SpyCloud’da Ürün Yönetimi Başkan Yardımcısı Chip Witt tarafından
Fidye yazılım, kuruluşlar için artan ve kalıcı bir tehdit olmaya devam ediyor; araştırmalar, kuruluşların %50’sinin 2021’de %33,5’e kıyasla 2022’de iki ila beş kez fidye yazılımı saldırılarına maruz kaldığını gösteriyor.
Bu saldırıların yükselişi ve gelişen taktikler ve hedefler, bazı BT liderlerini yükseltmeler aramaya ve bu tür izinsiz girişleri engellemek için mevcut korumalara daha yeni siber güvenlik araçları kullanmaya yöneltti.
SpyCloud’un Kuzey Amerika ve Birleşik Krallık’ta 310 BT güvenlik uygulayıcısıyla anket yaptığı 2022 Fidye Yazılımı Savunma Raporuna göre, yanıt verenlerin yüzde 90’ı kuruluşlarının geçen yıl en az bir fidye yazılımı saldırısından etkilendiğini bildirdi (bu oran bir önceki yıl yüzde 72,5 idi) ve Yüzde 77,7’si birden çok kez vurulduğunu iddia ediyor.
Sonuç olarak, mevcut fidye yazılımı azaltma araçlarına olan güven geçen yıl içinde azaldı ve daha fazla kuruluş ya yetenek yükseltmeleri ya da yeni teknolojiler arıyor.
Ancak yeni araçlar fidye yazılımı saldırılarıyla mücadeleye yardımcı olabilirken, kuruluşlar saldırganların genişleyen güvenlik yığınlarını atlamasına olanak tanıyan temel boşlukları gözden kaçırıyor olabilir.
Fidye yazılımı, kuruluşlar için ilk akla gelen olmaya devam ediyor
Bir fidye yazılımı saldırısının sonuçları ve bir kuruluşun itibarına olası zarar, kuruluşların güvenlik operasyonlarını ele alırken en önemli endişe kaynağı olmaya devam ediyor.
Bu korku, fidye yazılımının sonunda ağlarını başarılı bir şekilde etkileyeceği beklentisiyle birleştiğinde, kuruluşların odak noktalarını izinsiz girişlere karşı savunma ve etkilerini hafifletme arasında bölmesine yol açtı.
Bu, potansiyel kayıpları azaltmak için siber sigorta satın alan şirketler veya saldırganların talep edebileceği fidyeleri ödemeye hazırlık önlemi olarak kripto para birimi hesapları açma gibi kurtarma çabalarına artan bir odaklanmayı içeriyordu.
Bu çabalar, kuruluşların fidye yazılımı saldırısı risklerini azaltmak için daha sağlam bir savunma kurma ve teknoloji yığınlarına yeni araçlar ekleme arzusuyla birlikte geliyor. Bununla birlikte, yeni çözümler peşinde koşmak kuruluşlara yeni yetenekler sunabilirken, temel siber güvenlik uygulamaları göz ardı edilirse riski azaltmayabilir.
Ağa erişen izlenmeyen cihazlar ve kötü amaçlı yazılım tarafından çalınan oturum tanımlama bilgileri gibi tehdit vektörleri, oturumun ele geçirilmesine olanak sağlayabilir, yama uygulanmamış yazılımlar veya kimlik avı e-postaları gibi geleneksel fidye yazılımı giriş noktaları kadar zararlı olabilir.
Önce temel sorunu ele almadan yeni çözümler uygulamak, kuruluşları fidye yazılımı saldırılarına karşı daha savunmasız hale getiren ve gerçek bir savunma programı söz konusu olduğunda kurşun yarasında bir yara bandı haline gelen kritik güvenlik açıkları bırakabilir.
Saldırgan zaten evin içinde
Saldırganlar, fidye yazılımını dağıtmadan önce zaten bir kuruluşun verilerine erişebildiğinden, BT güvenlik uzmanlarının uç nokta koruması, kimlik bilgisi izleme, kullanıcı ve varlık davranışı analitiği, yazılım düzeltme eki uygulama ve diğer en iyi uygulamalar gibi çözümler aracılığıyla olası ihlalleri önleyebilmesi gerekir.
Ancak bu adımlar uygulansa bile kuruluşlar, siber güvenlik araçlarını atlatabilecek üçüncü taraf ve ortak uygulamalardan kaynaklanan güvenlik açıklarıyla karşı karşıya kalır. Üçüncü taraf tabanlı bir siber saldırı riski, fidye yazılımı saldırılarının karmaşıklığı ve kötü amaçlı yazılımın sıklığı ve ciddiyetinin önüne geçerek, siber güvenlik planları üzerinde düşünürken kuruluşlar için en önemli endişe olarak sıralandı.
Ancak, gelecekteki fidye yazılımı saldırılarını tetikleme potansiyeline rağmen, kuruluşların karşılaştığı en etkili sorunlardan biri raporda dördüncü sıraya düştü: veri ihlallerinin ciddiyeti.
İlk fidye yazılımı saldırısının önemli ölçüde kesintiye uğramasından sonra, kuruluşların müteakip izinsiz girişleri, her biri kendi koşullarında bölümlere ayrılmış ve yeni araçların çözmesi gereken başka bir güvenlik açığını vurgulayan bağımsız olaylar olarak görmesi kolaydır.
Bu fidye yazılımı saldırılarının, yeni izinsiz girişlerin güç çarpanı haline gelen ilk ihlalde alınan verilerden tekrarlanması daha olasıdır. Hangi verilerin ele geçirildiği konusunda tam görünürlüğe sahip olmayan kuruluşlar, ilk ihlalde alınan verilerden kaynaklanan yeni fidye yazılımı saldırılarının bir geri bildirim döngüsüne maruz kalabilirler.
Kuruluş aşamasında, bir fidye yazılımı saldırısının tam olarak hafifletilmesi, kuruluşlar için hala bir zorluktur. Saldırıdan sonra çalınan verilerini geri alabilen kuruluşların bir yüzdesi olsa bile, bu, çoklu saldırı verilerinin de gösterebileceği gibi, verilerin diğer takip eden saldırılar için zaten daha geniş çapta paylaşılmadığı anlamına gelmez.
Etkilenmiş olabilecek ek uygulama veya araçları değil, yalnızca bir cihazdaki ilk bulaşmayı hesaba katan mevcut uç nokta çözümleriyle, çoğu kuruluşun gerçekten maruz kalmaması için enfeksiyon sonrası düzeltmenin büyük bir kısmı eksik.
Enfeksiyon sonrası iyileştirme yaklaşımı
Kötü amaçlı yazılım bulaşmasını düzeltme genellikle virüslü makinenin yeniden görüntüsünün alınmasıyla başlar ve biter, ancak yeniden ele geçirilen verilerden gördüğümüz gibi, suç faaliyetleri genellikle ilk kötü amaçlı yazılım bulaşmasının kapsamının çok ötesindedir.
Enfeksiyon sonrası düzeltme, yalnızca makineye odaklanmak yerine hangi bilgilerin açığa çıktığını keşfetmeyi ve ardından bu maruziyeti en uzak noktasına kadar düzeltmeyi gerektirir.
Bir makinenin bulaşması, kullanıcının ifşası ve kullanıcının etkilenen uygulamaları bilinene ve hesaba katılana kadar tam olarak düzeltilmiş sayılmaz. Bu, yeni saldırıların gerçekleşmesini önlemek için virüslü makinenin görüntüsünü yeniden oluşturmak ve bu enfeksiyonun etkilerini eş zamanlı olarak araştırmak için uygun adımların atılması anlamına gelir.
Bir kuruluşun siber güvenlik planına bulaşma sonrası düzeltmeyi dahil etmek, saldırganların kötü amaçlı yazılımlarla toplanmış kimlik bilgileri, çalınan oturum tanımlama bilgileri ve bir bilgi hırsızı bulaşmasından açığa çıkan diğer veriler aracılığıyla bir ağa yeniden erişmesini önlemeye yardımcı olur.
Kötü amaçlı yazılım bulaşmış cihazları silmek ilk adım olsa da, kuruluşların ayrıca bir enfeksiyon tarafından ele geçirilmiş olabilecek cihazlara, uygulamalara ve kullanıcılara yönelik tam görünürlüğe ihtiyacı vardır. Tüm bu tehlikeye atılan veriler düzeltilmeden, kuruluş fidye yazılımı da dahil olmak üzere müteakip saldırılar için risk altında olmaya devam eder.
Önleme ve iyileştirme, dayanıklılığın desteklenmesine yardımcı olabilir
Fidye yazılımlarını ve diğer siber saldırıları belirlemeye ve önlemeye yönelik araçlar gelişmeye devam ediyor, ancak kuruluşların saldırganlarının yaratıcılığını geride bırakması pek olası değil. En son teknolojiyle oluşturulmuş katmanlı savunma, olası saldırıları belirlemeye yardımcı olabilirken, kuruluşların ayrıca iş gücü ve uygulama zorluklarını belirlemeye ve güvenliği ihlal edilmiş tüm verilerin tam görünürlüğünü elde etmeye odaklanması gerekir.
Kuruluşlar, algılama ve önleme araçlarını güçlendirerek kendilerini daha küçük bir hedef haline getirebilir ve kapsamlı bir enfeksiyon sonrası iyileştirme ile herhangi bir potansiyel ihlal veya kötü amaçlı yazılım bulaşmasından hızlı bir şekilde kurtulmayı sağlayabilir ve hasarı sınırlamak için daha hazırlıklı olabilir.
yazar hakkında
Chip Witt, Hewlett Packard Enterprise, Webroot, VMware, Alcatel ve Appthority’de ürün yönetimi ve operasyon liderliği rolleri de dahil olmak üzere yirmi yılı aşkın farklı teknoloji deneyimine sahiptir. Halen SpyCloud’da Ürün Yönetiminden Sorumlu Başkan Yardımcısıdır ve burada şirketin ürün vizyonunu ve yol haritasını yönetmektedir. Chip, OSINT ve HUMINT tradecraft, aktör ilişkilendirme ve yeraltı izleme konusunda uzmanlaşmış saha istihbarat ekipleriyle yakın bir şekilde çalışır. Chip’e çevrimiçi olarak şu adresten ulaşılabilir: https://www.linkedin.com/in/chipwitt/ ve SpyCloud’un şirket web sitesinde, https://spycloud.com/.