Fidye Yazılımı Kurbanlarının %49'u Saldırıyı Tespit Etmeden Önce Veri Kaybediyor

Fidye Yazılımı Kurbanlarının %49'u Saldırıyı Tespit Etmeden Önce Veri Kaybediyor

Fidye yazılımı her zaman can sıkıcı bir sorun olmuştur, ancak yeni bir rapor tespitin ne kadar başarısız olduğunu gözler önüne seriyor: fidye yazılımı kurbanlarının neredeyse yarısı, bir saldırganın ağlarında olduğunu fark etmeden önce verileri çalınmıştı. Bu rakam bir önceki yıl %31'den keskin bir şekilde yükseldi ve bu da saldırganların sadece daha cüretkâr olmakla kalmayıp aynı zamanda daha sabırlı ve gizli hale geldiğini gösteriyor.

Tespit öncesi ortalama bekleme süresi şu anda yaklaşık 2,5 hafta. Bu, bir saldırganın sistemlerinizi sessizce haritalandırabileceği, en değerli dosyalarınızı belirleyip dışarı çıkarabileceği 17 veya daha fazla gün demek; hem de tek bir uyarı bile tetiklenmeden.

Asıl Tehdit Veri Sızdırma, Sadece Şifreleme Değil

Çoğu kişi fidye yazılımını dramatik bir olay olarak hayal eder: dosyalar kilitlenir, fidye notu belirir, operasyonlar durma noktasına gelir. Bu imaj giderek geçerliliğini yitiriyor. Modern fidye yazılımı grupları iki aşamalı bir stratejiye geçti. Önce verileri çalıyorlar. Ardından, şifrelemeyi uyguladıklarında (eğer uygularlarsa) mağdurlarına iki ayrı tehdit yöneltiyorlar: erişimi geri yüklemek için ödeme yap, ve çalınan verilerin yayınlanmasını önlemek için tekrar ödeme yap.

Genellikle çifte şantaj olarak adlandırılan bu yaklaşım, hesabı tamamen değiştiriyor. Şifrelenmiş dosyaları hızlıca geri yükleyebilecek sağlam yedekleme sistemlerine sahip kuruluşlar bile hassas müşteri kayıtlarının, mali belgelerin veya fikrî mülkiyetin ifşa edilmesiyle karşı karşıya kalıyor. O noktada şifreleme neredeyse ikincil hale geliyor.

Veri hırsızlığının yıldan yıla vakaların yarısından fazlasında şantaj faaliyetinin tutarlı bir özelliği olmaya devam etmesi, bunun geçici bir trend olmadığını doğruluyor. Artık varsayılan oyun planı bu.

Tespit Neden Daha da Geri Kalıyor?

İzinsiz giriş ile tespit arasındaki büyüyen fark, birkaç birleşen soruna işaret ediyor.

Birincisi, saldırganlar hedef ortamda zaten var olan meşru araçları giderek daha fazla kullanıyor. Güvenlik yazılımları tanımadık zararlı yazılım imzalarını işaretlemek üzere tasarlanmıştır, ancak bir saldırgan dosyaları taşımak için yerleşik sistem araçlarını kullandığında bu eylemler genellikle normal yönetici davranışından ayırt edilemez.

İkincisi, birçok kuruluş hâlâ büyük ölçüde çevre savunmalarına bel bağlıyor. Güvenlik duvarları ve şifrelenmiş tüneller aktarım halindeki verileri korur, ancak bir saldırgan geçerli kimlik bilgilerine sahip olduğunda veya ağ içinde bir dayanak noktası oluşturduğunda, çevre araçları yatayda neler olduğuna dair çok az görünürlük sunar.

Üçüncüsü, uyarı yorgunluğu güvenlik operasyon merkezlerinde gerçek ve iyi belgelenmiş bir sorundur. Tespit sistemleri günde binlerce düşük sadakatli uyarı ürettiğinde, gerçek izinsiz giriş sinyalleri gömülür. Saldırganlar bunu bilir ve faaliyetlerini gürültülü dönemlere denk getirecek şekilde zamanlar.

Sadece VPN dahil olmak üzere tek bir araca güvenmenin neden sahte bir güvenlik hissi yarattığı da buradan gelir. VPN, cihazınız ile internet arasındaki trafiği şifreler; bu da aktarım halindeki verileri korur ve IP adresinizi maskeler. Ancak, hâlihazırda ele geçirilmiş bir makinede çalışan zararlı yazılımı tespit etmek veya engellemek için hiçbir şey yapmaz ve kimlik bilgileri çalındıktan sonra saldırganın davranışına dair hiçbir görünürlük sunmaz. Avustralya'daki youX veri ihlali, saldırganların bir fintech firmasındaki hassas kimlik verilerine eriştiği bu olay, sofistike izinsiz girişlerin yüzeysel korumaları nasıl aşabileceğini ve gerçek dünyada zincirleme sonuçlara neden olabileceğini göstermektedir.

Bu Sizin İçin Ne Anlama Geliyor?

İster bireysel bir profesyonel olun ister bir kuruluşun BT ekibinin parçası, ortalama 2,5 haftalık bekleme süresi güvenlik hakkındaki düşünce şeklinizi yeniden çerçevelendirmelidir.

Soru artık yalnızca "saldırganları nasıl dışarıda tutarım?" değil. Aynı zamanda "birisi zaten içerideyse ne kadar çabuk bilirim ve ne bulurdu?" sorusudur.

Bireyler ve küçük işletmeler için bu şu anlama gelir:

• Kimlik bilgilerinin ele geçirilebileceğini varsayın. Her yerde, özellikle e-posta, bulut depolama ve tüm uzaktan erişim araçlarında çok faktörlü kimlik doğrulama kullanın. Çalınan kimlik bilgileri en yaygın giriş noktasıdır.
• Erişilebilir olanı sınırlandırın. Her sistem veya dosya paylaşımının her cihazdan erişilebilir olması gerekmez. Erişimi kısıtlamak, saldırganın ilk girişten sonra ulaşabileceklerini azaltır.
• Yalnızca bilinen tehditleri değil, anormallikleri izleyin. Bir kullanıcı hesabının daha önce hiç dokunmadığı dosyalara aniden erişmesi gibi olağandışı davranışları işaretleyen uç nokta tespit araçları, yalnızca imza tabanlı antivirüslerden daha değerlidir.
• Bir olay müdahale planınız olsun. Doğrulanmış bir ihlalin ilk saatinde atılacak adımları tam olarak bilmek hasarı önemli ölçüde sınırlar. Birçok kuruluş, bir sürece şiddetle ihtiyaç duyana kadar belgelenmiş bir süreçleri olmadığını keşfeder.
• Yedeklerinizi bölümlere ayırın. Birincil sistemlerle aynı ağda saklanan yedekler, saldırganlar tarafından bekleme süreleri boyunca şifrelenebilir veya silinebilir. Çevrimdışı veya değiştirilemez yedekler ayrı bir koruma katmanıdır.

VPN'ler, özellikle güvenilmeyen ağlarda trafiği güvence altına almak ve pasif izlemeye karşı gizliliği korumak için gerçekten faydalı bir araç olmaya devam ediyor. Ancak rolleri, tam bir savunma değil, birçok katman arasında bir katmandır.

Katmanlı Bir Savunma Stratejisi Oluşturmak

En etkili güvenlik duruşu, tespit etmeye önlemekle eşit öncelik verir. Önlemek asla mükemmel değildir ve veriler saldırganların bunu atlatmada daha iyi hale geldiğini doğruluyor. Sadece saldırganları dışarıda tutmaya yatırım yapan, ancak içeri girdikten sonra onları tespit etmek için hiçbir şey yapmayan kuruluşlar ve bireyler, en önemli pencere boyunca etkili bir şekilde kördür.

Katmanlı savunma; çevre araçlarını, uç nokta izlemeyi, ağ trafik analizini, sıkı erişim kontrollerini ve kullanıcı eğitimini birleştirmek anlamına gelir. Hiçbir tek ürün tüm boşlukları kapatmaz, bu yüzden güvenlik endüstrisi tek bir sihirli değnek yerine derinlemesine savunmadan bahseder.

Tespit öncesi veri hırsızlığındaki keskin artış, tehdit ortamının olgunlaştığının açık bir işaretidir. Saldırganlar her zamankinden daha disiplinli ve sabırlı bir şekilde faaliyet gösteriyor. Uygun yanıt, bir olay meydana geldikten sonra reaktif araç satın almak yerine, bu disiplini aynı derecede bilinçli, katmanlı savunmalarla eşleştirmektir.

Hangi hassas verileri tuttuğunuzu, bunların nerede olduğunu ve bunlara kimin erişebildiğini denetleyerek başlayın. Bu görünürlük tek başına sizi çoğu hedefin önüne koyar.