Fidye yazılımlarına karşı koruma sağlamak için yedekleme ve geri yükleme planı

Fidye yazılımı saldırıları, kuruluşunuzu saldırganlara para ödemeye zorlamak için verileri ve sistemleri kasıtlı olarak şifreler veya siler. Bu saldırılar verilerinizi, yedeklemelerinizi ve ayrıca saldırganlara ödeme yapmadan kurtarmanız için gereken önemli belgeleri hedefler (kuruluşunuzun ödeme olasılığını artırmanın bir aracı olarak).

Bu makalede, kritik iş sistemlerinizi korumak için bir saldırıdan önce ve iş operasyonlarının hızlı bir şekilde kurtarılmasını sağlamak için bir saldırı sırasında yapılması gerekenler ele alır.

Not

Fidye yazılımına hazırlanmak ayrıca WannaCry &(Not)Petya gibi doğal afetlere ve hızlı saldırılara karşı dayanıklılığı artırır.

Fidye yazılımı nedir?

Fidye yazılımı, dosyaları ve klasörleri şifreleyerek önemli verilere ve sistemlere erişimi engelleyen bir tür haraç saldırısıdır. Saldırganlar, genellikle kripto para birimleri biçiminde, şifre çözme anahtarı karşılığında veya gizli verileri karanlık web'e veya genel İnternet'e yayınlamama karşılığında para talep ederek kurbanlardan para almak için fidye yazılımı kullanır.

Erken fidye yazılımlarında çoğunlukla kimlik avı veya cihazlar arasında yayılan kötü amaçlı yazılımlar kullanılırken, insan tarafından çalıştırılan fidye yazılımı, insan saldırısı operatörleri tarafından yönetilen etkin saldırganlardan oluşan bir çetenin bir kuruluştaki tüm sistemleri (tek bir cihaz veya cihaz kümesi yerine) hedeflediği ortaya çıkmıştır. Bir saldırının yapabilecekleri:

  • Verilerinizi şifreleme
  • Verilerinizi dışarı çıkarma
  • Yedeklemelerinizi bozma

Fidye yazılımı, saldırganların kuruluşa sızmak, kuruluş ağında gezinmek ve ortama ve zayıflıklarına uyum sağlamak için ortak sistem ve güvenlik yanlış yapılandırmaları ve güvenlik açıkları hakkında bilgilerinden yararlanmaktadır.

Fidye yazılımı, fidye yazılımı gerçekten belirli bir tarihte yürütülmeden önce, birkaç hafta veya ay içinde verilerinizi sızdırmak için hazırlanabilir.

Fidye yazılımı, anahtarınızı sistemde tutarken verilerinizi yavaş yavaş şifreleyebilir. Anahtarınız hala kullanılabilir durumdayken verileriniz sizin için kullanılabilir durumdadır ve fidye yazılımı dikkatinizi çeken bir durumdur. Ancak yedekleriniz şifrelenmiş verilerdendir. Tüm verileriniz şifrelendiğinde ve son yedeklemeler de şifrelenmiş veriler olduğunda, artık verilerinizi okuyamayacak şekilde anahtarınız kaldırılır.

Gerçek hasar genellikle saldırı gelecekte kötü amaçlı etkinlikler için arka kapı bırakırken dosyaları dışarı sızdığında yapılır ve bu riskler fidyenin ödenip ödenmediğine bağlı olarak devam eder. Bu saldırılar iş operasyonları için yıkıcı olabilir ve temizlenmesi zor olabilir ve gelecekteki saldırılara karşı koruma sağlamak için tam bir saldırgan çıkarma gerektirebilir. Yalnızca kötü amaçlı yazılım düzeltmesi gerektiren erken fidye yazılımı biçimlerinden farklı olarak, insan tarafından çalıştırılan fidye yazılımı ilk karşılaşmadan sonra iş operasyonlarınızı tehdit etmeye devam edebilir.

Saldırının etkisi

Fidye yazılımı saldırısının herhangi bir kuruluş üzerindeki etkisini doğru şekilde ölçmek zordur. Saldırının kapsamına bağlı olarak etki şunları içerebilir:

  • Veri erişimi kaybı
  • İş operasyon kesintisi
  • Finansal kayıp
  • Fikri mülkiyet hırsızlığı
  • Müşteri güveninin tehlikeye atılmış veya itibarının zedelenmiş olduğu
  • Yasal giderler

Kendini nasıl koruyabilirsin?

