Güçlü Veri Güvenliğiyle Fidye Yazılımları Durdurun!

İşletmenizi tamamen durma noktasına getirebilecek fidye yazılımlarından korunmak için farklı kabiliyetlere sahip güçlü bir güvenlik çözümüne ihtiyacınız var.

Fidye yazılımı saldırıları şehirlerin ve işletmelerin belini büküyor. Geçen yıla baktığımızda, sadece söz konusu yıl içinde saldırılarda %41 artış görüldü. Siber Güvenlik Şirketleri tahminlerine göre; 2021 yılına kadar her 11 saniyede bir işletmelerden biri fidye yazılımı saldırısına maruz kalacak ve bunun işletmelere tahmini maliyeti ise yaklaşık 20 milyar dolar olacak. Fikir vermesi bakımından, herkesi durup düşündürecek, işletmelerini tamamen durma noktasına getirmeyi önleyecek tedbirler almaya sevk edecek fidye yazılımlarına ilişkin bazı istatistiklere aşağıda yer verilmektedir.

• Emsisoft verilerine bakıldığında; 2019 yılında ABD’de fidye yazılımı saldırılarından yaklaşık olarak 1000 işletme etkilendi.
• CRN verilerine göre; belediye idari teşkilatları, üniversiteler ve özel işletmeler 2020 yılında meydana gelen en büyük fidye yazılımı saldırılarına yanıt vermek amacıyla; ağların yeniden kurulması ve yedeklemelerin geri kazanılmasından tutun da bilgisayar korsanlarına fidye ödenmesine kadar birçok konuda harcama yaparken 144 milyon dolardan fazla maliyet yüklenmiştir.
• Datto verilerine göre; fidye yazılımlarının neden olduğu aksaklık süresinin ortalama maliyeti 2018 yılında 46.800 dolardan 2019 yılında 141.000 dolara yükselerek %200 üzerinde artış göstermiştir.

Fidye yazılımları işletmenizin içine nasıl sızıyor?

Kısaca açıklamak gerekirse, fidye yazılımı; siz veya şirketiniz fidye ödeyinceye kadar siber suçlular tarafından bütün sisteminizi veya belirli birtakım hassas dosyaları/veri tabanlarını bloke etmek amacıyla kullanılan oldukça saldırgan, kötü amaçlı bir yazılım türüdür. Fidye yazılımı saldırıları genel itibarıyla herhangi bir veri ihlaline neden olmamakla birlikte son zamanlarda siber suçlular şifrelemeyi devreye almadan önce verileri kopyalayarak ardından verileri ifşa etme tehdidiyle kurbanlarını ödeme yapmaya zorlama yoluna gitmeye başladı.

Bir fidye yazılımı saldırısı şöyle gerçekleşiyor:

• Kötü amaçlı yazılım veri yükünü taşıyan şüpheli bir bağlantıya veya e-posta ekine farkında olmadan tıklıyorsunuz.
• Kötü amaçlı yazılım, dizüstü bilgisayarınızda çalışıyor ve sistemdeki bütün dosyaları şifreleyerek verilerinize erişmenizi
  engelliyor.
• Söz konusu kötü amaçlı yazılım, dizüstü bilgisayarınızdan bir sunucuya geçiş yapabilir ve ilgili sunucu üzerinde bulunan iş bakımından kritik bütün dosyaları şifreleyebilir; böyle bir durum bütün şirketinizi etkileyebilir.

Temel güvenlik tedbirleri yetersiz kalıyor.

Birçok işletme, fidye yazılımı saldırılarına karşı savunma amacıyla aşağıdaki temel güvenlik tedbirlerini almaktadır.

• Güvenlik Farkındalık Eğitimi: İşletmeye yönelik potansiyel siber saldırılara karşı savunma amacıyla simülasyon alıştırmaları yoluyla çalışanların kimlik hırsızlığına (phishing) ilişkin şüpheli e-postaları tanıması amacıyla farkındalık eğitimi veriliyor. Ancak, sadece tek bir çalışanın yanlışlıkla kimlik hırsızlığı amacıyla gönderilen böyle bir e-postayı açması çalıştığı şirketin ağına kötü amaçlı yazılımların sızması için yeterli oluyor.

• Güvenli E-posta/Ağ Geçitlerinin Kullanımı: Bu teknik, e-posta yoluyla gönderilen fidye yazılımı saldırılarına karşı savunma amacıyla kullanılabilir. Ancak, güvenli ağ/e-posta geçitleri, imzasına sahip olmadığı kötü amaçlı yazılımların yeni türlerini tespit edemiyor.

En Güncel Yazılım Yamalarının Uygulanması: Bütün sistemlerinizi düzenli olarak tarayarak yüksek önceliğe sahip güvenlik açıklarına ilişkin yamaların uygulanması, bir fidye yazılımı tarafından istismar edilebilecek açıklara karşı bütün sistemlerinizi düzenli olarak tarayarak yüksek önceliğe sahip güvenlik açıklarına ilişkin yamaların uygulanması, bir fidye yazılımı tarafından istismar edilebilecek açıklara karşı savunmada yardımcı olmaktadır. Ancak, fidye yazılımları henüz hiçbir yaması olmayan, hâlihazırda bilinmeyen (0. gün) güvenlik açıklarını kullanarak sisteme kolaylıkla sızabilir.

