Siber hatalıların taarruz çeşitleri ve taktiklerinin daima değişmesiyle 2022’de de fidye yazılımlarının dünya genelindeki işletmeleri etkileme …
Siber hatalıların taarruz çeşitleri ve taktiklerinin daima değişmesiyle 2022’de de fidye yazılımlarının dünya genelindeki işletmeleri etkileme trendi devam ediyor. Ataklar daha karmaşık hale geldikçe, fidye yazılım saldırısına uğramanın sonuçları da karmaşıklaşacak ve bunlardan kurtulmak gitgide zorlaşacak.
Veeam Global Teknoloji Uzmanı Edwin Weijdema, “fidye yazılımı akınlarına karşı muhafaza kelam konusu olduğunda, işletmeler için riskler her zamankinden daha yüksek” diyor. Kuruluşların, yeni ortaya çıkan ve 2022 boyunca sürat kazanacağını göreceğimiz eğilimleri anlaması ve savunma sistemlerini fidye yazılım ataklarına hazırlaması gerekiyor. Bu doğrultuda Edwin Weijdema’nın kuruluşlara teklifleri şu şekilde:
İşletmenizi sigortalanabilir hale getirin: Sigortacılar ile fidye yazılımlarından etkilenen işletmeler ortasındaki tansiyon artıyor. EMEA’da, global sigorta devi AXA’nın, Fransa’da yapılan fidye ödemelerini karşılayan siber sigorta poliçelerini kaldırdığını gördük. Ayrıyeten Hollanda hükümeti, sigorta şirketlerinin Hollanda’da faaliyet gösteren işletmelerin fidye ödeme maliyetlerini karşılamasını yasaklamayı düşünüyor. Fidye yazılımı argümanları nedeniyle bunalmış ve hüsrana uğramış sigortacılarla birlikte risk idare şirketleri, müşterilerine ödeme yapmadan evvel uygun siber güvenlik yatırımı yapma ve çalışan eğitimi üzere evvelce belirlenmiş şartları karşılamasını sağlamak için siyasetlerini sıkılaştıracak.
Üçlü gasplara dikkat: İşletmelerin daha fazla ve daha süratli ödeme yapmasını sağlamak için tasarlanan bu teknik, saldırıyı kurbanın müşterilerine ve ortaklarına kadar genişletiyor. Klâsik olarak fidye yazılım hücumlarının kapsamı, siber hatalıların sistemleri kilitleyip şifrelemesi ve akabinde erişimi tekrar kazanmak için fidye talep etmesini içerir. 2019’da DoppelPaymer üzere fidye yazılımı tipleri, siber hatalılara sistemleri kilitleme ve tıpkı anda dataları sızdırma yeteneği verdi. Saldırganlar sırf kıymetli BT sistemlerine tekrar erişim müsaadesi vermek için fidye talep etmekle kalmıyor, kurban ödeme yapmazsa sızdırılan dataları çevrimiçi yayınlamakla tehdit de edebiliyorlar. Üçlü gasp tekniği üçüncü bir ögesi daha içeriyor; saldırıyı kurbanın müşterilerine ve ortaklarına ziyan vermek için çok katmanlı gasp tekniklerini kullanarak birinci amacının ötesine yönlendirmek.
İçerideki tehdidi en aza indirin: Çeşitli araştırmalar, bilgi ihlallerinin ve siber güvenlik olaylarının 60’ından fazlasının içeriden gelen tehditlerden kaynaklandığını gösteriyor. İş yerinden şikayetçi olan çalışanlar, dışarıya kapıları açma konusunda sahip oldukları gücü bilirler. Her şeyden mutlu çalışanlar da yeterli dijital hijyen uygulamasının değerini kavrayamadıklarında, şikayetçi çalışanlar kadar tehlikeli olabilirler. Dijital hijyen, bir kuruluş için birinci savunma çizgisidir. İki faktörlü kimlik doğrulamayı kullanmak ve evrak erişimini sırf buna muhtaçlık duyanlarla sınırlamak, güvenlik kasıtlı yahut kasıtsız olarak tehlikeye atılırsa tek bir kullanıcının verebileceği ziyan ölçüsünü sınırlamanın yoludur. Ayrıyeten, eğitim ve öğretim, çalışanların potansiyel atakları belirleme ve raporlama konusunda kendinden emin olmalarını sağlamak için hayati ehemmiyet taşır.
Fark edilemeyen tehlikelere karşı dikkatli olun: Gelişmiş Kalıcı Tehdit (APT) akınları, yetkisiz kullanıcıların bir sisteme yahut ağa erişmesini ve orada tespit edilmeden uzun bir mühlet kalmasını ve kıymetli dataları çalmak için gerçek fırsatı beklemesini kapsar. Siber saldırganlar, kolay bir ödeme gününe ulaşma bahtlarını artırmak için hakikat vakitte saldırmak ve şirketlerin en savunmasız oldukları yahut risklerin en yüksek olduğu vakitlerden faydalanmak konusunda akıllıdırlar. Örneğin, bir saldırgan sistemlerinizi çökertmeye ve datalarınızı sızdırmaya hazır olmasına karşın, şirketinizin birkaç ay içinde halka arz edileceğini biliyorsa, operasyonel ve itibarsal hasarlardan en çok kaçtığınız ve saldırıyı sona erdirmek için ödeme yapmaya en istekli olduğunuz bu anı beklemenin sizi aşağı çekmek için daha uygun olduğunu düşünecektir.
Yasayı uygulayın: Yasa uygulayıcıları, siber hatalılar için risk ve ödül ortasındaki dengesizliği kapatmaya çalışıyor. Siber hatalılar, çok az yahut hiç kovuşturma tehdidi olmadan büyük ölçülerde para kazanabiliyorlar. Bu değişecek ve değişmek zorunda. Bununla birlikte, siber kabahatlerin sınırsız tabiatı göz önüne alınarak, hükümetlerin siber cürümleri cezalandırmak için milletlerarası bir yasal çerçeve üzerinde muahedeleri gerekiyor. Bu gerçekleşene kadar yasal süreçler, hatalılardan çok mağdurlara yönelik olacak. Birçok hükümet, fidye yazılım ödemelerini yasa dışı hale getirmeleri gerekip gerekmediğini tartışıyor, bu nedenle işletmeler fidye ödeme cazibesine direnerek siber hatalıların gelir arzını kesiyorlar. Ayrıyeten, ekseriyetle bir bilgisayar korsanının düşü olarak görülen Bitcoin üzere kripto para üniteleri, aslında kanun uygulayıcıların suçluları adalete teslim etmelerine yardımcı olma potansiyeline sahip. Blockchain üzere dijital defterler, kayıtlar değiştirilemediği yahut silinemediği için ‘parayı takip etmeyi’ kolaylaştıracağından, hatalılar kripto paralarını “gerçek paraya” dönüştürdüklerinde, dijital defter teorik olarak onların maskesini düşürebilir.
Datalarınızı koruyun: Tehdit ortamının daima büyümesinden, hukuk ve sigorta kesimlerinin fidye yazılımı ödemelerini görme biçimindeki değişikliklere kadar her şeyde sorumluk bilgi müdafaa ve siber güvenlik üzerine kalıyor. Kuruluşlar, fidye yazılım akınlarını algılayabilen, azaltabilen ve düzeltebilen Çağdaş Data Müdafaa tahlillerini dağıtma konusunda teknoloji ortaklarına istişareli. Datalar fizikî, sanal, bulut, SaaS ve Kubernetes genelinde yedeklenmeli ve kurtarılabilir olmalı. Böylelikle bir fidye yazılım saldırısı durumunda işletmeler fidye ödemek zorunda kalmaz, yerine süratli bir şekilde tahlil bulabilir ve datalarını kurtarabilir.
İşletmeler, Çağdaş Bilgi Muhafaza tahlillerini uygulamanın yanı sıra, tüm çalışanlarının dijital hijyen seviyelerini düzgünleştirmeye öncelik vermeli. Çalışan eğitimi ve farkındalık eğitimi, kuruluş genelinde dijital olarak daha inançlı bir kültür oluşturmaya yardımcı olabilir. Hakikat teknolojiyle birleştirilmiş bir “insan güvenlik duvarı”, kuruluşların 2022 ve sonrasında kaçınılmaz olarak karşılarına çıkacak olan fidye yazılım hücumlarına hazırlanmalarına yardımcı olacaktır.
Kaynak: (BYZHA) – Beyaz Haber Ajansı
