Fidye yazılımı, Spycloud 2024 kötü amaçlı yazılım ve fidye yazılımı savunma raporuna göre, her sektörde önde gelen siber güvenlik tehdidi ve her Güvenlik Operasyon Merkezi (SOC) ekibi için en büyük önceliktir. Fidye yazılımı riskini azaltmaya odaklanırken, fidye yazılımı saldırılarının genellikle sessiz bir öncüsü olan Infostealer kötü amaçlı yazılımların (“Infostealers”) artan tehdidini göz ardı etmemek önemlidir.
Araştırmamız, fidye yazılımlarına kurban eden şirketlerin üçte birinin, saldırıdan önceki 16 hafta içinde en az bir infostealer enfeksiyonu yaşadığını ortaya koydu-önemli bir uyarı işareti.
Infostealer kötü amaçlı yazılım nedir?
Tehdit aktörleri, cihazlara sızmak ve değerli olabilecek tüm bilgileri çalmak için Infostealer kötü amaçlı yazılım kullanır – giriş bilgileri, oturum çerezleri, kişisel olarak tanımlanabilir bilgiler (PII), kimlik doğrulama verileri ve çok daha fazlası. Kötü aktörler daha sonra fidye yazılımı da dahil olmak üzere takip saldırılarını kolaylaştırmak için sistemlere ve ağlara yetkisiz erişim elde etmek için özel brokerlere en kritik erişimi satabilir veya ticaret yapabilir.
Infostealer Challenge
Ne yazık ki, infostalers tanımlamak ve genellikle çok az kanıt bırakabilir – ilk enfeksiyondan günler veya haftalar önce fark edilmeden ve çalınan bilgiler tespit edilmeden. Bir enfeksiyon tespit edildikten ve iyileştirme başladıktan sonra bile, çalınan bilgilerin tam olarak geçersiz kılmak zor veya imkansız olabilir; aylar hatta yıllarca yüksek bir riskle sonuçlanır.
Infostealers ve yüksek profilli olaylarla ilgili artan endişeye rağmen (önceki Medibank ihlali gibi), kuruluşlar hala kötü amaçlı yazılım maruziyetlerini ele alma yeteneklerinde önemli boşluklara sahiptir. Tipik makine merkezli kötü amaçlı yazılım yanıt süreçleri, 1) tespit ve analiz, 2) muhafaza ve 3) eradikasyon ve iyileşmenin üç aşamalı bir yaklaşımını vurgular. Bununla birlikte, bir “kaba kuvvet” sıfırlama ve silme, çalınan verilerin daha büyük sorununu çözmez ve böylece yanlış ellere erişmez.
Infostealer tehdidini ele almak
Kötü amaçlı yazılımlarla enfekte olmuş cihazlardan sifonlanan verilerden ilişkili risklerle mücadele etmek için, siber suçluların çalıntı verilerden başarılı bir şekilde saldırıları ve kâr elde etmek için kimlik bilgileri kazanmasını önlemek için daha kimlik merkezli bir yaklaşım gerekmektedir. İşte SOC liderlerinin üst el kazanmak için yapabileceği üç şey:
- Tehlikeye atılan veriler üzerinde hareket edin
Her SOC ekibi üyesinin bildiği gibi, bir kötü amaçlı yazılım enfeksiyonunu iyileştirmek, ağır bir sisle dart oynamak gibi hissedebilir. Kötü amaçlı yazılım açısından daha iyi görünürlüğe sahip olmak (maruz kalan kimlik bilgileri ve oturum çerezleri ve diğer jetonlar gibi) iyileştirme sürecini basitleştirebilir ve bir kuruluşun fidye yazılımı saldırılarına karşı direncini önemli ölçüde artırabilir.
Enfeksiyon sonrası iyileştirme (PIR) olarak bilinen yaklaşım böyle çalışır. Enfekte bir cihaz belirlendikten sonra, güvenlik ekipleri hızlı bir şekilde yanıt vermelidir. İlk adım, enfekte olan cihazı temizlemektir. Bununla birlikte, devam eden bir enfeksiyon olayının derhal riski hafifletildiği anda, ekipler hangi kimlik verilerinin ortaya çıkabileceğini belirleme çalışmalarına başlamalıdır. Birçok durumda, bu, suç topluluklarının alım satım verilerinin bulunduğu yere gitmeyi içerir: karanlık web, suç forumları ve mesajlaşma platformları.
Suçluların karanlık web’den eli varken, kuruluşlar işleri için genel maruz kalma ve siber risk konusunda daha iyi görünürlüğe sahiptir. Suçlu aktörlerin elinde hangi verilerin olduğunu bilen SOC, uygulama kimlik bilgilerini sıfırlayarak ve kötü amaçlı yazılımlar tarafından söndürülen oturum çerezlerini geçersiz kılarak bir saldırıdan etkilenen tüm uzlaşmacı kimlik bilgilerini ve sistemleri düzeltebilir. Maruz kalan tüm veriler sıfırlanırsa, takip eden bir fidye yazılımı saldırısının oluşma olasılığı düşüktür.
- Üçüncü taraf maruziyetten kaynaklanan riski azaltın
Tehdit aktörleri, fidye yazılımı manzarasında üstünlük elde etmek için bir dizi stratejiden yararlanır. Yine de, hiçbir şey kurumsal uygulamalara erişmek için kullanılan kötü amaçlı enfekte üçüncü taraf ve yönetilmeyen cihazlar kadar fazla bir fırsat sunmaz.
Bu cihazlar çalışanlara veya üçüncü taraflara ait olsun, Infostealer kötü amaçlı yazılımlarla enfekte olmuş tek bir cihaz, tehdit aktörlerinin ilk uç noktanın ötesine geçmesi için kapıları açabilir, potansiyel olarak yüzlerce uygulamaya erişim kazanabilir ve binlerce üçüncü taraf kimlik bilgilerini çalabilir. Bu, özellikle API anahtarları, uzun ömürlü kimlik doğrulama çerezleri veya yönetimsel kimlik bilgileri gibi kalıcı erişim kimlik bilgileri tehlikeye girerse, fidye yazılımı saldırısına hızla yükselebilir.
Güvenlik araştırmacıları, güvenlik uzlaşmasının% 90’ının yönetilmeyen cihazlardan kaynaklandığını ve üçüncü taraf erişiminin fidye yazılımı için ortak bir giriş noktası olarak kimlik avı için ikinci olduğunu buldu. Birçok maruz kalma, bağlı cihazlar arasındaki kimlik bilgilerini ve diğer bilgileri senkronize eden erişim kolaylığı sistemleri sonucunda yönetilen bir ağdan sifonlanan kurumsal verilerden kaynaklanmaktadır.
Geleneksel BT kontrolü dışında ve bu maruziyetlere görünürlük olmadan, bir kuruluşun riskini tam olarak anlaması ve kendini doğru bir şekilde savunması zordur.
Üçüncü taraf maruziyet fırsatlarını ortadan kaldırmak için, güvenlik ekiplerinin tam saldırı yüzeyini aydınlatmak için proaktif olarak çalışması gerekir. Bu, karanlık ağda maruz kalan kimliklerin sürekli olarak izlenmesini içerir, böylece uzatılmadan önce uzlaşmadan uzatılmadan önce tanımlayabilirler. Kötü amaçlı yazılım açısından uyumlu verilere görünürlüğü artırarak, maruz kalan uygulamaları hızlı bir şekilde keşfedebilir ve tek oturum açma (SSO), kod depoları, bordro sistemleri, VPN’ler veya uzaktan erişim portları gibi üçüncü taraf uygulamalarla ilişkili kimlik bilgilerini yeniden tasarlama gibi hızlı bir yanıt verebilirler.
Çalışanları iş için kişisel cihazların kullanılması ile ilişkili riskler konusunda eğitmek, enfeksiyonların meydana gelme olasılığını azaltmaya da yardımcı olabilir.
- Tespit ve azaltmayı hızlandırmak için otomasyonu kullanın
Siber suçluların otomasyondan yararlandığını biliyoruz, ancak daha hızlı hale geldikçe yapabiliriz. SOC ekipleri, yeni ihlaller ve kötü amaçlı yazılım enfeksiyonları için otomatik düzeltmelerden ve olay bildirimlerinden yararlanarak verileri daha hızlı bir şekilde operasyonel hale getirebilir ve etkisini ortadan kaldırmak için otomatik iyileştirme iş akışlarına besleyebilir.
İşletmeler aşağıdaki stratejileri dikkate almalıdır:
- Kuruluşun kimlik bilgilerinin veri sızıntılarında göründüğünde ve bulguları proaktif izleme, bilet üretimi ve sıfırlamalar için bir SIEM ile entegre ettiği için otomatik uyarılar ayarlayın.
- Kimlik bilgileri tehlikeye atıldığında kullanıcıları bilgilendirmek için otomatik iş akışları oluşturun ve iyileştirme eylemleri yoluyla bunları yönlendirin.
- Kullanıcı kimlik bilgilerini tehlikeye atılan hesaplarla karşılaştırmak için Karanlık Web’in otomatik taramalarını planlayın.
- Kimlik bilgileri bulunduğunda atılması gereken kapsamlı adımları özetleyen daha sağlam bir enfeksiyon sonrası iyileştirme de dahil olmak üzere olay yanıtı için otomatik oyun kitapları geliştirin.
- SOC ekiplerinin durumu hızlı bir şekilde değerlendirebilmesi ve etkili bir şekilde yanıt verebilmesi için tehlikeye atılan kimlik bilgileriyle ilgili metrikleri izlemek için merkezi bir gösterge paneli oluşturun.
Kimlik merkezli yaklaşım
Fidye yazılımı saldırıları geliştikçe ve siber suçlular giderek daha fazla yeni nesil taktiklere dayandıkça, kuruluşlar yeni nesil savunmaya geçmelidir.
Kötü amaçlı yazılımlarla başa çıkmanın geleneksel yöntemleri, siber suçluların püskürtülmüş verileri kullanmasını önlemek için yeterli değildir ve kuruluşları uzun süreli risklere karşı savunmasız bırakır. Fidye yazılımı saldırılarını etkili bir şekilde bozmak için güvenlik ekipleri ve dolandırıcılığı önleme meslektaşları kimlik merkezli bir yaklaşım benimsemelidir. Bunu yaparak, fidye yazılımlarının etkisini daha iyi azaltabilir ve değerli verilerin yanlış ellere düşmesini koruyabilirler.
Yazar hakkında
Trevor Hilligoss, Spycloud’un şirket içi güvenlik araştırma ekibi Spycloud Labs’ın kıdemli başkan yardımcısıdır. ABD Ordusunda dokuz yıl görev yaptı ve federal kolluk kuvvetlerinde geniş bir geçmişe sahip ve hem DOD hem de FBI için tehdit aktörlerini izledi. Birden fazla siber güvenlik odaklı kâr amacı gütmeyen kuruluş için bir danışma kapasitesi hizmet vermektedir. Çok sayıda ABD ve uluslararası siber konferansta konuştu, siber güvenlik alanında birden fazla federal ve endüstri sertifikasına sahip ve siber tehditlere karşı koymayı amaçlayan gönüllü hizmet için Başkanın Gönüllü Hizmet Ödülü’nü alıyor.
Trevor’a çevrimiçi olarak ulaşılabilir: [email protected].