Fidye yazılımı saldırılarının hacmi ve etkisi, büyük ölçüde kuruluşların zayıf güvenlik kontrolleri nedeniyle artmaya devam ediyor. Orta ölçekli şirketler, önemli miktarda değerli veriye sahip oldukları, ancak daha büyük kuruluşların koruyucu kontrolleri ve kadrosundan yoksun oldukları için hedef alınır.
Yakın tarihli bir RSM anketine göre, orta ölçekli şirketlerin %62’si önümüzdeki 12 ay içinde fidye yazılımı riski altında olduklarına inanıyor. Siber güvenlik liderlerinin duyguları, “aklıma ilk gelen” ile “bu bana ciddi migren ağrıları veriyor” arasında bir yelpazede bir yerde.
Fidye yazılımı, aktörlerin erişimlerinden para kazanmaları için hâlâ tercih edilen yol olduğundan, kurumsal hazırlık düzeylerinin anlaşılmasına ve bir saldırganın bunları istismar etmesinden önce boşlukların belirlenip düzeltilmesine ciddi bir ihtiyaç var.
Yalın siber güvenlik ekipleri, NIST CSF çerçevesini izleyerek fidye yazılımlarına hazır olma durumlarını hızla ölçebilir ve kendilerine “Bunun gibi bir şey var mı?” temel işlevlerin her biri için: “Tanımla”, “Koru”, “Algıla”, “Yanıt Ver” ve “Kurtar”:
Tanımlamak
Varlık yönetimi, kuruluşunuzun tüm kritik varlıklarının ne olduğunu, nerede bulunduklarını, bunların kime ait olduğunu ve bunlara kimin erişimi olduğunu bilme sürecidir. Erişimin yönetilebilmesi için verilerin sınıflandırılması gerekir ve şirket, verilerin bütünlüğünü sağlamaktan fayda sağlar. Bir kuruluşun, sınıflandırmasına dayalı olarak yalnızca bazı verilerinin gizliliğini koruması gerekir. Verilerin kullanılabilirliğini ve gerçekliğini sağlayan kontroller, bir kuruluşa gerçek değer katar.
Korumak
Kimlik, bir kişi ile bir kuruluş arasındaki ilişkiyi tanımlayan bir veri biçimidir. Kimlik bilgileri (kullanıcı adı ve parola) aracılığıyla doğrulanır ve güvenliği ihlal edildiğinde bir güvenlik olayı olaya dönüşür. Örneğin, sızdırılmış kimlik bilgilerinin kullanılması, tehdit aktörlerinin bilgisayarlarınıza fidye yazılımı yüklemesine olanak tanır. Microsoft Defender Raporu 2022’ye göre, Multi-Factor Authentication (MFA) gibi temel güvenlik hijyeninin %98’ini uygulamak, sıfır güven ilkelerini uygulamak, yazılımı güncel tutmak ve genişletilmiş algılama ve kötü amaçlı yazılımdan korumayı kullanmak hala %98’e karşı koruma sağlıyor saldırılar.
Kimlikleri korumanın bir başka önemli yönü de, bir çalışanın kötü niyetli bir eki veya bağlantıyı fark etmesine yardımcı olan farkındalık eğitimidir. İhlal simülasyonları söz konusu olduğunda, yapmayanları cezalandırmaktansa başarılı olan çalışanları ödüllendirmek önemlidir. Yanlış yürütülen ihlal simülasyonları, çalışanların kuruluşlarına olan güvenini ciddi şekilde engelleyebilir.
İyi veri güvenliği, verilerinizi fidye yazılımlarından koruyabilir ve bir saldırıdan kurtulmanıza olanak tanır. Bu, erişim yönetimi, şifreleme ve yedeklemelerin yerinde olması anlamına gelir. Bu basit gibi görünse de, birçok kuruluş yukarıdakilerden en az bir veya ikisinde yetersiz kalmaktadır. NIST CSF’nin “Koru” işlevine giren diğer kontroller, güvenlik açığı yönetimi, URL filtreleme, e-posta filtreleme ve yükseltilmiş ayrıcalıkların kullanımını kısıtlamadır.
Yazılım yüklemelerini kısıtlamak çok önemlidir — yazılım yükleyemiyorsanız, fidye yazılımı da yükleyemezsiniz. Bununla birlikte, bazı fidye yazılımları, kısıtlı kurulum kontrolünü atlayarak bir ayrıcalık yükselmesine izin veren mevcut güvenlik açıklarından başarıyla yararlanabilir.
