Geçen yıl, tüm ihlallerin %25’inin bir fidye yazılımı bileşeni içerdiği, fidye yazılımı vakalarında şaşırtıcı bir hızlanma görüldü.
Bu, fidye yazılım olaylarının ihlallerle bağlantılı olarak geçen yıl %13 oranında arttığını tespit eden 2022 Verizon Veri İhlali Araştırmaları Raporu’ndaki (DBIR) en önemli bulgudur – geçen yılki rapor, olayların sadece %12’sinin fidye yazılımıyla ilgili olduğunu tespit etti. Bu, önceki beş yıllık büyümenin toplamından daha fazla bir artış oranı anlamına geliyor.
15. yıllık DBIR analiz edildi 23.896 güvenlik olayı, bunların 5.212’sinin ihlal olduğu doğrulandı. Verizon’a göre, bunların yaklaşık beşte dördü harici siber suçlu çetelerinin ve tehdit gruplarının eseriydi. Ve Verizon Security Research ekibinin yöneticisi Alex Pinto’ya göre, bu hain türler, fidye yazılımlarıyla haksız yere para kazanmayı giderek daha kolay buluyor ve diğer ihlal türlerini giderek modası geçmiş hale getiriyor.
Dark Reading’e, “Siber suçtaki her şey çok metalaştı, artık bir iş gibi ve faaliyetlerinden para kazanmak için çok verimli bir yöntem” diyor ve bir hizmet olarak fidye yazılımının (RaaS) ortaya çıkmasıyla buna dikkat çekiyor. ) ve ilk erişim komisyoncuları, gasp oyununa girmek için çok az beceri veya çaba gerektirir.
“Önceden, bir şekilde içeri girmeli, etrafa bakmalı ve diğer ucunda bir satıcıya sahip olacak, çalmaya değer bir şey bulmalıydınız,” diye açıklıyor. “2008’de DBIR’i başlattığımızda, genel olarak ödeme kartı verileri çalınmıştı. Şimdi, başka birinin kurduğu erişim için ödeme yapıp kiralanan fidye yazılımını yükleyebildiklerinden bu durum hızla düştü ve bu verilere ulaşmak çok daha kolay. aynı amaç para kazanmak.”
Bu hikayenin bir doğal sonucu, her organizasyonun bir hedef olmasıdır – şirketlerin siber suç hedefine düşmek için son derece hassas verilerin yolunda çalmaya değer bir şeye sahip olmalarına artık gerek yoktur. Pinto, bunun küçük ve orta ölçekli kuruluşların dikkatli olması gerektiği anlamına geldiğini ve bunun yanı sıra çok küçük, anne-pop organizasyonlarının da dikkatli olması gerektiği anlamına geliyor.
Pinto, “Artık büyük adamlara gitmenize gerek yok” dedi. “Aslında, büyük adamların peşinden gitmek ters tepebilir çünkü bu insanlar genellikle savunma konusunda ördeklerini daha fazla arka arkaya alırlar. Bir işletmenin bir avuç bilgisayarı varsa ve onların verilerini önemsiyorlarsa, potansiyel olarak onlardan birkaç dolar.”
Farklı bir bağlamda ele alındığında, DBIR, veri ihlallerinin yaklaşık %40’ının kötü amaçlı yazılım yüklenmesinden kaynaklandığını (Verizon’un sistem izinsiz girişleri olarak adlandırdığı) ve RaaS’deki artışın bu belirli ihlallerin %55’ine yol açtığını tespit etti. fidye yazılımı içeren olaylar.
Pinto, “Endişemiz, burada gerçekten tavan olmamasıdır” diyor. “Sanırım artık duracağına ikna olmadık – biri daha verimli bir şey bulmadıkça. Bunun ne olacağını hayal edemiyorum, ama belki de bu yüzden organize suç işinde değilim.”
