Günümüzün modern şirketleri, artık sayısız bulut uygulamasında bulunan veriler üzerine kuruludur. Öyleyse veri kaybını önleme başarınız için gereklidir. Bu, özellikle artan fidye yazılımı saldırılarına karşı hafifletmek için kritik öneme sahiptir. Güvenlik liderlerinin %57’si gelecek yıl içinde gizliliğin ihlal edilmesini bekliyor.
Olarak kuruluşlar gelişmeye devam ediyor, buna karşılık fidye yazılımları da gelişiyor. Önde kalmanıza yardımcı olmak için, Lookout Baş Strateji Sorumlusu Aaron Cockerill, Microsoft Baş Güvenlik Danışmanı Sarah Armstrong-Smith ile nasıl bir yol izleyeceğinizi tartışmak için bir araya geldi. uzaktan çalışma ve bulut, bir fidye yazılımı saldırısını tespit etmeyi ve ayrıca davranışsal anormallik tabanlı algılamayı devreye almanın fidye yazılımı riskini azaltmaya nasıl yardımcı olabileceğini daha da zorlaştırdı. Röportajın tamamına erişin.
Aaron Cockerill: Teknolojilerin bir kombinasyonunu içeren modern işletmelerin çalışma şeklinin fidye yazılımlarının gelişmesine izin verdiğini hissediyorum. Geçmişteki görevlerimde bu tür bir saldırıyı deneyimlediğim için, dışarıda ne kadar çok CISO’nun hissettiğini biliyorum. İnsan içgüdüsü fidyeyi ödemektir. Hangi trendleri görüyorsunuz?
Sarah Armstrong-Smith: Fidye yazılımlarının nasıl geliştiğini düşünmek oldukça ilginç. Bu saldırıların gerçekten karmaşık olduğunu düşünüyoruz. Gerçek şu ki, saldırganlar denenmiş ve test edilmiş olanları tercih ediyor: kimlik bilgisi hırsızlığını, şifre spreyini tercih ediyorlar, ağı tarıyorlar, karanlık ağdan kimlik bilgileri satın alıyorlar, fidye yazılımı kitleri kullanıyorlar.
Yani birçok yönden, işler değişmedi. Ağınıza girmenin herhangi bir yolunu arıyorlar. Bu nedenle, siber saldırıların karmaşık hale gelmesinden bahsetsek de, fidye yazılımı operatörlerini ayıran ilk giriş noktası değil, daha sonra ne olacağıdır.
Bu azim ve sabra bağlı. Artan eğilim, saldırganların BT altyapısını gerçekten iyi anlamasıdır. Örneğin, birçok şirket Windows veya Linux makineleri çalıştırıyor veya şirket içinde varlıkları var. Ayrıca bulut hizmetlerini veya bulut platformlarını veya farklı uç noktaları kullanıyor olabilirler. Saldırganlar tüm bunları anlıyor. Böylece bu BT altyapı modellerini takip eden kötü amaçlı yazılımlar geliştirebilirler. Ve özünde, evrim geçirdikleri yer orası, savunmamız için akıllıca davranıyorlar.
Harun: Tanık olduğumuz bir gelişme, verilerin çalınması ve ardından bunu kamuya açıklamakla tehdit edilmesidir. Aynı şeyi mi görüyorsun?
Sarah: Evet kesinlikle. Biz buna çifte gasp diyoruz. Bu nedenle, ilk gaspın bir kısmı, ağınızın şifrelenmesi ve bir şifre çözme anahtarını geri almaya çalışmakla ilgili olabilir. Gaspın ikinci kısmı, verilerinizi geri almak veya serbest bırakılmaması için denemek ve denemek için başka bir miktar para ödemek zorunda olmanızla ilgilidir. Verilerinizin gittiğini varsaymalısınız. Zaten satılmış olması ve şimdiden dark web’de olması çok muhtemel.
Harun: Fidye yazılımlarla ilgili yaygın mitlerden bazılarının neler olduğunu düşünüyorsunuz?
Sarah: Fidyeyi öderseniz hizmetlerinizi daha hızlı geri alacağınıza dair bir yanlış kanı var. gerçeklik oldukça farklıdır.
Fidye yazılımı operatörlerinin bunu bir işletme olarak gördüğünü varsaymalıyız. Ve tabii ki beklenti şu ki, fidyeyi öderseniz bir şifre çözme anahtarı alacaksınız. Gerçek şu ki, kuruluşların yalnızca %65’i verilerini gerçekten geri alıyor. Ve bu sihirli bir değnek değil.
