Fidye yazılımı, tehdit aktörlerinin kuruluşları sömürmesi için tehditkar bir yol olarak gelişti. Günümüzün yaygın fidye yazılımı saldırılarının, ölçek ve hasar potansiyeli açısından son yıllardaki saldırılardan çok farklı olduğunu hatırlamak önemlidir. Artık gerçekten Kansas’ta değiliz.
Fidye yazılımı saldırıları geliştikçe, olay müdahalesi (IR) ve kurtarma süreciniz de gelişmelidir – özellikle bir tanesi, IR etkinliği sağlayan yedi temel bileşen etrafında geliştirilmiştir.
Geleneksel IR Yaklaşımıyla İlgili Sorunlar
Fidye yazılımı yeni bir tehdit değil; ancak, saldırılar arttıkça düzeltmeye yönelik yaklaşımlar da değişti.
Geçmişte, saldırılar genellikle birkaç yönetilebilir uç noktayla sınırlıydı, bu nedenle etkilenen sistemlerin yeniden görüntülenmesi, yeniden oluşturulması ve hatta değiştirilmesi için tam bir düzeltme yapılması mantıklıydı. Ayrıca, iyileştirme çabaları tarihsel olarak bir saldırganın belirli eylemlerini geri almak için gerekli görünürlükten yoksundu ve bir tehdidi ortadan kaldırmanın tek yolunun sistemleri yeniden oluşturmak, yeniden oluşturmak veya değiştirmek olduğuna dair varsayılan bir inanca yol açtı. Bu süreç aynı zamanda, genellikle yedek kopyadan yeniden bulaşma tehdidiyle kusurlu olan bir stratejiyi yürütmek için yerde önyükleme gerektiriyordu.
Ne yazık ki, fidye yazılımı saldırılarının sıklığı ve ölçeği arttı—bu günlerde bir ortamda fidye yazılımlarından etkilenen 5.000 sistem, bu eski yaklaşımı maliyetli, zaman alıcı ve müdahalede yer alan tüm taraflar için yorucu hale getiriyor.
Bir kuruluşun uç noktaları tüm dünyaya yayılabileceği zaman, her uç nokta için yerinde müdahale pratik veya uygun maliyetli değildir. Böyle bir olay meydana geldiğinde işi aksatmayı göze alamayan günümüzün Baş Bilgi Güvenliği Görevlileri (CISO’lar) için zamana karşı bir yarış.
Alternatif bir hızlandırılmış IR yaklaşımı, iş kesintilerini önlemek için giderek daha gerekli hale geliyor. Bu yaklaşım, yaygın saldırıları kontrol altına almak ve sistemleri hızlı ve hassas bir şekilde kurtarmak için başarıyla kullanılmıştır. Aşağıdaki yedi temel bileşenden oluşur:
- Anında tehdit görünürlüğü
- Aktif tehdit sınırlaması
- Hızlandırılmış adli analiz
- Gerçek zamanlı yanıt ve kurtarma
- Kurumsal iyileştirme
- Tehdit avı ve izleme
- Yönetilen algılama ve yanıt
Anında tehdit görünürlüğü önemli ilk adımdır. Tam olarak ne olduğunu ve hangi sistemlere bulaştığını görmeden, müdahale ekiplerinin bir ortamı cerrahi olarak kurtarmanın hiçbir yolu yoktur. Kuruluşun sistemleri ve ağları genelinde tehdit bağlamının tamamına ilişkin görünürlüğe sahip olduklarında, tehdidi etkili bir şekilde kontrol altına alabilir, araştırabilir ve düzeltebilir ve kullanıcıları daha az kesintiye uğratarak kuruluşu daha hızlı işine geri döndürebilirler.
Aktif tehdit sınırlaması Tehdidi kontrol altına almak ve fidye yazılımı saldırısının yayılmasını durdurmak için elde edilen görünürlüğü kullanır. Daha fazla yanal hareketi durdurmak için kötü niyetli sistem ve/veya ağ etkinliğini engellemek, virüslü ana bilgisayarları karantinaya almak ve düşmanı ağdan çıkarmak kritik tehdit sınırlama önlemleridir.
Hızlandırılmış adli analiz saldırıyı anlamak ve onu bir tehdit aktörüne atfetmek için daha fazla ayrıntı düzeyi ekler. Güvenlik ekibi, hangi uç noktalara bulaştığı konusunda ilk netliğe sahip olduğunda, belirli bir ana bilgisayar grubundan belirli adli yapay nesneleri toplamanın zamanı gelmiştir. Hızlandırılmış bir IR yaklaşımı, petabaytlarca disk görüntüsünü körü körüne toplamak ve analiz etmek veya terabaytlarca günlük dosyalarını analiz etmek yerine, toplamak ve analiz etmek için yüksek kaliteli yapay nesnelerin belirli bir alt kümesini belirlemek için teknolojiyi kullanır, böylece IR sırasında adli soruşturma süresini önemli ölçüde azaltır. Bu adli analiz yaklaşımının daha hızlı, kaynak açısından daha verimli ve daha uygun maliyetli olduğu kanıtlanmıştır ve nihayetinde kuruluşların uzun ve yıkıcı bir IR etkileşiminden kaçınmasına yardımcı olur.
