Genellikle nihai bir önlem olarak görülse de, bir BigID anketine katılanların %90’ı, şirketlerinin verileri ve iş süreçlerini kurtarmaları veya daha hızlı kurtarmaları anlamına gelirse fidye ödemeyi düşüneceğini ortaya koydu.
Bu Help Net Security röportajında, Sygnia’da Birleşik Krallık ve Kuzey Avrupa MD’si olan Azeem Aleem, fidye yazılımı pazarlığının karmaşıklıklarını ortaya çıkarıyor ve kuruluşların kendilerini siber tehditlere karşı korumak için alabileceği önlemleri vurguluyor.
Bize tipik bir fidye yazılımı müzakere sürecini anlatabilir misiniz? Profesyoneller daha düşük bir fidye için pazarlık yapmak için ne tür stratejiler kullanıyor?
İşletmeniz saldırı altındaysa, tehdit aktörü, saldırılarından en iyi şekilde yararlanmalarını sağlamak için kademeli bir yaklaşımla verileri yayınlama sözü vererek, gasp yoluyla ‘damla besleme’ için bunu bir fırsat olarak kullanabilir. Sonuç olarak işletme, tehdit aktörüyle sürekli bir fidye döngüsüne girebilir. Büyük fidye yazılımları, kurumsal casusluk, mali hırsızlık ve hatta ulus devlet kampanyalarını araştırmak ve bunlara karşı korunmak için çağrıldığımız yer burasıdır.
Her zaman önleme tarafında hata yapıyoruz. Tehdit aktörlerine ayak uydurmamız gerekiyor ve bu, güvenlik yığınınızı sıfırdan gözden geçirebilecek ve göremeyebileceğiniz şeyleri görebilecek üçüncü taraf güvenlik uzmanlarına yatırım yapmak ve onlardan yardım almak anlamına geliyor. Siber suçla mücadele, tehdidi gerçekten ‘görmek’ için öngörücü ve uyarlanabilir bir zihniyet ve hem helikopter hem de mikroskobik bakış açıları dahil olmak üzere çok sayıda beceri gerektirir.
Tehdit aktörleriyle ilişki kurmadan önce – iş için doğru becerileri edinin. Seçkin askeri teknoloji birimleri ve eski askeri istihbarat görevlileri, kriminal psikologlar, rehin alınmış fidye yazılımı korsanlığı müzakerecileri ve daha fazlası gibi siber endüstri saflarından en iyi yetenekleri seçiyoruz. Kuruluşlara askeri düzeyde güvenlik sağlamak için teknolojik üstünlük, dijital savaş, veri analitiği ve iş alanlarında bilenmiş becerilere sahip inanılmaz derecede benzersiz bir ekip.
Kaybedecek daha çok şeyinizin olduğunun farkında olun – Müzakere etmeye istekli olmalısınız ve bu, mümkün olan en iyi sonucu elde etmek için “oyunu oynamak” anlamına gelir.. Başarı, çalınan verileri korurken çok az para ödemek veya hiç para ödememek anlamına gelir. Siber tehdit müzakere uzmanlarımız, güvenlik açıklarının kaynaklarını bulacak ve fidyeyi geciktirmek için taktikler kullanacak ve aynı zamanda tehdit aktörünün belirli davranışlarının haritasını çıkarması için araştırma ekibiniz için kritik bilgileri ayıklayacaktır. Örneğin, müzakerecilerimiz, daha iyi bir anlaşma için iletişimi açmaya yardımcı olan bir dostluk duygusu yaratarak, empati ve güven oluşturmak için belirli bir kişiliğe bürünebilir.
Güvenlik açığı kaynaklarını bularak ikili ve üçlü gasptan kaçının. Müzakere ekibi, saldırganın amaçlarını ortaya çıkarmak, kaynağı araştırmak, tehdidi kontrol altına almak, ihlale maruz kalma süresini (BET) en aza indirmek ve ardından tehdit döngüsünü kırmanın bir yolu olarak düzeltmeye ve kurtarmaya yardımcı olmak için çalışacaktır. Müzakereciler, teknik ekibin bilinmeyenleri ortaya çıkarmasına yardımcı olabilecek ‘Siyah Kuğu’nun bulunmasına yardımcı olacaktır.
Saldırganın kullandığı araçları, taktikleri ve prosedürleri (TTP’ler) anlayarak, saldırının gelişmişlik düzeyini belirleyebiliriz. Bazen saldırgan ne de araçları o kadar gelişmiş olabilir ama kötüye kullanmaya devam edebilecekleri bilinmeyen bir güvenlik açığı bulmuşlardır.
Bir kuruluş içinde görüşmeleri dahili olarak yürütmek yerine bir fidye yazılımı görüşme hizmetiyle çalışmanın avantajları nelerdir?
Yüksek düzeyde beceriye sahip bir üçüncü taraf olay müdahale ekibi, işletmelere geleneksel şirket içi güvenlik ekiplerinde eksik olabilecek çok sayıda uzmanlığı tek bir çatı altında sunabilir. Örneğin, Sygnia’da seçkin askeri teknoloji birimleri ve eski askeri istihbarat görevlileri, kriminal psikologlar, rehin alınmış fidye yazılımı bilgisayar korsanlığı müzakerecileri ve daha fazlası gibi siber endüstri saflarından en iyi yetenekleri seçeriz. Kuruluşlara askeri düzeyde güvenlik sağlamak için teknolojik üstünlük, dijital savaş, veri analitiği ve iş alanlarında bilenmiş becerilere sahip inanılmaz derecede benzersiz bir ekip – aslında, ulusların sessizce yardım için başvurdukları bir ekip.
Müzakereciler bir şirketin fidye talebine yanıt vermesini geciktirebilir. Bu gecikme ne gibi avantajlar sunuyor ve bir fidye yazılımı saldırısının sonucunu nasıl etkileyebilir?
Tehdit aktörleri artık İK, bordro ve satış ekipleri olan büyük şirketler. Kötü şöhretle büyürler ve fidyeyi güvence altına almaya güvendikleri kadar itibarlarını da korumaları gerekir. Ne yazık ki, bazı durumlarda saldırının doğası gereği fidyenin ödenmesi kaçınılmazdır. Örneğin, yaşamlar üzerinde sadece siber değil, fiziksel bir etkinin olduğu endüstriyel altyapıya yönelik bir saldırı.
Yakın tarihli bir rapor, işletmelerin bu yılın ilk altı ayında nasıl 449,1 milyon dolar fidye ödediğini vurguladı. Dokunsal müzakere, saldırganın bilinmeyenlerini ortaya çıkarmaya, onları yatıştırmanın yollarını bulmaya ve toplam fidyeyi azaltmaya yardımcı olacak – bazı durumlarda potansiyel olarak gelecekteki saldırıları caydıracak. Esasen tehdidi kontrol altına almak, verileri kurtarmak ve güvenlikteki boşlukları gidermek için zaman kazanıyoruz.
Kuruluşlar, başarılı müzakereler için kendilerini en iyi şekilde konumlandırmak üzere bir fidye yazılımı saldırısından hemen sonra ne yapmalıdır?
- Güvenli çevrimdışı kanal kurun – Temelde stratejik ekip iletişimini düzene sokmak için bir savaş odası. Siber saldırılar artık bir BT endişesi değildir ve özellikle düzenleyici adımların atlanması durumunda CEO’nun kendini bulabileceği düşünüldüğünde, kurula götürülmelidir.
- Ani tepkilerden kaçınmak için sakin olun. Korku paniğe kapılmanıza neden olabilir ve muhakemenizi bulandırabilir. Tehdit aktörlerine başarılı bir ‘işaretleme’ yapmaları için tüyo vererek yanıt vermeye çalışabilirsiniz.
- Krizi araştırmak, değerlendirmek ve haritalandırmak için harici olay müdahale uzmanlığını kullanın. Tehdit aktörüyle tek başınıza meşgul olmayın.
- Ağ segmentasyonunu uygulayın ve yedekleme ortamını ağdan ayırın.
- Saldırının yayılmasını önlemek için çalışanların e-posta ve sunucu bağlantısını kesin. Birçok tedarik zinciri saldırısı bu şekilde azaltılabilirdi.
- Saldırının kaynağını anlamak için ortamınızı değerlendirin.