Bir şifre çözme anahtarı alacak olsanız bile, bunlar oldukça can sıkıcıdır. Ve kesinlikle her şeyi açmayacak. Çoğu zaman, yine de dosya dosya gözden geçirmeniz gerekir ve bu inanılmaz derecede zahmetlidir. Bu dosyaların çoğu potansiyel olarak bozulacak. Ayrıca, güvendiğiniz bu büyük, kritik dosyaların şifresini çözemeyeceğiniz dosyalar olma olasılığı daha yüksektir.
Harun: Fidye yazılımları neden hala şirketleri bu kadar kötü etkiliyor? Saldırganların bu saldırıları gerçekleştirmek için kullandıkları, kimlik avı ve iş e-postası ele geçirme gibi yöntemlerden ve ayrıca veri hırsızlığını ve sunuculara yama uygulamasını sonsuza kadar önlemekten mi bahsediyoruz? Fidye yazılımı neden hala bu kadar büyük bir sorun? Ve bunu önlemek için ne yapabiliriz?
Sarah: Ransomware kurumsal olarak çalıştırılır. Daha fazla insan ödedikçe, daha fazla tehdit aktörü fidye yapacak. Bence zorluk bu. Birisi bir yerde ödeme yapacağı sürece, saldırgan için bir yatırım getirisi vardır.
Şimdi aradaki fark, saldırganın ne kadar zamanı ve sabrı olduğu. Özellikle daha büyük olanlardan bazıları, ısrarcı olacaklar ve ağda ilerlemeye devam etme isteklerine ve isteklerine sahip olacaklar. Komut dosyası oluşturma, farklı kötü amaçlı yazılım kullanma olasılıkları daha yüksektir ve verileri sızdırabilmek için bu ayrıcalık yükselmesini ararlar. Ağınızda daha uzun süre kalacaklar.
Ancak ortak kusur, isterseniz, saldırganın kimsenin izleyeceğine güvenmemesidir. Bazen saldırganların ağda aylarca kaldığını biliyoruz. Yani ağın şifrelendiği veya verilerin sızdırıldığı noktada sizin için çok geç. Asıl olay haftalar, aylar veya çok uzun zaman önce başladı.
Bunun nedeni, savunmalarımızı öğrenmeleridir: “ayrıcalığı yükseltip, bazı verileri sızdırmaya başlarsam, kimse fark eder mi? Ve fark edildiğimi varsayarsak, herhangi biri zamanında yanıt verebilir mi?” Bu saldırganlar ödevlerini yapmışlar ve bir tür gasp veya talep istedikleri noktada büyük miktarda faaliyette bulunmuşlardır. Daha büyük fidye yazılımı operatörleri için bir yatırım getirisi vardır. Bu yüzden, bunu geri alacaklarını düşündükleri için zaman ve çaba harcamaya isteklidirler.
Harun: ilginç bir şey var Gartner tarafından yazılan makale fidye yazılımlarının nasıl tespit edilip önleneceği hakkında. Saldırıları tespit etmek için en iyi noktanın, bir saldırganın döndürmek için istismarlar veya çalmak için daha değerli varlıklar aradığı yanal hareket aşamasında olduğunu söylüyor.
Bence bu, sahip olduğumuz en temel zorluklardan biri. ne yapacağımızı biliyoruz riski azaltmak phishing — gerçi bu her zaman bir sorun olacak çünkü içinde insan unsuru var. Ancak bu ilk erişimi elde ettiklerinde, bir RDP (Uzak Masaüstü Protokolü) veya sunucu için kimlik bilgileri ya da her ne ise alırlar ve sonra bu yanal hareketi başlatabilirler. Bunu tespit etmek için ne yapıyoruz? Tespit için en büyük fırsat bu gibi görünüyor.
Dinlemek tam röportaj için Sarah’nın fidye yazılımı saldırısını tespit etmenin en iyi yolu hakkındaki düşüncelerini duymak için.
Verilerin güvenliğini sağlamanın ilk adımı, neler olup bittiğini bilmektir. Kullanıcılarınız her yerdeyken ve buluttaki hassas verilere erişmek için kontrol etmediğiniz ağları ve cihazları kullanırken karşı karşıya olduğunuz riskleri görmek zor.
Tahmini ortadan kaldırır hem yönetilmeyen hem de yönetilen uç noktalarda, bulutta ve aradaki her yerde neler olduğuna dair görünürlük kazanarak. Lookout’a bugün başvurun.