ve kurtarma araçlarının, kopyaları buluta yükleyip yükleyemeyecekleri veya hava boşluklu veri kümeleri oluşturmak için kullanılıp kullanılamayacakları gibi yeteneklerini kontrol etmelidir.
Fidye yazılımı dedektifleri ve garantiler
Ancak değişmez yedeklemeler kusursuz değildir. Kötü amaçlı yazılım anlık görüntüye bulaşırsa kuruluşu korumazlar.
Bu durum, tedarikçilerin, fidye yazılımı enfeksiyonlarını tetiklenmeden önce tespit etmelerine yardımcı olmak için depolama cihazı ve ağ düzeyinde anormallik algılama özelliği eklemelerini sağladı. Tedarikçiler, kötü amaçlı yazılımların yayılmasını ve verileri şifrelemesini veya silmesini önleyecek kadar yüksek hızlarda, büyük miktarda verideki anormallikleri tespit etmek için yapay zeka araçlarını giderek daha fazla kullanıyor.
Bu tür anormallikler, bir veri kümesindeki dosyalarda anormal derecede çok sayıda değişikliğin algılanmasını veya dosya adlarında veya içerikte artan rastgelelik düzeylerini içerebilir; bunların her ikisi de, fidye yazılımı verileri şifrelemeye başladığında ortaya çıkabilir.
Bu tür algılama sunan tedarikçiler arasında Cohesity ve NetApp yer alırken Pure, Pure1 yönetim platformunda AIOps tabanlı anormallik algılama özelliğine sahiptir. Commvault’un teknolojisinde erken uyarı özellikleri de bulunuyor. Firmalar, saldırıların önünde kalmaya çalışırken, yalnızca yedeklemelere değil, üretim veri depolama alanına da fidye yazılımı algılama özelliği yerleştirdi.
Bazı tedarikçiler, veri koruma önlemlerini destekleyecek mali garantiler sunarak bir adım daha attı.
Veeam ve NetApp fidye yazılımı garantileri sunan tedarikçiler arasında yer alıyor; Pure’un, verileri kurtarmak için donanım ve bir teknisyen sağlamayı içeren bir fidye yazılımı kurtarma hizmet düzeyi sözleşmesi vardır.
Firmalar, fidye yazılımına karşı koruma önlemlerinin operasyonlarına uygun olduğundan emin olmak için kendi adımlarını atmalıdır. Garantiler, hatta yedi ya da sekiz rakamlı ödemeler sunanlar bile, yalnızca sıkı bir şekilde tanımlanmış koşullar altında geçerli olacak ve nakit, ancak veriler erişilemez hale getirildiğinde bir kuruluşa yardımcı olacak kadar ileri gidecektir. Databarracks’tan Watts, “Her kuruluş için genel bir politika veya basit bir yanıt yoktur; bu kararların hepsinin, sizin için neyin işe yaradığına ilişkin olarak maliyet ve riski dengelemesi gerekir” diyor.