Siber güvenlik manzarası, “Love Bug” veya “Blaster virüsü” gibi rahatsızlık kötü amaçlı yazılım günlerinin çok ötesine geçerek dramatik bir dönüşüm geçirdi. Siber suçlar milyarlarca değerinde sofistike, kar odaklı bir işletmeye dönüştü.
Bir çalışmaya göre Siber risk ve siber güvenlik: Sistematik bir inceleme (2021), küresel siber suçun maliyeti 2020’de yaklaşık 1 trilyon dolara mal oluyor. Dünya Bankası, bu sayının 2025 için 10.5 trilyon dolara yükseleceğini öngörüyor. Bu üstel büyüme, saldırıların finansal geçişleri ile mevcut savunma yetenekleri arasında büyük bir boşluğu vurgulamaktadır.
Erken siber tehditler genellikle ideoloji tarafından yönlendirildi. Ancak saldırganlar siber suçların karlılığını keşfettikten sonra para kazanma yöntemleri gelişti-SSPAM, botnetler, kripto madenciliği ve şimdi hizmet olarak fidye yazılımı. Bugün, kuruluşlar, güvenlik stratejilerinin tamamen yeniden düşünülmesini talep eden giderek daha karmaşık tehditlerin sürekli bir barajıyla karşı karşıya.
Herhangi bir Baş Bilgi Güvenliği Görevlisi (CISO), BT Güvenliği Başkanı veya Yönetilen Servis Sağlayıcısı (MSP) için yeni bir rol başlayarak, ilk 100 gün içindeki en büyük öncelikler açıktır: mümkün olduğunca çok siber saldırıyı durdurun, siber suçluların yaşamlarını zorlaştırın ve BT ekibini yabancılaştırmadan yapın. Bu sadece proaktif, önleme ilk yaklaşımı ile elde edilebilir.
Uygulama ve davranış kontrolü yoluyla proaktif önleme
Siber saldırıların önemli bir kısmı – % 70 ila% 90– Ofis Makroları. Onları devre dışı bırakmak, iş akışlarını nadiren bozan hızlı bir kazançtır. Makrolar genellikle yürütülebilir dosyaları indirmek veya saldırganların kalıcılık kazanmak için kullandığı uzaktan erişim araçlarını (sıçanlar) kurmak için kullanılır.
Her kötü amaçlı dosyayı algılamaya çalışmak yerine, Uygulama İzin Verme tüm yazılımı varsayılan olarak engeller ve yalnızca açıkça onaylanmış programlara izin verir. Bu, saldırganların genellikle kötüye kullandığı TeamViewer veya Gotoassist gibi kötü amaçlı yazılımları, fidye yazılımlarını ve hatta meşru araçları otomatik olarak engeller.
Kuruluşların ayrıca izin verilen uygulamaların neler yapabileceğini kontrol etmesi gerekir. RingFencing ™, Microsoft Word gibi uygulamaların PowerShell gibi diğer programları başlatmasını önler. Bu, kullanıcı etkileşimi olmadan kötü amaçlı kod yürütebilen Follina gibi istismarları nötralize etmeye yardımcı olur.
Ağ ve uç nokta kontrolü
Birkaç düşük çaba değişikliği saldırı yüzeylerini önemli ölçüde azaltabilir:
SMBV1’i devre dışı bırakın. Bu eski protokol WannaCry Fidye Yazılımı Saldırısı’nda kullanılmıştır ve bugün nadiren ihtiyaç duyulmaktadır.
RDP ve SMB bağlantı noktalarını kontrol edin. Buna göre Siber Güvenlik AsyaSophos verilerine atıfta bulunan uzaktan şifreleme yöntemleri, 2024’te fidye yazılımı saldırılarının yaklaşık% 70’inde yer aldı. Sadece güvenilir kaynaklara erişimi kısıtladı.
Gerekli olmadıkça VPN’leri kaldırın. VPN’ler fidye yazılımı saldırılarında açılmamış güvenlik duvarları ve zayıf konfigürasyonlar nedeniyle kullanılmıştır. Gerekirse, trafiği kaynak ve hedefe göre kısıtlayın.
Sunuculardan en giden internet erişimini engelleyin. Birçok durumda, sunucuların internete ulaşmasına gerek yoktur. Giden erişimin engellenmesi, Solarwinds ve Exchange saldırılarında görüldüğü gibi yük indirmelerini önler.
Görünüşte dahili cihazlar bile, kullanıcılar iş sistemlerine evden erişmek için bağlantı noktalarını açarsa maruz kalabilir. Bu, varsayılan Deny güvenlik duvarı ve yönlendirme politikalarına duyulan ihtiyacı vurgular.
