İşletmeler fidye yazılım saldırılarına karşı mücadeleyi kaybediyor
Günümüzde işletmeler için en büyük tehditlerden biri siber saldırılar. Pek çok kayıpla sonuçlanabilen bu saldırılarda işletmelerin düştüğü en büyük tuzaklardan biri fidye ödemek. Veeam®’in son 12 ayda en az bir siber saldırıya maruz kalan şirketlerde çalışan 1000 BT lideriyle yaptığı ankete göre; yüzde 52’sinin fidyeyi ödeyip verilerini kurtarmayı başarırken, yüzde 24’ünün fidye ödediğini ancak yine de verilerini kurtaramadığını ortaya koyuyor.
Veeam® 2022 Fidye Yazılım Trendleri Raporu’na göre işletmeler fidye yazılım saldırılarına karşı mücadeleyi kaybediyor. Veeam’in raporu kuruluşların yüzde 72’sinin yedekleme havuzlarının kısmi veya tam saldırılara maruz kaldığını ve bu saldırıların verileri fidye ödemeden kurtarabilme becerisini önemli ölçüde etkilediğini tespit etti. Modern Raporda başarılı saldırıların yüzde 80’inin bilinen güvenlik açıklarını hedeflediği de dikkat çeken bir detay. Bu bilgi yazılım yamalama ve yükseltmenin önemini pekiştiriyor. Ayrıca, hemen hemen tüm saldırganların, kurbanın fidye ödemeden kurtarma becerisini devre dışı bırakmak için yedekleme havuzlarını yok etmeye çalıştığı da görülüyor.
Alandaki en geniş raporlardan biri olan Veeam 2022 Fidye Yazılım Trendleri Raporu, bağımsız bir araştırma şirketi tarafından gerçekleştirilen ve son 12 ay içinde en az bir kez fidye yazılım saldırısına uğrayan şirketlerde çalışan 1000 BT lideriyle yapılan anket sonuçlarını içeriyor.
Türünün ilk örneği olan bu çalışma, bu saldırıların temel öğrenimlerini, bunların BT ortamları üzerindeki etkilerini ve ileriye dönük iş sürekliliğini sağlayan Modern Veri Koruma stratejilerini uygulamak için atılan adımları inceledi. Araştırma projesi, kuruluşlar arasında siber hazırlık uyumunu anlamak için özel olarak dört farklı BT rolü özelinde (CISO’lar, Güvenlik Uzmanları, Yedekleme Yöneticileri ve BT Operasyonları) araştırma yaptı.
“Fidye yazılımı, veri hırsızlığını demokratikleştirdi ve her sektördeki kurumun fidye ödemeden kurtarma ve çözüm sunma becerilerini üst düzeye çıkarabilmeleri için işbirliğini artırmalarını gerekli kıldı” diyen Veeam CTO’su Danny Allan, “Verileri geri yükleme için siber suçlulara fidye ödemek veri kurtarma stratejisi değildir. Fidye ödemek verileri kurtarmayı garanti etmeyeceği gibi, itibarın zedelenmesi ve müşteri güveninin kaybolması risklerini de artırır. Bu durum, suç faaliyetlerini ödüllendiren kendi kendini gerçekleştiren bir kehaneti beslediğinden ayrıca önemlidir” şeklinde konuştu.
Fidye ödemek kurtarma stratejisi değildir
Ankete katılan kuruluşlar arasında siber-mağdur olanların çoğu (yüzde 76) bir saldırıyı sona erdirmek ve verileri kurtarmak için fidye ödedi. Ne yazık ki, bunlardan yüzde 52’si fidyeyi ödeyip verileri kurtarmayı başarırken, yüzde 24’ü fidyeyi ödedi, ancak yine de verileri kurtaramadı. Dikkat çeken bir diğer sonuç, kuruluşların yüzde 19’unun kendi verilerini kurtarabildikleri için fidye ödememesi oldu. Dolayısıyla siber-mağdur olan yüzde 81’in hedeflemesi gereken şey şu: fidye ödemeden verileri kurtarmak.
“Güçlü bir Modern Veri Koruma stratejisinin ayırt edici özelliklerinden biri, kuruluşun fidyeyi asla ödemeden, saldırıları önlemek, onarmak ve saldırılardan kurtulmak için elinden gelen her şeyi yapacağına dair net bir politikaya bağlı olmasıdır” diyen Allan sözlerini söyle sürdürdü: “Fidye yazılımının yaygın ve kaçınılmaz tehdidine rağmen, işletmelerin bunun karşısında çaresiz kaldığı söylemi doğru değil. Çalışanlarınızı eğitin ve kusursuz dijital hijyen uygulamalarını sağlayın; veri koruma çözümleriniz ve protokolleriniz için düzenli olarak sıkı testler gerçekleştirin; ve kilit paydaşları en kötü durum senaryolarına hazırlayan ayrıntılı iş sürekliliği planları oluşturun”
Önleme hem IT hem de kullanıcıların özenli gayretini gerektirir
Suçlular için “saldırı yüzeyi” çeşitlidir. Siber kötüler, üretim ortamlarına ilk olarak, hatalı kullanıcıların kötü niyetli bağlantıları tıklayarak güvenli olmayan web sitelerini ziyaret etmeleri veya kimlik avı e-postalarıyla etkileşimde bulunmalarıyla erişim sağladılar ve yine birçok olayın önlenebilir doğasını ortaya çıkardılar. Ortama başarıyla eriştikten sonra, veri merkezi sunucuları, uzak ofis platformları ve bulutta barındırılan sunucular arasında bulaşma oranlarında çok az fark vardı. Çoğu durumda, davetsiz misafirler, ortak işletim sistemleri ve hipervizörlerin yanı sıra NAS platformları ve veritabanı sunucuları da dahil olmak üzere bilinen güvenlik açıklarından yararlandılar, her taşın altına baktılar ve bulabilecekleri yama uygulanmamış veya eski yazılımlardan yararlandılar. Güvenlik Uzmanları ve Yedekleme Yöneticileri tarafından BT Operasyonları veya CISO’lara kıyasla önemli ölçüde daha yüksek bulaşma oranlarının bildirilmesi “soruna daha yakın olanların sorunları daha da fazla gördüğünü” ima etmesi bakımından önemli.
Onarma değişmezlikle başlar
Ankete katılanlar, saldırganların yüzde 94’ünün yedekleme havuzlarını yok etmeye çalıştığını ve vakaların yüzde 72’sinde bu stratejinin en azından kısmen başarılı olduğunu doğruladı. Bir kuruluşun kurtarma eşiğini bu şekilde ortadan kaldırılması popüler bir saldırı stratejisi çünkü kurbanların “fidyeyi ödemekten başka seçeneği kalmaması” olasılığını artırıyor. Bu senaryoya karşı koruma sağlamanın tek yolu, veri koruma çerçevesi içinde en az bir değişmezlik katmanına veya hiçbir sistemle bağlantısı olmayan, izole bir katmana sahip olmaktan geçiyor (Ankete katılanların yüzde 95’i şu anda buna sahip olduklarını belirttiler). Aslında, birçok kuruluş disk, bulut ve bant stratejilerinin birden fazla katmanında bir düzeyde değişmezlik ortamına veya izole edilmiş ortama sahip olduğunu bildirdi.
Veeam 2022 Fidye Saldırı Trendleri Raporu’nda yer alan diğer bulgular şöyle:
- Düzenleme önemlidir: Sistemlerinin kurtarılabilirliğini proaktif olarak sağlamak için BT ekiplerinin altıda biri (yüzde 16), sunucularının geri yüklenebilir olmasını sağlamak için yedeklerinin doğrulanmasını ve kurtarılabilirliğini otomatik hale getiriyor. Ek olarak, yanıt verenlerin yüzde 46’sı, bir fidye yazılımı saldırısının onarımı sırasında sistemleri yeniden üretime sokmadan önce geri yüklenen verilerinin temiz olduğundan emin olmak için yalıtılmış bir “sandbox” veya hazırlama/test alanı kullanıyor.
- Kuruluş uyumlamaları birleştirilmeli: Kuruluşların yüzde 81’i siber ve iş sürekliliği/felaket kurtarma stratejilerinin uyumlu olduğuna inanıyor. Ancak, yanıt verenlerin yüzde 52’si bu ekipler arasındaki etkileşimlerin iyileştirilmesi gerektiğini düşünüyor
- Depoların çeşitlendirilmesi temel gereklilik: Neredeyse tüm (yüzde 95) kuruluşların en az bir değişmez veya diğer ağlardan izole edilmiş veri koruma katmanı var, yüzde 74’ü değişmezlik sunan bulut havuzlarını kullanıyor; yüzde 67’si değişmezlik veya kilitlemeyle şirket içi disk havuzlarını kullanıyor; ve yüzde 22’si ağlardan izole edilmiş bant kullanıyor. Değişmez olsun ya da olmasın, kuruluşlar, disk havuzlarına ek olarak, üretim verilerinin yüzde 45’inin hala bantta depolandığını ve yüzde 62’sinin veri yaşam döngülerinin bir noktasında bir buluta gittiğini kaydettiler.