- İyileştirmeye ve arka kapıların yok edilmesine dikkatle yaklaşın. Bu tür hafifletme faaliyetleri, tehdit aktörüne birinin peşinde olduğu konusunda ipucu verebilir. Üstlendiğiniz sürecin kapsamlı olduğundan emin olun ve daha fazla riski önlemek ve gözden kaçmış olabilecek arka kapıları tespit etmek için özel izleme çabalarıyla iyileştirmeyi destekleyin.
Kuruluşların fidye yazılımı saldırılarının etkisini azaltmak için fidye yazılımı görüşme hizmetlerini nasıl başarıyla kullandığına dair bazı örnekler paylaşabilir misiniz?
Fidye yazılımı müzakere hizmetlerimiz, bir şirkete verilen zararı sınırlandırır, tehdidi ortaya çıkarabilmemiz için bize zaman tanır ve nihayetinde herhangi bir fidyeyi hızlandırılmış bir hızla azaltır. Araştırmalarımız, bize tehdit aktörünü caydırabilecek, fidyeyi veya en iyi sonucu en aza indirebilecek, hiçbir şey ödemeyecek bir kaldıraç sunuyor.
Bazı durumlarda hem sanal hem de fiziksel dünyanın etkilenebileceği ve bu nedenle fidye ödenmesi gereken daha fazla OT saldırısı görüyoruz. Örneğin Sygnia, daha büyük bir üretici grubunun parçası olan ve birden fazla OT üretim ortamına sahip olan, tanınmış bir küresel üretim şirketi ile çalıştı. Şirket, PYSA veya Mespinoza Ransomware grubu tarafından üretim katı hizmetlerini şifreleyerek tesis operasyonlarında ve müşteri teslimatında durmaya yol açan bir saldırıya maruz kalmıştı. Bu büyüklükteki bir şirket için günlük operasyonlardaki herhangi bir kesinti tahmini olarak 1,5 ila 2 milyon dolara mal olabilir.
Şirket bu tür kayıplarla çalışmaya devam etmeyi göze alamazdı ve bu nedenle Sygnia, mevcut iş akışlarına paralel olarak tehdit aktörlerini toparlayıp onlarla müzakere ederken tehdidi araştırmak ve kontrol altına almak üzere görevlendirildi. Müzakere uzmanlarından oluşan ekibimiz, tehdit unsuruyla güven ve empati kurmanın yollarını buldu ve çevreleme ekibimizin doğru etki alanını hedeflediğinden emin olmasına yardımcı olmak için saldırının kaynağı hakkında daha derin bir anlayış kazandı.
Saldırının giriş noktasını ortaya çıkardıktan ve yanal hareket vektörlerini bulduktan sonra, saldırının kaynağının grup içindeki bir kardeş şirkete kadar izini sürebildik. Bunu, harici şirketlerin verimlilik için birbirleriyle sistemleri paylaştığı ancak kendileri tarafından bilinmeyen tedarik zinciri saldırılarında defalarca görüyoruz, aynı zamanda tehdit aktörlerinin saldırılarını orman yangını gibi istismar etmeleri ve yaymaları için yollar sağlıyor.
Sygnia bulgularımızı sundu ve sızdırılan verileri analiz edilmek üzere her iki hukuk ekibiyle paylaştı. Bu senaryoda, çevreyi ‘güvenli adamızdan’ kurtarabildik ve bu nedenle fidye ödemek zorunda kalmadık. Ayrıca, saldırının yeniden oluşmasını önlemek ve üreticinin ilk uzlaşmadan sonraki iki hafta içinde tam fabrika operasyonlarına dönmesine yardımcı olmak için güvenlik açıklarını düzelttik.
Fidye yazılımı müzakere hizmetlerinin kolluk kuvvetleriyle nasıl işbirliği yaptığını ve bu işbirliğinin mağdur kuruluşlara nasıl fayda sağlayabileceğini açıklayabilir misiniz?
Birçok durumda, Sygnia’nın müzakere ekibi kolluk kuvvetleriyle kapsamlı bir şekilde çalıştı. Bu, temel olarak saldırı alanının kapsamını anlamaya, düşman grubun TTPS’sini iyileştirmeye ve çevreleme sürecini hızlandırmak için kritik zamanı geri almaya yöneliktir.