Bir eğitim kurumuna yönelik bir fidye yazılımı saldırısı, sınıfın bozulmasından daha fazlasına neden olur. Öğretim saatlerinin kaybolmasına, finansal baskıya ve kişisel verilerin tehlikeye atılmasına neden olabilir. K-12 sisteminde, kapalı bir okul, ebeveynleri işten izin talep etmeye zorlar ve sınırlı okul finansmanını zorlar.
Kolej ve üniversite öğrencileri için, bir fidye yazılımı saldırısı, öğrenciler profesyonel yaşamlarına başlar başlamaz kişisel verilerin çalınmasına neden olabilir.
2018-2021 arasında bildirilen K-12 vakalarının 2018’de 400’den toplamda 1.300’ün üzerine çıkmasıyla fidye yazılımı saldırıları endişe verici bir şekilde arttı ve bunların eğitim sektörüne nasıl zarar verdiğini görmek için uzağa bakmamıza gerek yok.
Yakın tarihli bir Truman Eyalet Üniversitesi fidye yazılımı saldırısı, birkaç gün süren kapatmalara ve harici güvenlik ekiplerinin devreye girmesine neden oldu. Pennsylvania’da, Penncrest okul bölgesi kendisini bir fidye yazılımı saldırısının hedefi olarak buldu ve günlerce internet erişiminin kesilmesine ve okul rutinlerinin aksamasına yol açarak yerel aileleri etkiledi.
Eğitim kurumlarındaki BT ekiplerinin, bakımları altındaki kişileri bozulma ve çalınan verilerden korumak için atabilecekleri (ve yerel yönetimin desteklemesi gereken) adımları keşfedeceğiz.
Fidye yazılımlarını erken tespit yoluyla durdurun
Bir fidye yazılımı saldırısı başladıktan sonra, genellikle bununla ilgili bir şey yapmak için çok geçtir. 100 GB’lık verinin Lockbit 2.0 ile 5 dakikadan daha kısa sürede şifrelenmesi ve bunun daha da hızlanması. Kuruluşlar genellikle iki kötü seçenekle baş başa kalır.
İlk (ve önerilmez) seçenek fidyeyi ödemek, ardından siber suçluların sistemlerinizin şifresini çözmesini, verilerinizi satmamasını ve başka bir saldırı için geri dönmemesini ummaktır.
Alternatif olarak, birçok okul ve üniversitenin sahip olduğu tipik olarak küçük BT departmanları düşünüldüğünde, BT sistemlerinizi sıfırdan yeniden oluşturmanız gerekecek ve bu pahalı ve zaman alıcı olabilir.
En başta bir saldırıyı önlemek için güvenlik önlemlerini devreye sokmak en iyi savunmadır ve BT’nin erken uyarılar için izleyebileceği birkaç saldırı vektörü vardır. Saldırganların çoğu en az dirençli yolu seçer ve en kolay yolları izlemek, bir tehdit aktörünün işini çok daha zorlaştırır.
Kapsamlı olmamakla birlikte, yakından takip edilmesi gereken birkaç alan şunlardır:
- Kimlik avı e-postaları – Fidye yazılımı yürütülebilir dosyalarını farkında olmayan kullanıcılara göndermek için popüler bir dağıtım yöntemi. Güçlü bir kimlik avına karşı koruma yazılımı ve farkındalık eğitimi şarttır.
- Uzak bağlantılar – Uzak Masaüstü Protokolü (RDP), Teamviewer, VNC, vb.
- Kalıcı yüklemeler – Beklenmeyen başlangıç programları veya zamanlanmış görev oluşturmaları.
- Ayrıcalık yükseltme – LSASS istismarı, hash geçiş saldırıları veya güvenli olmayan hizmetler.
- Algılama önleme – Microsoft Antivirus ve diğer güvenlik araçlarını devre dışı bırakma.
- Ağ keşfi – Bağlantı Noktası Taramaları, Karışık Ağ Modları, vb.
- Veri hırsızlığı – Beklenmeyen giden bağlantı hedefleri ve bant genişliği trafiğindeki artışlar.
