On yıl yarıya yaklaştıkça, fidye yazılımı saldırıları gazeteler ve web sitesi ana sayfalarında manşetlere hükmetmeye devam ediyor. Saldırılardaki acımasız artış, yavaşlama belirtisi göstermez ve küçük ve orta ölçekli işletmeler (KOBİ) giderek daha fazla kendilerini buluyor.
Neyse ki, gümüş bir astar var: Ulusal Standartlar ve Teknoloji Enstitüsü (NIST) ve Risk Yönetimi Çerçevesi (RMF). Büyüyen işletmeler, bu RMF’yi saldırganları savunmak için pratik stratejilerle kendilerini silahlandıracak şekilde atıfta bulunabilir.
Fidye yazılımı aktörlerinin neden orta pazar şirketlerinde ikiye katlandıklarını ve NIST’in en son rehberliğinden temel çıkarımları parçaladıklarını gösterelim.
Gelgitte bir değişiklik
Küçük işletmeler her zaman fidye yazılımı için ana hedefler olmuştur, ancak siber suçlular manzaralarını daha büyük, daha sikişli hedeflere koydukça son yıllarda payı düştü – üreticiler ve sağlık hizmeti sağlayıcıları gibi büyük işletmeleri düşünmek. Bunlar, koordineli çabalar ve saldırganlardan ciddi yatırımlar gerektiren yüksek bahisli soygunlardı, ancak potansiyel ödeme yatırıma değdi.
Tipik av tüfeği yaklaşımı yerine, bilgisayar korsanları yüksek değerli hedeflerde cerrahi grevler yapmaya başladılar, genellikle çift gasp taktikleri kullanarak (ya da Verizon’un DBIR’deki zeki insanlar “Ranstortion” dediği gibi). Burada, saldırganlar verileri şifreler, dışarı atar ve daha sonra hassas bilgileri sızdırmak için ikinci bir fidye talep eder.
Ama zamanlar değişiyor. KOBİ’ler, 2023’ün ilk yarısından itibaren tüm fidye yazılımı hedeflerinin yaklaşık% 80’ini oluşturuyor, bu da sadece o zamandan beri sağlamlaştı. Peki, bu değişimi ne yönlendiriyor?
Öncelikle, kolluk kuvvetleri büyük organize saldırı güçlerini yıkıyor, üyelerini dağıtıyor ve birçoğunu solo olmaya zorluyor. İkincisi, uygun fiyatlı fidye yazılımı (RAAS) araç setlerinin yükselişi, bu yalnız kurtların saldırılar başlatmasını her zamankinden daha kolay hale getiriyor. Kullanım kolaylığı ve otomasyon için tasarlanan bu araçlar, düşük seviye saldırganların bile daha büyük işletmelerle aynı savunma seviyesini karşılayamayan daha küçük işletmelere odaklanarak yüksek miktarda saldırı başlatmasını sağlar. Daha küçük ödemeler solo operatörler için iyidir, çünkü almayı bölmek zorunda kalmazlar.
Gevşekte yeni bir siber kızak dalgası ile, KOBİ’lerde yöneticiler çimlerini nasıl koruyabilir?
Kurtarmaya Nist: KOBİ’ler için bir RMF
Güvenlik piyasasındaki hizmetler, genellikle sıkı bütçelere sahip KOBİ’ler için ulaşılamayan endüstriyi sulandırıyor. Bu boşluğu tanıyan Nist, daha küçük kuruluşlar için tasarlanmış yapılandırılmış, sistematik bir yaklaşımla devreye girdi. NIST kısa süre önce SP 1314 adlı RMF için hızlı bir başlangıç rehberi yayınladı. Tam RMF bunaltıcı hissedebilse de, bu yeni rehber daha derine inmek isteyen bireyler için kaynakların yanı sıra dokuz sayfa eyleme geçirilebilir ipucu sunuyor.
Gereksinimleri yığınlayan uyumluluk standartlarının aksine, NIST’in RMF’si, büyüklük veya endüstri ne olursa olsun, riski çerçeveleme, değerlendirme, yanıt verme ve izleme riski için tekrarlanabilir bir döngü yaratmakla ilgilidir.
İşte NIST’in önerdiği yedi adımın kısa bir dökümü:
- Hazırlanmak: İlk adım, risk yönetimi faaliyetleriniz için zemin hazırlamaktır. Bu adım, bir proje lideri belirlemeyi ve müşteri verileri, finansal bilgiler veya fikri mülkiyet gibi işletmeniz için en değerli varlıkların belirlenmesini içerir. Ayrıca, süreç boyunca bilinçli kararlar vermek için hangi uzmanlığın gerekli olduğunu belirlemeniz gerekir. Bu hazırlık, çabalarınızın odaklanmasını ve başlangıçtan itibaren doğru kaynaklara sahip olmanızı sağlar.
