FİDYE YAZILIMINI ÖNLEMENİN 3 ANAHTARI



 

This post is also available in: Deutsch (Almanca) Nederlands (Hollandaca) Español (İspanyolca) Italiano (İtalyanca)

Fidye yazılımı saldırılarını durdurmak için en etkili strateji, bunların kuruluşunuza girmesini önlemeye bağlıdır. İşletmelerin faaliyet göstermek için gerek duyduğu uygulama ve hizmet sayısı giderek artmaktadır. Bu durum, ağ, SaaS tabanlı uygulamalar ve uç noktalar da dahil olmak üzere etkisiz koruma önlemlerine sahip saldırı yüzeyinin artmasıyla sonuçlanmaktadır. Tehdit aktörleri daha becerikli hale geldikçe, yeni saldırılar, iyileştirilen veya yamalar uygulanan güvenlik açıklarından daha hızlı yayılmaktadır. Sonuç olarak kuruluşların, güvenlik platformlarını bütünsel olarak düşünmeye başlaması gerekmektedir.

TESPİTTEN ÖNLEMEYE GEÇİŞ

Eski siber güvenlik yaklaşımları öncelikle tespit ve iyileştirme odaklıydı ancak bu yaklaşım artık etkili değildir. Bir fidye yazılım saldırısını önlemek için, uygulamada tespit aşamasından önlemeye geçmek esastır. Saldırıları, kuruluşunuza bulaşıp zarara yol açmadan önce durdurmanız gerekir. Üç temel unsuru bulunan bu geçişi mümkün kılmak için, kuruluşlar uygun güvenlik yaklaşımlarına sahip olmalıdır:

  1. Saldırı yüzeyini azaltın
  2. Bilinen tehditleri önleyin
  3. Bilinmeyen tehditleri saptayın ve önleyin

 

  1. Saldırı yüzeyini azaltın

Saldırı yüzeyini azaltmak için ağınızdaki trafiği uygulamalar, tehditler ve kullanıcı davranışı çapında tamamıyla görebilmelisiniz. Ağınızda neler olduğunu siz bilmiyorsanız, muhtemelen bir saldırgan biliyordur ve bu bilgiyi ağınıza girmek için kullanacaktır. Etkinliği sınıflandırmak, neye izin verileceğine dair doğru kararlar almanızı sağlar ve daha fazla araştırma gerektiren bilinmeyen olayları öne çıkarır. Bu görünürlük sayesinde bilinmeyen trafiği engellemek, gelişmiş saldırıları saptamak veya yalnızca geçerli bir iş amacına sahip uygulamaları etkinleştirmek gibi adımlar atabilirsiniz.

Trafik sınırlandırıldıktan sonra uygulama ve kullanıcı tabanlı ilkelerin uygulanması gerekir. Ağın belli bölümlerinin ve belli kullanıcı gruplarının belli uygulamalarına erişimi sınırlandıran bu ilkeler için sonsuz sayıda permütasyon vardır. Yüksek görünürlük ve doğru ilkelerle, saldırganların ağınıza kötü amaçlı yazılım saldırısında bulunmak için kullandığı yöntemlerin büyük çoğunluğu ortada kaldırılabilir.

Saldırı yüzeyini daha da azaltmak için, tehlikeli olan ve olabilecek tüm dosya türlerini engellemelisiniz. Tüm dosya türleri kötü amaçlı olmasa da bu yönde yüksek risk taşıyanlar engellenmelidir. Tehlikeli dosya türleri engellendikten sonra, risk toleransınıza uygun ilkelerin uygulanması gerekir. Kullanıcıların kritik ağ kaynaklarına giden uyumsuz uç noktalara bağlanması önlenmelidir.

 

  1. Bilinen tehditleri önleyin

Saldırı yüzeyinizi azalttıktan sonraki adım, bilinen tehditlerin önlenmesidir. Bunu yapmak için bilinen istismarların, kötü amaçlı yazılımların ve komuta-kontrol trafiğinin ağınıza girmesini engellemelisiniz. Bunlar engellenince saldırı düzenlemenin maliyeti artacağından, saldırganlar yeni kötü amaçlı yazılım türleri oluşturmaya ve daha az bilinen güvenlik açıklarına karşı yeni istismarlar başlatmaya mecbur bırakılır ve bu sayede saldırı olasılığı azalır.

Ayrıca kullanıcıların yanlışlıkla kötü amaçlı veri yükleri indirmesini ya da bilinen kötü amaçlı ve kimlik avı amaçlı URL’lere erişimlerini engelleyerek kimlik bilgilerinin çalınmasını önlemelisiniz. Bu tehditlerin engellenmesi, denklemden tamamen çıkarılmalarını sağlar. Bilinen bu tehditler engellenince bilinen kötü amaçlı yazılımlara karşı SaaS tabanlı uygulamalarınızı taramanız gerekir. Çünkü bu yazılımlar tehdit oluşturmak amacıyla gittikçe artan şekilde kullanılmaktadır. Taramada saptanan tüm kötü amaçlı yazılım ve istismarlar engellenmelidir. Uç noktadaki bilinen kötü amaçlı yazılım ve istismarlar için de aynısı yapılmalıdır.

 

  1. Bilinmeyen tehditleri saptayın ve önleyin

Bilinen tehditler engellendikten sonra tüm bilinmeyen tehditlerin de engellenmesi şarttır. Çünkü saldırganlar yeni sıfırıncı gün istismarları dağıtmaya ve yeni fidye yazılımı türleri geliştirmeye devam ederler. İlk adım, dosyalar ve URL’lerde bilinen tehditleri algılamak ve analiz etmektir. Yeni dosyalar gönderilirken, daha önce görülmemiş öğelerde kötü amaçlı davranış aramak, analiz etmek ve imha etmek esastır. Ek olarak, tehditlerin başarılı olmasını önlemek için koruma önlemlerini güvenlik altyapısının farklı bölümlerine mümkün olduğu kadar hızlı biçimde aktarmalısınız. Bu, saldırganı, kötü amaçlı yazılımı, kampanyayı ve saldırıyla ilişkili risk göstergelerini anlama bağlamını da içermelidir. Bilinmeyen tehditler ve şüpheli davranış eğilimleri saptanıp engellenince, tüm erişim noktalarının güvenliğini sağlama almak için uç noktadaki bilinmeyen kötü amaçlı yazılımları ve istismarları da engelleyin.

Bu işlemin nihai hedefi bilinmeyeni bilinir hale getirmek ve güvenlik duruşunu yeni koruma olanaklarıyla, saldırganların kötü amaçlı yazılımlar ve istismarlar geliştirmesinden daha hızlı iyileştirmektir.

Got something to say?

Get updates: Unit 42

Sign up to receive the latest news, cyber threat intelligence and research from Unit42

By submitting this form, you agree to our Terms of Use and acknowledge our Privacy Statement.


© 2018 Palo Alto Networks, Inc. All rights reserved.