NISTIR 8374 ile Bir Fidye Yazılım Saldırısına Hazırlanmak ve Yönetmek İçin En Önemli Çıkarımlar
Yazan Gil Kirkpatrick, Microsoft MVP ve Baş Mimar, Semperis
Kuruluşunuz muhtemelen en azından bazı Ulusal Standartlar ve Teknoloji Enstitüsü (NIST) standartlarına uymaktadır. Ne yazık ki, bu yaklaşım tek başına sizi fidye yazılımlara karşı korumak için yeterli değil.
Bu amaçla NIST, özellikle bir fidye yazılımı saldırısına hazırlanma ve yönetme sürecini kapsayan NISTIR 8374 adlı bir çerçeve yayınladı. Geçenlerde Thales’te Teknoloji Direktörü olan meslektaşım Asad Ali ile çerçeve üzerine bir sunuma ev sahipliği yaptım. İşte en iyi çıkarımlarımız.
-
Fidye yazılımlarına karşı koruma karmaşık olmamalı
Muhtemelen, NISTIR 8374 ile ilgili en ilginç şey, sağladığı tavsiyelerin hiçbirinin özellikle çığır açıcı olmamasıdır. Herkesin nasıl yapılacağını bilmesi gereken şeyler. Herkesin yapması gereken şeyler ama pek çoğu iyi yapmıyor.
Bu taban çizgileri aşağıdaki unsurları içerir:
- Uç nokta koruması. Her fidye yazılımı saldırısı, kuruluşunuzun uç noktalarını bir dereceye kadar içerir. NIST’in kullanmanız gereken sistemler ve araçlarla ilgili bazı iyi önerileri var.
- Fidye yazılımı saldırıları, 2021’de yüzlerce güvenlik açığından aktif olarak yararlandı. Her birinin kullanılabilir yamaları vardı. Sistemlere düzenli olarak ve sıklıkla yama yapın. (Birazdan bu nokta hakkında daha fazla bilgi.)
- Ağ segmentasyonu. Bir tehdit aktörünün düz bir ağ içinde yatay olarak hareket etmesi inanılmaz derecede kolaydır. Ağ segmentasyonu, bu hareketin önünde engeller oluşturarak, güvenliği ihlal edilmiş bir uç noktayı kontrol eden bir saldırganın diğerlerini tehlikeye atmasını zorlaştırır.
- Cihaz yönetimi. Belki de NIST’in daha tartışmalı tavsiyelerinden biri, ağda kişisel cihazların kullanımını kısıtlamaktır. Yapamıyorsanız, en azından bir tür cihaz yönetimi veya konteynerleştirme uygulayın.
- Uygulama kontrolleri. Güvenli olmayan veya onaylanmayan uygulamalara erişimi sınırlandırın veya BT’nin onaylamadığı uygulamaların kullanımını engelleyin. Yine, tüketicileştirme tarafından tanımlanan bir işyerinde bunu söylemek yapmaktan daha kolaydır.
- Çalışan eğitimi. Fidye yazılımı saldırıları, ezici bir çoğunlukla kimlik avı veya hedef odaklı kimlik avı e-postalarıyla başlar. Çalışanlarınızı eğitmek, bu tür taktikleri fark edeceklerini garanti etmez, ancak bu hilelere kanma ihtimallerini azaltır.
-
Sistemlerinizi yamalı tutun
Özellikle büyük BT kuruluşlarında, yama uygulama genellikle çoklu inceleme ve test döngülerini içerir. Bazı durumlarda, bu döngüler, bir yamanın yayınlanmasından aylar sonrasına kadar uygulanmadığı anlamına gelebilir.
Kuruluşlara, özellikle güvenlik açısından hassas yamalar olmak üzere yamaları hemen edinmenizi, test etmenizi ve uygulamanızı sağlayan bir çerçeve geliştirmelerini önemle tavsiye ederiz. Ali’nin de belirttiği gibi, otomasyon olası bir çözümü temsil ediyor. Test ve kurulumu otomatikleştirerek, kuruluşunuz sürüm ve devreye alma arasındaki gecikmeyi önemli ölçüde azaltabilir.
-
Güvenlik ve rahatlığı dengeleyin
Birkaç yıl önce kamu sektöründe ajanslarla çalıştım. Ağları yoğun bir şekilde bölümlere ayrılmıştı; öyle ki, bir bölümden diğerine geçmek için çemberlerin içinden atlamanız gerekiyordu. Hassas kaynakları saldırganlardan ayırmanın etkili bir yolu olduğunu inkar etmeyeceğim ama aynı zamanda kullanılabilirlik açısından tam bir kabus.
Cihaz yönetimi, uygulama yönetimi, kimlik doğrulama ve ağ segmentasyonu gibi önlemleri uyguladığınızda kullanılabilirliğe odaklanın. Ali’nin de belirttiği gibi, “İnsanlara çok fazla yük bindirirseniz, uzaklaşırlar ve bir alternatif bulurlar. Matematikçi Doktor Ian Malcolm’un ilk Jurassic Park’ından her zaman geri döndüğüm bir söz vardır: Hayat bir yolunu bulur. Takip ettiğiniz model ne olursa olsun, kullanıcıların işini kolaylaştırmazsanız, güvenlik kontrollerinizi aşmanın bir yolunu bulacaktır.”