Gerçek zamanlı yanıt ve kurtarma İşe daha hızlı ve minimum aksamayla geri dönmenin “gizli sosu”dur. Gerçek zamanlı yanıt, IR ekiplerinin sistemleri uzaktan önceliklendirmesine ve düzeltmesine olanak tanıyan bir yetenektir ve tehdit aktörünün yaptıklarını etkili bir şekilde geri alır. Virüs bulaşmış dosyaları silerek, kötü niyetli işlemleri öldürerek, kayıt defteri girdilerini geri yükleyerek ve sistemi kurtarmak için gereken diğer komutları kullanarak uç noktaların cerrahi bir hassasiyetle kurtarılmasına olanak tanır. Gerçek zamanlı yanıt, otomatik komut dosyaları kullanarak kötü amaçlı yazılımları ve kalıcılık mekanizmalarını kaldırarak yüzlerce hatta binlerce sistemin toplu olarak kurtarılmasına yardımcı olur. Güvenlik ekipleri, gerçek zamanlı yanıt kullanarak sistemlerin çoğunu kurtarabilirse, onları hızla tekrar çevrimiçi duruma getirebilir ve olası iş kesintilerini en aza indirebilir. Gerçek zamanlı yanıt kullanılarak kurtarılan sistem sayısı ne kadar fazlaysa, tam sistem iyileştirmesi gerektirenler o kadar az olur.
Kurumsal iyileştirme bir ortamı kurtarmak için virüslü sistemleri yeniden görüntüleme, yeniden oluşturma veya tamamen değiştirme işlemidir. Tehdit aktörlerinin tehdit yaşam döngüsünün derinliklerine indiği ve diskleri şifrelediği ve sistemleri, gerçek zamanlı yanıtla kurtarılamayacakları noktaya kadar tehlikeye attığı senaryolar vardır. Buradaki anahtar, kurtarma ve müdahaleyi yönlendirmek için yukarıdaki bileşenleri kullanarak tam kurumsal iyileştirme gerektiren sistem sayısını en aza indirmektir.
Sürecin bu noktasında, müdahale ekipleri tehdidi kontrol altına aldı, düşmanı dışarı attı, olayı araştırdı ve ortamı kurtardı. Ancak, olay müdahalesi sırasında değer sağlayan iki bileşen daha var.
Tehdit avı ve izleme Bir IR taahhüdü sırasında seçkin bir tehdit avcıları ekibi tarafından en karanlık günlerinden bazılarını geçiren bir kuruluş için bir güvence ve güven düzeyi sağlar. Bir organizasyona tutunan tehdit aktörleri kolay kolay pes etmeyeceklerdir. Görevlerine ulaşmak ve bir kurbanı sömürmek için diğer saldırı vektörlerini deneyecekler. Günümüzün tehdit aktörlerinin kalıcı doğası ve taktikleri göz önüne alındığında, olası tehditleri hızla azaltmak için ortamın yeniden bulaşma veya herhangi bir uygulamalı klavye etkinliği için sürekli olarak izlenmesi, düşmanın artık bir tehdit olmadığı konusunda gönül rahatlığı için önerilir.
Ve son olarak, bir mağdur örgütün liderleri şu soruyu soracak: Bunun tekrar olmasını nasıl önleyebiliriz?
Yönetilen algılama ve yanıt (MDR) tehditleri 1 dakikadan kısa sürede tespit etmek, tehditleri 10 dakika içinde araştırmak ve tehditlere bir saat içinde yanıt vermek üzere tasarlanmış, tam olarak yönetilen bir siber güvenlik hizmetidir. Mağdur kuruluşlar, mevcut siber güvenlik olgunluk düzeylerinin ötesine geçebilir ve yönetilen bir hizmetin uzmanlığını kullanarak yüksek düzeyde bir siber güvenlik elde edebilir.
Özetle, karmaşık yaygın fidye yazılımı saldırılarından minimum iş kesintisi ile kurtarmak, yüzlerce hatta binlerce güvenliği ihlal edilmiş sistemi yeniden görüntüleme, yeniden inşa etme veya değiştirmeye yönelik geleneksel verimsiz ve maliyetli yönteme göre hızlandırılmış bir yaklaşım gerektirir. Günümüzün yaygın güvenlik olayları hakkında derin bilgiye sahip deneyimli müdahale ekipleri tarafından yönetilen hızlı müdahale ve kurtarmaya yönelik modern bir yaklaşım, sizi işinize daha hızlı geri götürecek ve iş sürekliliğini iyileştirecektir. Günümüzün siber güvenlik zorlukları için tasarlanan bu hızlandırılmış IR yaklaşımı, işletmelerin değerli zaman ve paradan tasarruf etmesine ve bu süreçte birçok yıpranmış sinirden tasarruf etmesine yardımcı olur.