Bu da bizi NIST CSF’nin “Koru” işlevi altındaki bir sonraki kontrole getiriyor: politika kontrolü. Politika uygulama yazılımı, kullanımı ve kurulumu yalnızca yetkili yazılımlarla sınırlamak veya yükseltilmiş ayrıcalıkların kullanımını kısıtlamak gibi kontrolleri uygulamak için gereken personel sayısını azaltabilir.
Tespit etmek
Bu fonksiyon kapsamındaki kontrollerin gerekliliklerini karşılayan teknolojiler, ancak bir insan unsurunun eşlik etmesi halinde gerçekten bir fark yaratabilir. Burada pek çok kısaltma var: Kullanıcı ve Varlık Davranışı Analitiği (UEBA), Merkezi Günlük Yönetimi (CLM), Tehdit İstihbaratı (TI) ve EDR/XDR/MDR.
Fidye yazılımı, hiçbir iyi yazılımın yapmadığı şeyleri yaptığı için iyi bir UEBA tarafından kolayca algılanır. Bu teknoloji yalnızca fidye yazılımlarını algılayabilir — önleyemez veya durduramaz. Önleme, kimlik avı önleme, Sürekli Güvenlik İzleme ve EDR/XDR/MDR gibi başka yazılımlar gerektirir. IBM’in Bir İhlalin Maliyeti 2022 raporuna göre, XDR teknolojilerine sahip kuruluşlar, bir ihlali XDR’ye sahip olmayan kuruluşlara göre 29 gün daha hızlı tespit etti ve kontrol altına aldı. Ayrıca, XDR’ye sahip kuruluşlar %9,2 daha düşük ihlal maliyeti elde ettiler, bu küçük bir gelişme gibi görünebilir, ancak ortalama bir ihlal maliyeti 4,5 milyon ABD Doları ile bu, neredeyse yarım milyon ABD Doları tasarruf anlamına gelir.
Cevap vermek
Kuruluşun kontrolleri ve araçları ne kadar iyi olursa olsun, her zaman insan müdahalesi gerektiren bir şeyler olacaktır. Bir plana sahip olmak ve onu test etmek, ihlalin maliyetini rapora göre ortalama 2,66 milyon ABD doları kadar önemli ölçüde azaltır.
Ek kontroller, fidye yazılımına hazır olma durumunuzu en üst düzeye çıkarabilir: iletişim şablonlarına sahip olmak (ekipin bir olay sırasında neyle, nasıl ve kiminle iletişime geçeceğini bilmesini sağlamak için), zorunlu olay analizi gerçekleştirme ve Güvenlik Orkestrasyonu, Otomasyonu ve Müdahalesi (SOAR) teknolojisini her ikisinden biri olarak devreye almak ayrı bir ürün veya bir XDR çözümünün yerel parçası.
İyileşmek
Bir kurtarma planına, değişmez bulut yedeklemelerine ve bir olay iletişim planına sahip olmak, kuruluşunuzun fidye yazılımına hazır olma durumunu en üst düzeye çıkarmak için üç temel kontroldür.
Fidye yazılımı için bir kurtarma planı, şifrelenmiş verileri kurtarma, işletim sistemlerini yeniden kurma ve bir ihlal durumunda müşteri güvenini geri kazanma araçlarını içermelidir.
Ransomware, verilere erişimi engelleyerek çalışır. Bu veriler, fidye yazılımının bulaşmadığı bir cihazdan (değişmez yedekleme) geri yüklenebiliyorsa, kurtarmaya giden yol hızlı ve nispeten maliyetsiz olabilir. Microsoft Defender 2022 raporuna göre, fidye yazılımlarından etkilenen kuruluşların %44’ünün değişmez yedekleri yoktu.
Olay iletişim planı, müşteri duyarlılığını izlerken iç ve dış paydaşları hızlı bir şekilde uyarmak ve koordine etmek için mekanizmalar sağlayarak kuruluşun yanıt verme ve itibar hasarını en aza indirme becerisini geliştirir.
Cynet, siber güvenlik liderlerinin fidye yazılımı dayanıklılığı oluşturmasına yardımcı olmak için hızlı, NIST tabanlı fidye yazılımı hazırlık değerlendirmesi temel işlevlere daha derin bir dalışla birlikte.