Saldırganlar sizi ihlal etmek için ellerinden geleni yapacaklar. Yeterli zaman ve teknolojiye yatırım yaparlarsa muhtemelen başarılı olacaklardır. Ancak yollarına yeterince engel koyun ve kaynaklarını tükettikçe onları durdurma şansınız çok yüksek olur. Günümüzde derinlemesine savunma, fidye yazılımlarını önlemenin güvenilir ve kanıtlanmış bir yolu olarak görülüyor.
Her ne kadar derinlemesine savunma uygulaması CISA gibi kurumlar tarafından kabul edilse de, kuruluşların çoğu olmasa da çoğu, fidye yazılımlarına karşı savunma katmanları oluşturma uygulamasını yanlış anlıyor. Güvenlik duvarlarınızı, antivirüs (AV) çözümlerinizi, uç nokta algılama ve yanıt (EDR) platformlarınızı vb. aşan tehditlerin hedefi olduğunuzda, tehdit algılama ve yanıt verme konusunda aynı prensiple çalışan başka bir kontrol katmanı çok az işe yarayacaktır. onları durdurmak için.
Karmaşık ve kaçamak tehditler gelişmeye devam ediyor. Çalışma zamanında cihaz belleğine yüklenen bir Cobalt Strike işaretçisini, polimorfik imzalara sahip, kaçan bir kötü amaçlı yazılım türünü, sıfır günü veya bir sonraki büyük tedarik zinciri tehdidini hedefleyen bir istismarı düşünün. Bunlar ve diğer gelişmiş tehditler, telemetri tabanlı kontrollerde görünmez veya imza kitaplıklarına veya davranış analizlerine saygı göstermez. Bunları durdurmak için fidye yazılımı savunma duruşunuza artıklık ve dayanıklılık kazandırmanız gerekir.
NIST tarafından arıza koruması olarak da adlandırılan yedeklilik, ortamınızda farklı mekanizmalar aracılığıyla çalışan birden fazla koruma mekanizmasını devreye aldığınızda elde ettiğiniz güvenlik artışıdır. Yedeklemeniz olduğunda dayanıklılık (yani tekrarlanan saldırılara dayanma ve bunlardan kurtulma yeteneği) kazanırsınız.
Modern fidye yazılımı tehditlerine karşı yedeklilik elde etmek için ortamınızda yeni bir savunma yöntemiyle fidye yazılımını yenen başka bir kontrol katmanına ihtiyacınız vardır. Otomatik Hareketli Hedef Savunması (AMTD) gibi gelişen teknolojiler bu boşluğu kapatabilir ve fidye yazılımı saldırılarını, erken sızmadan, fidye yazılımı çalıştırmaya çalıştığında kritik sistemlerin korunmasına kadar birçok aşamada önleyebilir.
Fidye Yazılımı Tehditlerinin Gelişimi
“Fidye yazılımı ulusal güvenliğe, kamu güvenliğine ve ekonomik refaha yönelik bir tehdittir.” Ulusal Siber Güvenlik Stratejisinin fidye yazılımı riskine ilişkin açıklaması, fidye yazılımının yeni gerçekliğine bir gönderme niteliğindedir; bu, siber olsun ya da olmasın, dünyamızın karşı karşıya olduğu en tehlikeli risklerden biridir.
Bireysel kuruluşlar için bu riske karşı tepki ve iyileşme üzerine oynamak başarısız bir stratejidir. Saldırılar artık yedeklemeleri hedef alıyor ve artık sigortaya güvenmek de sürdürülebilir değil; yakın tarihli bir raporda sigorta primlerinde %100’lük bir artış kaydedildi.
Fidye yazılımı 30 yılı aşkın süredir varlığını sürdürüyor. Ancak son birkaç yılda değişen şey, potansiyel karlardır; kârlar arttıkça, kötü amaçlı yazılım geliştiricileri ve operatörleri, kötü amaçlı yazılımların savunma mekanizmalarından başarılı bir şekilde kaçmasına yardımcı olacak teknikleri geliştirerek oyunlarını önemli ölçüde geliştirdiler.
Örnek olarak 2021 Sağlık Hizmeti Yöneticisi Conti saldırısını ele alalım. İrlanda’nın ulusal sağlık sistemine yapılan bu fidye yazılımı saldırısı, 80.000’den fazla uç noktayı tehlikeye attı ve tüm ülkede sağlık hizmetlerini etkili bir şekilde kapattı. Saldırı birçok nedenden dolayı başarılı oldu ancak temel nedenlerden biri Conti’nin HSE’nin uç noktalarındaki AV ve benzeri güvenlik çözümlerinden kaçabilmesiydi.
Conti, herhangi bir alarm vermeden uç noktalardan sunuculara yatay geçiş yapmak için dosyasız teknikler kullandı. Ayrıca DLL’leri cihaz belleğine şifrelemek için kötü amaçlı kod yükleyebilir ve AV’lerin ve diğer çözümlerin tarayamadığı bu alanda (çalışma zamanı sırasında) fidye yazılımı çalıştırabilirler.
Daha fazla fidye yazılımı saldırısında, diğer kaçınma tekniklerinin yanı sıra bu bellekten ödün verme yöntemi de kullanılıyor. Tehdit aktörleri, meşru araçları ele geçirmekten, yalnızca bir cihaz işlemi sırasında bellekten yüklenen komut dosyalarına güvenmeye kadar, güvenlik kontrolündeki zayıf noktalara giderek daha fazla bakıyor ve çabalarını onlara yöneltiyor.
AMTD ile Fidye Yazılımı Savunması
Otomatik Hareketli Hedef Savunması (AMTD), çalışma zamanı bellek ortamlarını değiştiren yeni ortaya çıkan bir teknolojidir. AMTD, saldırıya açık varlıkları (karmalaştırılmış bellek parolaları gibi) beklenmedik yerlere deterministik bir şekilde taşıyarak bir uygulamanın saldırı yüzeyini değiştirir. Daha sonra tehditleri yakalamak ve yürütülebilir dosyaları izole etmek için orijinal varlıkların iskeletlerini bırakır.
AMTD, fidye yazılımı savunmasına derinlik kazandırır ve ilk erişim, kalıcılık, ayrıcalık yükseltme, savunmadan kaçınma, yanal hareket ve etki dahil olmak üzere bilinen MITRE ATT&CK fidye yazılımı taktiklerine maruz kalmayı azaltarak güvence sağlar.
Bu, eklenen dört koruma katmanı aracılığıyla gerçekleşir:
- Veri şifreleme ve imha koruması — Çoğu fidye yazılımı saldırısı, verileri şifrelemede başarılı olur. Ancak AMTD bir uç noktaya veya sunucuya kurulduğunda, kötü amaçlı kodun hedef aldığı sistem kaynakları, yaratıcının beklediği yerde olmaz. Bunun yerine, sistem kaynaklarına benzeyen şeyler tuzaktır. Sahtekarlık ve şifreleme üzerinde yürütülmeye çalışan kod, otomatik olarak sonlandırılır ve adli analiz için yakalanır; bu sırada gerçek sistem kaynağı korunmaya devam eder, böylece şifreleme reddedilir.
- Sistem kurtarma kurcalamaya karşı koruma—Acronis’e göre LockBit ve ALPHV gibi önde gelen fidye yazılımı grupları, yedeklemeleri doğrudan hedef alacak şekilde gelişti ve başarılı saldırıları önlemek için güçlü savunmalar gerektiriyor. Özellikle fidye yazılımı saldırıları, yedeklemelerin bağlı olduğu sistem gölge kopyalarını hedef alır. AMTD, gölge kopyalara erişmeye çalışan tüm yetkisiz işlemleri sonlandırarak bu kopyalara erişimi engeller.
- Kimlik bilgileri hırsızlığına karşı koruma — Kimlik bilgisi boşaltma, doğada en yaygın MITRE ATT&CK tekniklerinden biridir. Neredeyse tüm fidye yazılımı saldırganları, tarayıcılarda, RDP’lerde, SAM karmalarında vb. saklanan şifrelere erişmeye çalışacaktır. AMTD, bu şifrelerin konumunu belirleyici bir şekilde gizler ve tehditlerin bunları bulmasını engeller.
- Çalışma zamanı hafıza koruması — Webroot’tan yapılan bir araştırma, saldırıların yüzde 94’ünün artık polimorfik olduğunu buldu. Birçoğu çalışma zamanı sırasında aygıt diski yerine bellekte yürütülür. AMTD, öngörülemeyen bir saldırı yüzeyi oluşturmak için çalışma zamanı belleğini değiştirerek (rastgeleleştirerek) çalışma zamanını korur. Tuzak tuzaklarını yerinde bırakırken uygulama belleğini, API’leri ve diğer sistem kaynaklarını taşır. Üretken yapay zekanın benimsenmesiyle bu durum katlanarak artacak ve tehdit aktörleri kötü amaçlı yazılımları daha önce görülmemiş bir hızda uyarlamak için gerekli kaynaklara sahip olacak.
Fidye yazılımı saldırılarının rekor seviyelere ulaştığı bir yıl olduğundan, saldırganların saldırılarına 2024 yılına kadar devam edeceğini varsaymak yanlış olmaz. İşletmeler için artık saldırıya geçmenin zamanı geldi ve yapabileceğiniz en iyi şey, savunma ile fidye yazılımı güvencesini ikiye katlamaktır. derinlik ve AMTD.
Brad LaPorte – Morphisec Pazarlama Müdürü ve eski Gartner Analisti
Brad LaPorte deneyimli bir siber güvenlik uzmanı ve ABD ordusu ve müttefik kuvvetleri için siber güvenlik ve askeri istihbarat konusunda uzmanlaşmış eski bir askeri subaydır. Gartner’da üst düzey bir araştırma analisti olarak seçkin bir kariyere sahip olan Brad, Saldırı Yüzey Yönetimi (ASM), Genişletilmiş Tespit ve Yanıt (XDR), Dijital Risk Koruması (DRP) gibi temel sektör kategorilerinin ve temel unsurların oluşturulmasında etkili oldu. Sürekli Tehdit Maruziyeti Yönetimi (CTEM). Onun ileri görüşlü yaklaşımı, Secureworks’ün MDR hizmetinin ve EDR ürünü Red Cloak’un (sektörde ilkler) başlatılmasına yol açtı. IBM’de, Uç Nokta Güvenliği Portföyünün yanı sıra MDR, Güvenlik Açığı Yönetimi, Tehdit İstihbaratı ve Yönetilen SIEM tekliflerinin oluşturulmasına öncülük ederek siber güvenlik çözümlerinde zamanının çok ilerisinde bir vizyoner olarak itibarını daha da sağlamlaştırdı.
Reklam