Yazan: Ben Smith, Saha Teknoloji Sorumlusu, NetWitness
Önde gelen bir iş uygulaması satıcısının Mayıs ayında zor yoldan öğrendiği gibi, güvenlik açığı siber güvenlik dünyasında dört harfli bir kelimedir. Şirketin yönetilen dosya aktarımı (MFT) yazılımı MOVEit, Rus fidye yazılımı grubu CL0P tarafından düzenlenen büyük bir saldırıya uğradı.
Mağdur şirkete göre güvenlik açığı, yetkisiz kullanıcıların yazılıma erişmesine ve ayrıcalıklara izin verme potansiyeline sahipti ve MOVEit’e yönelik tedarik zinciri saldırısı, bordro hizmetleri ve kimlik hırsızlığı sektörlerindeki diğer şirketler de dahil olmak üzere kendi alt müşterilerinin çoğunu etkiledi. ve çeşitli devlet kurumları. Son yıllarda, tehdit aktörleri kişisel verilerden daha fazla değer elde etmek için geliştikçe tedarik zinciri saldırıları daha yaygın hale geldi; özellikle de fidye yazılımı nedeniyle kesintiye uğrayan şirketlerin %80’i fidyeyi ödediğinde. Bu karlı bir uygulamadır çünkü sonuçta siber suç bir iştir ve kendi iş modelleri vardır.
Siber Suç İşi
Siber suçları düşündüğünüzde, bunu gerçekten başka herhangi bir iş gibi düşünmelisiniz. CL0P, diğer tehdit aktörlerinin kendi fidye yazılımı kampanyalarını oluşturmasına ve dağıtmasına yardımcı olan bir “hizmet olarak fidye yazılımı” sağlayıcısı olarak bilinir. Nihai hedef neredeyse her zaman paradır ve MOVEit vakasında CL0P, kurban organizasyonun özel verilerinin dağıtımını önlemek için açıklanmayan miktarda para istedi. Büyüyen her işletme gibi CL0P de gelecekteki kurbanları (ve geliri) elde etmek için tekliflerini, özel bir botnet’e erişimin yanı sıra tehlikeye atılmış ağlara doğrudan erişim gibi tamamlayıcı yetenekleri içerecek şekilde çeşitlendirdi.
CL0P gibi bir tehdit aktörünün gerçekleştirdiği her eylem, fidye yazılımı yeteneği aracılığıyla şu anda kontrol ettiği hassas bilgilerin geniş çapta duyurulması ve potansiyel olarak ifşa edilmesiyle tehdit edilmesi de dahil olmak üzere kasıtlıdır. Grubun amacı, etkilenen şirketi hızlı hareket etmeye zorlamak veya daha fazla ayrıntı açıklandıkça daha fazla utanç ve hatta operasyonel etkiye maruz kalmak umuduyla ek aciliyet yaratmaktır.
Fidye Yazılımı Saldırılarını Azaltma
Bir tedarik zincirini, fidye yazılımları da dahil olmak üzere giderek büyüyen potansiyel silahlara sahip olan kararlı tehdit aktörlerine karşı korumak kolay bir iş değil. Verileriniz onların maaş günü olduğundan, bu tehdit aktörleri sıfır gün güvenlik açıklarını belirlemek ve bunlardan yararlanmak için satıcılardan bile daha fazla çalışabilir. Bir bakıma şirketlerin CL0P gibi gruplardan ipucu alması ve bu siber suç girişimlerinin nasıl çalıştığını anlaması gerekiyor.
Çoğu saldırgan büyük ölçüde kendi tedarik zincirlerine güvendiğinden, en iyi savunmalardan biri bu rakip tedarik zincirlerindeki potansiyel darboğazları aramak, anlamak ve belgelemektir; bu bilgi sizin (veya sizi koruyan yönetilen güvenlik sağlayıcının) elde edilmesi gereken meyveleri temsil eder. ) paranın karşılığını en büyük şekilde kazanabilir. Örneğin, tipik bir fidye yazılımı saldırısı kurbanın ortamına nasıl ulaşır? Virüs bulaşmış bir dizüstü bilgisayar durumuyla ilgili olarak tehdit aktörüne nasıl geri bildirimde bulunur? Bir tehdit aktörü sonuçta çabalarından nasıl para kazanabilir? Bunların tümü, geniş ekibinizin tehdit istihbaratı ve olay müdahalesi gibi beceri setleri ve ağ tabanlı tehdit tespiti ve müdahalesi gibi teknoloji çözümleri ile ele alınabilecek sorulardır. Bu zinciri bozmak için, tıpkı jiu-jitsu dövüş sanatında gördüğümüz gibi, rakibin iş modeline odaklanılması ve bunu onlara karşı kullanılması gerekir.
Ne yazık ki birçok şirket için fidye yazılımı saldırısından sonraki yaklaşım, birincil güvenlik açığına odaklanmak, onu düzeltmek ve ardından her zamanki gibi işe geri dönmektir. MOVEit örneğinde, ilk güvenlik açığının kamuya duyurulmasının üzerinden altı haftadan fazla zaman geçmesine rağmen yeni ve önceden duyurulmamış güvenlik açıkları hala duyurulmaktaydı. Etkilenen şirketlerin proaktif kalması kritik önem taşıyor; Bir güvenlik açığının olduğu yerde sıklıkla başkaları da bulunur.
Şirketlerin kendi tedarik zincirlerinin dokümantasyonunu, izlenmesini ve korunmasını geliştirmek için iyileştirilmiş güvenlik önlemleriyle ilerlemesi gerekirken, dışarıdan yardım almak neredeyse her zaman uygun bir seçenektir. Bu harici tabanlı savunucular, fidye yazılımı saldırılarına yanıt vermeye ve hatta önlemeye yardımcı olmakla kalmaz, aynı zamanda tehdit aktörlerinin ortadan kaldırılmasına da açıkça dahil olabilirler. Ocak 2023’te ABD Adalet Bakanlığı, 1.500’den fazla kurbanı hedef alan hizmet olarak fidye yazılımı grubu Hive’ın faaliyetlerini kesintiye uğrattığını duyurdu. Bu bozulma, bu grupların yanılmaz olmadığını ve doğru savunmalar ve bilgili savunucularla bu rakip tedarik zincirlerinin bozulabileceğini gösteriyor.
Siber Güvenliğin Durumu
Tehdit aktörleri sürekli olarak aktif ve gelişmektedir ve bugün hepimiz kesinlikle giderek daha fazla fidye yazılımı saldırısı duyuyoruz. Güvenlik önlemleri daha gelişmiş hale geldikçe ve üçüncü taraf savunucular güvenlik açıklarını azaltmaya yardımcı oldukça, bu saldırıların hacminin de azalması bekleniyor. Kötü aktörlerin yükselişte olduğu doğru, ancak aynı zamanda mevcut açıklama gerekliliklerinin bugün haberlerde gördüğümüz birçok faaliyeti tetikleyebileceği de doğru. Birkaç yıl önce kamuoyunun ve hükümetin gözü önünde sessizce gerçekleştirilen bir saldırı, bugün çok daha görünür durumda.
Tüm bu zorluklara (tedarik zincirleri boyunca birbirleriyle birlikte çalışan rakipler, kendi tedarik zincirinizin zayıf noktasını kırmak amacıyla gelişen araç ve teknikleri kullanarak) rağmen, hala iyimser olmak için neden var. Bu tür saldırıların önlenmesi her zaman tercih edilse de, günümüzde olgun kuruluşlar bu saldırıların hızlı ve zamanında tespit edilmesinin daha da önemli olabileceğinin farkındadır. Ortamınızda “sıfır numaralı hasta”nın nerede olduğunu bilmek ve bir fidye yazılımı saldırısında, yayılmadan ve kontrolden çıkmadan önce erkenden harekete geçebilmek istiyorsunuz. Sonuçta ağınızda neler olduğunu göremiyorsanız, uç noktalarınızda neler olduğunu göremiyorsanız, çok geç olana kadar saldırıyı göremeyebilirsiniz. Yardım istemekten korkmayın.
yazar hakkında
Ben Smith, NetWitness’ta Saha Teknoloji Şefidir. Bilgi güvenliği, risk yönetimi, ağ oluşturma ve telekomünikasyon endüstrilerinde 25 yıldan fazla deneyime sahiptir; Önceki işverenleri arasında RSA Security, UUNET ve ABD Hükümeti’nin yanı sıra çeşitli teknoloji startupları yer alıyor. Smith, bilgi güvenliği (CCISO, CISSP), risk yönetimi (CRISC) ve gizlilik (CIPT) alanlarında endüstri sertifikalarına sahiptir; NIST SP 1800-1, -3 ve -7’ye katkıda bulunduğu kabul edilen kişilerden biridir ve Siber Güvenlik Canon Projesi’ne başkanlık etmektedir. Kendisi patent sahibidir ve “Her Bilgi Güvenliği Profesyonelinin Bilmesi Gereken 97 Şey”den dördünün yayınlanmış katılımcısıdır. [O’Reilly, 2021] ve daha önce Ulusal Siber Güvenlik Mükemmeliyet Merkezi’nde (NCCoE) kurumsal temsilci olarak görev yaptı. Ben’e çevrimiçi olarak https://www.linkedin.com/in/bnsmth/ adresinden ve şirketimizin web sitesi https://www.netwitness.com/ adresinden ulaşılabilir.