DNS Sorgularının İzlenmesi: Fidye yazılımı bir sunucuya/uç noktaya sızdıktan sonra, şifreleme anahtarlarını değiştirmesi için bulunduğu sisteme genellikle bir komuta ve kontrol (CnC) sunucu çağrısı yapıyor. Bilinen fidye yazılımı alanlarına (“killswitch” vb.) DNS sorgularını izlemek ve bunları dahili DNS “sinkhole” sunucularına yönlendirmek fidye yazılımlarının dosyaları şifrelemesini engelleyebilir. Ancak DNS sunucuları yeni fidye yazılımı saldırıları tarafından kullanılan henüz bilinmeyen CnC alanlarını engelleyemiyor.

Kritik Verilerin Düzenli Aralıklarla Yedeklenmesi: Alınan bütün bu önlemlere karşın bütün güvenlik savunmalarının yetersiz kaldığı durumlarda fidye yazılımı saldırısı iş bakımından kritik bütün verileri şifrelemede başarılı olabilir. Bir fidye yazılımı saldırısından kurtulmanın en iyi yolu güvenli bir yedekleme sistemini idame ettirmek ve ayrıca işletmelerin iş bakımından kritik verilerini kurtarmasına imkân veren net bir geri kazanım planına sahip olmaktır. Ancak, sistem yedekleme/kurtarma pahalı ve zaman alan bir süreçtir.

Yukarıda açıklananlar denenmiş ve doğru en iyi uygulamalar olmasına karşın birçok şirket fidye yazılımı saldırılarını önlemede yine de yetersiz kalmaktadır. Hal böyleyken verilerinizi fidye yazılımlarına karşı daha yeterli ve etkin şekilde koruyabilmek için ne yapmanız gerekiyor?

Fidye yazılımı saldırılarının veri erişim politikalarıyla önlenmesi

Her türlü bilinmeyen kötü amaçlı yazılımın (fidye yazılımı içeren çalıştırılabilir (binary) dosyalar dâhil) verilerinizi rehin almasını etkin bir şekilde engellemek için; aşağıdaki özellikleri sunma kabiliyetine sahip güçlü bir güvenlik çözümüne ihtiyacınız vardır:

• Uygulamaları Güvenli Listeye Alma (Whitelisting); “güvenilir uygulamaları”; başka bir ifadeyle, iş bakımından kritik dosyalara ilişkin şifreleme/şifre çözme işlemlerini gerçekleştirmesine onay verilen çalıştırılabilir dosyaları tespit eden özellik. Bu özelliğin ayrıca birden fazla forma sahip (polimorf) kötü amaçlı yazılımların onaylı çalıştırılabilir dosyalara sızmasını önlemek amacıyla imzalarıyla birlikte söz konusu uygulamaların bütünlüğünü kontrol edecek bir yöntem de sunması gerekmektedir.
• Kapsamlı Detaylı Erişim Kontrolü; işletmenizin kritik verilerine kimlerin (hangi kullanıcıların/kullanıcı gruplarının) korunan belirli dosyalara/klasörlere erişim yetkisi olduğunu ve hangi işlemleri (şifreleme/şifre çözme/okuma/yazma/dizin listesi oluşturma/çalıştırma vb.) gerçekleştirme yetkisi olduğunu tanımlayan özellik. Bazı kötü amaçlı yazılımların sistem genelinde kapsamlı erişim kazanması üst düzey erişim yetkilerine ulaşmalarına bağlıdır. Uygun erişim kontrolü çözümleri, imtiyazlı kullanıcıların kaynakları incelemesini ve hatta erişimini önleyebilir.
• Durağan Veri Şifreleme; tesis içi veri merkezlerinde veya herkese açık/özel bulut sistemlerinde bulunduğuna bakılmaksızın verileri bulunduğu yerde korur. Bu özellik sayesinde şifrelenen veriler; sisteme sızarak iş bakımından kritik veya hassas verileri çaldıktan sonra fidye ödenmediği takdirde verileri yayınlamakla tehdit eden yetkisiz kişilerin işine yaramaz hale getirilmiş olur. Ayrıca, bazı fidye yazılımları belirli dosyaları seçerek şifreler ve bu nedenle sistemleri tamamen çevrimdışı bırakmayabilir. Bazı fidye yazılımları ise hassas verileri bularak sadece söz konusu dosyaları şifreler. Bunun gibi durumlarda, şifrelenmiş dosyaların kötü yazılım tarafından taranması mümkün olmaz ve böylece söz konusu dosyalar saldırıya maruz kalmaz.

Fidye yazılımı saldırılarının işlerinizi aksatmasına izin vermeyin.

Hem bulut hem de büyük veri ortamlarında fiziksel ve sanal sunucular üzerinde Windows, Unix ve Linux işletim sistemlerinde bulunan dosyalarda, hacimlerde ve veri tabanlarındaki durağan verileri şeffaf şekilde şifreleyerek işletmelerin işleri bakımından kritik verilerinin korunmasını temin eden Vormetric Transparent Encryption, Thales Veri Güvenlik Platformu dâhilinde yaygın olarak uygulamaya konulan koruma ürünlerinden biridir.

Sisteme sızan kişinin söz konusu çalıştırılabilir dosyaya ilişkin çalıştırma izinleri ve iş bakımından kritik verileri içeren hedef dosyaya ilişkin okuma/yazma izni olsa dahi sistemdeki başıboş çalıştırılabilir dosya veya uygulamalar tarafından dosyaların/veri tabanlarının şifrelenmesini engelleyerek işletmeleri koruyan Vormetric Transparent Encryption aynı zamanda kapsamlı ve detaylı erişim kontrolü politikaları kullanan, uygulamaları güvenli listeye alma (whitelist) imkânları da sunmaktadır.

Mehmet Okan ERÖZDEN – Ülke Müdürü Thales Cloud Protection & Licensing – Data Protection