Ransomware, günümüzde oldukça koordine ve yaygın bir tehdit haline gelmiştir. Geleneksel savunma yöntemleri, bu tür saldırılara karşı giderek daha fazla zorlanmaktadır. Bugünün ransomware saldırıları, önce yedekleme altyapınızı hedef alarak başlamakta ve üretim ortamınızı kilitlemeden önce yedeklerinizi hedef almaktadır. Bu, kurtarma yeteneğinizi zayıflatır ve fidye ödenme olasılığını artırır.
Saldırılar genellikle dikkatlice mühendislik ile gerçekleştirilmiş bir taktik olarak tanımlanabilir. Tehdit aktörleri, yedekleme agent’lerini devre dışı bırakır, anlık görüntüleri siler, saklama politikalarını değiştirir ve yedekleme hacimlerini şifreler (özellikle ağ erişimine açık olanları). Onlar artık sadece erişiminizi engellemeye çalışmıyor, kurtarma yöntemlerinizi ortadan kaldırma amacını gütmektedirler. Eğer yedekleme ortamınız, bu gelişen tehditler düşünüldüğünde inşa edilmediyse, yüksek bir risk altındadır.
Yedeklemeleri Korumak İçin Yaygın Hatalar
Yedekleme stratejinizdeki en yaygın zayıflıklardan biri, yetersiz ayrım ve offline veya değiştirilemez kopyaların eksikliğidir. Anlık görüntülerin veya yerel yedeklerin varlığı yeterli değildir; eğer bunlar üretim sistemlerinin bulunduğu yerel ortamda bulunuyorsa, saldırganlar tarafından kolayca keşfedilebilir, şifrelenebilir veya silinebilir. Uygun izolasyon olmadan, yedekleme ortamları yan hareketlere oldukça duyarlıdır ve ransomware, tehlikeye atılmış sistemlerden yedekleme altyapısına yayılabilir.
Yedeklerinizi tehlikeye atabilecek yaygın yan saldırı teknikleri arasında şunlar bulunmaktadır:
- Active Directory (AD) saldırıları: Saldırganlar, AD’yi kullanarak yetki yükseltmesi yapar ve yedekleme sistemlerine erişim kazanır.
- Sanal sunucu devralma: Kötü niyetli kişiler, konuk araçlarının veya hipervizör kodundaki bir yanlış yapılandırmayı kullanarak hipervizörü ve yedekleri barındıran sanal makineleri kontrol eder.
- Windows tabanlı yazılım saldırıları: Tehdit aktörleri, Windows’un yerleşik hizmetlerini ve sürümler arası bilinen davranışları istismar ederek yedekleme yazılımına ve depolarına giriş yapar.
- Ortak zafiyetler: Yüksek öncelikli CVE’ler, yedekleme sunucularını ihlal etmek için hedeflenir.
Bir diğer büyük problem ise, yedekleme için tek bir bulut sağlayıcısına güvenmektir; bu, tek bir hata noktası yaratır ve toplam veri kaybı riskini artırır. Örneğin, Microsoft 365 verilerinizi Microsoft ortamında yedekliyorsanız, yedekleme altyapınız ve kaynak sistemler aynı ekosistemde bulunmaktadır, bu da onları keşfetmeyi kolaylaştırır.
Yedekleme Dayanıklılığı İçin 3-2-1-1-0 Stratejisi
3-2-1 yedekleme kuralı, veri koruma konusunda uzun zamandır geçerli bir standarttır. Ancak, ransomware artık yedekleme altyapısını hedef aldığı için, bu kural yetersiz kalmaktadır. Günümüzün tehdit ortamı, saldırganların kurtarma yeteneğinizi yok etmeyi deneyebileceğini varsayan daha dayanıklı bir yaklaşımı gerektirmektedir.
3-2-1-1-0 stratejisi burada devreye girmektedir. Bu yaklaşım, verilerinizin üç kopyasını tutmayı ve bunları iki farklı ortamda saklamayı hedefler, bir yedeğin uzak bir yerde bulunmasını, birinin değiştirilemez olmasını ve sıfır yedekleme hatası sağlamayı hedefler.
3-2-1-1-0 stratejisi nasıl çalışır:
3 Veri Kopyası: 1 Üretim + 2 Yedek
Yedekleme yaparken, dosya bazlı yedeklemelere yalnızca güvenmemek çok önemlidir. Tüm sistemi kapsayan, işletim sistemi, uygulamalar, ayarlar ve verileri içeren görüntü tabanlı yedeklemeleri kullanın. Anlık demirleme ve hızlı sanallaştırma gibi yetenekleri arayın.
2 Farklı Medya Formatı
Yedeklerinizi, yerel disk ve bulut depolama gibi iki farklı medya türünde saklayarak riski çeşitlendirin ve eş zamanlı tehditlerden korunmuş olun.
1 Uzak Kopya
En az bir yedek kopyasını uzak bir yerde ve coğrafi olarak ayrılmış bir yerde saklayın; bu, doğal afetler veya yerel saldırılara karşı koruma sağlar. Mümkünse fiziksel veya mantıksal bir hava boşluğu kullanın.
1 Değiştirilemez Kopya
最少 bir değiştirilemez yedek kopyası bulundurmak, ransomware ya da kötü niyetli kullanıcılar tarafından değiştirilemez, şifrelenemez veya silinemez.
0 Hata
Yedekleme işlemleri düzenli olarak denetlenmeli, test edilmeli ve izlenmelidir; böylelikle hata içermediğinden ve ihtiyaç duyulduğunda geri yüklenebilir olduğundan emin olunmalıdır.
Stratejinin etkili olması için yedekleme ortamının korunması kritik bir öneme sahiptir. Aşağıdaki en iyi uygulamaları göz önünde bulundurun:
- Yedekleme sunucusunu güvenli bir yerel alan ağı (LAN) ortamında dağıtın.
- En az ayrıcalık ilkesini benimseyin. Yedekleme sistemleri üzerinde yerel alan hesaplarının admin haklarına sahip olmadığından emin olun.
- Yedekleme ağlarını, internetten gelen trafiğe kapalı olacak şekilde segmentlere ayırın.
- Güvenlik Duvarı kullanarak ağ erişim kontrollerini uygulayın.
- Kullanılmayan hizmetler ve portlar kapatılmalıdır.
Bulut Tabanlı Yedeklemeleri Güvence Altına Alma Yöntemleri
Ransomware, bulut platformlarını da hedef alabilir; bu nedenlerle ayrım ve izolasyon kritik öneme sahiptir.
Veri Ayrımı ve İzolasyonu
Gerçek bir hava boşluğu oluşturmak için, yedekleme verilerinin kendi kimlik doğrulama sistemine sahip olan ayrı bir bulut altyapısında saklanması gerekir.
Özel Bulut Yedekleme Mimarisi Kullanımı
Yedekleme verilerini kaynak ortamdan ayıran hizmetleri seçin; bu, orijinal erişim vektörlerinden korunarak yedekleme için ihtiyaç duyulan hava boşluğu korumasını sağlar.
Kimlik Doğrulama ve Erişim Kontrolü
Yedekleme sistemlerinin, bulut tabanlı sistemler ile tamamen ayrı bir kimlik sistemi kullanması gerekmektedir.
Datto’nun iş sürekliliği ve felaket kurtarma (BCDR) platformu, seçtiğiniz araçların önemini gözler önüne seriyor. Datto BCDR, kesintisiz yerel ve bulut sürekliliği sağlar. Bu sayede verileriniz her durumda geri kazanılabilir.
