Arete IR isimli güvenlik şirketinin yöneticisi Marc Bleicher, fidye yazılımı gibi istenmeyen bir durumda nasıl bir müdahale gerçekleştirebileceğini anlattı. Er ya da geç mutlaka her kurum fidye yazılım illeti ile yüzleşecek.
Fidye yazılımlarla genellikle en basit güvenlik önlemleri ihmal edildiği ya da baştan hazırlıkların eksik olduğu durumlarda karşılaşılır. Bu en temel hatalara karşı doğru adım atarak başınıza türlü çoraplar örmesi muhtemel tehdidi müdahale ve tolere edilebilir seviyeye çekebilirsiniz.
En temel güvenlik konusunun ise yeri gelmişken altını bir kez daha çizelim. Emin olun birçok kurum güvenlik konusunda istikralı bir strateji gütmek yerine günü kurtaran çözümlerle ilerlediği için bu konuda büyük zafiyet gösteriyorlar.
Güvenlik zafiyeti ise saldırganlara kurumsal yapıya sızmaları konusunda davetiye çıkarıyor. Öncelikle güvenlik sorunu ve eksikliği konusunda geride kalmış olabileceğinizi kabul etmeniz gerekiyor. Bazı CEO’lar ise “Küçük bir firmayız; kimse bizi hedef almaz,” yanılgısına düşüyor. Bir de üzerine tedavülden kalkmış güvenlik önlemlerinin tam koruma sağlayacağına dair batıl inanış eklediniz mi siber korsanların bayram etmesi için her türlü hazırlık tamamlanmış oluyor.
Fidye yazılımlarına karşı nasıl karşı konabilir?
Öncelikle kendinizi iki açıdan hazırlamalısınız. İlk olarak önleyici yoldan gidelim. Güvenliğinizin eksiksiz bir şekilde kurulduğu tüm kontrollerin ve ayarların tam olduğu bir sistemden bahsediyoruz. Bu tarz bir güvenlik EDR gibi makine öğreniminin dahil olması nedeniyle son kullanıcı tarafındaki açıkların baştan kapatılmasını sağlayacaktır. Tek başına çok faktörlü kimlik doğrulama, dijital imza ya da en güncel işletim sistemi kullanma gibi daha geleneksel yöntemler yeterli olmayacaktır.
İkinci aşamaya geldiğimizde ise tüm kurumsal yapının kendini en kötü senaryoya yani bir saldırganın içeri sızmasına karşı hazırlamasıdır. En kötü senaryoda aslında size en çok yardımcı sağlayacak şey offline olarak almış olduğunuz yedekler yani backup’lardır. Yedekleriniz ne kadar güncel ve erişimden uzaksa saldırıdan alacağınız zarar ve saldırı sonrası toparlanmanız için gerekecek süre azalacaktır.
Müdahale planınız olsun
Güvenlik konusunda daha olgun olan kurumlar baştan önlemlerini almış ve olası kötü duruma karşı yapacakların listesini hazırlamışlardır. Artık yapılması gereken müdahale planı yapmaktır. Müdahale planı kimin ve neyin öncelikli olduğunu BT tarafından göz önüne koyar.
“Kim” derken aslında veriye sahip en kritik hissedar ya da ortağı kast ediyoruz. BT açısından öncelikli olarak kime haber verilmeli ve kimin verisi öncelikli hale getirilmeli gibi soruların yanıtını plana dahil etmeniz gerekiyor. Elbette öncelik sırası yaparken listede mutlaka CISO veya CIO da olmalı. Bu kişilerin verisi tehlikedeyken kuruma yardımcı olmaları beklenemez. Listenin ardından oluşan kişiler bir de önem sırasına göre dizilmelidir ki müdahale esnasında en ufak bir karışıklığı olmasın. Zira kötü senaryoda zamana karşı yarış çoktan başlamış durumda. Unutmadan bir de bu kişilere hangi kanallarla ulaşılacağı veya nasıl iletişim kurulacağı önceden belirlenmeli. Belki listenin tepesindeki kişi internetin olmadığı dünyanın bir diğer ucunda görevdedir.
“Neyin” öncelikli hale getirilmesi gerektiğini söylediğimizde ise aslında her türlü teknoloji ve kullanılan aracı kast ediyoruz. Adeta yangında kurtarılması gerekenler ve demirbaş listesi gibi sizin de BT açısından bir “eşya” yazılım ya da araç önceliğiniz olması. Tabii ki dileğimiz asla böyle bir listeye ihtiyaç duymamanız ve işlerin hiç ters gitmemesi. Ancak tedbiri elden bırakmamak siber saldırıların zirve yaptığı bu çağda sizi büyük bir girdaptan kurtarabilir.
En sağlam güvenlik unsurunun güncel ve erişime uzak bir yedekleme sistemi olduğunun altını bir kez daha çizelim. Düzenli yedekleme yapan kurumlar genellikle fidye yazılımlarını en ufak bir çizik almadan atlatmayı başarıyor. Hatta bu tarz kurumlar en fazla bir saat içerisinde normal işleyişlerine geri dönüyor. Yedekleme yapmayan ve fidye yazılımını hasarsız atlatan bir kurum duyduysanız istisnaların kaideyi bozmayacağı konusunda hatırlatmamızı yineleyelim.
Tedbir konusunda ise ne kadar hazırlıklı olsanız da emin olun eksik noktalarınızla karşılaşacaksınız. Şu an güvenlik alanında en sağlam kurumlar bile tüm BT kaynaklarına ve güvenlik elemanlarına rağmen daimi olarak açıklarını arayıp onları kapatmak için uğraşıyorlar. Bugün güvenlik konusunda gıpta ile bakılan tüm kurumların yolu emin olun sağlam yedekleme sisteminden geçmiştir.
Sektörün güvenilir firmalarından SentinelOne’a danışmanlık veren güvenlik uzmanı Morgan Wright’ın şu sözüne kulak verelim: “Her savaş planı, düşmanla temas edildiğinde geçerliliğini yitirir.” Evet, gerçekten de bazen ne kadar hazırlıklı olursanız olun saldırganlar bir yolunu bulup güvenlik duvarınızı aşabilir. Her geçen gün saldırganların gruplar halinde daha organize ve sofistike şekillerde saldırılar düzenlediğine şahit oluyoruz. Bu da güvenlik yatırımlarınızı artırmanız için başlı başına bir sebep. Onlardan önde olmak istiyorsanız kaynaklarınızı ona göre ayarlamalısınız.
Tipik hatalar
Bir saldırı tespit edildiği andan itibaren saat çalışmaya başları. İlk 48 ve 72 saat olayın kısa sürede atlatıp atlatılmayacağına dair önemli veriler sunar. Eğer haftalar hatta aylar alacak bir saldırı ile karşı karşıyaysanız ilk saatlerdeki tepkileri doğru okuyup kurumunuzu hazırlamalısınız. Geçtiğimiz günlerde çok uluslu bir şirkete yapılan saldırı ne yazık ki o şirketin yaklaşık üç ayına mal oldu. Saldırının bu denli büyük olmasının altında ise güvenlik uzmanlarının sistemlerinin hazır olduğunu düşünmesi ve temel birkaç noktayı es geçmiş olmasıydı. Üç ayın sonunda dijital altyapının neredeyse %90’ı sıfırdan kurulmak zorunda kaldı.
Fidye veya her türlü saldırıya karşı bu ara yükselen trend bulut çözümlerine yönelmek oluyor. Hazır dijital altyapılar saldırı nedeniyle zarar görmüşken yenilenme sürecinde bulut tercih edilebiliyor. Yalnız burada unutulmaması gereken nokta bulut çözümlerinin sihirli bir değnek olmadığı. Eğer saldırının kaynağı tam olarak tespit edilmez ve onun üzerine tam olarak gidilmezse sorunlar bulut ortamına da sıçrayabilir. O yüzden buluta güvenip tedbiri elden bırakmamak gerekli.
Aslında hiç ama hiçbir şekilde siber korsanların hedefine girmemiş olan kurumların işi daha zor. Tedbir yorgunluğu nedeniyle bu kurumlar güvende oldukları illüzyonu içerisine girebilir. Saldırıya uğramış ya da uğramamış herkesin güvenlik protokolü oluşturup buna harfiyen uyması kurumsal verinizin ve hatta kurumunuzun geleceği ile doğrudan ilintilidir.
Ekibinizde yeterince donanımlı ve tecrübeli güvenlik elemanlarınızın bulunmasının kıymetini ilk birkaç saatte daha iyi anlarsınız. Bu kişiler doğru ilk yardımı yaparak en bariz açıkları kapatarak daha büyük bir felaketin önüne geçerler. Eğer anlattıklarımız gözünüzü korkutuyor veya yapılması gerekenler mevcut ekibinizin boyunu aşıyorsa dışarıdan bir güvenlik firmasından destek almayı da değerlendirebilirsiniz. Ekibiniz ya da dışarıdan tutacağınız bir firma, olayın tam olarak resmini çekerek hasarın boyutları konusunda gerçekçi bir tablo ortaya koyabilir.
Bir başka çok sık tekrarlanan hata ise her türlü teknoloji ve güvenlik donanımına sahip ancak iletişim anlamında aksak olan kurumlarda rastlanıyor. Çoğu zaman itibar kaygısı nedeniyle olayın ilk saatlerinde sorunu kontrol etme duygusu ile saldırı nedeniyle potansiyel olarak hasar alabilecek kişi ve kurumlara haber verilmiyor. Aslında bu gerçekten çok büyük bir yanlış. Çünkü ne kadar sağlam altyapınız ve güvenlik çözümleriniz olsa da çok dişli bir saldırgan karşısında veri savaşını kaybedebilirsiniz. Bir saldırı olduğu anda olayla ilgili herkese en ivedi şekilde haber vererek o kişilerin de kendini koruyabilmelerine fırsat tanımış olursunuz. Ayrıca artık hiçbir şey sır olarak kalmıyor. Direkt olarak sizin ağzınızdan yapılmayan açıklamalar dedikodu şeklinde sanal olarak yankılanabilir. İşte asıl o zaman itibar zedelenmesi yaşarsınız.
Fidye
Fidye yazılımlarında her şeyi konuştuk. Sıra geldi şimdi de talep edilen fidyeye. Ödeme yapmak her zaman için son seçeneğiniz olmalı. Güvenlik uzmanları adeta teröristlerle pazarlığa oturmayan devlet liderleri gibi bu prensibi benimser. Asıl hedef operasyonların ne kadar sürede eskisi gibi sürdürülebileceğini ortaya koyabileceğiniz dengeli bir hareket planı olmalı. Bu nedenle masadaki tüm seçenekler etraflıca incelenip değerlendirilmeli. Saldırıya uğrayan veriyi, ne kadar özel olduğu, yedeğinin ne kadar güncel olduğu, kaybının ne kadar iş gücüne ve zamana neden olabileceği gibi farklı kriterlerle enine boyuna analiz etmek gerekli.
Tabii ki bazen tüm çareler tükenebilir. İşte ancak o zaman ödeme yapmayı kabul etmelisiniz. Asla ilk hamleniz ödeme yapıp olayı kısa sürede atlatmak olmamalı. Sonuçta fidye talep eden ve sizi alt eden güçlü bir siber kişi veya kurumla karşı karşıyasınız. Çanta dolu bir parayı parkta bir bankın üzerine bırakmıyorsunuz. Hangi açığınızı yakaladıklarından emin olup son çare olarak ödeme seçeneğini göz önünde bulundurmalısınız.
Eğer ödeme seçeneğinde karar kıldıysanız bunu asla kendi başınıza yapmamalısınız. Bu tip durumlarda görüşmeyi kurum adına kendiniz yaparak nadiren istediğinizi alırsınız. Sonuçta siz bir mağdursunuz ve pazarlık ederken nesnelliğinizi kaybedip panikleyebilirsiniz. Gücü ve kontrolü tamamen yitirip tüm kozları karşı tarafa verebilirsiniz. Bunun için sakin olup bu işin gerçek bir uzmanı ile durumu iyice analiz ettikten sonra pazarlık sürecini sizin adınıza bu yetkili kişiye devretmektir. Aynı zamanda bu kişiye sonuna kadar güvenmeniz gerektiğini de unutmayın.
