Ransomware Ataklarına Karşı 7 Etkin Koruma Yöntemi
Günümüzde Yedeklemenin Önemi ve Ransomware Gerçekleri
Günümüzde kurumların yedekleme çözümlerine yatırım yapması, artık bir sorun halinde verinin bir kopyasının el altında bulundurması anlamına gelmemektedir. Gelişen ve karmaşıklaşan siber güvenlik tehditleri yedekleme çözümlerini daha önemli bir noktaya taşımıştır. Çünkü kurumlar için en değerli varlık olan kurumsal veriler saldırganlar için ciddi bir kazanç kapısı haline gelmiştir.
Bu noktada Ransomware (Fidye) atakları başrol oynamaktadır. Verilerin şifrelenmesi ve buna karşılık şifrenin açılması için büyük miktarlarda para istenmesi, kurumları ciddi mali sıkıntılara sokmakta hatta bunun pazarda duyulması ile büyük bir prestij kaybını da beraberinde getirmektedir. Ransomware atakları ile ilgili raporlar işin ciddiyetini gözler önüne sermektedir:
# Her 11 saniyede bir Ransomware atağı gerçekleşmektedir. 2031 yılına kadar 2 saniyede bir fidye atağına maruz kalacağız. Sonuç: İşletmeler heran bir Ransomware atağına maruz kalabilir.
# Ransomware ataklarının globalde kurumlara verdiği zarar yaklaşık 265 Milyar dolar olacağı öngörülmektedir. Sonuç: Saldırganlar bu pazardan pay almak için çok daha aktif olacaktır.
# 2025 yılına kadar işletmelerin %75’i bir ya da daha fazla Ransomware atağıyla yüzleşecekler. 2021 yılına göre 7 kat bir büyüme var. Sonuç: Ransomware hiç durmadan etki alanını büyütüyor.
# Bir Ransomware atağından geri dönüş süresi ortalama olarak 23 gündür. Sonuç: Hiçbir işletmenin kaybedecek bu kadar zamanı yoktur. Çalışmayan hizmetlerin getirdiği finansal zararlar işletmeleri sürdürülemez bir konuma getirebilir.
# Kurumların birçok katman için (network, endpoint, uygulama vs) ciddi güvenlik yatırımları yapmasına rağmen verilerinin şifrelenme olasılığı halen %60 seviyesindedir: Sonuç: Ransomware gerçekten şakaya gelmez!
Bu raporlar kurumların özellikle yedekleme tarafında yatırım yapmasının önemini göstermektedir. Gerçek dünyadan saldırı tekniklerini kategorize eden aşağıdaki “Mitre Attack” matrisinde görüldüğü gibi saldırganların vurucu darbesi olan “Impact” kısmı için “Data Backup (Veri Yedekleme)” en önemli çözüm olarak net bir şekilde gözükmektedir. İyi bir yedekleme çözümünüz yoksa büyük bir meblağ fidye ödemek zorunda kalacaksınız demektir.
Yukarıda işaret edildiği gibi Ransomware ataklarından verileri kurtarmanın sadece iki yolu bulunmaktadır:
1-Yedekten Dönmek: Tek etkin çözüm yedeklemedir tabii eğer dönebilecek bir yedek bulabilirseniz, çünkü saldırganlar fidye koparabilmek için önce yedekleri etkisiz hale getirme eğilimindedir. Ayrıca yedekten dönseniz de tekrar şifrelenme olasılığınız %80. Eğer mevcut yedekleme çözümünüz bu konuda yeterli değilse fidye ödemek kaçınılmaz sonunuz olabilir.
2- Fidyeyi Ödemek: Yapılan araştırmalar fidye ödense de verilerin kurtarılma olasılığının sadece %65 olduğunu göstermektedir. Raporlar işletmelerin sadece %4’ünün fidye ödedikten sonra tamamen verilerini kurtarabildiğini gösteriyor. Bu da yine en başta söylediğimiz gibi etkin bir yedekleme çözümünün önemini bir daha göstermektedir.
Etkin Bir Ransomware Koruması için Yedekleme Çözümünüzde Olması Gerekenler
Yukarıdaki gerçekler tam olarak göstermektedir ki, kullanacağınız yedekleme çözümü Ransomware ataklarına karşı tek etkin silahtır. Peki tercih edilen yedekleme çözümü ya da altyapısı bu noktada etkin bir rol alabilmekte midir? Zaten saldırganlar, bu konuda tek kurtuluşun yedekler olduğunu bildiği için ilk olarak yedekleme çözümünü ve altyapısını hedef alacaktır.
Ransomware’e karşı etkin bir yedekleme çözümü için aşağıdaki birkaç temel özellik çok kritiktir:
1- Multi Factor Authentication / Two Factor Authentication: Yedekleme çözümünü yönetebilmek için sadece yönetici parolasını bilmek yeterli olmamalıdır. GUI ve/veya CLI üzerinden yönetim arayüzüne erişim için iki veya ikiden fazla erişim adımı olmalıdır.
2- Air-Gap: Yedeklere bilenen herhangi bir açık protokolle (CIFS, NFS vb) direkt erişilmemelidir. Özellikle bu protokollerle çalışan İşletim Sistemi (Windows, Linux) dosya sistemi, NAS ve D2D tipi sistemler üzerindeki yedekler bu noktada zafiyete açıktır.
3- Immutability: Yedekleme yapıldıktan sonra bu yedekler bir daha değiştirilemez, silinemez ve şifrelenemez olarak tutulabilmelidir. Bazı çözümlerde bu özellik direkt dosya sisteminde sağlanırken hemen hemen tüm geleneksel çözümlerde zamana bağlı bir koruma ile (WORM, Retention Lock, Object Lock vb) bu sağlanmaktadır. Zamana bağlı çözümler “NTP Zehirleme” ataklarına karşı risk taşımaktadır. İlgili zaman manipüle edilirse veriler üzerindeki koruma kaldırılıp yedeklerin silinmesi ve/veya şifrelenmesi mümkün hale gelecektir. Hem özel olarak geliştirilmiş dosya sistemi hem de monotonik saat ile korunan çözümler etkin koruma sağlar. İşletim sistemi üzerinde dosya sistemi ile ilgili ayarları tutan fstab.conf üzerinden korumalar root yetkisi olan bir saldırgan için kolay lokma olacaktır.
4- Zero-Trust: Yedekleme çözümü zero-trust bir mimariye sahip olmalı böylece her aksiyonun (silme, ekleme vb) sistem tarafından yapıldığının doğruluğu kanıtlanmalıdır. Sistem üzerinde yetkisiz işlemlere asla izin verilmemelidir.
5- Zero-Day: Ransomware ataklarının başarılı olmasını sağlayan birinci faktör uygulama/yazılım zafiyetleridir. Mevcut yedekleme altyapısının İşletim sistemi, sanallaştırma platformu, veri tabanı gibi uygulamalara bağlı olması zero-day ataklarına karşı riski arttırmaktadır. Bu noktalarda saldırganın tespit edeceği bir zafiyet tüm verilerin silinmesi ve yedeklerin şifrelenmesine kadar işi götürebilmektedir. Yedekleme altyapısının sürekli güncel yazılımlar ile çalışması kritiktir.
6- Saldırı Yüzeyi (Attack Surface): Kullanılan yedekleme çözümünün çalışması için birden fazla bileşen (yönetim sunucusu, proxy sunucusu, NAS/D2D, veritabanı sunucusu vb.) gerekiyor olması saldırı yüzeyini genişleteceği için saldırının başarılı olma olasılığını da arttırmaktadır. Bu aynı zamanda güvenlik yönetimini de zorlaştıracaktır. Bu noktada yedekleme altyapısının sıkılaştırılmış (hardening) bir sistem olması kritiktir. Bütünleşik platformlar güvenlik ve yönetim konusunda avantaj sağlayacaktır.
7- Görünürlük ve Tespit: Ransomware atağına maruz kalan firmalar geri dönüş sağlayacakları yedekleri olsa da, görünürlük noktasında zayıf oldukları için yine fidyeyi ödemek zorunda kalmakta ya da yedekten dönseler de tekrar verilerin şifrelendiğini görmektedir. Bunun temel sebebi işletmelerin, saldırganın kurumsal verilerin hangilerine zarar verdiğini ve saldırı çapının ne olduğunu anlamak için çok uzun süreler harcamak zorunda kalmaları ve yedeklerin içinde saldırganın zararlı kodlarının olup olmadığını tespit edememeleridir.
Bu işlemlerin çok fazla zaman alan işlemler olması ve sistemlerin bir an önce çalışır duruma getirilmesi gerekliliği, saldırgana fidye ödemek zorunda bırakabilmektedir. O yüzden yedekleme çözümünün işin çapını ve etkisini gösterebilmesi, varsa zararlı kodun bulunmasını sağlaması ve karantinaya alarak yedeklerin temiz ve hızlı bir dönüşünü sağlıyor olması artık günümüzde yedekleme çözümlerinde aranacak en önemli özelliklerdendir.
Nasıl Bir Çözüm?
Rubrik, sahip olduğu teknoloji ve mimarisi ile Ransomware ataklarına karşı yukarıdaki tüm gereksinimleri karşılayan etkin bir yedekleme, kurtarma ve veri güvenliği çözümü sunar. Geleneksel çözümlerde bu açık, halen harici (3.parti) başka çözümlerle kapatılmaya çalışılmaktadır. Bu noktada veri güvenliği ve yönetimini sağlamak güçleşmektedir. “Güvenlik, En Zayıf Halka Kadardır” sonucuyla bakıldığında yedekleme altyapısındaki en küçük bir zafiyet tüm yedekleri riske atacak, yapılan yatırımı boşa çıkaracak ve saldırganın işini kolaylaştıracaktır. Bu sebeple Ransomware ataklarına karşı en baştan beri bu şekilde geliştirilmiş bir çözüm, firmaların bu ataklara karşı elini güçlendirecek ve saldırganların başarısız olmasını sağlayarak, belki de saldırganın yapacağı aksiyona daha başlamadan vazgeçmesine sebep olacaktır.
Kurumların verilerine paha biçemediği günümüzde Rubrik, sağladığı avantajlarla kurumunuzun yüksek meblağlarda zarara uğramasını engelleyecek etkin bir çözümdür. Rubrik son 5 yıldır Gartner’da liderler ve en vizyonel üretici olarak da yükselişini sürdürmektedir. Rubrik çözümü ile ilgili detaylara web sitemizdeki yazımızdan ulaşabilirsiniz.