Sophos Hızlı Müdahale ekibi, geçtiğimiz bir yıl boyunca çeşitli kuruluşlardaki siber saldırıları etkisiz hale getirirken karşılaştığı güvenlik konusunda doğru bilinen yanlışların bir listesini çıkardı. Sophos'un önde gelen tehdit avcılarından Peter Mackenzie, bu 10 yanlışı sizler için yorumladı.
Yanlış 1: "Biz çok küçüğüz, hedef alınmamızı gerektirecek değerli hiçbir varlığımız yok"
Birçok şirket ilgi çekmeyen bir sektörde faaliyet gösterdiğini, hedef alınmak için çok küçük olduğunu veya siber saldırganları cezbedecek bir varlığı olmadığını düşünür. Ama işin aslı öyle değil. Medya daha çok büyük siber saldırıların yıkıcı sonuçlarını öne çıkarmaya meyilli olsa da, kolay av peşinde koşan pek çok siber saldırgan ortalıkta cirit atıyor. Bunlar kurbanlarını kolayca istismar edebilecekleri güvenlik açıkları, hatalar veya yanlış yapılandırmalara sahip küçük kuruluşlar arasından seçiyor. Elinizde işlem gücü olması ve dijital ortamda varlık göstermeniz, hedef tahtasında yer almanız için yeterli. Kuruluşunuzun hedef alınmadığını düşünüyorsanız, muhtemelen ağınızda veya etki alanlarınızda şüpheli etkinliklerin varlığını kontrol etmiyorsunuz demektir. Bu yüzden olası bir saldırının erken belirtilerini gözden kaçırabilirsiniz.
Yanlış 2: "Gelişmiş güvenlik teknolojilerini her yere kurmamıza gerek yok"
Bazı BT yöneticileri hala uç nokta güvenlik çözümlerinin tüm tehditleri durdurmak için yeterli olduğuna, sunucuların ek güvenliğe ihtiyaç duymadığına inanıyor. Oysa herhangi bir yapılandırma hatası, yama veya koruma eksikliği sunucunuzu öncelikli hedef haline getirebilir. Uç nokta yazılımlarını atlamaya veya devre dışı bırakmaya odaklanan, BT güvenlik ekipleri tarafından tespit edilmeyi zorlaştıran saldırı tekniklerinin listesi gün geçtikçe uzuyor. Temel antivirüs koruması bu tür tehditleri tespit etmede ve engellemede yetersiz kalıyor.
Sophos Rapid Response'un karşılaştığı olaylar, sunucuların saldırıların bir numaralı hedefi haline geldiğini gösteriyor. Hedeflenen sunucuya ulaşmak için genellikle yetkili bir kimlik erişimini ele geçirmek yetiyor. Kuruluşunuz davranışsal ve yapay zeka tabanlı tehdit algılama, 7/24 yönetilen güvenlik operasyon merkezi gibi gelişmiş savunma araçlar olmaksızın yalnızca temel güvenliğe odaklanıyorsa, davetsiz misafirler savunmanızı eninde sonunda aşacaktır. Siber güvenlikte sadece önlemeye değil, tespit etmeye odaklanmanın da bir zorunluluk olduğunu aklınızdan çıkarmayın.
Yanlış 3: "Hazırda sağlam güvenlik politikalarına sahibiz"
Uygulamalar ve kullanıcılar için güvenlik politikalarına sahip olmak önemli. Ancak ağa bağlı cihazlara yeni özellikler ve işlevler eklendikçe bunların sürekli olarak kontrol edilmeleri ve güncellenmeleri gerekir. Penetrasyon testleriyle, masaüstü alıştırmalarla ve felaket kurtarma planlarının provasıyla politikalarınızı düzenli olarak doğrulayın ve test edin.
Yanlış 4: "Uzak Masaüstü Protokolü (RDP) sunucularımızı bağlantı noktasını değiştirerek ve çok aşamalı kimlik doğrulamayı (MFA) aktif hale getirerek saldırganlardan koruyabiliriz"
Saldırganlar tarafından yapılacak genel bir tarama, açık olan tüm hizmetleri üzerinde bulundukları bağlantı noktasından bağımsız olarak belirleyebilir. Bu nedenle bağlantı noktalarının değiştirilmesi tek başına çok az koruma sağlar. Dahası, çok aşamalı kimlik doğrulama (MFA) önemli olmakla birlikte tüm çalışanlar ve cihazlar için zorunlu kılınmadıkça güvenliği artırmaz. RDP etkinliği, bir sanal özel ağın (VPN) koruyucu sınırları içinde gerçekleşmelidir. Ancak saldırganların ağda zaten bir dayanağı varsa, bu bile kuruluşu tam olarak korumaya yetmeyebilir. İdeal olan, kullanımı zorunlu olmadığı sürece RDP'nin dahili ve harici kullanımını sınırlamak veya devre dışı bırakmaktır.
Yanlış 5: "Rusya, Çin ve Kuzey Kore gibi yüksek riskli bölgelerden gelen IP adreslerini engellemek bizi bu coğrafyalardan gelen saldırılara karşı korur"
Belirli bölgelerden gelen IP'leri engellemenin size herhangi bir zararı olmaz, ama koruma için yalnızca bu önleme güveniyorsanız bu size sahte bir güvenlik hissi verebilir. Saldırganlar altyapılarını ABD, Hollanda ve Avrupa'nın geri kalanı dahil olmak üzere birçok ülkede barındırıyor.
Yanlış 6: "Yedeklerimiz fidye yazılımlarının etkisine karşı bağışıklık sağlar"
Dosyalarınızın güncel yedeklerini tutmak iş sürekliliği açısından kritik öneme sahiptir. Ancak yedekleriniz ağ erişimine açıksa saldırganların ulaşabileceği bir yerde duruyor demektir. Yani olası bir fidye yazılımı saldırısında şifrelenmeye, silinmeye veya devre dışı bırakılmaya karşı savunmasızdır. Benzer şekilde, yedekleri bulutta depolama işlemi de dikkatli bir şekilde yapılmalıdır. Sophos Hızlı Müdahale ekibi olarak karşılaştığımız bir olayda, saldırganlar ele geçirdikleri bir BT yöneticisi hesabından bulut hizmeti sağlayıcısına e-posta göndererek tüm yedekleri silmesini istediğini, servis sağlayıcının da bu isteği yerine getirdiğini gördük.
Olası bir fidye yazılımı saldırısından sonra verileri ve sistemleri geri yüklemek için kullanılabilecek güvenli yedeklemeler için standart formül, en az iki farklı sistem kullanılarak biri çevrimdışı olmak üzere her şeyin üç yedeğini almaktır. Fakat şu uyarıyı da yapmadan geçmeyelim: Çevrimdışı yedeklere sahip olmanız, sizi suçluların verilerinizi çalmak ve şifrelemek yerine rakiplerinize veya kamuya ifşa etmekle tehdit ettiği gasp amaçlı saldırılardan korumaz.
Yanlış 7: "Çalışanlarımız güvenliğin farkında"
Fidye yazılımlarının durumuna dair yaptığımız State of Ransomware 2021 araştırmasına göre, kuruluşların yüzde 22'si kullanıcıların güvenlikten ödün vermesi nedeniyle önümüzdeki 12 ay içinde fidye saldırısına maruz kalacaklarına inanıyor. Bunun en büyük sebebi kimlik avına yönelik e-posta gönderimi gibi sosyal mühendislik taktiklerini tespit etmenin giderek zorlaşması. Mesajlar artık ikna edici bir dille yazılıyor ve hedeflemeleri özenle yapılıyor. Çalışanlarınızın şüpheli mesajları nasıl tespit edeceklerini ve böyle bir durumla karşılaştıklarında ne yapacaklarını bilmeleri gerekiyor.
Yanlış 8: "Olay müdahale ekipleri, fidye yazılımı saldırısının ardından verilerimi kurtarabilir"
Bu maalesef pek olası değil. Saldırganlar günümüzde çok daha az hata yapıyor, şifreleme teknikleri de oldukça karmaşık. Bu nedenle oluşan hasarı geri döndürmek çok zor. Modern fidye yazılımları otomatik yedekleri silmenin yanında, diskte depolanan orijinal verilerin üzerine yeniden yazarak saldırının ardından veri kurtarmayı iyice zor hale getiriyor.
Yanlış 9: "Fidye yazılımı saldırısına uğrarsak fidyeyi ödeyip verilerimizi geri alabiliriz"
State of Ransomware 2021 araştırmasına göre fidye ödeyen kuruluşların çoğu verilerinin ancak üçte ikisini kurtarıyor. Tüm verilerini geri alabilenlerin oranı ise sadece yüzde 8. Fidyeyi ödemek daha kolay bir seçenek gibi görünse, hatta bu durum siber sigorta poliçeniz kapsamında olsa bile işleri ayağa kaldırmak için uygulayabileceğiniz en basit çözüm değil. Ayrıca verileri geri yüklemek kurtarma işleminin yalnızca bir parçasını oluşturuyor. Çoğu durumda fidye yazılımı bilgisayarları tamamen devre dışı bırakıyor, bu da verilerin geri yüklenebilmesi için tüm yazılım ve sistemlerin sıfırdan kurulumunu gerektiriyor.
Yanlış 10: "Saldırı fidye yazılımının çalıştırılmasından ibaret, bunu atlatırsak sorun yok"
Ne yazık ki saldırının fidye talebinden ibaret olması nadiren karşılaşılan bir durumdur. Fidye yazılımının serbest bırakıldığı an, saldırganların orada olduklarını ve ne yaptıklarını anlamanızı istedikleri noktaya karşılık gelir. Saldırganlar çoğu zaman fidye yazılımını serbest bırakmadan önce uzun süre sistemleriniz arasında dolaşarak yedekleri keşfeder, yüksek değere sahip bilgi veya uygulamaların olduğu makineleri işaretler, kimlik bilgilerini çalar ve arka kapılar yerleştirir. Bu da artçı saldırıların gerçekleştirilmesine olanak tanır.