Fidye yazılımı saldırıları her zamankinden daha karmaşık hale geldi. Saldırganlar artık yalnızca verileri şifrelemekle kalmıyor; ikili gasp ve üçlü gasp saldırılarıyla hassas verileri ifşa etme tehdidinde bulunuyorlar. Fidye yazılımı saldırıları, operasyonel verilerin yanı sıra yedeklemeleri de giderek daha fazla hedef alıyor.
Saldırganın bakış açısından yedekleri hedeflemek mantıklıdır. Yedeklerden geri yükleme yapabilen kuruluşların fidye ödeme olasılığı daha düşüktür. Artık saldırganlar yedekleme birimlerini tespit edip devre dışı bırakmaya veya silmeye çalışıyor.
Buna karşı koymak için tedarikçiler yedekleme ve depolamaya fidye yazılımı koruması ekledi. Güvenlik ekipleri, depolama katmanında çalışarak fidye yazılımı saldırılarına karşı erken uyarı alır ve bunları önleyebilir. Ancak bu işlevsellik hala oldukça yeni. Peki bu, kurumsal fidye yazılımına karşı koruma stratejisinin bir parçası mı olmalı?
Fidye yazılımı virüs yedeklemeleri
İlk fidye yazılımı saldırıları ağlara ve şifrelenmiş verilere sızıyor, ardından şifre çözme anahtarları karşılığında fidye talep ediyordu.
Ancak işletmeler yedekleme prosedürlerini güçlendirdi. Yedekleme ve kurtarma tedarikçileri de fidye yazılımına karşı koruma özellikleri ekledi. Bunlar arasında anormallik tespiti, değiştirilemez anlık görüntüler ve yedeklerin üretim sistemlerinden hava boşluğu kalmasının sağlanması yer alır.
Sonuç olarak saldırganlar artık yedeklerin de peşine düşüyor. Buna yedekleme dosyalarının silinmesi veya şifrelenmesi veya yedekleme yazılımının uygulama programlama arayüzlerine (API’ler) saldırı da dahildir.
Yedeklemeler belirli bir programa göre çalışır; örneğin veriler birkaç saatte bir veya gece boyunca kopyalanır. Bu, saldırganlara bir yedekleme çalıştırılmadan önce sistemlere virüs bulaştırma veya toplu olarak şifreleme başlatma fırsatı verir.
Fidye yazılımı grupları ayrıca yedekleme araçlarının çalışma şeklinin özelliklerinden de yararlanır.
Yedeklemeler belirli bir programa göre çalışır; örneğin veriler birkaç saatte bir veya gece boyunca kopyalanır. Bu, saldırganlara, yedekleme çalıştırılmadan önce sistemlere virüs bulaştırma veya toplu olarak şifreleme başlatma fırsatı verir.
Sonuç olarak kuruluş, halihazırda şifrelenmiş veya kötü amaçlı kod içeren verilerin yedeğini alır. Bilgisayar korsanlığı grupları daha sonra bu kötü amaçlı yazılım “saatli bombaları” etkinleştirebilir veya daha da kötüsü, işletme virüslü bir yedekten geri yükleme yapmaya çalıştığında etkinleştirebilir.
Bu açığı kapatmak için giderek artan sayıda tedarikçi artık depolama katmanında fidye yazılımı algılama olanağı sunuyor. Sistem, toplu şifreleme olayı gibi bir saldırının işaretlerini tespit ederse, verilerin değiştirilemez yeni bir anlık görüntüsünü tetikler ve kötü amaçlı yazılım yayılmadan önce BT veya güvenlik ekiplerini uyarır.
Forrester’da teknoloji dayanıklılığı konusunda lider olan kıdemli analist Brent Ellis, “Algılama için üretim ortamına yaklaşabilir ve değişmez anlık görüntü iş akışını başlatabilirseniz, daha hızlı bir tepkiye ve daha sınırlı bir ‘patlama yarıçapına’ sahip olursunuz” diyor. yedekleme ve depolama araştırması.
Tedarikçinin fidye yazılımına karşı yaklaşımları
Depolama tedarikçileri için fidye yazılımlarına karşı temel koruma, genellikle anlık görüntüler olan değişmez yedeklemeler aracılığıyla sağlanır. Depolama dizileri, anlık görüntüleri yerel olarak, ikinci bir veri merkezi gibi tesis dışında bir konumda veya genel bulutta tutacak şekilde ayarlanabilir.
Anlık görüntüler genellikle değişmez olduğundan, firmalar bunları kopyalamak için oldukça karmaşık rutinler oluşturabilirler. Bunlar arasında birden fazla bulut kullanılabilirlik bölgesinin veya bütçe ve güvenlik gereklilikleri gerektiriyorsa birden fazla bulut sağlayıcının kullanımı yer alır.
Sorun, anlık görüntülerin geleneksel salt veri yedeklemelerinden daha fazla yer kaplamasıdır. Anlık görüntü alınmadan önce verilere zaten virüs bulaşmışsa bunların hiçbir faydası yoktur.
Buna karşı koymak için tedarikçiler sistemlerine algılamayı eklemek için harekete geçti. Sistemler, toplu şifreleme olayını, sistemdeki dosyalarda çok sayıda değişiklik yapılması veya dosya adlarında ve içeriğinde artan rastgelelik düzeyleri gibi diğer şüpheli davranışları tespit etmeyi amaçlar. Bunlar, kötü amaçlı yazılımların verileri şifrelemeye başladığının ilk işaretleridir.
Depolama sistemleri tek başına fidye yazılımlarına karşı tam koruma sağlayamaz. Firmaların ayrıca güçlü uç nokta korumasına, kimlik avına karşı koruma araçlarına, güçlü yedekleme araçlarına ve etkili ve prova edilmiş bir yedekleme ve kurtarma stratejisine ihtiyacı vardır.
Yedekleme tedarikçileri, dosyaları yedekleme sistemine kopyalanırken veya alınırken tarayan fidye yazılımı algılama işlevine zaten sahiptir. Bunu depolama katmanına koymak bu süreci hızlandırmayı amaçlamaktadır.
Forrester’dan Ellis, “Sorun şu ki, yedeklemeleriniz her yarım saatte, her saatte, her dört saatte bir çalışıyor olabilir” diyor. “Sorunun kapsamının artabileceği tespit etmede bir gecikme süresi var. Bu nedenle algılama, dosya tabanlı depolamada kötü amaçlı dosya türlerini veya blok tabanlı depolamada anormallikleri veya entropi hatalarını tespit etmeye yönelik devam eden bir sürecin olduğu birincil depolama ortamlarına taşındı.”
Bir toplu şifreleme olayının, depolama biriminde yüksek oranda bir değişiklik kaydettiğini söylüyor. Bu, depolama dizilerinin hatalı oyunu tespit etmesine olanak tanır. Ancak asıl önemli nokta, tespitin, veri kurtarma şansını en üst düzeye çıkarmak için “ayrıntılı” anlık görüntüleri tetiklemesi ve güvenlik ekiplerinin sorunu kontrol altına almak için harekete geçebilmesi için uyarılar oluşturmasıdır.
Artık bir dizi depolama tedarikçisi, anormallikleri tespit etmek için genellikle yapay zekayı (AI) kullanarak bu araçları sunuyor.
Fidye yazılımına karşı koruma işlevine sahip tedarikçiler arasında NetApp, Pure Storage, Dell EMC (PowerStore ürün yelpazesinde) ve IBM yer alıyor.
Örneğin Dell EMC, fidye yazılımlarına karşı koruma sağlamak için PowerStore’un Durağan Veri Şifrelemesinin yanı sıra anlık görüntüleri de kullanır. IBM Storage Virtualize’ın bir parçası olan IBM Storage FlashSystem, üretim ortamlarından otomatik olarak ayrılan anlık görüntüler oluşturur.
Pure’un Safemode anlık görüntüleri, tedarikçinin tüm ürünlerinde yerleşiktir ve Pure1 üzerinden yönetilir. Tedarikçi, çok faktörlü kimlik doğrulamayı ve “dört göz” erişim kontrolünü destekler (yedek silme işlemine yetki vermek için iki kişi gerekir). Bu arada NetApp, depolama katmanında yapay zeka destekli kötü amaçlı yazılım tespitine sahip ilk tedarikçi olduğunu iddia ediyor ve değişmez ve silinmez yedeklemeler sunuyor.
Bu araçlar, Veeam, Rubrik, Cohesity ve Commvault gibi tedarikçilerin yedekleme ve kurtarma araçlarında fidye yazılımı önleme önlemlerinin yanı sıra kullanılabilir. MongoDB gibi bazı yazılım tedarikçilerinin de değişmez anlık görüntüler sunduğunu belirtmekte fayda var. Bu, yığın katmanları için ek koruma sağlar.
Fidye yazılımına karşı koruma stratejisi olarak depolama
Ancak depolama sistemleri tek başına fidye yazılımlarına karşı tam koruma sağlayamaz. Firmalar ayrıca fidye yazılımlarının kuruluşa bulaşma olasılığını azaltmak için güçlü uç nokta korumasına ve kimlik avına karşı koruma araçlarına ihtiyaç duyar. Ayrıca güçlü yedekleme araçlarına ve etkili ve prova edilmiş bir yedekleme ve kurtarma stratejisine de ihtiyaçları var.
Depolama düzeyinde fidye yazılımı koruması hız avantajı sunar ve taramalar sürekli olarak üretim verileri üzerinde çalıştığından, yedeklemeler arasındaki boşlukta mevcut olan riski azaltır.
Ancak, özellikle depolama dizilerinde mevcut olan sınırlı işlem gücü nedeniyle sınırlamalar da vardır. Yedekleme araçları, sunucu bilgisayar işlem birimlerine erişime sahip oldukları ve zaman içinde verilere bakabildikleri için daha gelişmiş analitikleri kullanabilir. Bu, söz konusu veriler için normal davranışın bir resmini oluşturmalarına ve gelecekteki saldırıları engellemelerine olanak tanır.
İdeal olarak CIO’lar depolama ve yedeklemede fidye yazılımına karşı koruma araçlarını kullanacaktır. Ellis, “Tek bir alet yeterli olmayacak” diye uyarıyor. “Bir sonraki savunma hattı üretim ortamınızdadır ve o da depolama sisteminizdedir.”