Fidye yazılımlarına kurban düşmesini önlemenin en iyi yolu önleyici önlemleri uygulamak ve saldırganların sistemlerinize sızmak için atmış olduğu her adımdan kuruluşunuzu koruyan araçlara sahip olmaktır.

Kuruluşunuzu bir bulut hizmetine taşıyarak şirket içi kullanıma sunmanızı azaltabilirsiniz. Microsoft, Microsoft Azure'ı fidye yazılımı saldırılarına karşı dayanıklı hale getiren ve kuruluşların fidye yazılımı saldırı tekniklerini yenen yerel güvenlik özelliklerine yatırım yaptı. Fidye yazılımı ve haraç kullanımı ve kuruluşunuzu koruma hakkında kapsamlı bir görünüm için, İnsan tarafından çalıştırılan Fidye Yazılımı Risk Azaltma Proje Planı PowerPoint sunusunda yer alan bilgileri kullanın.

Bir noktada bir fidye yazılımı saldırısına kurban düşeceğini varsaymalısınız. Verilerinizi korumak ve fidye ödemekten kaçınmak için atabileceğiniz en önemli adımlardan biri, iş açısından kritik bilgileriniz için güvenilir bir yedekleme ve geri yükleme planına sahip olmaktır. Fidye yazılımı saldırganları, yedekleme uygulamalarını ve birim gölge kopyası gibi işletim sistemi özelliklerini etkisiz hale getirmek için büyük yatırımlar yapmış olduğundan, kötü amaçlı bir saldırgana erişilemeyen yedeklemelere sahip olmak kritik önem taşır.

Azure Backup

Azure Backup , hem verileriniz aktarımda hem de beklerken yedekleme ortamınıza güvenlik sağlar. Azure Backup ile şunları yedekleyebilirsiniz:

  • Şirket içi dosyalar, klasörler ve sistem durumu
  • Tüm Windows/Linux VM'leri
  • Azure Yönetilen Diskleri
  • Depolama hesabına Azure dosya paylaşımları
  • Azure VM'lerinde çalışan SQL Server veritabanları

Yedekleme verileri Azure depolama alanında depolanır ve konuk veya saldırganın yedekleme depolama alanına veya içeriğine doğrudan erişimi yoktur. Sanal makine yedeklemesi ile, yedekleme anlık görüntüsü oluşturma ve depolama, konuk veya saldırganın uygulamayla tutarlı yedeklemeler için iş yükünü sessize alma dışında hiçbir müdahaleye sahip olmadığı Azure dokusu tarafından gerçekleştirilir. SQL ve SAP HANA ile yedekleme uzantısı belirli bloblara yazmak için geçici erişim elde eder. Bu şekilde, güvenliği aşılmış bir ortamda bile var olan yedeklemeler saldırgan tarafından oynanamaz veya silinemez.

Azure Backup, Azure Backup ile ilgili olayların eylemlerini görüntülemek ve yapılandırmak için yerleşik izleme ve uyarı özellikleri sağlar. Yedekleme Raporları, kullanımı izlemek, yedeklemeleri ve geri yüklemeleri denetlemek ve farklı ayrıntı düzeylerindeki temel eğilimleri belirlemek için tek noktadan bir hedef görevi görür. Azure Backup'ın izleme ve raporlama araçlarını kullanmak, yetkisiz, şüpheli veya kötü amaçlı etkinlikler gerçekleştiği anda sizi uyarır.

Yalnızca geçerli kullanıcıların çeşitli işlemler gerçekleştirediğinden emin olmak için denetimler eklenmiştir. Bunlar ek bir kimlik doğrulaması katmanı eklemeyi içerir. Kritik işlemler için ek bir kimlik doğrulaması katmanı eklemenin bir parçası olarak, çevrimiçi yedeklemeleri değiştirmeden önce bir güvenlik PIN'i girmeniz istenir.

Azure Backup'ta yerleşik olarak bulunan güvenlik özellikleri hakkında daha fazla bilgi edinin.