Kimlik ve Erişim Yönetimi
Çok faktörlü kimlik doğrulama (MFA), Microsoft 365, Google çalışma alanı, etki alanı kayıt şirketleri ve uzaktan erişim araçları dahil tüm uzak hesaplar için kritiktir. Bir şifre tehlikeye girse bile, MFA yetkisiz erişimi engelleyebilir.
Yerel yönetici haklarının kaldırılması, saldırganların neler yapabileceğini de sınırlar. Saldırganların fidye yazılımı çalıştırmak için yönetici haklarına ihtiyacı olmasa da, bu ayrıcalıkların kaldırılması güvenlik araçlarını devre dışı bırakmalarını engelleyebilir. Uygulama başına, kullanıcılara geniş ölçüde atanmayan yükseklik araçları kullanılarak ayrıcalıklı erişim verilmelidir.
Veri Koruma ve Erişim Görünürlüğü
Bitlocker veya benzeri tam diskli şifreleme, onu destekleyen tüm cihazlarda etkinleştirilmelidir. Önyükleme seviyesi kurcalamayı önlemeye yardımcı olur ve sanal sabit disklerin monte edilmesini veya kopyalanmasını korur.
Granüler dosya erişim kontrolleri, kullanıcıların ve programların yalnızca ihtiyaç duydukları dosyalara erişmesini sağlayarak riski azaltır. Örneğin, macun gibi SSH istemcileri günlük ve metin dosyaları ile sınırlandırılmalıdır. CFO’nun şirketin finansal verilerine erişmesi gerekebilir, ancak pazarlamadaki biri muhtemelen istemez. Bu, veri eksfiltrasyonu ve kütle şifreleme girişimlerini önlemeye yardımcı olur.
USB sürücüleri varsayılan olarak engellenmelidir. Bu cihazlar kötü amaçlı yazılım tanıtmak veya hassas bilgileri çalmak için kullanılabilir. İstisnalar şifreli, onaylı sürücüler için duruma göre verilebilir.
Kapsamlı dosya etkinliği denetimi – akış uç noktaları, onedrive gibi bulut depolama alanı ve çıkarılabilir ortam okumaları, yazar, siler ve hareketler – hem olay yanıtı hem de proaktif izleme sırasında önemli bir fikir sunar.
Güvenlik Açığı Yönetimi ve Çalışma Zamanı Görünürlüğü
Yama, en etkili ancak tutarsız olarak yürütülen siber hijyen uygulamalarından biri olmaya devam etmektedir. Birçok saldırı, aylarca veya yıllar boyunca yamaları olan güvenlik açıklarından yararlanarak başarılı olur. Kuruluşlar, işletim sistemleri ve taşınabilir yazılımlar da dahil olmak üzere üçüncü taraf uygulamaları için yamayı otomatikleştirmelidir.
Eski sistemler, resmi destek sona ermesinden yıllar sonra bile yaygındır. Güvenlik çözümleri, modern altyapı ve Windows XP gibi üretim ortamlarında hala var olan eski platformları açıklamalıdır.
Güvenlik ekipleri ayrıca sadece yüklü olanlara değil, çalışanlara gerçek zamanlı görünürlüğe ihtiyaç duyarlar. Takip edilmemiş tarayıcı uzantıları, indirme klasörlerinde imzasız yürütülebilir ürünler veya şifreleme özelliklerine sahip araçların hepsi ciddi riskler oluşturabilir.
Web içeriği filtreleme, onaylanmamış bulut araçlarını ve dosya paylaşım platformlarını engellemek için kötü amaçlı alanların ötesine uzanmalıdır. Gölge BT, veri yönetişimi sorunlarının önde gelen kaynağı olmaya devam ediyor.
Yönetilen tespit ve yanıt
Son nokta algılama ve yanıt (EDR) araçları yalnızca birisi uyarıları izliyorsa etkilidir. 7/24 Güvenlik Operasyon Merkezi (SOC) veya Yönetilen Tespit ve Yanıt (MDR) Sağlayıcı, gerçek zamanlı olarak saldırı içermek için gereklidir. Enfekte makinelerin veya kullanıcı hesaplarının hızlı izolasyonu, kitlesel uzlaşmayı önleyebilir.
Siber güvenlik piyasası, varsayılan olarak önlemeyi, uygulamalar ve kimlikler üzerinde ayrıntılı kontrol ve gerçek zamanlı yönetilen tespit ve yanıtı vurgulayan bir modele doğru ilerliyor. Açık politikalar, sürekli izleme ve otomatik uygulama ile kuruluşlar, saldırganlar bir dayanak bile almadan önce tüm risk kategorilerini ortadan kaldırabilir.