Azure'da fidye yazılımı koruması

  • Makale

Fidye yazılımı ve gasp, hedeflenen kuruluşlar, ulusal/bölgesel güvenlik, ekonomik güvenlik ve halk sağlığı ve güvenliği üzerinde zayıflatıcı bir etkiye sahip yüksek kar, düşük maliyetli bir işletmedir. Basit, tek bilgisayarlı fidye yazılımı olarak başlayan şey, her türlü şirket ağına ve bulut platformuna yönelik çeşitli gasp tekniklerini içerecek şekilde büyüdü.

Azure'da çalışan müşterilerin fidye yazılımı saldırılarına karşı korunduğundan emin olmak için Microsoft, bulut platformlarımızın güvenliğine büyük ölçüde yatırım yaptı ve Azure bulut iş yüklerinizi korumak için ihtiyacınız olan güvenlik denetimlerini sağlar

Azure yerel fidye yazılımı korumalarından yararlanarak ve bu makalede önerilen en iyi yöntemleri uygulayarak, kuruluşunuzun Azure varlıklarınıza yönelik olası fidye yazılımı saldırılarını önlemek, korumak ve algılamak için en uygun konumda olmasını sağlayan önlemler alıyorsunuz.

Bu makalede fidye yazılımı saldırılarına yönelik temel Azure yerel özellikleri ve savunmaları ve Azure bulutundaki varlıklarınızı korumak için bunlardan proaktif olarak nasıl yararlanabileceğinize ilişkin yönergeler verilmektedir.

Büyüyen bir tehdit

Fidye yazılımı saldırıları günümüzde işletmelerin karşılaştığı en büyük güvenlik güçlüklerinden biri haline gelmiştir. Başarılı olduğunda fidye yazılımı saldırıları, iş temeli BT altyapısını devre dışı bırakabilir ve işletmenin fiziksel, ekonomik güvenliği veya güvenliği üzerinde yıkıcı bir etkiye neden olabilecek bir yıkıma neden olabilir. Fidye yazılımı saldırıları her türlü işletmeye yöneliktir. Bu, tüm işletmelerin koruma sağlamak için önleyici önlemler almasını gerektirir.

Saldırı sayısıyla ilgili son eğilimler oldukça endişe vericidir. 2020, işletmelere yönelik fidye yazılımı saldırıları için iyi bir yıl olmasa da, 2021 kötü bir yolda başladı. 7 Mayıs'ta, Koloni boru hattı (Koloni) saldırısı dizel, benzin ve jet yakıtı boru hattı taşıma gibi hizmetleri geçici olarak durdurdu. Koloni, kalabalık doğu eyaletlerini sağlayan kritik yakıt ağını kapattı.

Geçmişte, siber saldırılar belirli sektörleri hedefleyen gelişmiş bir eylem kümesi olarak görülmüş, bu da kalan endüstrileri siber suç kapsamı dışında olduklarına ve hangi siber güvenlik tehditlerine hazırlanmaları gerektiği konusunda bağlam olmadan bıraktı. Fidye yazılımı bu tehdit alanında büyük bir değişimi temsil eder ve siber saldırıları herkes için çok gerçek ve her yerde var olan bir tehlike haline getirmektedir. Şifrelenmiş ve kayıp dosyalar ve tehdit amaçlı fidye notları artık çoğu yönetici ekibi için en önemli korku haline geldi.

Fidye yazılımının ekonomik modeli, fidye yazılımı saldırısının yalnızca bir kötü amaçlı yazılım olayı olduğu yanlış algısını kullanır. Ancak gerçekte fidye yazılımı, bir ağa saldıran insan saldırganların dahil olduğu bir ihlaldir.

Birçok kuruluş için, bir fidye yazılımı olayından sonra sıfırdan yeniden inşa etme maliyeti, talep edilen orijinal fidyeden çok daha ağır basıyor. Tehdit ortamı ve fidye yazılımının nasıl çalıştığı hakkında sınırlı bir anlayışla, fidyeyi ödemek, operasyonlara geri dönmek için daha iyi bir iş kararı gibi görünüyor. Bununla birlikte, gerçek zarar genellikle siber suçluların dosyaları serbest bırakma veya satış için sızdırması, gelecekte suç faaliyetleri için ağda arka kapı bırakması ve bu riskler fidyenin ödenip ödenmediği konusunda devam eder.

Fidye yazılımı nedir?

Fidye yazılımı, bir bilgisayara bulaşan ve kullanıcının virüslü sisteme veya belirli dosyalara erişimini para için haraç almak için kısıtlayan bir kötü amaçlı yazılım türüdür. Hedef sistemin güvenliği aşıldıktan sonra genellikle çoğu etkileşimi kilitler ve genellikle sistemin kilitlendiğini veya tüm dosyalarının şifrelendiğini belirten bir ekran uyarısı görüntüler. Daha sonra sistem serbest bırakılmadan veya dosyaların şifresi çözülmeden önce önemli bir fidye ödenmesini talep eder.