-
Siber güvenlik eğitiminizi ilgi çekici hale getirin
Çalışanlarınızı eğitin ve kuruluşunuzun fidye yazılımı saldırılarına karşı direncini artırın. Birçok kuruluşta gördüğüm hata, bir yığın eğitim materyalini personelinin önüne bırakıp bir gün demeleri. Eğitimin etkili olması için, onu ilgi çekici hale getirin ve etkinliğini test etmek için kırmızı takım simülasyonları gibi mekanizmalar oluşturun.
Ali, “Güvenlik farkındalığı eğitiminin rehaveti önlemek için yaklaşık altı ayda bir tekrarlanması gerekiyor” diyor. “Ama aynı zamanda konferans odalarından veya yakınlaştırma görüşmelerinden daha fazlasına ihtiyacınız var; nerede duraksadıklarını görmeleri için deney yapmalarına ve eğitiminizin nerede eksik olabileceğini görmeleri için ölçüm yapmalarına izin verin.”
-
Fidye yazılımı, diğer yıkıcı olaylardan farklı bir olay müdahale planı gerektirir
Çoğu kuruluşun bir olay müdahalesi ve kurtarma planı vardır. Ne yazık ki, bu planlar genellikle fidye yazılımlarıyla uğraşmak için uygun değildir.
Fidye yazılımı saldırıları, dağıtılmış bir ağın tamamına saniyeler içinde yayılabilir. Fidye yazılımı söz konusu olduğunda, bazı çalışan sistemlere güvenme lüksünüz yoktur: Sıfırdan başlıyorsunuz. Bu, birçok kuruluşun dikkate almadığı bir soruya yol açar: Tamamen düzleştirilmiş bir ağda BT ortamınızı nasıl kurtarırsınız?
Yanıtınız, Active Directory ortamınızın dışında depolanan harici ve dahili kişiler listesinden alınan birden çok paydaş gerektirebilir.
“Yasal, teknik, [human resources]ve [public relations]”diyor Ali. “Sistemin tekrar çalışır durumda olması için neredeyse aynı anda veya aynı anda bir araya gelmeleri gerekiyor. Yedekleme ve geri yükleme cephesinde, bir yedekten geri yüklemeniz gerektiğinde çalışmadıklarını öğrenmek istemediğiniz sürece, yedeklerinizin düzenli olarak test edildiğinden emin olmanız gerekir.”
-
Her zaman Active Directory hesabı
Active Directory, siber saldırganlar için pirinç halkadır. Nedenini görmek kolay. Active Directory’deki aşırı karmaşıklık düzeyi, Active Directory’nin güvenli olmayan bir şekilde yapılandırılmasını kolaylaştırır. Active Directory aynı zamanda kuruluşunuzla ilgili tüm bilgiler için bir havuz görevi görür; saldırganların ağınızı yeniden tespit etmek ve kritik sistemleri ve ayrıcalıklı hesapları belirlemek için kullandıkları birincil kaynaktır.
Aktif Dizin ortamınızı ve ilgili tüm hizmetleri maruz kalma ve uzlaşma göstergeleri için sürekli olarak izlemek zorunludur. Aksi takdirde, Grup İlkesi ve Sysvol gibi özellikler yerleşik istismar araçlarına dönüştürülebilir. Ayrıca, Active Directory’deki en yaygın zayıf noktaların farkında olun: hesap güvenliği ve Kerberos yapılandırması.
Ali, “Bir yöneticinin yapması gereken o kadar çok şey var ki, sorunlar kolayca çevreye yayılabilir” diyor. “Parolası olmayan hesaplar, zayıf parolalar, düz metin olarak saklanan bilgiler, yanlış yapılandırılmış eski sistemler. . . . [T]güvenlik ve fidye yazılımı bağlamında, küçük bir hata bile çok büyük sonuçlara yol açabilir.”
Hepsinin en önemli rehberliği
Sonuç olarak NISTIR 8374, kuruluşunuzun fidye yazılımı saldırılarına hazırlanabileceği, önleyebileceği ve hafifletebileceği kullanışlı bir çerçeve sağlar. Rehberliğin çoğu oldukça basit… ama nihayetinde mesele bu. Birkaç gelişmiş işlem ve özelliği uygulamaktan büyük olasılıkla yararlanacak olsanız da, güçlü bir Active Directory güvenlik temeli kritik önem taşır ve güçlü, katmanlı, derinlemesine bir güvenlik duruşu en iyi savunma olmaya devam eder.
yazar hakkında
Gil Kirkpatrick, kurum içi ve bulutta kurumsal dizin hizmetleri için siber hazırlık, olay müdahalesi ve felaket kurtarma çözümlerinin lider sağlayıcısı olan Semperis’te ürünlerin Baş Mimarıdır. Gil, öncelikle kimlik yönetimi ve güvenlikle ilgili ürünlere odaklanarak çok uzun bir süredir kurumsal BT için ticari ürünler geliştiriyor. Son 17 yılın her birinde Active Directory ve Enterprise Mobility için Microsoft MVP’si seçildi ve Active Directory Programlama’nın yazarı ve aynı zamanda Directory Experts Konferansı’nın kurucusudur. Semperis’te Gil, kurumsal hibrit kimlik ortamlarına yönelik siber saldırıları önlemek, tespit etmek ve bunlardan kurtulmak için ürünler geliştiriyor. Gil, dünya çapındaki BT konferanslarında siber güvenlik, kimlik ve felaketten kurtarma konularında konuşuyor. Gil’e çevrimiçi olarak [email protected] adresinden ulaşılabilir, @gkirkpatrick ve https://www.semperis.com/ adresinde.