Bu podcast’te, NetApp’te çözüm uzmanı olan Chris McKean ile fidye yazılımları ve veri depolama konularını ele alıyoruz.
Depolama tedarikçilerinin, fidye yazılımı saldırılarının etkilerine karşı koruma ve düzeltmeye yardımcı olabilecek depolama ürünlerine neler ekleyebileceğinden bahsediyor. Bunlara algılama, verilerin korunması ve verileri yetkisiz değiştirme girişimlerine karşı kilitleme dahildir.
McKean ayrıca depolama anti-fidye yazılımı işlevselliğinin veri merkezindeki anti-fidye yazılımı stratejisinin daha geniş resmine nasıl uyduğunu anlatıyor.
Fidye yazılımları (şifreleme, sızdırma vb. gibi çeşitli biçimleriyle) veri depolamayı nasıl etkiler?
McKean: Fidye yazılımları depolama alanlarını neredeyse tamamen çökertebilir, çünkü fidye yazılımı saldırılarının hedefi depolama alanlarıdır.
Şifreleme ve sızdırma olduğunu zaten söylediniz. Genellikle, bir saldırgan bir şirket veya kuruluş ağına erişim elde eder ve bir yolunu bulduktan sonra ilk yapacakları şeylerden biri de verileri sızdırmaya çalışmaktır.
Mümkün olduğunca çok önemli veriyi kopyalayacaklardır, çünkü o noktada bir şirkete “Fidye ödemezseniz bu kayıtları karanlık web’de satışa sunacağız veya kamuya açık hale getireceğiz” diyebilecekleri bir pazarlık kozuna sahip olacaklardır. Bunu nasıl yapacaklarsa yapsınlar.
Genellikle iki yönlü bir saldırı olur – ve ayrıca, verilere erişim sağlamanın yanı sıra, veri depolamasındaki tüm verileri şifrelemeye çalışırlar. O noktada, kuruluşunuz dijital olarak işlev görme yeteneğinin olmamasıyla başa çıkamıyorsa, kötü bir durumda olacaksınız.
Muhtemelen işletmenizin sunduğu hizmetleri çalıştıramazsınız çünkü her şeyin veriye ihtiyacı vardır. Biliyorsunuz, bir kullanıcı veya uygulama, doğrudan eriştikleri şey çok fazla veriye sahip olmasa bile, muhtemelen daha ileride bir şeye, bir veritabanına veya veri gölüne bağımlı olacaktır. Bir noktada, bu verilere erişmesi gerekecektir.
Eğer bu veriler şifrelenmişse ve saldırgan, yani fidye yazılımı çetesi şifreleme anahtarına sahipse ve bu anahtar yalnızca onlarda varsa, iyi bir durumda değilsiniz demektir.
Depolama satıcıları fidye yazılımlarıyla mücadele için hangi özellikleri entegre edebilir?
McKean: Birkaç çeşit temel özellik olduğunu söyleyebilirim. Birincisi algılamadır – depolama katmanında olan bir şeyi tespit etmek.
Daha önce de söylediğimiz gibi, veriler şifreleniyorsa, bu fark edilebilir mi? “Doğru, bu depolama alanındaki şifreleme seviyelerinin artmaya başladığını görebiliyorum” diyebilir misiniz? Yoksa daha önce hiç görmediğimiz, garip dosya uzantılarına sahip yeni dosya türlerinin ortaya çıktığını mı görüyoruz? Bunu veri katmanında yapabilirsiniz. Bu, “Bence bir fidye yazılımı oluyor. Bu veri hacminin aniden %2 şifrelemeden %14 şifrelemeye çıktığını görebiliyoruz” demenin harika bir yolu.
Şimdi, bundan bir adım öteye giderek, depolama katmanında muhtemelen ideal olarak bu şifrelemeyi veya saldırıyı bir alana sabitlemek istersiniz. Örneğin, bir biriminiz varsa ve şifreleme yükselmeye başlarsa, bu gerçekten iyi bir bilgidir. Ve bir şirket bunun üzerine hareket edebilir ve verileri geri yüklemek için adımlar atmaya çalışabilir, vb.
Ama, biliyor musunuz, bu saldırı nereden geldi? Ve işte kullanıcı ve varlık davranış analitiği veya UEBA’nın geldiği yer burası [comes in]Bence bu, depolama satıcılarının dahil edebileceği bir adım daha.
Eğer küçük bir yüzdeye erişimim varsa [total] depolama, diyelim ki 100 terabayt veri ve ben aslında sadece %1’ine veya daha azına erişebiliyorum, gidip şifreleyebilirim [what would be] benim için çok fazla veri. Ancak depolama alanı bir bütün olarak, o 100 terabayt, şifrelemede yalnızca çok, çok küçük bir artış görecek.
Ancak eğer bir şey davranışımı izliyorsa, o zaman oransal olarak, [of] toplam depolama, çok küçük bir yüzde, benim için, büyük bir artış. Ve bu, “Chris McKean ne yapıyor? Hesabı tehlikeye mi atıldı? Birdenbire çok sayıda veriyi kopyaladığını, çok sayıda veriyi şifrelediğini görebiliyoruz.” demek için potansiyel bir işaret.
Bu UEBA parçası, ayrıca genel şifreleme ve dosya türleri ve bunun gibi şeylere bakmak. Depolama satıcılarının saldırıları tespit etmek için yapabileceği bazı şeyler var. Şimdi, bu harika, ancak koruma işlevinde de bir şeyler yapmanız gerekiyor. İlk etapta olmasını engelleyebilirseniz daha da iyi olur. RBAC gibi standart şeyler burada [role-based access control] ve sıfır güven yaklaşımı, yani insanlara yalnızca ihtiyaç duydukları şeylere erişim sağlama yaklaşımı devreye giriyor.
Şifrelemeyi yapacak olan sadece kullanıcıların dizüstü bilgisayarları ve cihazları olmayacak veya enfekte cihazlar onlar olacak. Tehlikeye atılmış bir kullanıcı hesabı olabilir. Her zaman birçok kullanıcının hesabının tehlikeye atıldığını görürsünüz.
Depolama alanında belirli yıkıcı komutları başka birinin onayı olmadan gerçekleştiremeyeceğiniz çoklu yönetici doğrulaması gibi bir özellik sunabilirsiniz.
Depolama satıcılarının yapabileceklerinin sınırlamaları nelerdir? Depolama genel stratejinin hangi kısmını yerine getirir?
McKean: Sınırlama, açıkçası, bunun sadece depolama katmanında olmasıdır. Şimdi, bu katman diğer katmanlar kadar hayati öneme sahiptir. Depolama katmanında koruma ve algılamaya sahip olmak, birinin dizüstü bilgisayarında veya ağın kenarında çalışan bir şeyde olması kadar önemlidir.
Ancak bu yalnızca bir katmandır. Depolama katmanı, birinin cihazının kötü amaçlı yazılım tarafından enfekte olmasını engelleyemez çünkü bir kimlik avı bağlantısına tıklamıştır. Ancak bu, birisi ağdan geçip depolamaya eriştiğinde son savunma hattı olmak için depolama katmanında çok sayıda şey yapamayacağınız anlamına gelmez.
Depolamanız saldırıları durdurabiliyorsa veya saldırıları tespit edebiliyorsa, bu hayati önem taşır, ancak aynı zamanda her zaman belirli miktarda veriyi kilitlemenin bir yoluna sahip olmalısınız. Bu, sıfır güven mimarisinin “ihlal varsayma” kısmıyla ilgilidir.
Depolamada, “Tamam, bu verilerin bir kopyasını alacağız ve iki ay, beş yıl, ne kadar uzunsa o kadar süreyle kilit altında tutacağız” diyebilmenin bir yolu olmalı.
Ve bu şekilde, tüm bu diğer adımlar ve koyduğunuz koruma önlemleri ihlal edilse bile, beş hafta önce, beş ay önce, bir yıl önce vb. geçerli olan verilerin bir kopyasına sahip olursunuz. Yani, sınırlamalar olduğunu düşünüyorum ve temelde sadece depolama katmanında olması.
Ancak, ağı kötü amaçlı yazılımlar tarafından enfekte olmuş bir şirket için gerçek bir kurtarıcı olabilecek, depolama katmanında yapabileceğiniz birçok şey hâlâ olabilir.
Bundan çıkardığım sonuç, depolamanın bir anlamda bir destek olduğudur. Buna katılıyor musunuz?
McKean: Bunu her zaman bir futbol takımındaki kaleci olarak düşünürüm. Saldırganları geçip orta sahadan top sürerseniz ve hatta defansı geçerseniz, savunmanın son hattına sahip olursunuz.
Saldırganın gerçekten erişmek istediği şeye erişmesini engelleyen bir kaleciniz var, çünkü bir saldırganın bir saldırıyı en iyi şekilde paraya dönüştürebileceği şey verilerdir.