İhlal edilen parolalar, fidye yazılımları için kolay başlangıç noktaları sunar
Oturum açmak, hacklemekten daha kolaydır. Saldırganlar, özellikle insanlar birden çok kişisel ve iş hesabında yeniden kullandıklarında, güvenliği ihlal edilmiş parolalardan hızla yararlanabilir. Örneğin, bir tehdit aktörü, güvenliği ihlal edilmiş kimlik bilgilerinin listesini satın alabilir ve ardından bir okulda kimin çalıştığını daraltmak için sosyal medyayı kullanabilir.
Çok faktörlü kimlik doğrulama uygulayan kurumlar bu saldırıyı zorlaştırsa da imkansız hale getirmiyor.
İhlal Edilmiş Parola Korumalı (BPP) Specops Parola İlkesi gibi araçlar, bir kurumun Active Directory’sini, şu anda saldırılarda kullanılanlar bile, güvenliği ihlal edilmiş 3 milyardan fazla benzersiz paroladan oluşan sürekli güncellenen bir listeye karşı kontrol eder. Bu, BT ekiplerinin kurumlarına yönelik yüzlerce olası saldırı yolunu kapatmasına olanak tanır.
İhlal Edilmiş Parola Korumalı Specops Parola Politikası, maliyet etkinliği, hızlı uygulama ve son kullanıcı kullanım kolaylığı nedeniyle okullar, üniversiteler ve yerel yönetimler arasında popülerdir.
Kurumların özel parola ilkeleri oluşturmasına, uyumluluk gereksinimlerini uygulamasına, güvenliği ihlal edilmiş parolaları engellemesine ve dinamik, bilgilendirici müşteri geri bildirimi ile kullanıcıların Active Directory’de daha güçlü parolalar oluşturmasına yardımcı olmasına olanak tanır. Çok az çözüm, parola güvenliğini artırmanın ve saldırganların tutunup bir fidye yazılımı saldırısı başlatmasını önlemenin bu kadar basit bir yolunu sunar.
Halka açık sistemlerin saldırı yüzeyini en aza indirin
Açık uzak bağlantılar, istismar edilmeyi bekleyen bir güvenlik açığıdır. 2022 Ünite 42 Olay Müdahale Raporu, RDP’nin ortak bir hedef olduğunu belirtiyor. Herhangi bir okul, üniversite veya yerel yönetimin dahili sistemlere uzaktan bağlanması için bir VPN veya Sıfır Güvende Kimlik Doğrulama ağ geçidi gerektirmesi gerekir.
Okul baskı sunucuları bile yama uygulanmaz ve internete açıksa güvensizdir. Örneğin, yakın tarihli bir PaperCut NG ve PaperCut MF güvenlik açığı, Bl00dy Fidye Yazılımı Çetesinden artan fidye yazılımı saldırılarına yol açtı.
Korumayı, gerekli olanın ötesinde ek girişi açığa çıkarmayan sistemlere odaklamak, tehdit aktörlerini uzak tutar. İzlenecek harici hizmetlerin sayısını en aza indirmek, okul BT departmanlarının işini yönetilebilir hale getirir.
Eski ve aşırı ayrıcalıklı hesaplarla uğraşın
Çok çalışan okul BT departmanlarının eski hesaplara, unutulmuş kullanıcılara ve aşırı ayrıcalıklı hizmet hesaplarına sahip olması alışılmadık bir durum değildir. Bu unutulmuş hesaplar zararsız görünebilir, ancak tehdit aktörleri için çekici bir hedeftir.
Fark edilmeden, eski bir hesabın ele geçirilmesi, hesabın sahibi çoktan gitmiş olabileceğinden bir yanıtı tetiklemeyebilir. Katılımdan ayrılmaya kadar uygun bir kullanıcı yaşam döngüsü politikası uygulamak, eski hesapları olası tehlikelerden korur.
Benzer şekilde, aşırı ayrıcalıklı hesaplar neredeyse her BT kuruluşuna özgüdür. Birden çok hizmeti çalıştırmak için tek bir ayrıcalıklı hesap oluşturmak, daha az çalışma ve izleme anlamına gelebilir. Ancak güvenliği aşıldığında, aşırı ayrıcalıklı bir hizmet hesabı, bir okul veya üniversite ağında birçok dayanak sağlar.