Fidye yazılımı genellikle başarılı olmak için kuruluşunuzun BT sistemlerindeki veya altyapılarındaki zayıflıklardan veya güvenlik açıklarından yararlanır. Saldırılar o kadar açıktır ki, işletmenizin saldırıya uğradığını veya bir olayın bildirilmesi gerektiğini onaylamak için çok fazla araştırma gerektirmez. Bunun istisnası, sözde ödün veren malzemeler karşılığında fidye talep eden bir istenmeyen posta e-postası olabilir. Bu durumda, e-posta son derece özel bilgiler içermediği sürece bu tür olaylar istenmeyen posta olarak ele alınmalıdır.

BIR BT sistemini içinde verilerle çalıştıran tüm işletmeler veya kuruluşlara saldırı yapılabilir. Bir fidye yazılımı saldırısında bireyler hedeflense de saldırıların çoğu işletmelere yöneliktir. Mayıs 2021'deki Koloni fidye yazılımı saldırısı önemli ölçüde dikkat çekerken, Algılama ve Yanıt ekibimizin (DART) fidye yazılımı katılım verileri enerji sektörünün finans, sağlık ve eğlence sektörleriyle birlikte en çok hedeflenen sektörlerden birini temsil ettiğini gösteriyor. Ve bir pandemi sırasında hastanelere veya sağlık şirketlerine saldırmama vaatlerine rağmen, sağlık hizmetleri insan tarafından işletilen fidye yazılımının bir numaralı hedefi olmaya devam ediyor.

Fidye yazılımı tarafından hedeflenen sektörleri gösteren pasta grafiği

Varlıklarınız nasıl hedeflenir?

Saldırganlar bulut altyapısına saldırırken genellikle müşteri verilerine veya şirket gizli dizilerine erişim elde etmek için birden çok kaynağa saldırır. Bulut "sonlandırma zinciri" modeli, saldırganların dört adımlı bir işlemle genel bulutta çalışan kaynaklarınıza erişmeye nasıl çalıştığını açıklar: pozlama, erişim, yanal hareket ve eylemler.

  1. Açığa çıkarma, saldırganların altyapınıza erişim elde etme fırsatlarını arayabileceği yerdir. Örneğin saldırganlar, meşru kullanıcıların bunlara erişebilmesi için müşteriye yönelik uygulamaların açık olması gerektiğini bilir. Bu uygulamalar İnternet'e açıktır ve bu nedenle saldırılara açıktır.
  2. Saldırganlar, genel bulut altyapınıza erişim elde etmek için bir açığa çıkarmadan yararlanmaya çalışır. Bu, güvenliği aşılmış kullanıcı kimlik bilgileri, güvenliği aşılmış örnekler veya yanlış yapılandırılmış kaynaklar aracılığıyla yapılabilir.
  3. Yanal hareket aşamasında saldırganlar hangi kaynaklara erişebileceklerini ve bu erişimin kapsamını keşfeder. Örneklere yapılan başarılı saldırılar, saldırganların veritabanlarına ve diğer hassas bilgilere erişmesini sağlar. Saldırgan daha sonra ek kimlik bilgilerini arar. Bulut için Microsoft Defender verilerimiz, saldırıyı size hızla bildiren bir güvenlik aracı olmadan kuruluşların bir ihlali keşfetmesinin ortalama 101 gün sürdüğünü gösteriyor. Bu arada, bir ihlalden yalnızca 24-48 saat sonra saldırgan genellikle ağın tam denetimine sahip olur.
  4. Bir saldırganın yanal hareket sonrasında gerçekleştirdikleri eylemler büyük ölçüde yanal hareket aşamasında erişim sağlayabilecekleri kaynaklara bağlıdır. Saldırganlar veri sızdırmaya, veri kaybına veya başka saldırılara neden olan eylemler gerçekleştirebilir. Kuruluşlar için veri kaybının ortalama finansal etkisi şu anda 1,23 milyon ABD dolarını aşıyor.

