Fidye yazılımı saldırıları dünya çapında kuruluşlara zarar vermeye devam ederken, bu acil sorunu ele almak için birçok resmi standart ve düzenleme oluşturulmuştur.
Bu makale, CISA, NIST, HIPAA, FedRAMP ve ISO 27002 tarafından yayınlanan ortak düzenlemeleri ve standartları incelemekte ve parola güvenliği en iyi uygulamalarını takip etmenin önemini tartışmaktadır.
Düzenlenmiş bu standartların yeterli olup olmadığını veya kuruluşların daha sağlam güvenlik önlemleri için çaba sarf etmesi gerekip gerekmediğini keşfedin.
Zayıf Parolaların Fidye Yazılım Saldırılarına Etkisi
Zayıf parolalar, bir kuruluşun fidye yazılımı saldırılarına karşı savunmasızlığını önemli ölçüde artırabilir. Verizon 2022 Veri İhlali Soruşturmaları Raporuna göre, güvenliği ihlal edilen verilerin %63’ü kimlik bilgilerinin çalınması veya ele geçirilmesinden kaynaklanıyor. Ek olarak, saldırganlar bir kuruluşun sistemlerine yetkisiz erişim elde etmek için genellikle zayıf veya çalıntı parolalardan yararlanarak fidye yazılımı bulaşmalarının önünü açar.
Ayrıca, HYPR tarafından yapılan 2023 Parolasız Güvenlik Durumu araştırması, 5 kuruluştan 3’ünün son 12 ayda kimlik doğrulamayla ilgili ihlaller yaşadığını ortaya koydu. Ayrıca, son 12 ayda kimlik doğrulamayla ilgili siber ihlallerin ortalama maliyeti 2,95 milyon dolara yükseldi. Bu istatistikler, fidye yazılımı saldırılarına karşı koruma sağlamak için güçlü parola güvenliği uygulamalarının önemini vurgulamaktadır.
CISA, NIST, HIPAA, FedRAMP ve ISO 27002’den rehberlik
Kuruluşlar, CISA, NIST, HIPAA, FedRAMP ve ISO 27002 tarafından sağlanan parola kılavuzunu izleyerek ve aşarak, yetkisiz erişime karşı savunmalarını güçlendirebilir ve fidye yazılımı saldırılarına karşı savunmasızlıklarını azaltabilir.
CISA – Fidye Yazılım Savunmasını Güçlendirme
Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA), kuruluşların kendilerini fidye yazılımı saldırılarına karşı korumalarına yardımcı olacak bir kılavuz yayınladı. CISA yönergeleri, fidye yazılımı bulaşma riskini en aza indirmek için düzenli yedeklemeler, yama yönetimi ve kullanıcı eğitimi dahil olmak üzere kapsamlı bir siber güvenlik programı uygulamanın önemini vurgulamaktadır.
CISA, fidye yazılımı kılavuzunda belirli parola önerileri sağlamasa da, NIST parola güvenlik yönergelerinin izlenmesini önerir. Ayrıca CISA, fidye yazılımı bulaşmasına yol açabilecek yetkisiz erişim riskini en aza indirmek için kuruluşları çok faktörlü kimlik doğrulamayı (MFA) ve diğer sağlam erişim kontrollerini benimsemeye teşvik eder.
NIST – Dijital Kimlik İçin Kapsamlı Bir Çerçeve
Ulusal Standartlar ve Teknoloji Enstitüsü (NIST), dijital kimlik ve kimlik doğrulama için en iyi uygulamaları özetleyen Özel Yayın 800-63B’yi yayınladı. Bu belge, hesap güvenliğini artırmak için uzun, karmaşık parolaların kullanılması ve çok faktörlü kimlik doğrulamanın (MFA) uygulanması gibi parola güvenliği konusunda değerli rehberlik sağlar.
NIST’in Özel Yayını 800-63B, ayrıntılı parola kılavuzu sağlar. Temel öneriler aşağıdakileri içerir:
- Parola uzunluğu – Kullanıcı tarafından seçilen parolalar için en az 8 karakter ve rastgele oluşturulmuş parolalar için en az 6 karakter olacak şekilde uzun parolaların kullanımını teşvik edin.
- Karmaşıklık – Özel karakterler veya karakter türlerinin bir karışımını zorunlu kılmak gibi karmaşıklık kuralları koymayın.
- Parolanın geçerlilik süresinin dolması – Güvenlik ihlaline dair bir kanıt olmadıkça, parolanın periyodik olarak değiştirilmesini engelleyin.
- Parolanın yeniden kullanımı – Kullanıcıları parolalarını farklı hesaplarda yeniden kullanmaktan kaçınmaya teşvik edin.
- MFA – Gelişmiş güvenlik için çok faktörlü kimlik doğrulamanın kullanılması şiddetle tavsiye edilir
HIPAA – Sağlık Hizmeti Verilerini Fidye Yazılımlarından Koruma
Sağlık Sigortası Taşınabilirlik ve Hesap Verebilirlik Yasası (HIPAA), sağlık kuruluşlarının hassas hasta verilerini fidye yazılımı saldırılarına karşı korumalarına yardımcı olmak için siber güvenlik kılavuzu yayınladı. Kılavuz, elektronik korumalı sağlık bilgilerini (ePHI) korumak için güçlü risk yönetimi süreçlerine, sürekli güvenlik farkındalığı eğitimine ve HIPAA’nın güvenlik kuralına bağlılığa olan ihtiyacı vurgulamaktadır.
HIPAA’nın Güvenlik Kuralı, kapsanan kuruluşların elektronik korumalı sağlık bilgilerine (ePHI) erişen kişilerin kimliğini doğrulamak için parola politikaları ve prosedürleri uygulamasını gerektirir. Belirli bir parola kılavuzu sağlanmaz, ancak HIPAA, NIST yönergeleri gibi sektördeki en iyi uygulamaların izlenmesini teşvik eder.
FedRAMP – Bulut Tabanlı Hizmetlerin Güvenliğini Sağlama
Federal Risk ve Yetkilendirme Yönetimi Programı (FedRAMP), federal kurumlar tarafından kullanılan bulut tabanlı hizmetlerin güvenliğini sağlamak için bir çerçeve oluşturmuştur. Bu çerçeve, bulut hizmetlerinde fidye yazılımı saldırıları riskini azaltmak için titiz güvenlik değerlendirmeleri, yetkilendirme ve sürekli izleme içerir.
FedRAMP’ın güvenlik kontrolleri, NIST Özel Yayını 800-53’e dayanmaktadır. Parola önerileri arasında –
- Parola uzunluğu – Yüksek etkili sistemler için minimum 12 karakter ve orta etkili sistemler için 8 karakter.
- Karmaşıklık – Büyük ve küçük harflerin, sayıların ve özel karakterlerin bir karışımını kullanmaya teşvik edin.
- Parola süre sonu – Yüksek etkili sistemler için her 60 günde bir ve orta etkili sistemler için 90 günde bir parola değişikliği gerektirin.
- MFA – Federal bilgi sistemlerine uzaktan erişim için çok faktörlü kimlik doğrulamasını zorunlu kılın.
ISO 27002 – Kimlik Doğrulama Bilgi Kontrolü
Uluslararası Standardizasyon Örgütü (ISO), bilgi güvenliği yönetim sistemleri (ISMS) yönergeleri sağlayan ISO 27002 standardını yayınladı. Önerileri arasında standart, karmaşık parolalar ve MFA dahil olmak üzere güçlü kimlik doğrulama kontrollerinin önemini vurgulamaktadır.
ISO 27002, kuruluşların aşağıdakileri içeren bir parola politikası oluşturmasını önerir:
- Parola uzunluğu – Tam bir uzunluk belirtmeden yeterince uzun parolalar kullanmayı teşvik edin.
- Karmaşıklık – Büyük ve küçük harfler, sayılar ve özel karakterler gibi farklı karakter türlerinin bir karışımını önerin.
- Parola süre sonu – Kuruluşun risk değerlendirmesine göre uygun bir süre belirleyin.
- Parola yeniden kullanımı – Daha önce kullanılan parolaların yeniden kullanımını kısıtlayın.
- MFA – Uygun olduğunda çok faktörlü kimlik doğrulamanın kullanımını teşvik edin.
Parola Güvenliği En İyi Uygulamalarının Önemi
Bu düzenlemeler ve standartlar, fidye yazılımı önleme için sağlam bir temel sağlasa da kuruluşlar yalnızca bunlara güvenmemelidir. Bir analizde, güvenliği ihlal edilmiş parolaların %83’ünün düzenleyici parola standartlarının parola uzunluğu ve karmaşıklık gereksinimlerini karşıladığı keşfedildi. Kuruluşların iyileştirebileceği önemli bir siber güvenlik alanı parola güvenliğidir.
Specops tarafından yapılan bir araştırmaya göre, yeterli güvenliği sağlamak için şifreler 12 karakter veya daha uzun olmalıdır. Bununla birlikte, düzenlenmiş birçok standart, yine de en az sekiz karakterlik bir uzunluk önermektedir. Daha kısa parolalar, potansiyel olarak bir kuruluşun tüm ağını tehlikeye atarak saldırganlar tarafından daha kolay kırılabilir.
Düzenlenmiş Standartların Ötesine Geçmek
Fidye yazılımı saldırıları karmaşıklık içinde geliştikçe, kuruluşlar çağın ötesinde kalmalı ve daha sağlam güvenlik önlemleri uygulamalıdır. Aşağıdakileri içerebilir:
- Daha uzun parola uzunluklarının, karmaşıklık gereksinimlerinin ve düzenli parola değişikliklerinin zorunlu kılınması gibi parola ilkelerinin düzenli olarak güncellenmesi ve güçlendirilmesi.
- Eğitim programları aracılığıyla çalışanların güvenlik farkındalığını artırmak, tüm personelin kimlik avı girişimlerini ve diğer saldırı vektörlerini tanımlama ve bunlardan kaçınma konusunda bilgili olmasını sağlamak.
- Potansiyel tehditleri gerçek zamanlı olarak izlemek ve bunlara yanıt vermek için uç nokta algılama ve yanıt (EDR) çözümleri gibi gelişmiş güvenlik araçlarının uygulanması.
- Kuruluşun altyapısındaki güvenlik açıklarını belirlemek ve düzeltmek için düzenli güvenlik değerlendirmeleri ve sızma testleri yapmak.
- Bilgi paylaşmak ve en son fidye yazılımı trendleri ve saldırı teknikleri konusunda güncel kalmak için sektör meslektaşları ve güvenlik uzmanlarıyla işbirliği yapmak.
Daha Yüksek Güvenlik Standardı Hedeflemek
CISA, NIST, HIPAA, FedRAMP ve ISO 27002 gibi fidye yazılım önleme için düzenlenmiş standartlar kuruluşlar için değerli rehberlik ve sağlam bir başlangıç noktası sağlasa da, bu standartların yeterli olmayabileceğini kabul etmek çok önemlidir. Kuruluşlar, düzenlenen standartların ötesine geçerek bir fidye yazılımı saldırısının kurbanı olma riskini önemli ölçüde azaltabilir.
Fidye yazılımı tehditleri geliştikçe ve karmaşıklaştıkça, kuruluşlar siber güvenlik çabalarında proaktif ve tetikte kalmalıdır. Düzenlenmiş standartlara bağlı kalmayı ve özellikle parola güvenliği ve çalışan eğitiminde bunları aşmaya çalışmayı içerir. Fidye yazılımı önleme konusunda kapsamlı ve uyarlanabilir bir yaklaşım benimseyen kuruluşlar, kritik verilerini ve varlıklarını her zaman var olan saldırı tehdidine karşı daha iyi koruyabilir.
Specops Şifre Politikası ile Kuruluşunuzu Fidye Yazılımlarından Koruyun
Birçok kuruluş, kaynakların güvenliğini sağlamak için şirket içi kimlik ve erişim yönetimi çözümü olarak Microsoft Active Directory Etki Alanı Hizmetlerini kullanır. Ancak Active Directory, etkili modern parola ilkeleri sağlayan yerel araçlardan yoksundur. Ayrıca, Active Directory yerel parola ilkeleri, genellikle fidye yazılımı saldırılarına yol açan artımlı veya ihlal edilmiş parolalara karşı koruma sağlamaz.
Specops Password Policy, kuruluşlara parolaları mevcut saldırılardan korumanın zorluklarını aşmak için modern parola ilkesi araçları sağlar. Kuruluşların özel kurallar belirlemesine ve düzenleyici gereksinimleri karşılamasına olanak tanır. Ayrıca gerçek zamanlı son kullanıcı geri bildirimi sağlayarak kullanıcıların kendilerinden ne beklendiğini görmelerine yardımcı olur. Ayrıca yöneticiler, uzunluğa dayalı eskimeyi yapılandırabilir ve kullanıcıların parola gücüne bağlı olarak parola değişiklikleri arasında daha uzun süre beklemesine olanak tanır.
Kuruluşlar, Specops Parola İlkesi güvenlik seçeneklerini kullanarak parola güvenliğini genişletmek için uyguladıkları mevcut Grup İlkelerini kullanabilirler. Aşağıdaki özelliklere ve yeteneklere dikkat edin:
- Özel sözlük listeleri
- İhlal Edilmiş Parola Koruması ile güvenliği ihlal edilmiş 3 milyardan fazla parolayı engelleyin
- Başarısız parola değişikliğinde bilgilendirici son kullanıcı istemci mesajlaşması
- Kullanıcılar, Specops Authentication istemcisi ile gerçek zamanlı dinamik geri bildirim alır
- Özelleştirilebilir e-posta bildirimleriyle uzunluğa dayalı parola süre sonu
- Kullanıcı adlarını, görünen adları, belirli sözcükleri, ardışık karakterleri, artımlı parolaları engelleyin ve geçerli parolanın bir bölümünü yeniden kullanın
- Herhangi bir GPO seviyesi, bilgisayar, kullanıcı veya grup popülasyonu için ayrıntılı, GPO güdümlü hedefleme
Specops Password Policy hakkında daha fazla bilgi edinin ve ücretsiz deneme sürümünü buradan indirin: Active Directory Password Filter – Specops Password Policy
Sponsorlu ve Specops Software tarafından yazılmıştır