Fidye yazılımlara karşı nasıl savunabilir

Hepimiz biliyoruz ki fidye yazılımı orada en yıkıcı kötü amaçlı yazılım türevleri biridir. Yanlış bağlantıya tıklamaktan bahsediyorsunuz ve kuruluşunuzun verilerinin şifreli anlamsız bir bataklıkta, hatta sunucu işletim sistemlerinde (işletim sistemleri) ve diğer kritik dosyalarda bir gün ortadan kaybolması. Fidyeyi ödeyebilirsiniz, ancak bu sadece pahalı olabilir, aynı zamanda kötü adamların verilerinizi geri vereceğine dair hiçbir garanti vermez.

Vurulduğunda, seçenekleriniz kasvetlidir: ya bulut tabanlı yedeklemeler kullanarak sistemlerinizi yeniden çalıştırabilir ya da fidye ödeyebilir ve şifre çözme anahtarının işe yarayacağını umarsınız. Ama bu sadece sen vurulduysan. Daha iyi bir seçim, dosyalarınızı ilk önce şifrelenmiş halde tutmaktan veya bazı dosyalar vurulduktan sonra saldırının yayılmasını engellemektir. Önemli olan, şirketinizin güvenlik oyununu saldırıya uğramamak için kullanmaktır.

Fidye Yazılım Saldırısı Nasıl Önlenir

İlk adım, uç nokta tespiti ve yanıt yazılımı geliştiricisi Cybereason'ın Bilgi Güvenliği Sorumlusu (CISO) olan İsrail Barak'ın “BT ve güvenlik hijyeni” dediği şey. Bu, güvenlik açıklarından kaçınmak ve e-posta ve web trafiğini filtrelemek anlamına gelir. Ayrıca, kullanıcı eğitimi sağlamak ve işletim sisteminiz, uygulamalarınız ve güvenlik ürünleriniz için yamaların tamamen güncel olduğundan emin olmak anlamına gelir.

İkinci adım, iş sürekliliği ve iyileşme stratejisine sahip olmak. Bu aslında, işlerin kötüye gittiği zaman, sadece beklemeyeceklerini ummak yerine bir plan yapmak anlamına gelir. Barak, bunun yerine yedeklerin yerinde ve test edildiğini, etkilenen hizmetleri nasıl kurtaracağınızı bilmek, kurtarma için bilgi işlem kaynaklarını nereden alacağınızı bilmek ve tam kurtarma planınızın işe yarayacağını bilmek olduğunu söyledi.

Üçüncü adım, kötü amaçlı yazılımdan koruma önlemlerinin yerinde bulundurulmasıdır. Barak, bunun ağınıza giren kötü amaçlı yazılımlara karşı korumaları ve sistemlerinizde çalışırken yapılan kötü amaçlı yazılımlara karşı korumaları içerdiğini söyledi. Neyse ki, kötü amaçlı yazılımların çoğu başarılı rutinleri paylaştığı için kötü amaçlı yazılımların çoğunu bulmak oldukça kolaydır.

Neden Fidye Yazılımı Farklı?

Ne yazık ki, fidye yazılımı diğer malware gibi değil. Barak, fidye yazılımının yalnızca bir bilgisayarda yalnızca kısa bir süre saklandığından, şifrelemesini tamamlamadan ve fidye yazılımını göndermeden önce tespit edilmekten kaçınmanın zor olmadığını söyledi. Ayrıca, diğer kötü amaçlı yazılım türlerinden farklı olarak, aslında dosya şifrelemesini gerçekleştiren kötü amaçlı yazılım, kurbanın bilgisayarlarına yalnızca şifreleme başlamadan birkaç dakika önce ulaşabilir.

Görece yeni iki kötü amaçlı yazılım türü olan (Ryuk ve SamSam) sisteminize bir insan operatörünün rehberliğinde girer. Ryuk söz konusu olduğunda, bu operatör muhtemelen Kuzey Kore'de ve SamSam ile İran'da bulunuyor. Her durumda, saldırı sisteme girilmesine izin veren kimlik bilgileri bulmakla başlar. Bir kez orada, operatör sistemin içeriğini inceler, hangi dosyaların şifreleneceğine karar verir, ayrıcalıkları yükseltir, kötü amaçlı yazılımdan koruma yazılımlarını arar ve devre dışı bırakır ve ayrıca şifrelenecek yedeklerle olan bağlantılara veya bazı durumlarda yedeklemeleri devre dışı bırakır. Sonra, belki aylarca hazırlıktan sonra, şifreleme kötü amaçlı yazılımı yüklenir ve başlatılır; işini dakikalar içinde tamamlayabilir - bir insan operatörünün müdahale etmesi için çok çabuk.

Siber güvenlik çözümleri geliştiricisi Comodo Cybersecurity ve eski Beyaz Saray CIO Başkan Yardımcısı Carlos Solari, “SamSam'da geleneksel kimlik avı kullanmadılar” dedi. "İnternet siteleri ve insanların kimlik bilgilerini çaldılar ve şifreleri almak için kaba güç kullandılar."

Solari, bu saldırıların sık sık tespit edilemediğini, çünkü sonuna kadar hiçbir kötü amaçlı yazılım bulunmadığını söyledi. Ancak, doğru yapıldığında, saldırıyı bu noktada durdurmanın yolları olduğunu söyledi. Genelde, suçluların ağ için rehberlik hizmetlerinin peşinden gideceğini ve saldırıya geçmeleri için gereken idari düzeyde ayrıcalıklar kazanmaları için onlara saldıracağını söyledi. Bu noktada, bir izinsiz giriş tespit sistemi (IDS) değişiklikleri algılayabilir ve eğer şebeke operatörleri ne arayacağını bilirlerse, sistemi kilitleyebilir ve izinsiz giriş yapanları atabilirler.

Solari, "Dikkat ediyorlarsa, birinin içeride olduğunu fark edecekler." Dedi. “İç ve dış tehdit istihbaratının bulunması önemlidir. Sistemde anormallikler arıyorsanız.”

Kendinizi Nasıl Korursunuz?

Küçük şirketler için Solari, şirketlerin bir Hizmet Olarak Yönetilen Algılama ve Yanıtlama (MDR) Güvenlik Operasyon Merkezi'ni (SOC) bulmalarını önerir. Ayrıca, daha büyük şirketlerin bir Yönetilen Güvenlik Servis Sağlayıcısı (MSSP) bulmak isteyebileceğini ekledi. Her iki çözüm de, büyük bir fidye yazılımı saldırısından önceki evreleme de dahil olmak üzere güvenlik olaylarına dikkat etmeyi mümkün kılacaktır.

Ağınızı izlemeye ek olarak, ağınızı mümkün olduğu kadar suçlular için de olanaksız kılacak şekilde ağınızı oluşturmak önemlidir. Malwarebyte Labs Müdürü Adam Kujawa'ya göre, kritik bir adım ağınızı bölmek ki böylece bir davetsiz misafir ağınızda dolaşıp her şeye erişemiyor. Kujawa, "Tüm verilerinizi aynı yerde tutmamalısınız." Dedi. "Daha derin bir güvenlik seviyesine ihtiyacınız var."

Ancak, fidye yazılımı saldırısının önündeki istilacı aşamaları tespit etmediğiniz ortaya çıkarsa, dosyaları şifrelemeye başladığında kötü amaçlı yazılımın davranış algılaması olan başka bir katman veya yanıt vardır.

Barak, “Eklediğimiz şey, fidye yazılımlara özgü davranışa dayanan davranış mekanizması” diyor Barak. Böyle bir yazılımın, dosyaları şifrelemek veya yedekleri silmek gibi fidye yazılımlarının neler yapabileceğini izlediğini ve ardından herhangi bir zarar vermeden önce işlemi sonlandırmak için harekete geçtiğini söyledi. "Daha önce hiç görülmemiş fidye yazılım türlerine karşı daha etkili."

Erken Uyarılar ve Korumalar

Erken bir uyarı biçimi sağlamak için Barak, Siber Mevsim'in bir adım daha attığını söyledi. “Yaptığımız bir istisna mekanizması kullanmak” dedi. "Cybereason yazılımı bir uç noktaya ulaştığında, fidye yazılımının ilk önce onları şifrelemeye çalışmasını sağlayacak sabit diskteki klasörlerde bulunan bir dizi temel dosya oluşturur." Bu dosyalarda yapılan değişikliklerin hemen tespit edildiğini söyledi.

Ardından, Cybereason'ın yazılımı veya Malwarebytes'in benzeri bir yazılımı işlemi sonlandıracak ve çoğu durumda kötü amaçlı yazılımları daha fazla zarar görmemesi için kaplayacaktır.

Bu nedenle, bir fidye yazılım saldırısını önleyebilecek birkaç savunma katmanı vardır ve bunların tümünü işlevsel ve yerinde tutarsanız, başarılı bir saldırının gerçekleşmesi için bir dizi başarısızlığı takip etmesi gerekecektir. Ve bu saldırıları zincir boyunca herhangi bir yerde durdurabilirsiniz.

Fidye Ödemelisiniz?

Ancak fidye ödemek ve derhal işlemleri geri yüklemek istediğinize karar verdiğinizi varsayalım? Barak, "Bazı organizasyonlar için bu uygulanabilir bir seçenek." Dedi.

Yeniden faaliyete geçmenin maliyetinin restorasyon maliyetinden daha iyi olup olmadığını belirlemek için iş kesintisinin maliyetini değerlendirmek zorunda kalacaksınız. Barak, iş fidye yazılımı saldırılarında, "çoğu durumda dosyaları geri alıyorsunuz" dedi.

Ancak Barak, fidyeyi ödemek bir ihtimal ise, başka düşünceleriniz olduğunu söyledi. "Hizmetleri geri alma maliyetini müzakere etme mekanizmasına sahip olmak için şimdiden nasıl hazırlık yaparız? Onlara nasıl ödeme yaparız? Bu tür bir ödeme aracılığını nasıl gerçekleştiririz?"

Barak'a göre, neredeyse her fidye yazılımı saldırısı, saldırganla iletişim kurmanın bir yolunu içeriyor ve çoğu işletme, fidye yazılımı saldırganlarının genellikle açık olduğu bir anlaşmayı müzakere etmeye çalışıyor. Örneğin, yalnızca şifrelenmiş makinelerin bir kısmına ihtiyacınız olduğuna ve bu makinelerin iadesi için pazarlık etmeniz gerektiğine karar verebilirsiniz.

• 2019 İçin En İyi Fidye Yazılımı Koruması 2019 İçin En İyi Fidye Yazılımı Koruması
• SamSam Ransomware Hackerları 5, 9 Milyon Dolarda Rake SamSam Ransomware Hackerları 5, 9 Milyon Dolarda Rake
• 2, İranlılar, SamSam Ransomware Saldırıları, ABD İddiaları 2 İranlılar, SamSam Ransomware Saldırıları, ABD İddiaları

"Planın vaktinden önce uygulamaya konması gerekiyor. Nasıl cevap verecek, kim iletişim kuracak, fidyeyi nasıl ödeyeceksiniz?" Barak dedi.

Ödeme uygulanabilir bir seçenek olmakla birlikte, çoğu kuruluş için, son derece etkili bir seçenek olmaya devam etmektedir, ancak bir yanıt değil. Bu senaryoda kontrol edemeyeceğiniz birçok değişken vardır, artı bir kez ödeme yaptıktan sonra, gelecekte daha fazla para için saldırıya uğramayacağınızı asla garanti edemezsiniz. Daha iyi bir plan, çoğu kötü amaçlı yazılım saldırısını engellemek ve başarılı olanları yenmek için yeterince zor olan sağlam bir savunma kullanmaktır. Ancak ne karar verirseniz verin, hemen hemen her çözümün dini olarak desteklenmenizi gerektirdiğini unutmayın. Şimdi yapın, sık sık yapın ve sıkışmaların bir tutam içinde düzgün çalışacağından emin olmak için de sık sık test edin.