Yedeklemeleri doğrulama

Yedeklemeniz oluşturulduktan sonra ve geri yüklemeden önce yedeklemenizin iyi olduğunu doğrulayın. Azure'da verileri barındıran bir depolama varlığı olan Kurtarma Hizmetleri kasası kullanmanızı öneririz. Veriler genellikle verilerin kopyaları ya da sanal makinelerin (VM), iş yüklerinin, sunucuların veya iş istasyonlarının yapılandırma bilgileridir. IaaS VM'leri (Linux veya Windows) ve Azure SQL veritabanlarının yanı sıra şirket içi varlıklar gibi çeşitli Azure hizmetlerinin yedekleme verilerini tutmak için Kurtarma Hizmetleri kasalarını kullanabilirsiniz. Kurtarma Hizmetleri kasaları, yedekleme verilerinizi düzenlemeyi ve aşağıdaki gibi özellikler sağlamayı kolaylaştırır:

  • Üretim ve yedekleme sunucularının güvenliği aşılmış olsa bile yedeklemelerinizin güvenliğini sağlamanızı ve verileri güvenli bir şekilde kurtarabilmenizi sağlayan gelişmiş özellikler. Daha fazla bilgi edinin.
  • Merkezi bir portaldan hibrit BT ortamınız (Azure IaaS VM'leri ve şirket içi varlıklar) için izleme. Daha fazla bilgi edinin.
  • Yedekleme ve geri yükleme erişimini tanımlı bir kullanıcı rolleri kümesine kısıtlayan Azure rol tabanlı erişim denetimi (Azure RBAC) ile uyumluluk. Azure RBAC çeşitli yerleşik roller sağlar ve Azure Backup'ın kurtarma noktalarını yönetmek için üç yerleşik rolü vardır. Daha fazla bilgi edinin.
  • Kötü amaçlı bir aktör bir yedeklemeyi silse bile geçici silme koruması (veya yedekleme verileri yanlışlıkla silinir). Yedekleme verileri 14 gün daha saklanır ve veri kaybı olmadan bir yedekleme öğesinin kurtarılmasını sağlar. Daha fazla bilgi edinin.
  • Bölgeler Arası Geri Yükleme, Azure VM'lerini eşleştirilmiş bir Azure bölgesi olan ikincil bir bölgeye geri yüklemenize olanak tanır. Çoğaltılan verileri ikincil bölgeye istediğiniz zaman geri yükleyebilirsiniz. Bu, azure'ın olağanüstü durum bildirmesini beklemeden (kasanın GRS ayarlarından farklı olarak) denetim uyumluluğu için ve kesinti senaryoları sırasında ikincil bölge verilerini geri yüklemenize olanak tanır. Daha fazla bilgi edinin.

Not

Azure Backup'ta iki tür kasa vardır. Kurtarma Hizmetleri kasalarına ek olarak, Azure Backup tarafından desteklenen daha yeni iş yükleri için verileri barındıran Backup kasaları da vardır.

Saldırıdan önce yapılması gerekenler

Daha önce belirtildiği gibi, bir noktada bir fidye yazılımı saldırısına kurban edeceğinizi varsaymalısınız. İş açısından kritik sistemlerinizi tanımlamak ve bir saldırıdan önce en iyi yöntemleri uygulamak, mümkün olan en kısa sürede yeniden çalışmaya başlamanızı sağlar.

Sizin için en önemli olanı belirleme

Fidye yazılımı bir saldırı planlarken saldırabilir, bu nedenle ilk önceliğiniz sizin için en önemli iş açısından kritik sistemleri tanımlamak ve bu sistemlerde düzenli yedeklemeler yapmaya başlamak olmalıdır.

Deneyimlerimize göre, müşteriler için en önemli beş uygulama bu öncelik sırasına göre aşağıdaki kategorilere ayrılır:

  • Kimlik sistemleri : Kullanıcıların Active Directory, Microsoft Entra Bağlan, AD etki alanı denetleyicileri gibi tüm sistemlere (aşağıda açıklananlar dahil) erişmesi için gereklidir
  • İnsan hayatı – insan hayatını destekleyen ya da tıbbi ya da yaşam destek sistemleri, güvenlik sistemleri (ambulans, sevk sistemleri, trafik ışığı kontrolü), büyük makineler, kimyasal/biyolojik sistemler, gıda veya kişisel ürünlerin üretimi ve diğerleri gibi risk altına sokabilen herhangi bir sistem
  • Finansal sistemler – Parasal işlemleri işleyen ve üç aylık raporlama için ödeme sistemleri ve ilgili veritabanları, finansal sistem gibi işletmeyi çalışır durumda tutan sistemler
  • Ürün veya hizmet etkinleştirme – müşterilerinizin size ödeme yaptığı iş hizmetlerini sağlamak veya fiziksel ürünler üretmek/sunmak için gereken tüm sistemler, fabrika kontrol sistemleri, ürün teslimi/dağıtım sistemleri ve benzeri
  • Güvenlik (en düşük) – Saldırıları izlemek ve minimum güvenlik hizmetleri sağlamak için gereken güvenlik sistemlerini de önceliklendirmeniz gerekir. Bu, geçerli saldırıların (veya kolay fırsatçı saldırıların) geri yüklenen sistemlerinize hemen erişim (veya yeniden kazanma) sağlayamamasına odaklanmalıdır

Önceliklendirilmiş yedekleme listenize de önceliklendirilmiş geri yükleme listenize dönüşür. Kritik sistemlerinizi tanımladıktan ve düzenli yedeklemeler gerçekleştirdikten sonra maruz kalma düzeyinizi azaltmaya yönelik adımları uygulayın.

Saldırıdan önce atılması gereken adımlar

Saldırıdan önce bu en iyi yöntemleri uygulayın.

Görev Ayrıntı
Önce yeniden çevrimiçi olmanız gereken önemli sistemleri belirleyin (yukarıdaki ilk beş kategoriyi kullanarak) ve bu sistemlerin normal yedeklemelerini hemen gerçekleştirmeye başlayın. Bir saldırıdan sonra mümkün olan en hızlı şekilde çalışmaya başlamak için, bugün sizin için en önemli olanı belirleyin.
Kuruluşunuzu buluta geçirin.

Buluta geçişinizi desteklemeye yardımcı olmak için bir Microsoft Birleştirilmiş Destek planı satın almayı veya bir Microsoft iş ortağıyla çalışmayı göz önünde bulundurun.
Otomatik yedekleme ve self servis geri alma ile verileri bulut hizmetlerine taşıyarak şirket içi kullanıma sunmanızı azaltın. Microsoft Azure, iş açısından kritik sistemlerinizi yedeklemenize ve yedeklemelerinizi daha hızlı geri yüklemenize yardımcı olacak güçlü bir araç kümesine sahiptir.

Microsoft Birleştirilmiş Destek, ihtiyacınız olduğunda size yardımcı olacak bir bulut hizmetleri destek modelidir. Birleştirilmiş Destek:

Gereken sorun çözümü ve kritik olay yükseltmesi ile 7/24 kullanılabilen belirlenmiş bir ekip sağlar

BT ortamınızın durumunu izlemenize yardımcı olur ve sorunların oluşmadan önce engellenmesini sağlamak için proaktif olarak çalışır
Sürüm oluşturma ve geri dönüşüm kutusu özelliklerinden yararlanmak için kullanıcı verilerini OneDrive ve SharePoint gibi bulut çözümlerine taşıyın.

Gecikmeleri ve kurtarma maliyetini azaltmak için kullanıcıları dosyalarını kendi başlarına kurtarma konusunda eğitin. Örneğin, bir kullanıcının OneDrive dosyalarına kötü amaçlı yazılım bulaşmışsa, onedrive'larının tamamını önceki bir zamana geri yükleyebilir.

Kullanıcıların kendi dosyalarını geri yüklemesine izin vermeden önce Microsoft Defender XDR gibi bir savunma stratejisini göz önünde bulundurun.
Microsoft bulutundaki kullanıcı verileri yerleşik güvenlik ve veri yönetimi özellikleriyle korunabilir.

Kullanıcılara kendi dosyalarını nasıl geri yükleyebileceklerini öğretmek iyidir, ancak kullanıcılarınızın saldırıyı gerçekleştirmek için kullanılan kötü amaçlı yazılımları geri yüklememesi konusunda dikkatli olmanız gerekir. Yapmanız gerekenler:

Saldırganın çıkarıldığından emin olana kadar kullanıcılarınızın dosyalarını geri yüklemediğinden emin olun

Bir kullanıcının kötü amaçlı yazılımlardan bazılarını geri yüklemesi durumunda bir risk azaltma işlemine sahip olun

Microsoft Defender XDR, etkilenen varlıkları güvenli bir duruma geri döndürmek için yapay zeka destekli otomatik eylemleri ve playbook'ları kullanır. Microsoft Defender XDR, bir olayla ilgili tüm etkilenen varlıkların mümkün olduğunca otomatik olarak düzeltilmesini sağlamak için paket ürünlerinin otomatik düzeltme özelliklerinden yararlanır.
Microsoft bulut güvenliği karşılaştırmasını uygulayın. Microsoft bulut güvenliği karşılaştırması NIST SP800-53, CIS Denetimleri v7.1 gibi sektör tabanlı güvenlik denetimi çerçevelerini temel alan güvenlik denetim çerçevemizdir. Kuruluşlara Azure ve Azure hizmetlerini yapılandırma ve güvenlik denetimlerini uygulama konusunda rehberlik sağlar. Bkz. Yedekleme ve Kurtarma.
İş sürekliliği/olağanüstü durum kurtarma (BC/DR) planınızı düzenli olarak kullanın.

Olay yanıtı senaryolarını simüle edin. Bir saldırıya hazırlanırken gerçekleştirdiğiniz alıştırmalar, önceliklendirilmiş yedekleme ve geri yükleme listelerinizin etrafında planlanmalı ve yürütülmelidir.

BC/DR'nizin kritik iş operasyonlarını sıfır işlevsellikten (tüm sistemler kapalı) hızla çevrimiçi hale getirebilmesini sağlamak için düzenli olarak 'Sıfırdan Kurtar' senaryolarını test edin.
Bir fidye yazılımı veya haraç saldırısına doğal afetle aynı öneme sahip davranarak iş operasyonlarının hızlı bir şekilde kurtarılmasını sağlar.

Bant dışı çalışan ve müşteri iletişimleri de dahil olmak üzere ekipler arası süreçleri ve teknik yordamları doğrulamak için alıştırma alıştırmaları gerçekleştirin (tüm e-posta ve sohbetlerin kapalı olduğunu varsayın).
Olası riskleri belirlemek ve önleyici denetimler ve eylemler aracılığıyla nasıl aracılık edeceğinizi ele almak için bir risk kaydı oluşturmayı göz önünde bulundurun. Yüksek olasılık ve yüksek etki senaryosu olarak risk kaydı yapmak için fidye yazılımı ekleyin. Risk kaydı, riskin oluşma olasılığına ve bu riskin oluşması durumunda işletmenizin önem derecesine göre risklere öncelik vermenize yardımcı olabilir.

Enterprise Risk Management (ERM) değerlendirme döngüsü aracılığıyla risk azaltma durumunu izleyin.
Tüm kritik iş sistemlerini düzenli bir zamanlamaya göre (Active Directory gibi kritik bağımlılıkların yedekleri dahil) otomatik olarak yedekleyin.

Yedeklemeniz oluşturulduktan sonra yedeklemenizin iyi olduğunu doğrulayın.
Son yedeklemeye kadar verileri kurtarmanıza olanak tanır.
Geri yükleme yordamı belgeleri, CMDB, ağ diyagramları ve SolarWinds örnekleri gibi kurtarma için gereken destekleyici belgeleri ve sistemleri koruyun (veya yazdırın). Saldırganlar, kurtarma yeteneğinizi etkilediğinden bu kaynakları kasten hedefler.
Tehdit bilgileri sağlayıcıları, kötü amaçlı yazılımdan koruma çözümü sağlayıcıları ve kötü amaçlı yazılım analizi sağlayıcısının desteği olmak üzere üçüncü taraf desteğine yönelik ayrıntılı yordamlara sahip olduğunuzdan emin olun. Bu yordamları koruyun (veya yazdırın). Verilen fidye yazılımı değişkeninde bilinen zayıflıklar veya şifre çözme araçları varsa üçüncü taraf kişiler yararlı olabilir.
Yedekleme ve kurtarma stratejisinin şunları içerdiğini emin olun:

Verileri belirli bir noktaya yedekleme olanağı.

Yedeklerin birden çok kopyası yalıtılmış, çevrimdışı (havayla eşlenen) konumlarda depolanır.

Yedeklenen bilgilerin ne kadar hızlı alınabileceğini ve üretim ortamına yerleştirilebileceğini belirten kurtarma süresi hedefleri.

Bir üretim ortamına/korumalı alana yedeklemenin hızlı bir şekilde geri yüklenmesi.
Bir kuruluş ihlal edildikten sonra yedeklemeler dayanıklılık için gereklidir. Maksimum koruma ve kullanılabilirlik için 3-2-1 kuralını uygulayın: 3 kopya (özgün + 2 yedekleme), 2 depolama türü ve 1 site dışı veya soğuk kopya.
Yedeklemeleri kasıtlı silmeye ve şifrelemeye karşı koruyun:

Yedeklemeleri çevrimdışı veya site dışı depolama alanında ve/veya sabit depolama alanında depolayın.

Çevrimiçi yedeklemenin değiştirilmesine veya silinmesine izin vermeden önce bant dışı adımları (MFA veya güvenlik PIN'i gibi) zorunlu kılın.

Kurtarma Hizmetleri kasanızdaki verileri güvenli bir şekilde yedeklemek ve geri yüklemek için Azure Sanal Ağ içinde özel uç noktalar oluşturun.
Saldırganlar tarafından erişilebilen yedeklemeler, iş kurtarma için kullanılamaz hale getirilebilir.

Çevrimdışı depolama, herhangi bir ağ bant genişliği kullanmadan yedekleme verilerinin sağlam bir şekilde aktarılmasını sağlar. Azure Backup, ilk yedekleme verilerini ağ bant genişliği kullanmadan çevrimdışı olarak aktaran çevrimdışı yedeklemeyi destekler. Yedekleme verilerini fiziksel depolama cihazlarına kopyalamak için bir mekanizma sağlar. Cihazlar daha sonra yakındaki bir Azure veri merkezine gönderilir ve bir Kurtarma Hizmetleri kasasına yüklenir.

Çevrimiçi sabit depolama (Azure Blob gibi), iş açısından kritik veri nesnelerini WORM (Bir Kez Yaz, Çok Oku) durumunda depolamanıza olanak tanır. Bu durum, verileri kullanıcı tarafından belirtilen bir aralık için silinemez ve değiştirilemez hale getirir.

Çok faktörlü kimlik doğrulaması (MFA) tüm yönetici hesapları için zorunlu olmalıdır ve tüm kullanıcılar için kesinlikle önerilir. Tercih edilen yöntem, mümkün olduğunda SMS veya ses yerine bir kimlik doğrulayıcı uygulaması kullanmaktır. Azure Backup'ı ayarlarken, Kurtarma hizmetlerinizi Azure portalında oluşturulan bir güvenlik PIN'ini kullanarak MFA'yı etkinleştirecek şekilde yapılandırabilirsiniz. Bu, bir kurtarma noktasını güncelleştirme veya kaldırma gibi kritik işlemleri gerçekleştirmek için bir güvenlik pini oluşturulmasını sağlar.
Korumalı klasörleri belirleyin. Yetkisiz uygulamaların bu klasörlerdeki verileri değiştirmesini zorlaştırır.
İzinlerinizi gözden geçirin:

Dosya paylaşımları, SharePoint ve diğer çözümler üzerinde kapsamlı yazma/silme izinlerini keşfedin. Geniş, iş açısından kritik veriler için yazma/silme izinlerine sahip olan birçok kullanıcı olarak tanımlanır.

İş işbirliği gereksinimlerini karşılarken geniş kapsamlı izinleri azaltın.

Geniş izinlerin yeniden ortaya çıkmasın diye denetim ve izleme.
Geniş erişim sağlayan fidye yazılımı etkinliklerinin riskini azaltır.
Kimlik avı girişimine karşı koruma:

Kullanıcıların kimlik avı girişimini tanımlamasına yardımcı olmak ve güvenliğin aşılması için ilk giriş noktası oluşturabilecek bir öğeye tıklamaktan kaçınmak için düzenli olarak güvenlik farkındalığı eğitimi gerçekleştirin.

