Share via

Fidye yazılımı saldırılarını algılama ve yanıtlama

  • Makale

Fidye yazılımı olayını gösteren çeşitli olası tetikleyiciler vardır. Diğer birçok kötü amaçlı yazılım türünden farklı olarak, çoğu daha düşük güvenilirlik tetikleyicileri yerine daha yüksek güvenilirlik tetikleyicileri (bir olayın bildirilmesinden önce çok az ek araştırma veya analiz yapılması gerektiğinde) olacaktır (bir olay bildirilmeden önce daha fazla araştırma veya analiz yapılması gerekecektir).

Genel olarak, bu tür enfeksiyonlar temel sistem davranışından, anahtar sisteminin veya kullanıcı dosyalarının olmamasından ve fidye talebinden belirgindir. Bu durumda analist, saldırıyı azaltmak için otomatik eylemler gerçekleştirmek de dahil olmak üzere olayı hemen bildirmeyi ve yükseltmeyi göz önünde bulundurmalıdır.

Fidye yazılımı saldırılarını algılama

Bulut için Microsoft Defender, Genişletilmiş Algılama ve Yanıt (XDR) olarak da adlandırılan yüksek kaliteli tehdit algılama ve yanıt özellikleri sağlar.

VM'lere, SQL Server'lara, Web uygulamalarına ve kimliklere yönelik yaygın saldırıların hızlı algılanmasını ve düzeltilmesini sağlayın.

  • Yaygın Giriş Noktalarına Öncelik Verme – Fidye yazılımı (ve diğer) işleçler Uç Nokta/E-posta/Kimlik + Uzak Masaüstü Protokolü (RDP) tercihidir
    • Tümleşik XDR - Yüksek kaliteli uyarılar sağlamak ve yanıt sırasında uyuşma ve el ile uygulanan adımları en aza indirmek için Microsoft Bulut için Defender gibi tümleşik Genişletilmiş Algılama ve Yanıt (XDR) araçlarını kullanın
    • Deneme Yanılma - Parola spreyi gibi deneme yanılma girişimleri için monitör
  • Saldırgan Güvenliği Devre Dışı Bırakma İçin İzleme – bu genellikle İnsan Tarafından Çalıştırılan Fidye Yazılımı (HumOR) saldırı zincirinin bir parçasıdır
    • Olay Günlüklerini Temizleme – özellikle Güvenlik Olay günlüğü ve PowerShell İşlem günlükleri
    • Güvenlik araçlarının/denetimlerinin devre dışı bırakılması (bazı gruplarla ilişkili)
  • Emtia Kötü Amaçlı Yazılımlarını Yoksaymayın - Fidye yazılımı saldırganları, koyu pazarlardan hedef kuruluşlara düzenli olarak erişim satın alır
  • Dış uzmanları , Microsoft Algılama ve Yanıt Ekibi (DART) gibi uzmanlığı desteklemek için süreçlerle tümleştirin.
  • Şirket içi dağıtımda Uç Nokta için Defender kullanarak güvenliği aşılmış bilgisayarları hızla yalıtma.

Fidye yazılımı saldırılarına yanıt verme

Olay bildirimi

Başarılı bir fidye yazılımı enfeksiyonu doğrulandıktan sonra analistin bunun yeni bir olayı temsil ettiği veya mevcut bir olayla ilgili olup olmadığını doğrulaması gerekir. Benzer olayları gösteren şu anda açık olan biletleri arayın. Öyleyse, geçerli olay biletini bilet oluşturma sistemindeki yeni bilgilerle güncelleştirin. Bu yeni bir olaysa, ilgili bilet sisteminde bir olay bildirilmeli ve olayı içermek ve azaltmak için uygun ekiplere veya sağlayıcılara yükseltilmelidir. Fidye yazılımı olaylarını yönetmenin birden çok BT ve güvenlik ekibi tarafından gerçekleştirilecek eylemleri gerektirebileceğini unutmayın. Mümkün olduğunda, biletin iş akışına yol gösteren bir fidye yazılımı olayı olarak açıkça tanımlandığından emin olun.

Kapsama/Azaltma

Genel olarak, çeşitli sunucu/uç nokta kötü amaçlı yazılımdan koruma, e-posta kötü amaçlı yazılımdan koruma ve ağ koruma çözümleri, bilinen fidye yazılımlarını otomatik olarak içerecek ve azaltacak şekilde yapılandırılmalıdır. Ancak, belirli fidye yazılımı varyantının bu tür korumaları atladığı ve hedef sistemlere başarıyla bulaştığı durumlar olabilir.

Microsoft, En İyi Azure Güvenlik En İyi Yöntemleri'nden olay yanıtı süreçlerinizi güncelleştirmenize yardımcı olacak kapsamlı kaynaklar sağlar.

Kötü amaçlı yazılımdan koruma sistemleri tarafından yapılan otomatik eylemlerin başarısız olduğu fidye yazılımı içeren bildirilen bir olayı içermesi veya azaltması için önerilen eylemler aşağıda verilmiştir:

  1. Standart destek süreçleri aracılığıyla kötü amaçlı yazılımdan koruma satıcılarıyla etkileşime geçin
  2. Kötü amaçlı yazılımdan koruma sistemlerine kötü amaçlı yazılımlarla ilişkili karmaları ve diğer bilgileri el ile ekleme
  3. Kötü amaçlı yazılımdan koruma satıcısı güncelleştirmelerini uygulama
  4. Düzeltilebilene kadar etkilenen sistemleri içerir
  5. Güvenliği aşılmış hesapları devre dışı bırakma
  6. Kök neden analizi gerçekleştirme
  7. Etkilenen sistemlere ilgili düzeltme eklerini ve yapılandırma değişikliklerini uygulama
  8. İç ve dış denetimleri kullanarak fidye yazılımı iletişimlerini engelleme
  9. Önbelleğe alınmış içeriği temizleme

Kurtarma yolu

Microsoft Algılama ve Yanıt Ekibi sizi saldırılardan korumaya yardımcı olacaktır

İlk etapta uzlaşmaya yol açan temel güvenlik sorunlarını anlamak ve düzeltmek fidye yazılımı kurbanları için bir öncelik olmalıdır.

Microsoft Algılama ve Yanıt Ekibi (DART) gibi uzmanlığı desteklemek için dış uzmanları süreçlerle tümleştirin. DART, dünyanın dört bir yanındaki müşterilerle etkileşim kurar, saldırı gerçekleşmeden önce saldırılara karşı korunmaya ve sağlamlaştırmaya yardımcı olur, ayrıca bir saldırı gerçekleştiğinde araştırma ve düzeltme sağlar.

Müşteriler, zamanında ve doğru yanıt için doğrudan Microsoft Defender Portalı'ndan güvenlik uzmanlarımızla etkileşime geçebilir. Uzmanlar, uyarı sorgularından, risk altındaki cihazlardan, şüpheli ağ bağlantısının kök nedeninden devam eden gelişmiş kalıcı tehdit kampanyalarıyla ilgili ek tehdit bilgilerine kadar kuruluşunuzu etkileyen karmaşık tehditleri daha iyi anlamak için gereken içgörüleri sağlar.

Microsoft, güvenli operasyonlara geri dönme konusunda şirketinize yardımcı olmak için hazırdır.

Microsoft yüzlerce risk kurtarma işlemi gerçekleştirir ve denenmiş ve doğru bir metodolojiye sahiptir. Sizi daha güvenli bir konuma getirmekle kalmayıp, duruma tepki vermek yerine uzun vadeli stratejinizi değerlendirme fırsatı da sağlar.

Microsoft, Hızlı Fidye Yazılımı Kurtarma hizmetleri sağlar. Buna göre, kimlik hizmetlerinin geri yüklenmesi, düzeltme ve sağlamlaştırma gibi tüm alanlarda ve fidye yazılımı saldırılarının kurbanlarının mümkün olan en kısa zaman diliminde normal işlerine dönmelerine yardımcı olmak için izleme dağıtımı ile birlikte yardım sağlanır.

Hızlı Fidye Yazılımı Kurtarma hizmetlerimiz, görevlendirme süresi boyunca "Gizli" olarak ele alınır. Hızlı Fidye Yazılımı Kurtarma görevlendirmeleri yalnızca Azure Cloud & AI Domain'in bir parçası olan Compromise Recovery Security Practice (CRSP) ekibi tarafından sunulur. Daha fazla bilgi için Azure güvenliği hakkında iletişim isteğinde bulunarak CRSP ile iletişime geçebilirsiniz.

Sırada ne var?

Teknik incelemeye bakın: Fidye yazılımı saldırısı için Azure savunmaları teknik incelemesi.

Bu serideki diğer makaleler: