Son nokta tespit ve yanıtı (EDR), Dolandırıcılık Yönetimi ve Siber Suç, Yeni Nesil Teknolojiler ve Güvenli Gelişim
Üstler: Güvenlik yazılımı uyarılarına hızla hareket etmek ve olay yanıtlayanları aramak
Mathew J. Schwartz (Euroinfosec) •
9 Eylül 2025
Bilgisayar korsanları ortaya çıktığında, hızlı hareket etmek için para verir. İki yıllık fidye yazılımı saldırılarını inceleyen bir çalışmada, Cisco Talos’tan araştırmacılar, güvenlik uyarılarına hızla etki etmenin ve üçüncü taraf olay tepkisi yardımının etkinleştirilmesinin kuruluşların fidye yazılımı saldırısını durdurmasının ilk iki yolu olduğunu buldular.
Ayrıca bakınız: Düşmana hazır bir SOC inşa etmenin 5 anahtarı
Olguların üçte birinde, uç nokta algılama ve yanıttan bir uyarı aldıktan sonra iki saat içinde hareket eder veya yönetilen algılama ve yanıt yazılımı siber savunucuların saldırıyı durdurmasına izin verir.
Olguların üçte birinde, en büyük faktör yardım çağrısında bulunmayı içeriyordu. Organizasyonlar, ağları içindeki şüpheli düşmanlık faaliyetlerini tespit ettiler ve 48 saat içinde bir olay müdahale ortağına ulaştı – daha erken her zaman daha iyi olmasına rağmen – ve şifreleme gerçekleşmeden önce saldırganları başarıyla durdurdu, ağ devi Cisco’nun tehdit kolu, Ocak 2023’ten itibaren yanıt verdiği saldırıların analizinde bulundu.
Saldırıların durdurulmasında diğer önde gelen faktörler, Talos’un devam eden fidye yazılımı hack’lerinin% 14’ünü engellemek için kredilendiren hükümet veya ortaklar tarafından paylaşılan uyarılara hızlı bir şekilde hareket etmeyi içeriyordu.
Talos, ABD firmaları için, siber güvenlik ve altyapı güvenlik ajansının, kurumlar arası fidye yazılımları görev gücü tarafından koordine edilen siber güvenlik ajansı öncesi bildirim girişimi, fidye yazılımı grubunun ağlarını ihlal ettiği konusunda uyarılmada çok etkili olduğunu söyledi.
Bir saldırganın bir ağa nüfuz ettiği, ancak veri çalmaya veya sistemleri şifrelemeye başlamadan önce “zamandan günler geçtikten sonra” “zaman penceresi” dedi. Diyerek şöyle devam etti: “Bu pencere bize fidye yazılımı aktörlerinin ağlarına ilk erişim sağladıkları konusunda uyarmak için zaman veriyor. Bu erken uyarılar, kurbanların fidye yazılım aktörlerini, aktörlerin fidye ve sistemleri fidye ve sistemleri şifreleme ve tutma şansı vermeden önce ağlarından güvenli bir şekilde tahliye etmelerini sağlayabilir.”
Talos, başarılı bir şekilde engellenen fidye yazılımı saldırılarının% 13’ünün, kötü niyetli faaliyetleri engellemesine veya karantinaya izin veren “daha agresif bir konfigürasyon” sayesinde bir kuruluşun izinsiz girişi tutuklayan güvenlik çözümünü içerdiğini söyledi.
Vakaların% 9’unda Talos, “sağlam güvenlik kısıtlamaları” gününü kurtardığını söyledi. Bir durumda, örneğin, bilgisayar korsanları bir kuruluşun hizmet hesabına erişim kazandı, ancak “hesap üzerindeki uygun ayrıcalık kısıtlamaları, etki alanı denetleyicileri gibi önemli sistemlere erişme girişimlerini engelledi.”
Önceden Planlama
Verileri iyice günlüğe kaydetme veya bir güvenlik bilgileri ve etkinlik yönetimi aracının toplanması Bu tür bilgiler, olay müdahalecilerinin ne olduğunu ve ne zaman ve ne zaman ve bir saldırıyı en iyi şekilde nasıl hafifleteceğinizi ve bir nüksü önlemek için sistemleri en iyi şekilde nasıl hafifleteceğinizi hızlı bir şekilde tanımlamalarına yardımcı olmak için anahtardır. Talos, “Bir kuruluş bu kayıtlardan yoksun olduğunda, tehdit faaliyetini sağlayan kesin güvenlik zayıflıklarını belirlemek zor olabilir.” Dedi.
Tutuklanan fidye yazılımı olaylarından bazıları fidye yazılımı gruplarına veya doğrudan bağlı kuruluşlarına değil, başlangıçtan ilk erişim brokerlerini izler. Bu uzmanlar, işe yaramazsa para iade garantisi ile bir kurbanın ağına uzaktan erişim satar. Ancak bir saldırı bir komisyoncuya kadar izlenen bir saldırı olsa bile, “Bu tür IAB kampanyalarının, erişim satıldıktan sonra çok sık fidye yazılımı saldırısına neden olduğunu gördük, bu analizle ilgili faaliyeti sağladı” dedi (bkz: Paketler, ayrıcalıklar ve daha fazlası satan ilk erişim brokerleri).
Devam eden saldırıları tutuklamak için çoğu stratejinin ortak noktası var: önceden konuşlandırılıyorlar. Olası bir istisna, üçüncü taraf olay tepkisi yardımıdır, ancak uzmanlar bir saldırıdan önce bu ilişkilerin yürürlüğe girmesinin yanıt süresi hızını ve etkinliğini artırmaya yardımcı olduğunu söyler.
Fidye yazılımı grupları enayi yumruklarını ummaya devam ediyor. Psikolojik olarak konuşursak, örgütleri sert vurmayı amaçlıyorlar, üst düzey yöneticileri yanıtlarındaki bir sonraki, en iyi adımın, saldırganlara bir fidye ödemek, sadece “tam durumda” ölçümün sadece “bir” durumunda “olsa bile, çalıntı verileri silme sözü gibi bir fidye ödemek olduğuna ikna etmeyi amaçlıyorlar.
Doğru savunmaların ve yeteneklerin yerinde olması, bir saldırı öncesinde kurbanların bir saldırganın oyun kitabını takip etmekten kurtarabilir.