Bulut altyapısının nasıl saldırıya uğrayacağınızı gösteren akış çizelgesi oluşturma: Pozlama, Erişim, Yanal hareket ve Eylemler

Saldırıların başarılı olmasının nedeni

Fidye yazılımı saldırılarının başarılı olmasının çeşitli nedenleri vardır. Savunmasız olan işletmeler genellikle fidye yazılımı saldırılarına maruz kalır. Saldırının kritik başarı faktörlerinden bazıları şunlardır:

  • Daha fazla işletme dijital satış noktaları aracılığıyla daha fazla hizmet sundukçe saldırı yüzeyi de arttı
  • Kullanıma açık kötü amaçlı yazılım, Hizmet Olarak Fidye Yazılımı (RaaS) edinme konusunda önemli bir kolaylık vardır
  • Şantaj ödemeleri için kripto para kullanma seçeneği, kötüye kullanım için yeni yollar açtı
  • Her biri kötü amaçlı yazılım için olası bir erişim noktası olan farklı iş yerlerinde (yerel okul bölgeleri, polis departmanları, polis ekibi araçları vb.) bilgisayarların ve kullanımlarının genişletilmesi, olası saldırı yüzeyiyle sonuçlanır
  • Eski, eski ve eski altyapı sistemlerinin ve yazılımlarının yaygınlığı
  • Kötü yama yönetimi rejimleri
  • Destek sonu tarihlerine yakın olan veya bunların ötesine geçmiş güncel olmayan veya çok eski işletim sistemleri
  • BT ayak izini modernleştirmek için kaynak eksikliği
  • Bilgi boşluğu
  • Becerikli personel ve önemli personel fazla bağımlılığı eksikliği
  • Kötü güvenlik mimarisi

Saldırganlar, güvenlik açıklarından yararlanmak için Uzak Masaüstü Protokolü (RDP) deneme yanılma saldırısı gibi farklı teknikler kullanır.

Saldırganlar tarafından kullanılan farklı teknikleri gösteren kulvar diyagramı

Ödemeniz gerekiyor mu?

Bu vexing talebiyle karşı karşıya kalındığında en iyi seçeneğin ne olduğu konusunda çeşitli görüşler vardır. Federal Soruşturma Bürosu (FBI), kurbanlara fidye ödememelerini, bunun yerine tetikte olmalarını ve bir saldırıdan önce verilerinin güvenliğini sağlamak için proaktif önlemler almalarını önerir. Ödemenin kilitli sistemlerin ve şifrelenmiş verilerin yeniden serbest bırakılacağını garanti etmediğini iddia ettiler. FBI, ödememek için bir başka nedenin de siber suçlulara yapılan ödemelerin onları kuruluşlara saldırmaya devam etmelerini teşvik etmesi olduğunu söylüyor.

Bununla birlikte, sistem ve veri erişimi fidyeyi ödedikten sonra garanti edilemese de bazı kurbanlar fidye talebini ödemeyi seçiyor. Bu tür kuruluşlar ödeme yaparak, sistem ve verilerini geri alma ve normal işlemleri hızlı bir şekilde devam ettirebilmek umuduyla ödeme yapma riskiyle karşı karşıyadır. Hesaplamanın bir parçası, üretkenlik kaybı, zaman içindeki gelirin azalması, hassas verilerin açığa çıkarılması ve olası itibar hasarı gibi ikincil maliyetlerde azalmadır.

Fidye ödemesini önlemenin en iyi yolu önleyici önlemler uygulayarak ve kuruluşunuzu saldırganın sisteminize girmek için tam veya artımlı olarak aldığı her adımdan korumak için araç doygunluğuna sahip olarak kurban edilmemektir. Ayrıca, etkilenen varlıkları kurtarma özelliğine sahip olmak, iş operasyonlarının zamanında geri yüklenmesini sağlar. Azure Cloud, size yol gösterecek güçlü bir araç kümesine sahiptir.

İşletmenin tipik maliyeti nedir?

Fidye yazılımı saldırısının herhangi bir kuruluş üzerindeki etkisini doğru şekilde belirlemek zordur. Ancak, kapsama ve türe bağlı olarak etki çok boyutludur ve genel olarak şu şekilde ifade edilir:

  • Veri erişimi kaybı
  • İş operasyon kesintisi
  • Finansal kayıp
  • Fikri mülkiyet hırsızlığı
  • Gizliliği tehlikeye girmiş müşteri güveni ve lekelenmiş bir itibar

Colonial Pipeline, verilerinin serbest bırakılması için yaklaşık 4,4 Milyon abd doları fidye ödedi. Buna kapalı kalma süresi, kayıp üretken, satış kaybı ve hizmetleri geri yükleme maliyeti dahil değildir. Daha geniş anlamda, önemli bir etki, yerel bölgelerindeki kasabalar ve şehirler de dahil olmak üzere her türlü işletme ve kuruluşun çok sayıdaki işletmeyi ve kuruluşu etkilemesinin "darbe etkisi"dir. Finansal etki de şaşırtıcıdır. Microsoft'a göre fidye yazılımı kurtarma ile ilişkili küresel maliyetin 2021'de 20 milyar ABD dolarını aştığı tahmin edilir.

İşletme üzerindeki etkiyi gösteren çubuk grafik

Sonraki adımlar

Teknik incelemeye bakın: Fidye yazılımı saldırısı için Azure savunması teknik incelemesi.

Bu serideki diğer makaleler: