En iyi güvenlik çabalarına rağmen, fidye yazılımları bazen kurumların savunmasını aşar – ancak BT ekipleri bu dört adımla bir fidye yazılımı saldırısının artmasını önleyebilir.
Bugünlerde bir fidye yazılımı saldırısına maruz kalmak bir “eğer” değil, “ne zaman” sorusudur. Anonim çevrimiçi ödemelerin yapılabilmesi, bu tür saldırıların ortadan kalkmayacağı anlamına geliyor – aksine, bununla başa çıkmak için birkaç yeni sektör ortaya çıktı.
Fidye yazılımlarının nasıl durdurulacağına dair kolay bir cevap olmasa da, fidye yazılımlarının kontrol altına alınması için aşağıdaki adımların atılması kötü bir durumun büyümesini önleyebilir.
- Adım Stratejik sistem kapatmaları gerçekleştirin
Bir fidye yazılımı saldırısının hedefleri genellikle şifrelediği sistemleri kapatarak yayılmayı durdurmaya çalışır. Ancak BT ekipleri, virüs bulaşmamış bir sistemi kapatmak ile şifrelenme sürecinde olan bir sistemi kapatmak arasındaki farkı anlamalıdır. Temiz bir kapatma her zaman en iyi yaklaşımdır, ancak şifreleme işlemini tamamlanmadan durdurmak sistemlerin bozulmasına ve veri kaybına neden olabilir.
Fidye yazılımının bir sistemi şifrelemeyi bitirmesine izin vermek mantığa aykırı gelse de, bilgisayar korsanları tarafından sunulan şifre çözme araçları kurumsal düzeyde değildir. Çoğu fidye yazılımı şifre çözücüsü, bozulmuş verileri kurtaramayan komut satırı araçları veya karmalardır. Şifrelemenin ortasında bir sistemin kapatılması, kuruluş fidyeyi ödese bile bozulma nedeniyle tamamen veri kaybına yol açabilir.
Hangi sistemlerin fidye yazılımı tarafından vurulup vurulmadığını bilmek asıl zorluktur. Büyük bir disk aktivitesi arayarak başlayın. Bu normalde bir diskin şifrelendiğinin en iyi göstergesidir, ancak saldırganların verileri çaldığı ve yol boyunca şifrelediği anlamına da gelebilir.
Adım 2. Ağ trafiğini analiz edin
Fidye yazılımlarını kontrol altına almanın ikinci adımı ağ trafiğine bakmaktır. Veri hırsızlığını önlemek için internet erişimini kesmek ve fidye yazılımlarının doğu-batı yayılımını sınırlamak için genel ağ trafiğini durdurmak bazen mümkündür.
Ne yazık ki bunu söylemek yapmaktan daha kolaydır: Bunu başarmak için BT yöneticilerinin sorun meydana geldiği anda tepede olması gerekir. Buna ek olarak, bilgisayar korsanları fidye yazılımlarını genellikle normal çalışma saatlerinden önce veya sonra, kuruluşların personel sayısının az olduğu zamanlarda tetikler.
Bir ağ bağlantısını kesmek, veri bozulması olasılığı nedeniyle belirli bir düzeyde risk taşır. Ancak bir kuruluş, alternatifi kabul edilemez bir risk ise bu değiş tokuşa değeceğine karar verebilir. Bu, şirket liderliğinin görüşünü gerektiren bir iş kararıdır.
İzolasyon, birçok BT departmanının fidye yazılımını kontrol altına almak için ilk içgüdüsüdür – ancak gerçekte, fidye yazılımı bir süredir kuruluşun sistemlerinde olabilir. Fidye yazılımları bazen bir virüs gibi işlev görür, kurum içinde hareket eder ve gerçek zamanlı olarak yayılır, ancak saldırganlar belirli bir zamanda tetiklemeden önce fark edilmeden kurum içinde de ilerleyebilir.
BT ve güvenlik ekipleri, mantıklı olduğu zaman ve yerlerde sistemleri ve cihazları izole etmek için önlemler almalıdır – örneğin, bir katı veya önemli veri merkezi ekipmanını izole etmek için bir ağ kablosunun fişini çekmek gibi. Bu, şifreleme sürecini durdurmasa da fidye yazılımının diğer ekipmanlara yayılmasını sınırlayabilir.
Aynı şekilde, halihazırda çevrimdışı olan ya da hava boşluğu bulunan hiçbir ekipman, kuruluş fidye yazılımının yayılmasını kontrol altına alana kadar devreye sokulmamalı ya da çalıştırılmamalıdır. Aynı durum, ağa bağlı tüm satıcı destekli bilgisayarlar veya ekipmanlar için de geçerlidir.
Adım 3. Yedekleri koruyun ve yönetin
Fidye yazılımları ortaya çıktığında, yedeklemeler genellikle ilk tartışma konusu olur – ancak BT ekipleri tüm yedeklemelerin iyi olduğunu varsaymamalıdır. Yaygın bir ani tepki, şifrelenmiş sanal makineleri kaldırmak ve yedeklerden geri yüklemektir. Bu mantık mantıklı görünse de, öncelikle sorulması gereken birkaç önemli soru vardır.
İlk olarak, BT personeli geri yüklemeyi gerçekleştirmek için yedekleme sunucusuna ulaşabilir mi? Yönetim konsolu şifrelenmiş bir tuğla ise, bu mümkün olmayabilir. Tüm araçlar mevcut olduğunda bir krizin üstesinden gelmek kolaydır, ancak bu araçlara erişilemediğinde bir felakete dönüşebilir. Önemli kararlar almaya başlamadan önce, hangi araçların hala erişilebilir olduğunu değerlendirin.
İkincisi – ve en önemlisi – yedekler hala orada mı? Fidye yazılımlarının ilk adım olarak yedekleri silmek gibi kötü bir alışkanlığı vardır, bu nedenle birkaçını test edene kadar hiçbir yedeklemeye güvenmeyin.
Bu, yedeklemeler söz konusu olduğunda önemli bir operasyonel yönü gündeme getirir. BT personeli genellikle geri yüklemeleri gerekenlere yer açmak için şifrelenmiş sanal makineleri kaldırır. Ancak geri yükleme görüntüsünde bir sorun varsa veya şifrelenmişse, kuruluşun kilidini açmak için ödeme yapması gereken şifrelenmiş sanal makine silinmiş olur. Fidye ücreti ödemek ideal değildir, çünkü fidye ödendikten sonra bile verilerin kurtarılacağının garantisi yoktur – ancak veriler gitmişse kesinlikle kurtarma şansı yoktur.
Adım 4. İletişim yollarını gözden geçirin ve planlayın
Herhangi bir kriz sırasında iletişim çok önemlidir, ancak sohbet sunucusu şifrelenmiş bir tuğla ise bir grup sohbetine atlayamazsınız. Sorunlar üzerinde çalışan personel ve yönetim arasındaki iletişim eksikliği yıkıcı hatalara yol açabilir, bu nedenle iletişim araçları kullanılamadığında nasıl iletişim kurulacağına dair planlar yapın.
Bir fidye yazılımı saldırısı sırasında iletişim için alternatif bir plan oluşturun ve herkesin hangi rolleri oynayacağını önceden bildiğinden emin olun. Özellikle kuruluş fidye yazılımlarının kontrol altına alınmasına yardımcı olması için üçüncü taraf danışmanlar getiriyorsa, zamanında ve bilinçli karar alınmasını sağlamak için iletişimin sorunsuz bir şekilde yürütülmesi gerekir.