YORUM
İçerik güncellemesindeki bir hatadan kaynaklanan küresel BT sorunlarının ardından CrowdStrike’ın Falcon sensörübirçok kuruluş iş sürekliliği planlarını (BCP’ler) yürütme, sistemleri kurtarma ve yedeklerden geri yükleme ile uğraştı. Bu faaliyetlerin sıkıntısı içinde, oyun kitabıyla benzerliği gözden kaçırmak kolaydır fidye yazılımı kurtarma ve her ölçekteki kuruluşun bu olayı, fidye yazılımlarına veya diğer yıkıcı siber saldırılara yanıt verme ve bunlardan kurtulma yeteneklerindeki boşlukları tespit etmek için nasıl kullanabileceğini kaçırıyoruz.
Bu kesintinin ölçeğini kabul etmek önemlidir; 8,5 milyon kullanılamaz durumdaki bilgisayar tüm sektörlerde ve organizasyon boyutlarında. Küçük işletmeler, küresel şirketler, devlet kurumları, hastaneler ve kritik altyapılar, hepsi korkunç mavi ölüm ekranıyla karşılaştı.
CrowdStrike müşterisi olmayanlar bile bu durumdan etkilendi; uçuşlar ertelendi ve iptal edildi, akaryakıt istasyonları ve marketler işlemlerini tamamlayamadı ve polis ve itfaiye gibi kritik hizmetlerde gecikmeler yaşandı.
Ancak her kuruluşun siber saldırıya yanıt verme yeteneğini iyileştirmesine yardımcı olmak için bu olaydan çıkarabileceği dersler var.
Tespit etme
Tespit için ortalama süre veya MTTD, siber operasyonlarda bir olayın başlaması ile kuruluşun bir şeyin olduğunu belirlemesi arasındaki süreyi tanımlayan bir ölçüttür. Bu ölçüt, son birkaç yıldır düşüş eğilimindeydi, kısmen de olsa fidye yazılımı dağıtımıyla sonuçlanan olaylar açıkça ve hızla belirgin olduğundan. Bu hızlı tespit, genellikle keşfedilmesi daha uzun süren, karmaşık bir tehdit aktörünün bir ağdan özel verileri sifonladığı olaylarla çelişmektedir.
Bu davranış, CrowdStrike olayının barizliğine paraleldir. Ağdaki bilgisayarlar kullanılamaz hale geldi ve başarısız bir sürücü hakkında gizemli bir mesaj görüntülendi. Bu olayla, başlangıç saatinde netlik kazandık ve kuruluşlar mavi ekranlarla karşılaştı 04:09 UTC.
Kuruluşlar, ekiplerinin kesintiyi tespit etmesinin ne kadar sürdüğünü ve kök neden hakkında makul bir şekilde ne kadar çabuk tahmin yürütebildiklerini değerlendirmelidir. Bu ölçümler, tehdit aktörleri bir ağa fidye yazılımı dağıttığında önemlidir.
Cevap
BT ekipleri sistem sorunlarının nedenini doğruladıkça, kuruluşlar sistemleri geri yüklemeye başlamak için çabaladı. Birçok kuruluş eksik varlık envanterleri, kısmen yönetilen cihazlar ve kurtarma etkinliklerini güvenilir bir şekilde önceliklendirmenin bir yolu olmamasıyla mücadele etti. Bazıları kendilerini kritik sistemleri geri yüklemek için gereken parola kasalarından dışarıda buldu. Diğerleri, ülke çapında dağılmış uzak kullanıcıların dizüstü bilgisayarlarını yeniden görüntülemek için hızlı bir şekilde ölçeklendirmede zorluk çekti.
Bu zorluklar, bir fidye yazılımı olayı sırasında beklenenleri yansıtır ve kurtarma sırasında önceliklendirmeyi bilgilendiren BT varlıklarının doğru bir muhasebesinin tutulmasının önemini vurgular. Ayrıca, kurtarma planları işletim ortamını dikkate almalı ve iş hedefleriyle uyumlu zaman dilimlerinde hizmetleri yeniden oluşturmayı desteklemelidir.
Kuruluşlar, kritik işlevleri destekleyen sistemleri önceliklendirme ve bu hizmetlerin yeniden oluşturulmasını hızlandırmak için gerekli ayrıntılı kurtarma planlarını geliştirme veya test etme becerileri de dahil olmak üzere, bu olay sırasında yanıt planlarının etkinliğini değerlendirmelidir. Ayrıca, varlık yönetiminde boşlukların nerede olduğunu ve bu tutarsızlıkların altında yatan nedenleri belirlemelidirler.
İş devamlılığı
BT ekipleri sistemleri geri yüklemek ve kullanıcıları tekrar çevrimiçi hale getirmek için gece gündüz çalışırken, bu olay birçok kuruluşu iş sürekliliği planlarını yürütmeye ve görev açısından kritik işlevleri geri yüklemeye zorladı. Kuruluşlar sıklıkla BCP’leri felaket kurtarma planlarıyla (DRP’ler) karıştırır ve bu da bu olay sırasında görev açısından kritik işlevlerin yürütülememesine neden olur.
Kuruluşlar, kritik öneme sahip işlevleri destekleyen yetenekleri yeniden oluşturma planı olmadan, bir fidye yazılımı olayı sırasında bu alanda sıklıkla zorluklarla karşılaşmaktadır. Amerika Birleşik Devletleri genelindeki sağlık departmanlarını etkileyen birkaç yüksek profilli fidye yazılımı saldırısıyla (Maryland Eyaleti’nde baş bilgi güvenliği görevlisi olarak görev yaptığım dönemde gerçekleşen saldırı da dahil), ölüm belgeleri düzenlemek gibi basit görünen idari görevler imkansız hale gelmektedir.
Kuruluşlar, fidye yazılımı olaylarına veya diğer siber kesintilere hazırlıklı olmak için bir iş etkisi analizi (BIA) gerçekleştirmeli ve çıktıları kapsamlı BCP’lere entegre ederek fidye yazılımı olayından kaynaklanan uzun süreli iş kesintisi riskini azaltmalıdır.
Tedarik Zinciri ve Tedarikçi Riski
Bu olayın ölçeği, siber olayların tedarik zincirlerini yakın tarihteki herhangi bir olaydan daha fazla etkileme risklerini ortaya koydu; finansal işlemler durdu, lojistik şirketleri malları teslim edemedi ve hastaneler hayat kurtarıcı malzemeleri yenileyemedi.
2021 yılında, Kronosİnsan sermayesi ve işgücü yönetimi SaaS sağlayıcısı olan , fidye yazılımı olayı nedeniyle önemli bir kesinti yaşadı, bu da çalışanların ödeme almasını engelledi ve dünya çapında binlerce kuruluşta iş faaliyetlerini durdurdu. Birçok kuruluş, bir siber olaydan hızla kurtulmak için ortaklarına güvenirken, tedarik zincirlerini etkileyen bir olay durumunda operasyonları sürdürmeye hazır olan çok az kuruluş vardı.
Kuruluşlar, iş sürekliliği planlarının bir parçası olarak tedarik zincirleri üzerinde olumsuz sonuçlar doğurabilecek siber olayları göz önünde bulundurmalı ve planlama yapmalı ve iş ortaklarının da aynısını yapmasını sağlamalıdır.
Bu Olaydan Dayanıklılığı Artırmak
CrowdStrike kesintisinden etkilenen kuruluşlar için, neyin iyi gittiğini ve kuruluşunuzun bir fidye yazılımı olayı merceğinden neyi iyileştirmeye odaklanması gerektiğini düşünmek için eşsiz bir fırsat var. Kesinti kesinlikle küçümsenmemeli olsa da, bir fidye yazılımı olayının gerçekliği fahiş maliyetler, haftalarca hatta aylarca süren kesintiler, düzenleyici zorluklar, olası davalar ve uzun vadeli kurumsal hasarı temsil eden sayısız diğer olumsuz etkiyi içerir.
Tedarik zincirlerindeki ortakları aracılığıyla dolaylı etki yaşayan kuruluşlar için, tedarik zincirinde yeterli çeşitlendirmenin sağlanması ve acil durum planlamasının yapılması için bir fırsat bulunmaktadır.
Bu olaydan olumsuz bir etki görmemiş şanslı kuruluşlar için, bunun sizin başınıza da aynı kolaylıkla gelebileceğini kabul etmek ve şanslı olmaktansa hazırlıklı olmak daha iyidir.
Herkes için bu, kuruluşunuzun dayanıklılığını artırmak için neler yapmanız gerektiğini düşünmek için bir fırsattır.