En az ayrıcalıklı erişim ve görevlerin ayrılması kavramı yoluyla hesapları “doğru boyutlandırarak”, güvenliği ihlal edilmiş bir hesabın ağ genelinde yıkıma neden olma olasılığı çok daha düşüktür.
Uç noktaları fidye yazılımı saldırılarına karşı güçlendirin
En iyi önleme stratejileri bile kararlı bir saldırganın, hiçbir şeyden şüphelenmeyen bir öğrenciye veya BT yöneticisine çalıştırılabilir fidye yazılımı içeren bir kimlik avı e-postasını gizlice sokmasını engelleyemeyebilir. İndirildikten sonra korumasız bir uç nokta, fidye yazılımını okul ağına yaymak için gereken her şeyi sağlayabilir.
Aşağıda, bir Windows uç noktasını sağlamlaştırırken atılması gereken birkaç genel adım verilmiştir:
Bir uç noktanın daha fazla tehlikeye girmesini önlemek, bir fidye yazılımı saldırısını hızla durdurabilir. Bu önleme, sistemleri yedeklerden geri yükleme ihtiyacını ortadan kaldırır.
Güncel çevrimdışı yedeklemelerle felakete karşı koruyun
En kötüsü olduysa ve bir fidye yazılımı saldırısı bir okulun ağını çökerttiyse, öğrencilerin sınıfa geri dönmesi için güncel ve çevrimdışı depolanan yedeklemeler çok önemlidir.
Başarılı bir fidye yazılımı saldırısı, yedekleri çevrimdışı, bölümlere ayrılmış veya “hava boşluklu” tutarak bu yedekleri etkilemeyecek ve temiz bir geri yüklemeye izin verecektir.
Tüm bir kurumu yedeklemek zor olabilir ve önemli depolama maliyetlerine neden olabilir. Ancak bunu yapmamak, tehdit aktörleri restorasyon için milyonlarca dolar talep edebileceğinden daha da maliyetli olabilir.
BT yöneticileri, bir olay durumunda hazır olmak için yedekleri sürekli olarak test etmeli, kurtarma prosedürlerinin yürürlükte olduğunu doğrulamalı ve tam geri yüklemenin zorluğunu ölçmelidir.
Okulları ve öğrencileri güvende tutabilir miyiz?
FBI (Federal Soruşturma Bürosu), CISA ve MS-ISAC, ortak bir Siber Güvenlik Danışma Belgesinde (CSA) Vice Society ve bunun eğitim sektörlerine yönelik oluşturduğu tehdit hakkında uyarıda bulundu:
“Sınırlı siber güvenlik yetenekleri ve kısıtlı kaynakları olan okul bölgeleri genellikle en savunmasız olanlardır; ancak siber suçlularda sıklıkla görülen fırsatçı hedefleme, güçlü siber güvenlik programlarına sahip okul bölgelerini yine de riske atabilir. K-12 kurumları, okul sistemleri veya yönetilen hizmet sağlayıcıları aracılığıyla erişilebilen hassas öğrenci verileri nedeniyle özellikle kazançlı hedefler olarak görülebilir.”
Fidye yazılımı, okullar ve öğrencileri için büyüyen ve maliyetli bir sorundur. Yerel yönetimler, fidye yazılımı tespiti, önlenmesi ve hafifletilmesi için doğru güvenlik araçlarını ve tekniklerini finanse ederek okulları ve üniversiteleri destekleyebilir.
Her fidye yazılımı saldırısını önlemenin kusursuz bir yolu olmasa da, yukarıdaki adımları içeren kapsamlı bir güvenlik planı çoğu saldırıyı durduracak ve önleme yolunda uzun bir yol kat edecektir.
Specops Password Policy’yi buradan ücretsiz deneyerek okula dönüş güvenliğine başlayabilirsiniz.
Sponsorlu ve Specops Software tarafından yazılmıştır