SolarWinds Etkisi
Kötü şöhretli SolarWinds tedarik zinciri hackinin etkileri yıl boyunca her yere yayıldı ve “yazılım güncellemeleri” vektörü, “iş ortağı ihlali” kategorisini, sisteme izinsiz giriş olaylarının (fidye yazılımı dahil) %62’sinden sorumlu olmaya itti. olaylar) – ve bu, 2020’de göz ardı edilebilir bir %1’den çok daha yüksek.
Pinto, SolarWinds (ve Kaseya ile ilgili fidye yazılımı saldırıları gibi diğerleri) gibi olaylara gösterilen ilgiye ve manşetlere rağmen, tedarik zinciri ihlalleriyle uğraşmanın çoğu işletme için operasyonel bir revizyon gerektirmediğini kaydetti.
“Etkilenen müşterilerden biriyseniz, bir tedarik zinciri ihlalinin etkilerine karşı koruma sağlamak, diğer kötü amaçlı yazılım türlerinden korunmaktan çok da farklı değil çünkü sunucularınız olmaması gereken bir yere işaret ediyor. Bir CISO, kullandığınız teknikler halihazırda kullandığınız tekniklere oldukça benzer olmalıdır çünkü açıkçası, onları güvenli hale getirmeye çalışmanız gereken her bir yazılım tedarikçisinin peşine düşmeye çalışmak sizi çıldırtacaktır. Bu çok büyük bir artış.”
Fidye Yazılımı Savunmasına Nereden Başlanmalı
Pinto, ihlaller için giriş yollarını incelerken, saldırıların güvenilir bir şekilde dört farklı (ve tanıdık) yola indirgenebileceğini kaydetti: çalıntı kimlik bilgilerinin kullanılması; sosyal mühendislik ve kimlik avı; güvenlik açığı istismarları; ve kötü amaçlı yazılım kullanımı.
Pinto, “Bu raporu kapattığınızda yapmanız gereken tek şey, gidip çevrenizdeki bu dört şeye ve bunlar için hangi kontrollere sahip olduğunuza bakmaktır” diyor.
Özellikle fidye yazılımıyla ilgili ihlaller söz konusu olduğunda, analiz edilen vakaların %40’ı Uzak Masaüstü Protokolü gibi masaüstü paylaşım yazılımlarının kullanımını içeriyordu. Ve %35’i e-posta kullanımını içeriyordu (çoğunlukla kimlik avı).
Pinto, “Dışa dönük altyapınızı, özellikle RDP ve e-postaları kilitlemek, kuruluşunuzu fidye yazılımlarına karşı koruma konusunda uzun bir yol kat edebilir” diyor.
Genel olarak, Verizon tarafından analiz edilen tüm ihlallerin %82’sinin insan hatasına (örneğin, ihlallerin %13’ünü oluşturan yanlış yapılandırmalar) veya etkileşime (kimlik avı, sosyal mühendislik veya çalıntı kimlik bilgileri) dayandığını belirtmekte fayda var. GoodAccess’te ürün başkan yardımcısı Artur Kane, bunun göz atılması gereken birkaç en iyi uygulamayı gösterdiğini söylüyor.
İlk olarak, çok faktörlü kimlik doğrulama (MFA) ve erişim ayrıcalıklarına göre ağ segmentasyonu gerektirmenin yanı sıra gerçek zamanlı tehdit algılama yeteneğinin uygulanması, sürekli erişim günlüklerinin tutulması ve düzenli yedeklemelerin çalıştırılması gibi teknik çözümler vardır.
Kane, “Ancak, güvenlik yöneticilerinin de bu olaylar için sağlam müdahale ve kurtarma planlarına sahip olması ve düzenli eğitimler ve tatbikatlar yapması gerekiyor” diyor. “[And] kullanıcı eğitimi, genel şirket güvenlik duruşunun iyileştirilmesine büyük ölçüde katkıda bulunabilir. Fidye yazılımı saldırılarının büyük bir kısmı bir kimlik avı cazibesiyle başladığından, çalışanların onları nasıl tespit edecekleri konusunda eğitilmesi, daha sonraki ihlal kurtarma işlemlerinde milyonlarca dolar tasarruf sağlayabilir.”