Lale Çorumlu

Fidye yazılımı, birçok kuruluş için en önemli güvenlik sorunu haline geldi. Yüksek görünürlüklü fidye yazılımı saldırıları, tedarik zincirlerini kesintiye uğrattı ve Amerika Birleşik Devletleri'nde Siber Güvenlikle ilgili bir Yönetici Kararnamesine ilham verdi.

Fidye yazılımlarının organizasyonlara milyonlara mal olan bu kadar yaygın ve maliyetli bir tehdit olduğu düşünülürse bu şaşırtıcı değil.

Fidye Yazılımını Önleme İçin En İyi BT Güvenliği Uygulamaları

Fidye yazılımı gruplarının, fidye yazılımı dağıtmak ve yüklemek için kullandıkları bir dizi yöntemi vardır. Kuruluşlar, bu makalede özetlenen en iyi güvenlik uygulamalarını takip ederek ve uygulayarak, fidye yazılımı saldırılarına karşı korumalarını önemli ölçüde iyileştirebilir.

1. Güvenlik Duvarı ve Hizmet Yapılandırmaları

Modern fidye yazılımı saldırılarının, şirket ağlarına ilk erişim elde etmek için Uzak Masaüstü Protokolü (RDP) ve Hizmet İleti Bloğu (SMB) protokolü gibi dışarıdan bakan hizmetleri hedef aldığı bilinmektedir. İçeri girdikten sonra, rastgele komutları yürütmek ve algılamayı önlemek için Windows PowerShell ve Windows Komut Dosyası Motoru (WSE) gibi hizmetlerden yararlanırlar.

Kuruluşlar, SMB, RDP ve diğer yönetim hizmetleri gibi hizmetlerin dışarıdan erişilebilir olmadığından emin olmak için güvenlik duvarı ayarlarını gözden geçirmelidir. Ayrıca, kullanımda değilse (veya en düşük ayrıcalığa göre kısıtlanmış) PowerShell ve WSE gibi hizmetleri devre dışı bırakmanın yanı sıra kötü amaçlı etkinlik gösteren IP adreslerinin engellenmesi önerilir.

2. Yama Yönetimi

Yamasız güvenlik açıklarından yararlanmak, fidye yazılımı grupları tarafından kullanılan bir başka yaygın taktiktir. Son zamanlarda, fidye yazılımı grupları , kurumsal ortamlara ilk erişim elde etmek ve fidye yazılımı dağıtmak için harici ağlarda bulunan Log4j güvenlik açığından yararlanmaya ve bunlardan yararlanmaya başladı . Bu saldırılar, birçok kuruluşun güvenlik açıklarını herkese açık olarak bildirildikten çok sonra yamalayarak istismar için bir pencere bırakmasından yararlanır.

Kuruluşların, yamaların işletim sistemlerine, uygulamalara ve üçüncü taraf yazılımlara uygulandığından emin olmak için yama yönetimi çözümlerini gözden geçirmeleri veya uygulamaları önerilir. Bu, fidye yazılımlarına ve genel siber güvenlik saldırılarına karşı koruma sağlamak için gereklidir. Mümkünse, kuruluşlar, "vahşi" veya diğer ağ ortamlarında saldırganlar tarafından istismar edilen güvenlik açıklarını ve yaygın saldırı vektörlerini öğrenmek için tehdit istihbaratını da kullanmalıdır.

3. En Az Ayrıcalıklı Erişim

Fidye yazılımı operatörleri, saldırılarında genellikle aşırı izinlerden yararlanır. Örneğin, bir saldırgan ağ üzerinden kritik sistemlere yanal olarak hareket etmek veya kötü amaçlı yazılımlarını yürütmek için gerekli erişimi elde etmek için yükseltilmiş izinleri kullanabilir.

Kuruluşlar, çalışanlara yalnızca iş rollerinin gerektirdiği erişim ve izinlerin verilmesi gerektiğini belirten en az ayrıcalık ilkesini uygulamalıdır. Ayrıca, yönetici hesapları gerektiren çalışanlar, bu hesapları yalnızca bunları gerektiren görevler için kullanmalıdır. Diğer görevler için, bu kullanıcıların uygun şekilde kısıtlanmış izinlere sahip kullanıcı düzeyinde hesapları olmalıdır.

4. Ağ Segmentasyonu

Ağ segmentasyonu, fidye yazılımlarının yanal hareketine karşı koruma sağlamak için başka bir en iyi uygulamadır. Fidye yazılımı, sistemleri ve kaynakları şifrelemek için ilk erişim noktasından ağ üzerinden yanal olarak hareket eder. Ağ segmentasyonu, fidye yazılımının yayılmasını önleyerek bir enfeksiyonun etkisini en aza indirmeye yardımcı olabilir.

Ağ segmentasyonu, kritik altyapı, işlev ve/veya veri türüne göre gerçekleştirilebilir. İdeal olarak, fiziksel zarara neden olabilecek siber fiziksel saldırıların olasılığını azaltmak için tüm kritik altyapı bölümlere ayrılmalı ve/veya hava boşluklu olmalıdır. BT sistemleri, işleve (örneğin insan kaynakları) veya veri türüne (örneğin hassas bilgiler) göre bölümlere ayrılabilir.

5. Savunma Teknolojileri

Düzgün yapılandırılmış savunma teknolojileri, fidye yazılımı saldırılarına karşı güçlü koruma sağlayabilir. Uç nokta koruma sistemleri ve izinsiz giriş önleme sistemleri (IPS), kötü amaçlı yazılım bulaşmalarını tespit etmeye ve engellemeye yardımcı olurken, SIEM çözümleri önemli görünürlük sağlar ve hızlı olay yanıtını destekler. SIEM çözümleri, güvenlik duvarından, uç nokta koruma sisteminden, IPS'den, web proxy'sinden, DNS sunucularından, işletim sistemlerinden ve kurum içinde sağlanan diğer güvenlik çözümlerinden veri toplayacak şekilde yapılandırılmalıdır.

Fidye Yazılımı Tehditini Yönetme

Fidye yazılımı saldırıları daha yaygın ve karmaşık hale geldikçe, herhangi bir kuruluş bir saldırının hedefi olabilir. Ancak, BT güvenliği en iyi uygulamalarını uygulayarak kuruluşlar, fidye yazılımı tehditlerine maruz kalma durumlarını önemli ölçüde azaltabilir.

Kaynak: https://betanews.com/2022/01/29/designing-security-ransomware/