Bu yılın başlarında UnitedHealth’e yapılan fidye yazılımı saldırısı, hızla sağlık sektörünün Colonial Pipeline versiyonu haline geliyor ve kongrede ifade verilmesine, yasa yapıcıların incelemesine ve potansiyel mevzuata yol açıyor.
Geçtiğimiz birkaç ay içinde, saldırıyla ilgili iki kongre oturumu (biri Senato’da, diğeri Temsilciler Meclisi’nde) yanı sıra çok sayıda senatörden, hükümetin olaya nasıl tepki verdiğinin araştırılması için çağrılar yapıldı. UnitedHealth’in Haziran 2023’te şirkete katılan CISO’su Steven Martin’e yönelik eleştiriler.
Çalınan verilerin sızmasını önlemek için 22 milyon dolar fidye ödedikten sonra UnitedHealth, dosyaların şifresini çözdükten sonra bile sistemlerini tamamen yeniden oluşturmak zorunda kaldı.
UnitedHealth’in CEO’su Andrew Witty ifadesinde, şirketin yedeklerinin ağ bölümlendirmesi veya altyapı boşlukları nedeniyle ele geçirilmediğini, dolayısıyla saldırganların bunları da kilitleyerek ilk saldırıdan itibaren herhangi bir kurtarma yolunu engelleyebildiklerini belirtti.
Yedeklemeler: Bir siber suçlunun en kazançlı hedefi
Çok az sayıda CISO, yedeklemelerine çok fazla dikkat ediyordu. Bugün artık durum böyle değil.
Fidye yazılımı, yedekleme ve kurtarmayı, bu yılın başında UnitedHealth’e yapılan saldırıdan önce bile BT ve kurumsal gündeme taşıdı.
Saldırganlar, bir kuruluşun fidyeyi ödeyip ödemeyeceğini belirleyen en büyük faktörün, yedekleme ortamının başarılı bir şekilde ihlal edilmesi olduğunun farkındadır.
Bazı fidye yazılımı grupları (örneğin BlackCat, Akira, Lockbit, Phobos ve Crypto) üretim sistemlerini tamamen atlıyor ve doğrudan yedeklemelere yöneliyor.
Bu durum, kuruluşları yedekleme ve kurtarma stratejilerini gözden geçirerek güvenlik ağlarındaki potansiyel açıkları yeniden incelemeye zorladı.
Peki BT altyapısı ve güvenlik ekipleri bu tehditle nasıl başa çıkmalı?
Yedeklemelerinizi güvence altına almak için 5 ipucu
1. Ağ segmentasyonu ve hava boşluklu yedekleme
UnitedHealth’i vuran fidye yazılımı saldırısında şirket, yedeklerinin ağ bölümlendirmesi veya altyapı boşlukları nedeniyle ele geçirilmediğini, dolayısıyla saldırganların bunları kilitleyerek ilk saldırıdan itibaren herhangi bir kurtarma yolunu engelleyebildiklerini itiraf etti.
Ağ bölümleme, fidye yazılımı saldırısının etkisini büyük ölçüde azaltabilecek bir taktiktir. Ağı daha küçük, ayrı alanlara ayırarak, bir alanın tehlikeye girmesi durumunda kötü amaçlı yazılımın yayılması en aza indirilir.
2. Çok faktörlü kimlik doğrulama (MFA)
UnitedHealth’e yapılan fidye yazılımı saldırısının merkezinde MFA eksikliği vardı.
Saldırı, şirketin MFA’sı olmayan sistemlerine sızmak için çalıntı kimlik bilgilerinden yararlanan bilgisayar korsanları tarafından düzenlendi.
StorageGuard gibi çözümler, MFA’nın tüm yedekleme sistemlerinde uygulandığını ve uygulandığını denetleyebilir ve doğrulayabilir. MFA’nın tutarlı bir şekilde uygulanmasını sağlayarak, kullanıcı kimlik bilgileri tehlikeye girse bile hassas verilerin yetkisiz erişime karşı korunmasına yardımcı olur.
3. Yönetici erişimini kısıtlama
Yönetici ayrıcalıklarının kısıtlanması sağlam bir yedekleme güvenliği stratejisinin hayati bir parçasıdır çünkü bu ayrıcalıklar saldırganların birincil hedefi olabilir. Bu şunları içerir:
- Kuruluşun yedeklerine yalnızca gerçekten ihtiyacı olanların yönetici erişimine sahip olmasını sağlamak
- IP ACL’yi yönetim arayüzlerine uygulama
- Kritik yedekleme değişiklikleri için iki kişilik kural oluşturma
Bu öneriler saldırı yüzeyinin azaltılmasına önemli ölçüde yardımcı olabilir.
4. Değişmez yedekleme
Yedek kopyalarınızdan en az birinin değişmez depolama alanında saklandığından emin olun. Bu, yedekleme verilerinizin fidye yazılımı da dahil olmak üzere kötü niyetli aktörler tarafından değiştirilmemesini, silinmemesini veya şifrelenmemesini sağlayacaktır. Ayrıca siber kurtarma için yedekleme verilerinin bütünlüğünü ve kullanılabilirliğini garanti eder.
5. Güvenli yapılandırma temeli
Yakın zamanda DORA ve daha önce NIST tarafından zorunlu kılındığı üzere; Yedekleme ve depolama ortamınız için güvenli bir yapılandırma temeli oluşturmak ve temel sapmaları tespit etmek için araçlar kullanmak kritik öneme sahiptir. Yedekleme mülkünüzün bu öneri bölümünde belirtilen ilkelere ve çok daha fazlasına bağlı kalmasını sağlayacaktır.
Önerilerden biri, yedekleme platformlarınızın sağlamlaştırıldığını ve kurcalamaya ve yetkisiz erişime karşı korunduğunu doğrulamak için yedekleme sistemlerinizin güvenliğini düzenli olarak denetlemenizdir.
Denetim şunları içermelidir:
- Çok faktörlü kimlik doğrulama
- Değişmezlik için en iyi uygulamalar
- CISA #StopRansomware yönergeleri
- Kritik değişiklikler için ikili yetkilendirme
- Kısıtlı yönetim erişimi
- En iyi uygulamaları günlüğe kaydetme
- Hesap kilitleme ayarları
- Yedekleme izolasyonu
- NAS güvenlik yönergeleri
- Güvenli anlık görüntüler
- Şifreleme
- NIST, ISO, NERC CIP, HIPAA ve diğer standartlara bağlılık
- Ve daha fazlası…
Bu stratejileri uygulamak ve bir güvenlik duruşu yönetim aracından yararlanmak, yedekleme sistemlerinin gelişen siber tehditlere karşı güvenli, güvenilir ve dirençli kalmasını sağlar.