Bir bilgisayar korsanı için ne kadar uzak? Bu yılın başlarında Lockbit hizmet olarak fidye yazılımı kuruluşu, Toronto’daki bir çocuk hastanesine düzenlenen fidye yazılımı saldırısının ardından özür diledi ve ücretsiz bir şifre çözücü sağladı. hayata.
Bu özdenetim (bir tür), diğer grupların kritik ulusal altyapıyı (CNI) hedef almasını engellemiyor: hastaneler, elektrik şebekeleri ve petrol boru hatları etkilendi ve hepsi hayatları riske attı. ABD, bir bebek ölümünden siber saldırının sorumlu tutulduğu ilk davayı çoktan görmüştü.
İngiltere, CNI sağlayıcılarını güvenliklerini artırmaya teşvik etti, ancak saldırıların sıklığı artmaya devam ediyor.
Yetenekli profesyonellerin eksikliği, eski sistemler ve onları saldırıya açık bırakan güvenlik yatırımı eksikliğinin birleşimi sayesinde CNI’yi korumak zor bir iştir. Operasyonel kalabilmek için bu kuruluşların tehditleri gerçek zamanlı olarak sürekli olarak izleme becerisine sahip olmaları gerekir. Bunu yapmak için, mevcut birçok sistem aracı tabanlı bir yaklaşım kullanır. Ancak aracı tabanlı yaklaşımlar, kurulumu ve güncellenmesi için kesinti süresi gerektirdiğinden ve kuruluşu savunmasız bıraktığından, bunlar amaca uygun değildir.
Buraya nasıl geldik?
CNI sürekli tehdit altındadır. Bunun nedeni kısmen her şey daha büyük bir saldırı tehdidi altındadır. Ancak fidye yazılımının doğası, kaybetmeyi göze alamayacağımız sistemlerde en etkili olmasıdır. Örneğin WannaCry saldırısı, NHS Tröstlerinin %34’ünü ve yaklaşık 600 GP muayenehanesini vurdu ve 19.000 ameliyat ve randevunun iptal edilmesiyle sonuçlandı. Hükümetler asgari güvenlik gereklilikleri için standartlar ve yasalar oluşturmaya çalışırken, birçok kuruluş bu yasaların kendileri için ne kadar geçerli olduğu konusunda kafası karışık.
Hassas yapıları nedeniyle bu sistemlerin en son ve en büyük güvenlik önlemlerini alması gerektiği varsayılırken, bu sistemlerin çoğu sıfırlanamayan ve yama uygulanamayan eski makinelerde çalışır. 2021’de Dijital Ekonomi Konseyi, Birleşik Krallık hükümetinin BT ile ilgili 2 milyar sterlinin üzerinde harcamasının, eski eski sistemleri güncellemeye veya değiştirmeye değil, yalnızca “ışıkları açık tutmaya” adandığını bildirdi. Geçmişte BT yöneticileri sistemlerini korumak için gizliliğe ve belirsizliğe güvenebilirdi, ancak şimdi herhangi bir şekilde internete bağlı olan herhangi bir sistem saldırı riski altındadır. Hava boşluklarının bile üstesinden gelinebilir; akıllı saatler ve kötü amaçlı yazılım yüklü USB belleklerin bu sistemlere girmenin etkili bir yolu olduğu kanıtlanmıştır.
Kritik altyapıyı koruyun: Katmanlı güvenlik
CNI’yi güvende tutmak için tercih edilen yöntemlerden biri, çevreyi çok sayıda koruma duvarı ile kaplamaktır. Fikir şu ki, bir duvar aşılırsa, bilgisayar korsanının tespit edilmeden önce herhangi bir gerçek hasar vermek için sınırlı zamanı vardır. Ağlar silolanır veya bölümlere ayrılırsa, ağa bulaşan fidye yazılımı yanal olarak hareket etmekte zorlanır. Kötü amaçlı yazılım tespit edildikten sonra güvenlik ekipleri, kötü amaçlı yazılımın halledilmesini sağlarken ilgili yamaları hızlı bir şekilde dağıtabilir.
Güvenlik duvarlarına ve ACL’lere (erişim kontrol listeleri) ek olarak, bu şirketlerin kullandıklarından emin olmaları gereken başka bir kontrol katmanı daha katı sıfır güven politikalarıdır. Adından da anlaşılacağı gibi, herhangi bir şeye erişmeden önce kim olduklarını doğrulamalarını talep ederek kuruluş içindeki her bireye güvenilmez muamelesi yapar.
Bu tür bir politikanın yürürlükte olması, daha sıkı kimlik erişim kontrollerini teşvik eder ve bir işletme içinde hareket edebilecek veri miktarını sınırlayarak olası zararı azaltır. Ancak, bu kontroller yürürlükte olsa bile, işletme bir izinsiz girişin nerede olduğunu tespit edebilmeli ve izleyebilmelidir. Bu gerçek zamanlı olarak mümkün değilse, saldırganı yeniden sürücü koltuğuna oturtur.
Farklı bir yaklaşım
Aracısız tabanlı yaklaşımlar, CNI için çok daha uygundur. Bu, yazılım aracıları yüklemeye gerek kalmadan sistemlerin ve ağların izlenmesini ve korunmasını içerir. Bunun yerine, siber tehditleri gerçek zamanlı olarak tespit etmek ve önlemek için trafik analizi gibi teknolojiler kullanılır. Sürekli operasyonları sürdürmesi gereken CNI organizasyonları için hayati önem taşıyan kurulum veya güncellemeler için kesinti süresine gerek yoktur. Ayrıca, zaman alıcı olabilen ve ek aksamalara neden olabilen yazılım aracılarını her bir sistemde sürdürme ve güncelleme ihtiyacını da ortadan kaldırır.
Aracısız bir yaklaşım, karmaşık APT saldırılarını tespit etmede de daha etkili olabilir. APT grupları genellikle tek bir sistemi tehlikeye atar ve onu bir dayanak noktası olarak kullanır ve gelecekteki bir saldırı için istihbarat toplarken gizli kalır. Aracısız sistemlerin her bir sisteme yüklenmesi gerekmediğinden, ağ etkinliğinin daha kapsamlı bir görünümünü sağlayabilirler ve geleneksel güvenlik sistemleri tarafından fark edilmeyebilecek APT saldırılarını daha iyi algılayıp önleyebilirler.
Tehdit düzeyi yüksek kalırken, CNI’yi sürdüren kuruluşların güvenlik duruşlarını artırmaları gerekecek. Gerçek zamanlı izleme için güvenilir bir yaklaşım sağlayan aracısız bir yaklaşım önerilir, ancak bu tek başına yeterli değildir. Ağ içinde birden çok koruma katmanına sahip kapsamlı bir güvenlik stratejisinin parçası olmalıdır.