- Kategorize: Anahtar varlıklarınızı belirledikten sonra, bunları iş operasyonlarınızdaki önemlerine göre kategorize edin. Bu süreç, en kritik sistemlerin ve verilerin en çok dikkat çekmesini sağlayarak güvenlik çabalarınıza öncelik vermeye yardımcı olur. Örneğin, önce müşteri veritabanınızı korumaya odaklanabilir, ardından daha az kritik sistemlere geçebilirsiniz. Bu adım, özellikle sınırlı bütçeleri olan kuruluşlarda verimli kaynak tahsisi için çok önemlidir.
- Seçme: Varlıklarınızı kategorize ettikten sonra, kuruluşunuzun ihtiyaçlarına ve bütçesine en uygun olanları seçmek için bunları NIST’in önerdiği güvenlik kontrolleriyle (NIST SP 800-53’te ayrıntılı olarak açıklanmıştır) karşılaştırın. Bu süreç mevcut her kontrolü uygulamakla ilgili değildir; En değerli varlıklarınız için en iyi korumayı sağlayanları seçmekle ilgilidir. Kontrollerinizi özel risk profilinize göre uyarlayarak aşırı harcama yapmadan daha etkili güvenlik elde edebilirsiniz.
- Uygulamak: Uygulama, seçilen kontrolleri uygulamaya koymayı, güvenlik yazılımlarının yüklenmesini, çalışanları yeni prosedürler üzerinde eğitmeyi veya iş süreçlerini güncellemeyi içerebilir. Buradaki anahtar, küçük olsa bile bir yerden başlamak ve zamanla bu temeli geliştirmektir. NIST’in RMF’si, mükemmelliğin kapıdan gerekli olmadığını kabul ediyor – önemli olan ilerleme kaydediyor ve sürekli olarak gelişiyor.
- Değer biçmek: Kurduğunuz kontrollerin amaçlandığı gibi çalışmasını sağlamak için düzenli değerlendirme gereklidir. Bu adım, daha önce kurduğunuz başarı metriklerine karşı kontrollerinizi kontrol etmeyi içerir. Kontrol listeleri gibi basit araçlar, boşlukları veya ayarlanması gereken alanları belirlemede inanılmaz derecede etkili olabilir. Değerlendirme süreci aynı zamanda bir sonraki risk yönetimi faaliyetleri döngüsünü bilgilendiren değerli bilgiler sağlar.
- Yetkilendirin: Kontrollerinizin etkinliğini değerlendirdikten sonra, bir sonraki adım bunlara resmi olarak yetki vermektir. Bu adım, karar verme için net bir komuta zincirinin tanımlanmasını, herkesin bir sistemin yeterince korunup korunmadığına dair son sözü kimin olduğunu anlamasını içerir. Yetkilendirme hesap verebilirlik sağlar ve özellikle hızlı işlem gerektiren yüksek basınçlı durumlarda karar vermeyi kolaylaştırır.
- Monitör: RMF’deki son adım devam eden izlemedir. Bu süreç, güvenlik duruşunuza sürekli göz kulak olmayı, yeni tehditleri izlemeyi ve işinizde risk profilinizi etkileyebilecek değişiklikleri izlemeyi içerir. Farkındalığı ve hazırlığı korumak için güvenlik durumunuzdaki liderliği düzenli olarak güncelleyin. Yeni riskleri belirleyin ve bunları ele almak için RMF döngüsüne tekrar girin, güvenlik stratejinizin zamanla etkili olmasını sağlayın.
Unutmayın: Bu adımlar tek seferlik bir anlaşma değil-devam eden bir iyileştirme döngüsünün parçası. Süreçte her geçtiğinizde, savunmalarınızı güçlendirirsiniz.
Resmi bir risk yönetimi stratejisinin uygulanması göz korkutucu görünebilir, ancak NIST’in rehberi başlamak için harika bir yerdir. Her şey, işletmenizin büyüklüğü ne olursa olsun güvenliği daha erişilebilir hale getirmekle ilgilidir. Kendinize mükemmelliğin hedef olmadığını hatırlatın – Progress. Döngünün her yinelemesi savunmanızı geliştirir ve güvenlik planınızın sürekli olarak gelişmesini sağlar.
Yazar hakkında
Zoe Lindsey, Blumira’da on yılı aşkın bir bilgi güvenliği deneyimi olan bir güvenlik stratejistidir. Infosec kariyerine 2012 yılında Duo Security’de tıbbi ve hücresel teknolojide bir geçmişe başladı. Kariyeri boyunca Zoe, güçlü güvenlik taktikleri ve stratejileri konusunda her büyüklükteki organizasyona tavsiyelerde bulundu. Aranan bir konuşmacı olarak, RSA Konferansı, SecureWorld ve Cisco Live dahil olmak üzere sektör lideri etkinliklerde en iyi uygulamaları ve önerileri paylaştı.