Yazan Trevor Hilligoss, SpyCloud Güvenlik Araştırması Kıdemli Direktörü
Fidye yazılımı saldırıları hayatın bir gerçeği; 2023'te küresel işletmelerin %72'sinden fazlası fidye yazılımından etkilendi. Bir araştırmaya göre bu sayı ABD, Kanada ve Birleşik Krallık'taki kuruluşlarda artıyor ve %81'den fazlası geçen yıl en az bir kez etkilendi. son SpyCloud araştırması.
Devam eden tehdide rağmen, Kuzey Amerika ve Avrupa'daki güvenlik liderlerinin %79'u fidye yazılımı savunmalarına güveniyor; bu da sektörün siber hazırlığa ilişkin değerlendirmesi ile mevcut siber güvenlik stratejilerinin etkinliği arasındaki eşitsizliği vurguluyor.
Bu kopukluk kısmen suçluların kullandığı yöntemlerin gelişmesinden kaynaklanıyor. Geleneksel olarak veri şifreleme, saldırılardan etkilenen kuruluşların karşılaştığı en büyük sorundu ve işletmeler, veri yedeklemeleri uygulayarak buna karşı çıktı. Ancak fidye yazılımı manzarası değişti ve siber suçlular, daha yıkıcı saldırılar gerçekleştirmek için kötü amaçlı yazılımların sızdırdığı verilere giderek daha fazla güveniyor.
Kötü Amaçlı Yazılımda İşareti Kaçırmak
SpyCloud'a göre, bilgi çalan kötü amaçlı yazılım bulaşmaları (veya bilgi hırsızlığı bulaşmaları), 2023'te Kuzey Amerika ve Avrupa işletmelerine yönelik fidye yazılımı olaylarının beşte birinden (%22) önce gerçekleşti. Ayrıca Racoon, Vidar ve Redline gibi yaygın bilgi hırsızları, bu olasılığı daha da artırdı. İlk enfeksiyon ile fidye yazılımı olayı arasında 16 haftalık bir süre. Geçtiğimiz yıl virüs bulaşmış cihazlardan sızdırılan verilerin analizine göre, kurban cihazların benzer bir yüzdesi (%20) başarılı bulaşma sırasında en az bir antivirüs uygulamasıyla donatılmıştı.
Tehdit aktörleri, karanlık ağda satın alıp sattıkları kimlik doğrulama verilerini sızdırmak için kötü amaçlı yazılım kullanıyor. Suçlular, bu verileri kullanarak bir kuruluşun ağına erişebilir, burada ilk araştırmayı gerçekleştirebilir ve hedefin iş operasyonlarını etkisiz hale getirmek için fidye yazılımı yerleştirmeden veya hassas verilerin çalınması yoluyla gaspı daha da ilerletmeden önce ek verileri çalabilirler.
Güvenlik liderleri kötü amaçlı yazılım tehdidinden habersiz değil. SpyCloud, BT liderlerinin %98'inin bilgi hırsızlığı riski taşıyan iş uygulamalarını daha iyi tanımlayarak güvenliği artırabileceklerini kabul ettiğini buldu. Birçok şirket ayrıca otomasyon, çok faktörlü kimlik doğrulama (MFA) uygulaması ve geçiş anahtarlarını benimseme gibi teknoloji odaklı karşı önlemler almaya başladı.
Ancak bilgi hırsızlarını tespit etmek ve önlemek zordur ve güvenlik liderleri buna ayak uydurmakta zorlanır. Kuruluşlar, çalışanları eğiterek ve yazılım korumalarının güncel olmasını sağlayarak önlem alabilirken, bulaşmaları tamamen önlemek imkansızdır ve gelişmiş türler verileri sızdırıp saniyeler içinde kendilerini silebilir; geriye cihazın güvenliğinin ihlal edildiğine dair çok az gösterge kalır.
MFA gibi geleneksel korumalara başvurmak tam çözüm değildir. MFA'yı uygulamak kesinlikle iyi bir fikir olsa da bilgi hırsızları tarafından çalınan kimlik doğrulama verileri, kullanıcı adları ve şifrelerle sınırlı değildir. Bu veriler genellikle oturumun ele geçirilmesine olanak tanıyan çerezler gibi şeyleri içerir; suçluların bir kullanıcının kimliğine bürünmek için çalıntı çerezleri veya belirteçleri kullandığı karmaşık olmayan bir saldırı. Bu saldırı, suçluların kimlik bilgileri, geçiş anahtarları ve MFA ihtiyacını ortadan kaldırarak zaten kimliği doğrulanmış oturumlara erişmesine olanak tanır. Suçlular, meşru bir kullanıcının tüm izinleriyle kimlik hırsızlığını, yetkisiz işlemleri kolaylaştırabilir veya ek verileri çalabilir.
Geçen yıl SpyCloud tarafından yeniden ele geçirilen 22 milyarın üzerinde kötü amaçlı yazılımdan çalınan çerez kaydı göz önüne alındığında, oturumun ele geçirilmesi önemli bir tehdittir. Buna rağmen BT liderleri, güvenliği ihlal edilmiş oturum çerezlerinin izlenmesini fidye yazılımına karşı alınacak üçüncü en az önemli önlem ve en az riskli giriş noktası olarak görüyor. Ancak gerçek şu ki, fidye yazılımıyla mücadelenin bütünsel bir kötü amaçlı yazılım iyileştirme stratejisiyle başlaması gerekir.
Yüksek Bir Tehdide Gelişmiş Bir Yaklaşım
Kötü amaçlı yazılım bulaşmasını düzeltmeye yönelik en yaygın yaklaşım, enfeksiyondan etkilenen cihaz ve ağ ile başlar ve biter. Ancak bu yaklaşım, genellikle ilk saldırının bir parçası olan ve cihaz silindikten ve kötü amaçlı yazılım ortamdan kaldırıldıktan sonra da aktif kalabilen bir bilgi hırsızı tarafından sızdırılan verileri göz ardı eder. Siber suçlular, çalınan verileri kuruluşlara ve bireylere karşı tekrarlanan siber saldırılar başlatmak için kullanabilir ve bu da potansiyel olarak onarılamaz hasarlara neden olabilir.
Bu eksik enfeksiyon müdahalesi yerine, güvenlik liderleri, kötü amaçlı yazılım tarafından çalınan kimlik doğrulama verileri hakkında bilgi ve görünürlük kazanmalı, ele geçirilen kimlik bilgilerini hızlı bir şekilde düzeltmeli ve iş açısından kritik uygulamalar için çalınan web oturumlarını geçersiz kılmalıdır.
Kapsamlı bir enfeksiyon sonrası iyileştirme süreci, bilgi hırsızlığı bulaşmalarına bağlı fidye yazılımı olaylarının riskini önemli ölçüde azaltır ve ağa erişen virüslü kişisel veya yönetilmeyen cihazlardan kaynaklananlar da dahil olmak üzere daha önce gözden kaçan riskleri kapatır ve suçluları, kötü amaçlı yazılımdan sızdırılan verileri kullanmadan önce izinde durdurur. daha fazla zarara neden olur.
yazar hakkında
Trevor Hilligoss, SpyCloud'da Güvenlik Araştırması Kıdemli Direktörüdür ve federal kolluk kuvvetleri geçmişi olan deneyimli bir güvenlik araştırmacısıdır. Trevor, hükümet hizmetinden ayrılmadan önce neredeyse on yıl boyunca Savunma Bakanlığı ve FBI için hem siber suçluları hem de ulus devlet aktörlerini takip ederek geçirdi ve ABD'de ve uluslararası toplantılarda tehdit istihbaratı uzmanı olarak sunum yaptı. Sosyoloji alanında lisans derecesine, siber araştırmalar alanında birden fazla federal sertifikaya ve iki Küresel Bilgi Güvencesi Sertifikasına (GIAC) sahiptir. Trevor'a şu adresten çevrimiçi olarak ulaşılabilir: