Fidye yazılımlarıyla savaş gerçek bir savaştır. Geçtiğimiz birkaç yıl içinde bu tür saldırılar, işletmeler için ciddi bir tehdit haline geldi.
Son dönemde çok uluslu şirketleri, hatta hükümetleri savunmasız hale getiren ve kritik operasyonlarını devam ettirmelerine engel olan büyük saldırılar gördük. 2017’de WannaCry, Avrupa’daki hastanelerin BT departmanlarında 200.000’den fazla bilgisayarı durdurdu ve fidye yazılımlarının yıkıcı potansiyelini göstermiş oldu.
WannaCry ve Petya saldırıları hala en kayda değer fidye yazılımı saldırıları olarak kabul edilirken, Europol’ün 2019 İnternet Organize Suç Tehdit Değerlendirmesi (IOCTA) Raporu, bu siber saldırı biçimlerinin artmaya devam ettiğini gösteriyor. Kuruluşların bu tehdidi kabul etmesi, buna göre hazırlık yapması ve doğru savunma yöntemleri konusunda adımlar atması gerekiyor. Fidye yazılımlarına yönelik güçlü, çok katmanlı bir savunma ve strateji üç temel unsurdan oluşuyor: eğitim, uygulama ve onarma. Ayrıca, verilerin yedeklenmesi, kurtarılması ve geri yüklenmesi için ultra dayanıklı bir yaklaşıma sahip olmak da bir fidye yazılımı saldırısı durumunda iş sürekliliğini korumak için hayati önem taşıyor.
İşletmeyi bilinçlendirmek
Eğitim açısından hedeflenmesi gereken iki ana hedef kitle vardır: BT personeli ve kurumsal kullanıcılar. Her iki gruba da tehditler gelebileceğinden, her iki grup da bu tehditler konusunda bilinçlendirilmeli.
Fidye yazılımının bir işletmeye sızdığı ana noktalar; Uzak Masaüstü Protokolü (RDP) veya diğer uzaktan erişim mekanizmaları, oltalama saldırıları (phishing attack) ve yazılım güncellemeleridir. Saldırılara karşı dirençli olmak için bu üç ana mekanizmayı bilmek, en çok hangi alana emek harcanacağına odaklanmak açısından önemlidir.
Çoğu BT yöneticisi, günlük işleri için RDP’yi kullanıyor ve birçok RDP sunucusu da doğrudan İnternet’e bağlı. Aslında, internet bağlantılı RDP’nin durması gerekiyor. BT yöneticileri, özel IP adresleri, yeniden yönlendiren RDP bağlantı noktaları, karmaşık parolalar gibi pek çok konuda daha yaratıcı olması gerekiyor. Çünkü fidye yazılımlarının yarısından fazlasının RDP aracılığıyla geldiğine dair birçok veri var. Bu da RDP sunucularını internete maruz bırakmanın geleceğe dönük bir fidye yazılımına karşı direnç gösterme stratejisiyle uyumlu olmadığını gösteriyor.
Fidye yazılımlarının işletmeye sızdığı diğer giriş noktası ise oltalama e-postaları. En doğrusu bu e-postaları hemen silmek olsa da maalesef kullanıcılar e-postaların gerçek amacını hemen anlamıyor. Gophish ve KnowBe4 kuruluşları gibi, oltalama saldırıları ile ilgili tehdit riskini değerlendiren popüler araçları kullanmak ve bunun yanı sıra oltalama saldırıları ile ilgili çalışanları bilinçlendiren eğitimler vermek fidye yazılımlara karşı etkili bir savunma mekanizmasının ilk basamağıdır.
Fidye yazılımların sızdığı diğer bir alan ise güvenlik açıkları. Tüm sistemlerin güncel olduğundan emin olmak önemli bir BT sorumluluğudur. Bir fidye yazılımının bilinen ve yamalı bir güvenlik açığından yararlandığını düşünürsek, sistemleri güncel tutmak işletmeler için her zaman iyi bir yatırımdır. İşletim sistemleri, uygulamalar, veri tabanları ve cihazın yerleşik yazılımları gibi kritik BT varlıklarının güncellemelerine baktığımızda; WannaCry ve Petya da dahil olmak üzere bir dizi fidye yazılımı türünün, daha önce keşfedilen ve düzeltilen güvenlik açıklarından yararlandığını görebiliyoruz.
Uygulama ve onarım
Fidye yazılımlarına maruz kalmayı önlemek için en iyi uygulamaları takip eden kuruluşlar bile risk altında. Eğitim önemli bir adım olsa da, kuruluşlar en kötü senaryolara hazırlıklı olmalı. BT ekiplerinin ve yöneticilerinin en önemli görevlerinden biri işletmenin ultra dayanıklı bir yedekleme depolamasına sahip olmasını sağlamaktır.
Veeam olarak 3-2-1 kuralını genel bir veri yönetimi stratejisi olarak savunuyoruz. 3-2-1 kuralı, en az iki farklı medya türünde önemli verilerin en az üç kopyasının bulunmasını ve bu kopyalardan en az birinin tesis dışında olmasını kapsar. Bu kuralın en iyi yanı da herhangi bir özel donanım türü gerektirmemesi ve neredeyse her türlü arıza senaryosunu da ele alacak kadar çok yönlü olmasıdır.
3-2-1 stratejisindeki ‘bir’ kopya ultra dayanıklı olmalı. Yani tecrit edilmiş, çevrimdışı veya sabit olmalıdır. Bu veri kopyasının son derece dayanıklı bir şekilde saklanabileceği farklı ortam biçimleri var. Bunlar arasında manyetik bant teyp ortamı, S3 veya S3 uyumlu nesne depolamada sabit yedeklemeler, tecrit edilmiş ya da çevrimdışı ortamlar veya hizmet olarak yedekleme ve Felaket Kurtarma (DR) yazılımları bulunuyor.
Her ne kadar fidye yazılımıyla mücadele etmek için eğitim ve uygulama tekniklerinden yararlanılsa da, kuruluşlar bir saldırı gerçekleşmeden önce meydana gelebilecek tehditleri düzeltmeye hazır olmalı. Bir fidye yazılım için Veeam’de yaklaşımımız oldukça basit: Fidyeyi ödemeyin! Tek seçenek, verileri geri yüklemek. Bir fidye yazılımı olayı meydana geldiğinde, kuruluşlar geri yükleme işlemi için bir rehber desteğine sahip olurlarsa yedeklemelerin risk altına girmesi de önlenmiş olur. Veeam müşterileri, her an fidye yazılımı olaylarında verileri geri yükleme sürecinde kendilerine rehberlik edecek özel operasyonlara sahip özel bir ekibe erişebilir.
Her tür olağanüstü durumda iletişim, üstesinden gelinmesi gereken ilk zorluklardan biri haline gelir. Bant dışı doğru kişilerle nasıl iletişim kurulacağına dair bir plan yapın. Bu plan, grup metin listelerini, telefon numaralarını veya genişletilmiş bir ekip genelinde iletişimi sıralamak için yaygın olarak kullanılan diğer mekanizmaları içermeli. Bu iletişim defterinde ayrıca dahili veya harici güvenlik, olay müdahalesi ve kimlik yönetimi uzmanlarına da ihtiyacınız var.
İşletmeler, bir olay meydana gelmeden önce geri yükleme veya yük devretme çağrısını kimin yapacağına karar vermeli. Geri yükleme kararı verildikten sonra, kuruluşların sistemlerini tekrar çevrimiçi duruma getirmeden önce ek güvenlik kontrolleri uygulaması gerekir. Ayrıca, tamamen bir sanal makine (VM) kurtarmasının en iyi eylem yöntemi olup olmadığı veya dosya düzeyinde bir kurtarmanın daha mantıklı olup olmadığı konusunda da bir karar verilmeli. Son olarak, geri yükleme işleminin kendisi güvenli olmalı, tüm sistemlerde tam virüsten koruma ve kötü amaçlı yazılımdan koruma taramaları çalıştırmanın yanı sıra, kullanıcıları kurtarma sonrasında parolalarını değiştirmeye zorlamalı.
Fidye yazılımı tehdidi gerçek bir tehdit olsa da, doğru hazırlık, kurumların veri kaybı, mali kayıp ve itibar zedelenmesi riskini en aza indirecektir. Çok katmanlı bir yaklaşım anahtarıdır. Riski en aza indirmek ve önlemi en üst düzeye çıkarmak için BT ekiplerinizi ve çalışanlarınızı eğitin. Bunun yanı sıra verilerin güvenli olduğundan ve yedeklendiğinden emin olmak için çözümler kullanın. Son olarak, önceki savunma hatlarınızın başarısız olması durumuna karşı, tam yedekleme ve felaket kurtarma özellikleri aracılığıyla veri sistemlerini düzeltme konusunda da hazırlıklı olun.