Başarılı bir kimlik avı girişimi olasılığını algılamak ve en aza indirmek için e-postaya güvenlik filtreleme denetimleri uygulayın.
Saldırganlar tarafından bir kuruluşa sızmak için kullanılan en yaygın yöntem, e-posta yoluyla kimlik avı girişimleridir. Exchange Online Protection (EOP), kuruluşunuzu istenmeyen postalara, kötü amaçlı yazılımlara ve diğer e-posta tehditlerine karşı koruyan bulut tabanlı filtreleme hizmetidir. EOP, Exchange Online posta kutularına sahip tüm Microsoft 365 kuruluşlarına dahildir.

E-posta için güvenlik filtreleme denetimine örnek olarak Kasa Bağlantıları verilmiştir. Kasa Bağlantıları, gelen posta akışı sırasında e-posta iletilerindeki URL'lerin ve bağlantıların taranmasını ve yeniden yazılmasını ve e-posta iletileriyle diğer konumlardaki URL'lerin ve bağlantıların (Microsoft Teams ve Office belgeleri) tıklama zamanında doğrulanmasını sağlayan bir Office 365 için Defender özelliğidir. Kasa Bağlantılar taraması, EOP'deki gelen e-posta iletilerinde normal istenmeyen posta önleme ve kötü amaçlı yazılımdan korumanın yanı sıra gerçekleşir. Kasa Bağlantıları tarama, kuruluşunuzun kimlik avı ve diğer saldırılarda kullanılan kötü amaçlı bağlantılardan korunmasına yardımcı olabilir.

Kimlik avı koruması hakkında daha fazla bilgi edinin.

Saldırı sırasında yapılması gerekenler

Saldırıya uğradıysanız, önceliklendirilmiş yedekleme listenize önceliklendirilmiş geri yükleme listenize dönüşür. Geri yüklemeden önce yedeklemenizin iyi olduğunu yeniden doğrulayın. Yedeklemenin içinde kötü amaçlı yazılım arayabilirsiniz.

Saldırı sırasında atılması gereken adımlar

Saldırı sırasında bu en iyi yöntemleri uygulayın.

Görev Ayrıntı
Saldırının başlarında, özellikle tehdit bilgileri sağlayıcılarından, kötü amaçlı yazılımdan koruma çözümü sağlayıcılarından ve kötü amaçlı yazılım analizi sağlayıcısından gelen destek olmak üzere üçüncü taraf desteğine katılın. Bu kişiler, verilen fidye yazılımı değişkeninde bilinen bir zayıflık veya şifre çözme araçları varsa yararlı olabilir.

Microsoft Algılama ve Yanıt Ekibi (DART) sizi saldırılardan korumaya yardımcı olabilir. DART, dünyanın dört bir yanındaki müşterilerle etkileşim kurar, saldırı gerçekleşmeden önce saldırılara karşı korunmaya ve sağlamlaştırmaya yardımcı olur, ayrıca bir saldırı gerçekleştiğinde araştırma ve düzeltme sağlar.

Microsoft, Hızlı Fidye Yazılımı Kurtarma hizmetleri de sağlar. Hizmetler yalnızca Microsoft Global Compromise Recovery Security Practice (CRSP) tarafından sunulur. Fidye yazılımı saldırısı sırasında bu ekibin odak noktası, kimlik doğrulama hizmetini geri yüklemek ve fidye yazılımının etkisini sınırlamaktır.

DART ve CRSP, Microsoft'un Industry Solutions Delivery güvenlik hizmet hattının bir parçasıdır.
Yerel veya federal kolluk kuvvetlerinize başvurun. Birleşik Devletler iseniz, IC3 Şikayet Referans Formu'nu kullanarak fidye yazılımı ihlalini bildirmek için FBI ile iletişime geçin.
Kötü amaçlı yazılım veya fidye yazılımı yükünü ortamınızdan kaldırmak ve yayılmayı durdurmak için adımlar atın.

Fidye yazılımıyla ilişkili yükü algılamak ve kaldırmak için tüm şüpheli bilgisayarlarda ve cihazlarda tam, güncel bir virüsten koruma taraması çalıştırın.

Verileri eşitleyen cihazları veya eşlenen ağ sürücülerinin hedeflerini tarayın.
Windows Defender'ı veya (eski istemciler için) Microsoft Security Essentials'ı kullanabilirsiniz.

