Share via

Fidye yazılımı saldırısına hazırlanma

  • Makale

Siber Güvenlik çerçevesini benimseme

Başlamak için iyi bir yer, Azure ortamının güvenliğini sağlamak için Microsoft bulut güvenliği karşılaştırmasını (MCSB) benimsemektir. Microsoft bulut güvenliği karşılaştırması, NIST SP800-53, CIS Denetimleri v7.1 gibi sektör tabanlı güvenlik denetimi çerçevelerini temel alan Azure güvenlik denetimi çerçevesidir.

Screenshot of the NS-1: Establish Network Segmentation Boundaries security control

Microsoft bulut güvenliği karşılaştırması, kuruluşlara Azure ve Azure Hizmetlerini yapılandırma ve güvenlik denetimlerini uygulama konusunda rehberlik sağlar. Kuruluşlar Bulut için Microsoft Defender kullanarak tüm MCSB denetimleriyle canlı Azure ortam durumlarını izleyebilir.

Sonuç olarak, Çerçeve siber güvenlik risklerini azaltmayı ve daha iyi yönetmeyi hedeflemektedir.

Microsoft bulut güvenliği karşılaştırma yığını
Ağ güvenliği (NS)
Kimlik Yönetimi (IM)
Ayrıcalıklı Erişim (PA)
Veri Koruması (DP)
Varlık Yönetimi (AM)
Günlüğe Kaydetme ve Tehdit Algılama (LT)
Olay Yanıtı (IR)
Duruş ve Güvenlik Açığı Yönetimi (PV)
Uç Nokta Güvenliği (ES)
Yedekleme ve Kurtarma (BR)
DevOps Güvenliği (DS)
İdare ve Strateji (GS)

Risk azaltmaya öncelik belirleme

Fidye yazılımı saldırılarıyla ilgili deneyimlerimize dayanarak, öncelik belirlemenin şu konulara odaklanması gerektiğini bulduk: 1) hazırlama, 2) limit, 3) engelleme. Çoğu insan bir saldırıyı önlemek ve devam etmek istediğinden, bu uygunsuz görünebilir. Ne yazık ki, ihlal (önemli bir Sıfır Güven ilkesi) varsaymalı ve öncelikle en fazla hasarı güvenilir bir şekilde azaltmaya odaklanmalıyız. Fidye yazılımıyla ilgili en kötü durum senaryosunun yüksek olasılığı nedeniyle bu öncelik belirleme kritik öneme sahiptir. Kabul etmek hoş bir gerçek olmasa da, içinde faaliyet gösterdiğimiz karmaşık gerçek dünya ortamlarını kontrol etmenin bir yolunu bulmaya çalışan yaratıcı ve motive insan saldırganlarla karşı karşıyayız. Bu gerçekliğe karşı, en kötü durumlara hazırlanmak ve saldırganların peşinde oldukları şeyi elde edebilmelerini sağlamak ve önlemek için çerçeveler oluşturmak önemlidir.

Bu önceliklerin önce yapılması gerekenleri yönetmesi gerekirken, kuruluşların mümkün olduğunca çok paralel adım çalıştırmasını öneririz (mümkün olduğunca 1. adımdan hızlı galibiyetler elde etmek de dahil).

Girmek daha zor hale getirin

Fidye yazılımı saldırganlarının ortamınıza girmesini önleyin ve verileri çalıp şifrelemeden önce saldırgan erişimini kaldırmak için olaylara hızla yanıt verin. Bu, saldırganların daha erken ve daha sık başarısız olmasına neden olur ve saldırılarının kârını azaltır. Önleme tercih edilen sonuç olsa da, sürekli bir yolculuk ve gerçek dünya kuruluşları genelinde %100 önleme ve hızlı yanıt elde etmek mümkün olmayabilir (dağıtılmış BT sorumluluklarına sahip karmaşık çok platformlu ve çok bulutlu varlıklar).

Bunu başarmak için kuruluşlar, güvenlik denetimlerini güçlendirmek için hızlı kazançlar belirleyip yürütmeli ve saldırganları hızla tespit etmeli/çıkarmalıdır ve bu arada da güvenli kalmalarına yardımcı olan sürekli bir program uygulamalıdır. Microsoft, kuruluşların buradaki Sıfır Güven stratejisinde belirtilen ilkelere uymasını önerir. Özellikle fidye yazılımlarına karşı kuruluşlar şunları önceliklendirmelidir:

  • Saldırı yüzeyini azaltma ve varlıkları için Tehdit ve Güvenlik Açığı Yönetimi çalışmalarına odaklanarak güvenlik hijyenini iyileştirme.
  • Ticari ve gelişmiş tehditlere karşı koruyabilen, saldırgan etkinlikleriyle ilgili görünürlük ve uyarı sağlayabilen ve etkin tehditlere yanıt verebilen dijital varlıkları için Koruma, Algılama ve Yanıt denetimleri uygulama.

Hasar kapsamını sınırla

BT Yönetici ve iş açısından kritik sistemlerin denetimine sahip diğer roller gibi ayrıcalıklı hesaplar için güçlü denetimlere (önleme, algılama, yanıtlama) sahip olduğunuzdan emin olun. Bu, saldırganların bunları çalmak ve şifrelemek için kaynaklarınıza tam erişim elde etmelerini yavaşlatıp/veya engeller. Saldırganların bt Yönetici hesaplarını kaynaklara kısayol olarak kullanma becerisini ortadan kaldırmaları, size saldırma ve ödeme / kâr talep etme konusunda başarılı olma şansını önemli ölçüde azaltır.

Kuruluşların ayrıcalıklı hesaplar için güvenliği yükseltilmiş olmalıdır (bu rollerle ilgili olayları sıkı bir şekilde koruyun, yakından izleyin ve bunlara hızla yanıt verin). Bkz. Microsoft'un aşağıdakileri kapsayan Güvenlik hızlı modernleştirme planı:

  • Uçtan Uca Oturum Güvenliği (yöneticiler için çok faktörlü kimlik doğrulaması (MFA) dahil)
  • Kimlik Sistemlerini Koruma ve İzleme
  • YanAl Geçişi Azaltma
  • Hızlı Tehdit Yanıtı

En kötüsü için hazırlanma

En kötü senaryoyu planlayın ve bunun gerçekleşeceğini (kuruluşun tüm düzeylerinde) bekleyebilirsiniz. Bu, hem kuruluşunuza hem de bağlı olduğunuz dünyadaki diğer kişilere yardımcı olur:

  • En kötü durum senaryosu için hasarı sınırlar – Tüm sistemleri yedeklerden geri yüklemek işletmeyi son derece kesintiye uğratsa da, anahtarı almak için ödeme yaptıktan sonra saldırgan tarafından sağlanan şifre çözme araçlarını kullanarak kurtarma denemekten daha etkili ve verimlidir. Not: Ödeme belirsiz bir yoldur – Anahtarın tüm dosyalarda çalıştığına, araçların etkili bir şekilde çalışacağına veya saldırganın (profesyonel araç setini kullanan amatör bir bağlı kuruluş olabilir) iyi niyetle hareket edeceğine dair resmi veya yasal bir garantiniz yoktur.
  • Saldırganlar için mali getiriyi sınırla – Bir kuruluş, saldırganlara ödeme yapmadan iş operasyonlarını geri yükleyebiliyorsa, saldırı etkili bir şekilde başarısız olmuştur ve saldırganlar için sıfır yatırım getirisi (ROI) ile sonuçlanır. Bu, gelecekte kuruluşu hedefleme olasılığını azaltır (ve başkalarına saldırmak için ek fonlardan yoksun kılar).

Saldırganlar yine de verileri açığa çıkarma veya çalınan verileri kötüye kullanma/satma yoluyla kuruluşta haraç almaya çalışabilir, ancak bu onlara verilerinize ve sistemlerinize yönelik tek erişim yoluna sahip olduklarından daha az yararlanma olanağı sağlar.

Bunu gerçekleştirmek için kuruluşlar şunları sağlamalıdır:

  • Riski Kaydet - Risk kaydına yüksek olasılık ve yüksek etki senaryosu olarak fidye yazılımı ekleyin. Enterprise Risk Management (ERM) değerlendirme döngüsü aracılığıyla risk azaltma durumunu izleyin.
  • Kritik İş Varlıklarını Tanımlama ve Yedekleme – Kritik iş işlemleri için gerekli sistemleri tanımlayın ve bunları düzenli bir zamanlamaya göre otomatik olarak yedekleyin (Active Directory gibi kritik bağımlılıkların doğru yedeklenmesi dahil) Çevrimiçi yedeklemeleri değiştirmeden/silmeden önce çevrimdışı depolama, sabit depolama ve/veya bant dışı adımlarla (MFA veya PIN) kasıtlı silme ve şifrelemeye karşı koruma.
  • Test 'Sıfırdan Kurtarma' Senaryosu : İş sürekliliğinizin /olağanüstü durum kurtarmanızın (BC/DR) kritik iş operasyonlarını sıfır işlevsellikten (tüm sistemler kapalı) hızla çevrimiçi hale getirebilmesini sağlamak için test edin. Bant dışı çalışan ve müşteri iletişimleri de dahil olmak üzere ekipler arası süreçleri ve teknik yordamları doğrulamak için alıştırma alıştırmaları gerçekleştirin (tüm e-postaların/sohbetlerin/ vb. kapalı olduğunu varsayın).
    Geri yükleme yordamı belgeleri, CMDB'ler, ağ diyagramları, SolarWinds örnekleri vb. dahil olmak üzere kurtarma için gereken destekleyici belgeleri ve sistemleri korumak (veya yazdırmak) önemlidir. Saldırganlar bunları düzenli olarak yok eder.
  • Otomatik yedekleme ve self servis geri alma ile verileri bulut hizmetlerine taşıyarak şirket içi kullanıma sunma oranını azaltın.

Farkındalığı teşvik edin ve bilgi boşluğu olmadığından emin olun

Olası fidye yazılımı olaylarına hazırlanmak için gerçekleştirilebilecek bir dizi etkinlik vardır.

Son kullanıcıları fidye yazılımı tehlikeleri konusunda eğitme

Çoğu fidye yazılımı varyantı, fidye yazılımını yüklemek veya güvenliği aşılmış Web sitelerine bağlanmak için son kullanıcılara dayandıkça, tüm son kullanıcılar tehlikeler hakkında eğitilmelidir. Bu genellikle yıllık güvenlik farkındalığı eğitiminin yanı sıra şirketin öğrenme yönetim sistemleri aracılığıyla sağlanan geçici eğitimin bir parçası olacaktır. Farkındalık eğitimi, şirketin portalları veya diğer uygun kanallar aracılığıyla şirketin müşterilerine de genişletilmelidir.

Güvenlik operasyonları merkezi (SOC) analistlerini ve diğerlerini fidye yazılımı olaylarına nasıl yanıt verecekleri konusunda eğitin

SOC analistleri ve fidye yazılımı olaylarına dahil olan diğer kişiler özellikle kötü amaçlı yazılımların ve fidye yazılımlarının temellerini bilmelidir. Bazı tipik özellikleriyle birlikte büyük fidye yazılımlarının /ailelerinin farkında olmalıdırlar. Müşteri çağrı merkezi personeli, şirketin son kullanıcılarından ve müşterilerinden gelen fidye yazılımı raporlarının nasıl işleneceğini de bilmelidir.

Uygun teknik denetimlere sahip olduğunuzdan emin olun

Fidye yazılımı olaylarını korumak, algılamak ve önlemeye güçlü bir vurguyla yanıt vermek için yapılması gereken çok çeşitli teknik denetimler vardır. SoC analistlerinin en azından şirketteki kötü amaçlı yazılımdan koruma sistemleri tarafından oluşturulan telemetriye erişmesi, hangi önleyici önlemlerin uygulandığını anlaması, fidye yazılımı tarafından hedeflenen altyapıyı anlaması ve şirket ekiplerinin uygun eylemleri gerçekleştirmesine yardımcı olabilmesi gerekir.

Bu, aşağıdaki temel araçların bazılarını veya tümünü içermelidir:

  • Dedektif ve önleyici araçlar

    • Kurumsal sunucu kötü amaçlı yazılımdan koruma ürün paketleri (Bulut için Microsoft Defender gibi)
    • Ağ kötü amaçlı yazılımdan koruma çözümleri (azure kötü amaçlı yazılımdan koruma gibi)
    • Güvenlik veri analizi platformları (Azure İzleyici, Sentinel gibi)
    • Yeni nesil yetkisiz erişim algılama ve önleme sistemleri
    • Yeni nesil güvenlik duvarı (NGFW)

  • Kötü amaçlı yazılım analizi ve yanıt araç setleri

    • Kuruluştaki en önemli son kullanıcı ve sunucu işletim sistemlerini destekleyen otomatik kötü amaçlı yazılım analiz sistemleri
    • Statik ve dinamik kötü amaçlı yazılım analiz araçları
    • Dijital adli tıp yazılımı ve donanımı
    • Kuruluş Dışı İnternet erişimi (örneğin, 4G donanım kilidi)
    • Maksimum etkinlik için SOC analistlerinin, güvenlik veri analizi platformları içinde birleşik telemetriye ek olarak yerel arabirimleri aracılığıyla neredeyse tüm kötü amaçlı yazılımdan koruma platformlarına kapsamlı erişimi olmalıdır. Azure Cloud Services ve Sanal Makineler için Azure yerel Kötü Amaçlı Yazılımdan Koruma platformu, bunu nasıl gerçekleştireceklerine ilişkin adım adım kılavuzlar sağlar.
    • Zenginleştirme ve zeka kaynakları
    • Çevrimiçi ve çevrimdışı tehdit ve kötü amaçlı yazılım zekası kaynakları (sentinel, Azure Ağ İzleyicisi gibi)
    • Active Directory ve diğer kimlik doğrulama sistemleri (ve ilgili günlükler)

  • Uç nokta cihaz bilgilerini içeren İç Yapılandırma Yönetimi Veritabanları (CMDB)

  • Veri koruması

    • Bir fidye yazılımı saldırısından hızlı ve güvenilir kurtarma sağlamak için veri koruma uygulayın + bazı teknikleri engelleyin.
    • Korumalı Klasörleri Belirleme – Yetkisiz uygulamaların bu klasörlerdeki verileri değiştirmesini zorlaştırmak için.
    • İzinleri Gözden Geçirme – fidye yazılımına olanak tanıyan geniş erişim riskini azaltmak için
    • Dosya paylaşımları, SharePoint ve diğer çözümlerde geniş kapsamlı yazma/silme izinlerini keşfedin
    • İş işbirliği gereksinimlerini karşılarken geniş kapsamlı izinleri azaltma
    • Geniş izinlerin yeniden ortaya çıkmasın emin olmak için denetim ve izleme
    • Güvenli yedeklemeler
    • Kritik sistemlerin yedeklenmesini ve yedeklemelerin kasıtlı saldırgan silme/şifrelemeye karşı korunduğundan emin olun.
    • Tüm kritik sistemleri düzenli bir zamanlamaya göre otomatik olarak yedekleme
    • İş sürekliliği / olağanüstü durum kurtarma (BC/DR) planını düzenli olarak uygulayarak iş operasyonlarının Hızlı Kurtarılmasını sağlayın
    • Yedeklemeleri kasıtlı silme ve şifrelemeye karşı koruma
    • Güçlü Koruma – Azure Backup gibi çevrimiçi yedeklemeleri değiştirmeden önce bant dışı adımlar (MUA/MFA gibi) gerektirme
    • En Güçlü Koruma : Yedekleme verilerinin korumasını geliştirmek için yedeklemeleri çevrimiçi/üretim iş yüklerinden yalıtın.
    • Geri yükleme yordamı belgeleri, CMDB ve ağ diyagramları gibi kurtarma için gerekli destekleyici belgeleri koruma

Olay işleme süreci oluşturma

Kuruluşunuzun olası fidye yazılımı olaylarına hazırlanmak için ABD Ulusal Standartlar ve Teknoloji Enstitüsü (NIST) Bilgisayar Güvenliği Olay İşleme Kılavuzu'nda (Özel Yayın 800-61r2) açıklanan olay yanıt adımlarını ve yönergeleri izleyerek kabaca bir dizi etkinlik gerçekleştirdiğinden emin olun. Bu adımlar şunları içerir:

  1. Hazırlık: Bu aşamada, bir olaydan önce uygulamaya alınması gereken çeşitli önlemler açıklanmaktadır. Bu, hem teknik hazırlıkları (uygun güvenlik denetimlerinin ve diğer teknolojilerin uygulanması gibi) hem de teknik olmayan hazırlıkları (süreçlerin ve prosedürlerin hazırlanması gibi) içerebilir.
  2. Tetikleyiciler/ Algılama: Bu aşamada bu tür bir olayın nasıl algılandığı ve daha fazla araştırma veya olay bildirimi başlatmak için hangi tetikleyicilerin kullanılabilir olabileceği açıklanır. Bunlar genellikle yüksek güvenilirlik ve düşük güvenilirlik tetikleyicilerine ayrılır.
  3. Araştırma/Analiz: Bu aşamada, bir olayın bildirilmesi gerektiğini onaylama veya bir olayın gerçekleşmediği sonucuna varılması amacıyla, kullanılabilir verileri araştırmak ve analiz etmek için yapılması gereken etkinlikler açıklanır.
  4. Olay Bildirimi: Bu aşama, genellikle kurumsal olay yönetimi (bilet oluşturma) sisteminde bir bilet oluşturulması ve biletin daha fazla değerlendirme ve eylem için uygun personele yönlendirilmesiyle bir olay bildirmek için izlenmesi gereken adımları kapsar.
  5. Kapsama / Azaltma: Bu aşama, Güvenlik İşlemleri Merkezi (SOC) veya başkaları tarafından, olayın oluşmaya devam etmesi veya mevcut araçlar, teknikler ve yordamlar kullanılarak olayın etkisini sınırlamak (durdurmak) için atabileceği adımları kapsar.
  6. Düzeltme / Kurtarma: Bu aşama, olayın yayılmadan ve hafifletilmeden önce neden olduğu hasarı düzeltmek veya kurtarmak için atılacak adımları kapsar.
  7. Olay Sonrası Etkinlik: Bu aşama, olay kapatıldıktan sonra gerçekleştirilmesi gereken etkinlikleri kapsar. Bu, olayla ilişkili son anlatıyı yakalamayı ve öğrenilen dersleri tanımlamayı içerebilir.

Flowchart of an incident handling process

Hızlı kurtarma için hazırlanma

Uygun süreçlere ve yordamlara sahip olduğunuzdan emin olun. Neredeyse tüm fidye yazılımı olayları, güvenliği aşılmış sistemleri geri yükleme gereksinimiyle sonuçlanır. Bu nedenle çoğu sistem için uygun ve test edilmiş yedekleme ve geri yükleme işlemleri ve yordamları uygulanmalıdır. Fidye yazılımlarının yayılmasını ve fidye yazılımı saldırılarından kurtarılmasını durdurmak için uygun prosedürlerle uygun kapsama stratejileri de bulunmalıdır.

Tehdit bilgileri sağlayıcıları, kötü amaçlı yazılımdan koruma çözümü sağlayıcıları ve kötü amaçlı yazılım analizi sağlayıcısının desteği olmak üzere üçüncü taraf desteğine yönelik ayrıntılı yordamlara sahip olduğunuzdan emin olun. Fidye yazılımı varyantının bilinen zayıflıkları veya şifre çözme araçları mevcut olabilirse bu kişiler yararlı olabilir.

Azure platformu, Azure Backup aracılığıyla yedekleme ve kurtarma seçeneklerinin yanı sıra çeşitli veri hizmetleri ve iş yükleri içinde yerleşik olarak bulunur.

Azure Backup ile yalıtılmış yedeklemeler

  • Azure Sanal Makineler
  • Azure VM'lerindeki veritabanları: SQL, SAP HANA
  • PostgreSQL için Azure Veritabanı
  • Şirket içi Windows Sunucuları (MARS aracısını kullanarak buluta yedekleme)

Azure Backup ile yerel (operasyonel) yedeklemeler

  • Azure Dosyaları
  • Azure Blobları
  • Azure Diskleri

Azure hizmetlerinden yerleşik yedeklemeler

  • Azure Veritabanları (SQL, MySQL, MariaDB, PostgreSQL), Azure Cosmos DB ve ANF gibi veri hizmetleri yerleşik yedekleme özellikleri sunar

Sırada Ne Var?

Teknik incelemeye bakın: Fidye yazılımı saldırısı için Azure savunmaları teknik incelemesi.

Bu serideki diğer makaleler: