[ This article was originally published here ]
Bir kuruluş bir fidye yazılımı saldırısına maruz kaldığında, ne kadar iyi yanıt verebilecekleri hazırlıklı olmaya bağlıdır. Delinea Baş Güvenlik Bilimcisi ve Danışman CISO’su Joseph Carson, güncel, kapsamlı bir olay müdahale planının (IRP) büyük bir fark yaratabileceğini söyledi.
Joseph, Çarşamba gününe kadar Las Vegas’ta gerçekleşen yıllık (ISC)² Güvenlik Kongresi’nin bir parçası olarak Pazartesi günü fidye yazılımı müdahalesinden bahsetti. Joseph, bir saldırıya yanıt verirken hazırlıklı olmanın önemini göstermek için, bir müşterisiyle yaşadığı bir deneyim üzerinden dinleyicilerini gezdirdi.
Şirketin güvenlik ekibi, bilgisayar korsanlarının e-posta ve metin yoluyla bir saldırıya uğradığı konusunda bilgilendirildi. Buna karşılık, şirket müdahale planını etkinleştirdi ve kurtarma ve soruşturma konusunda onlara yardım etmesi için Joseph’i aradı. Müşteri, kullanabilecekleri bir olay planına sahip olduğu için şanslıydı. Joseph, bazı durumlarda planın erişilemez hale geldiğini çünkü planın diğer her şeyle birlikte fidye yazılımı tarafından şifrelendiğini söyledi.
Bu müşteride durum böyle değildi. “Planı yapmışlardı. Hazırlığı yapmışlardı. Bir iletişim planı vardı. Kiminle iletişim kuracaklarına dair irtibat listeleri vardı. Joseph, şunları söyledi:
Ancak şirket bazı hazırlıklar yapmış olsa da plan tamamlanmamıştı. Bir kere, plan uzun zamandır güncellenmemişti ve şirket hiç tatbikat yapmamıştı, dedi Joseph. “İlk kez basınla iletişime geçiyorlardı, ilk kez hukuk ekibiyle, ilk kez İK ile çalışıyorlardı” dedi.
Ayrıca, bir olaya nasıl yanıt verileceği konusunda satış ve finans ekipleriyle ilk kez çalışıldı – bir olay zaten yoldayken. “Ve yapmak istediğin şey bu değil. Bu dünyada zaman çok kritik.”
Müdahale planının kendisi eksikti. Örneğin, şirket bu rotayı seçerse, finans ekibinin fidye karşılığında bitcoin elde etmek için ne yapması gerektiğine değinmedi, dedi Joseph.
“Zaman dilimleri ve adlandırma kuralları ve formatları için hiçbir fikirleri, hiçbir planları, hatta virüslü makinelerden fiilen görüntü alma planları bile yoktu. Toplanması gereken onlarca terabaytlık veriyi gerçekten depolayacak bir sabit diskleri yoktu.”
Tartım Seçenekleri
Joseph ve müdahale ekibi kurtarma seçeneklerini değerlendirirken, bir yedekten geri yüklemenin sona erdiğini öğrendiler. Bilgisayar korsanları, yedeklemeyi diğer kritik sistemlerle birlikte şifrelemişti.
Şirket ayrıca fidye ödemeyi de tarttı, ancak sıfırdan yeniden inşa etmeyi seçti. Bu ancak Joseph’in karşılaştığı bağlantısız bir makine sayesinde mümkün oldu. Makine yaklaşık bir yıldır kullanılmadan duruyordu.
Joseph, “Bu, bir yıllık verilerini yeniden oluşturmaları gerektiği anlamına geliyordu, dedi. “Ama aslında bir iyileşme noktalarına sahip oldukları anlamına geliyordu.”
Kurtarma işlemi gerçekleşirken Joseph, bilgisayar korsanlarının sisteme nasıl sızdığını araştırdı. “Sıfır hasta”nın, sistemlere erişim sağlamak için kuruluşun barındırma sağlayıcısını arayan bir muhasebeci olduğu ortaya çıktı. Muhasebeci ülke dışına seyahat ediyordu ve acil erişim talep etti.
Sağlayıcı erişim vermeyi kabul etti ve bu süreçte, bilgisayar korsanlarının yararlanabileceği uzak masaüstü protokolünde (RDP) bir güvenlik açığı oluşturdu. Joseph, oradan saldırganların diğer sistemlere girip güvenliği devre dışı bırakabildiklerini ve bunların hepsini izlerini gizleyebildiğini söyledi.
Sonuç, şirket için büyük bir ihlal oldu. “Bu fidye yazılımı vakası çok yıkıcıydı, iş için çok etkiliydi. Ve öğrendikleri birçok önemli ders vardı.”
Bu derslerin “eğitim, iyi hijyen, gerçekten farkındalık kazanma ve risklerin ne olduğunu anlama” içerdiğini söyledi. Başka bir ders, bir yedekleme ve test planının yanı sıra fidye yazılımı saldırılarına göre uyarlanmış bir yanıt planının önemiydi, dedi.
Ayrıca şirket, sıfır güven ve en az ayrıcalık hakkında bilgi edindi. Eylemleri güvenlik açığını yaratan muhasebecinin gerçekten ihtiyaç duyulmayan yerel yönetici haklarına sahip olduğunu söyledi.
Ve nihayetinde Joseph, kuruluşların saldırganların nasıl çalıştığını anlamasının kritik olduğunu söyledi. Hacker tekniklerini anlamak, bir şirketin kendisini en iyi nasıl savunabileceğidir, dedi.
reklam