Fidye yazılımlarını veya kötü amaçlı yazılımları kaldırmanıza da yardımcı olacak bir alternatif, Kötü Amaçlı Yazılımları Temizleme Aracı 'dır (MSRT).
önce iş açısından kritik sistemleri geri yükleyin. Geri yüklemeden önce yedeklemenizin iyi olduğunu yeniden doğrulamayı unutmayın. Bu noktada, her şeyi geri yüklemeniz gerekmez. Geri yükleme listenizdeki en önemli beş iş açısından kritik sistemlere odaklanın.
Çevrimdışı yedeklemeleriniz varsa, fidye yazılımı yükünü (kötü amaçlı yazılım) ortamınızdan kaldırdıktan sonra şifrelenmiş verileri geri yükleyebilirsiniz. Gelecekteki saldırıları önlemek için geri yüklemeden önce fidye yazılımı veya kötü amaçlı yazılımların çevrimdışı yedeklemenizde olmadığından emin olun.
Virüs bulaşmadığı bilinen güvenli bir zaman noktası yedekleme görüntüsü belirleyin.

Kurtarma Hizmetleri kasası kullanıyorsanız, yedeklemeyi geri yüklemek için doğru zaman noktasını anlamak için olay zaman çizelgesini dikkatle gözden geçirin.
Gelecekteki saldırıları önlemek için geri yüklemeden önce yedeklemeyi fidye yazılımı veya kötü amaçlı yazılım için tarayın.
Tam işletim sistemi geri yükleme ve veri geri yükleme senaryoları için bir güvenlik tarayıcısı ve diğer araçları kullanın. Microsoft Güvenlik Tarayıcısı, Windows bilgisayarlarından kötü amaçlı yazılımları bulmak ve kaldırmak için tasarlanmış bir tarama aracıdır. Kötü amaçlı yazılımları bulmak ve tanımlanan tehditler tarafından yapılan değişiklikleri tersine çevirmeye çalışmak için indirmeniz ve tarama yapmanız yeterlidir.
Virüsten koruma veya uç noktada algılama ve yanıtlama (EDR) çözümünüzün güncel olduğundan emin olun. Ayrıca güncel düzeltme ekleriniz de olması gerekir. Uç Nokta için Microsoft Defender gibi bir EDR çözümü tercih edilir.
İş açısından kritik sistemler çalışır duruma getirildikten sonra diğer sistemleri geri yükleyin.

Sistemler geri yüklendikçe, geri yüklediğiniz veriler hakkında biçimlendirici kararlar alabilmeniz için telemetri verilerini toplamaya başlayın.
Telemetri verileri, kötü amaçlı yazılımların hala sistemlerinizde olup olmadığını belirlemenize yardımcı olmalıdır.

Saldırı sonrası veya simülasyon

Fidye yazılımı saldırısı veya olay yanıtı simülasyonu sonrasında, yedekleme ve geri yükleme planlarınızın yanı sıra güvenlik duruşunuzu geliştirmek için aşağıdaki adımları uygulayın:

  1. İşlemin düzgün çalışmadığı yerlerde öğrenilen dersleri belirleyin (ve süreci basitleştirme, hızlandırma veya başka bir şekilde geliştirme fırsatları)
  2. En büyük güçlükler üzerinde kök neden analizi gerçekleştirin (çözümlerin doğru sorunu ele alındığından emin olmak için yeterli ayrıntıda ( kişileri, süreci ve teknolojiyi göz önünde bulundurarak)
  3. Orijinal ihlali araştırın ve düzeltin (yardım için Microsoft Algılama ve Yanıt Ekibi'ne (DART) başvurun)
  4. Alınan derslere ve fırsatlara göre yedekleme ve geri yükleme stratejinizi güncelleştirin; öncelikle en yüksek etkiyi ve en hızlı uygulama adımlarını temel alarak önceliklendirme

Sonraki adımlar

Bu makalede, fidye yazılımlarına karşı koruma sağlamak için yedekleme ve geri yükleme planınızı geliştirmeyi öğrendiniz. Fidye yazılımı koruması dağıtmaya yönelik en iyi yöntemler için bkz. Fidye yazılımlarına ve haraçlara karşı hızlı koruma.

Önemli sektör bilgileri:

Microsoft Azure:

Microsoft 365:

Microsoft Defender XDR:

Microsoft Güvenlik ekibi blog gönderileri: