Fidye Yazılımı Yayılması: Güvenlik Kör Noktası

6. Ocak 2022
| Yorum yok

Gönderiyi paylaş

Yeni kimlik koruma yaklaşımı, fidye yazılımlarının neden olduğu kritik güvenlik açıklarını önler. Bununla birlikte, neredeyse hiçbir kuruluş, teslim ve yürütme savunmalarını atladıktan sonra fidye yazılımı yükünün otomatik yayılmasını proaktif olarak engelleyemez. Silverfort'ta DACH Bölge Satış Direktörü Martin Kulendik'ten bir yorum.

Fidye yazılımı siber gaspı, işletmelerin karşı karşıya olduğu en büyük güvenlik tehditlerinden biri olmaya devam ediyor. Günümüzde siber güvenlikte yaygın uygulama, bu saldırıların teslim ve yürütme aşamalarına karşı koruma sağlamaktır. Bununla birlikte, neredeyse hiçbir kuruluş, teslim ve yürütme savunmalarını atladıktan sonra fidye yazılımı yükünün otomatik yayılmasını proaktif olarak engelleyemez. Fidye yazılımı, tek bir uç noktaya bulaşmakla kurumsal verileri toplu olarak şifrelemek arasında büyük bir fark yarattığından, bunu önleyememek kritik bir güvenlik açığıdır. Bu nedenle, bir fidye yazılımı saldırısının teslimattan yürütmeye ve otomatik dağıtıma kadar her aşaması için koruma önlemleri aşağıda açıklanmaktadır.

Fidye yazılımı dağıtımına karşı koruma önlemleri

Teslim aşamasında, saldırganlar fidye yazılımı yükünü kurbanın bilgisayarına yerleştirir. Siber suçlular tarafından kullanılan en yaygın yöntemler arasında kimlik avı e-postaları, güvenliği ihlal edilmiş RDP (Uzak Masaüstü Protokolü) erişimi ve siber suçluların çalışanların sıklıkla ziyaret ettiği web sitelerine bulaştığı sulama deliği saldırıları yer alır.

Koruma, kullanıcı etkileşiminden önce riskli içeriği tespit etmek ve kaldırmak için e-postaları tarayan e-posta güvenlik ağ geçitleri, olası kötü amaçlı yazılımların indirilmesini önleyen uç nokta koruma platformları ve RDP bağlantıları için çok faktörlü kimlik doğrulama (MFA) ile saldırganların güvenliği ihlal edilmiş kimlik bilgileriyle bağlanmasını önleyerek sağlanır.

Fidye yazılımı yürütülmesine karşı koruma önlemleri

Yürütme aşamasında, iş istasyonuna veya sunucuya başarıyla teslim edilen fidye yazılımı yükü, bilgisayardaki veri dosyalarını şifrelemek amacıyla yürütülür.

Şirketler, iş istasyonlarında ve sunucularında Uç Nokta Koruma Platformları (EPP) kullanarak kendilerini bundan korurlar. EPP, fidye yazılımı olarak algılanan herhangi bir işlemin yürütülmesini sonlandırmayı ve kötü amaçlı şifrelemeyi tamamen önlemeyi amaçlar.

Otomatik fidye yazılımı dağıtımına karşı koruma

Yayılma aşamasında, fidye yazılımı yükü, güvenliği ihlal edilmiş kimlik bilgileriyle kötü amaçlı kimlik doğrulama yoluyla şirket ortamındaki diğer birçok bilgisayara kopyalanır. En savunmasız saldırı yüzeylerinden biri paylaşılan (paylaşılan) klasörlerdir. Kurumsal bir ortamda, her kullanıcının en azından bazı klasörlere erişimi vardır. Bu, fidye yazılımının yayılmasının yolunu açar.

Daha önce açıklandığı gibi, bu en çok hasarın verildiği aşamadır. Ancak, bu aşama artık kurumsal güvenlik savunmalarında bir kör noktadır. Günümüzde fidye yazılımlarının gerçek zamanlı ve otomatik olarak yayılmasını engelleyebilecek bir güvenlik çözümü yoktur. Pratikte bu, teslimat ve yürütme için güvenlik önlemlerini atlamayı başaran bir fidye yazılımı varyantının - ve bu varyantların belirli bir yüzdesinin her zaman bunu başardığını - şirket ortamına yayılabileceği ve ulaştığı her makineyi şifreleyebileceği anlamına gelir. EPP'ler yeni kötü amaçlı yazılım türlerine karşı korumada daha iyi hale gelse bile, tehdit aktörleri de daha iyi kaçırma yöntemleri ve daha gizli yükler (yükler) geliştirerek bu tür bir kaçırmayı çok olası bir senaryo haline getiriyor.

koruma sorunu

Bu güvenlik açığının nedenini daha iyi anlamak için, otomatik fidye yazılımı yayılımının nasıl çalıştığına bir göz atalım.

Fidye yazılımı yükünün orijinal olarak çalıştığı "hasta sıfır" adı verilen bir uç nokta vardır. Kötü amaçlı yazılım, bölgedeki diğer bilgisayarlara yayılmak için güvenliği ihlal edilmiş kimlik bilgilerini kullanır ve diğer bilgisayara geçerli (ancak güvenliği ihlal edilmiş) bir kullanıcı adı ve kimlik bilgileri sağlayarak temel kimlik doğrulaması gerçekleştirir. Bu etkinlik bağlamında yüzde 100 kötü amaçlı olsa da, temelde ortamdaki herhangi bir meşru kimlik doğrulamasıyla aynıdır. Kimlik sağlayıcının - bu durumda Active Directory'nin - bu kötü amaçlı içeriği algılamasının bir yolu yoktur. Bu nedenle bağlantıyı onaylayacaktır.

Fidye yazılımlarına karşı korumadaki kör nokta işte burada yatıyor: Bir yandan, hiçbir güvenlik ürünü gerçek zamanlı olarak kimlik doğrulamalarını engelleyemez ve diğer yandan bunu mümkün kılabilecek tek ürün olan kimlik sağlayıcı, ayırt edemez. meşru ve kötü amaçlı kimlik doğrulamaları arasında.

Birleşik Kimlik Koruması, fidye yazılımının otomatik olarak yayılmasını önler

Unified Identity Protection, herhangi bir şirket içi ve bulut kaynağına yönelik her bir erişim girişiminin sürekli izleme, risk analizi ve erişim ilkesi uygulamasını gerçekleştirmek için kuruluş ortamındaki kimlik sağlayıcılarla yerel olarak entegre olan aracısız bir teknolojidir. Bu şekilde, birleşik kimlik koruma çözümü, risk tabanlı kimlik doğrulamayı ve çok faktörlü kimlik doğrulamayı, otomatik fidye yazılımı yayılımının dayandığı Active Directory komut satırı uzaktan erişim arabirimleri dahil olmak üzere daha önce korunamayan kaynaklara ve erişim arabirimlerine genişletir.

Saldırıları proaktif olarak önleyin

Bu, fidye yazılımlarının otomatik dağıtımı da dahil olmak üzere kurumsal kaynaklara erişmek için güvenliği ihlal edilmiş kimlik bilgilerini kötüye kullanan saldırıları proaktif olarak önleyebilir. Bunun nedeni, kötü amaçlı yazılımın, paylaşılan klasörlere özel bir düşkünlükle hedef ortamda yayılmak için güvenliği ihlal edilmiş kimlik bilgileri kimlik doğrulaması kullanmasıdır.

Unified Identity Protection, otomatik fidye yazılımı dağıtımına karşı gerçek zamanlı koruma sağlamak için aşağıdaki eylemleri gerçekleştirir:

1. Sürekli izleme

Unified Identity Protection, kullanıcı hesabı kimlik doğrulamalarını ve erişim girişimlerini sürekli olarak analiz ederek, normal kullanıcı ve makine etkinliğinin oldukça doğru bir davranışsal profilini oluşturur.

2. Risk Analizi

Otomatik fidye yazılımı dağıtımı durumunda, tek bir makineden ve kullanıcı hesabından kaynaklanan birden çok eşzamanlı oturum açma denemesi vardır. Unified Identity Protection Platform'un risk motoru, bu anormal davranışı anında algılar ve hem kullanıcı hesabının hem de bilgisayarın risk puanını yükseltir.

3. Erişim Politikası Uygulaması

Birleşik Kimlik Koruması, kullanıcıların MFA ile güçlendirilmiş kimlik doğrulama veya hatta erişimi tamamen engelleme gibi koruyucu bir önlemi tetiklemek için gerçek zamanlı risk değerlendirmesini kullanan erişim ilkeleri oluşturmasına olanak tanır. Fidye yazılımının otomatik dağıtımına karşı politika, bir kullanıcı hesabının risk derecesi "Yüksek" veya "Kritik" olduğunda MFA gerektirir ve tüm erişim arabirimleri için geçerlidir - Powershell, CMD ve ağ klasöründe paylaşılan erişim için özel (adanmış) protokol olan CIFS.

Bu politika etkinleştirilirse, fidye yazılımının başka bir bilgisayara yayılma girişimi, kimlik bilgileri ele geçirilen gerçek kullanıcılar üzerinde MFA doğrulaması yapılmadığı sürece bağlantıya izin vermez. Bu, yayılmanın önlendiği ve saldırının başlangıçta enfekte olan tek uç nokta "sıfır hasta" ile sınırlı olduğu anlamına gelir.

Dolayısıyla bu özel kimlik koruma yaklaşımı, fidye yazılımı saldırılarının en ölümcül bileşeni olan otomatik yayılımı önleyebilir. Birleşik bir kimlik koruma çözümü ile şirketler nihayet savunmadaki bu kritik kör noktayı kapatabilir ve böylece fidye yazılımı saldırılarına karşı dayanıklılıklarını önemli ölçüde artırabilir.

Daha fazlası Silverfort.com'da

 

Silverfort Hakkında

Silverfort, kimliğe dayalı saldırıları azaltmak için kurumsal ağlar ve bulut ortamları genelinde IAM güvenlik kontrollerini birleştiren ilk birleşik kimlik koruma platformunu sağlar. Yenilikçi aracısız ve proxy'siz teknolojiyi kullanan Silverfort, tüm IAM çözümleriyle sorunsuz bir şekilde entegre olur, risk analizlerini ve güvenlik kontrollerini birleştirir ve kapsamlarını yerel ve eski uygulamalar, BT altyapısı, dosya sistemleri, komut satırı gibi daha önce korunamayan varlıkları kapsayacak şekilde genişletir. araçlar, makineden makineye erişim ve daha fazlası.

 

Konuyla ilgili makaleler

5G ortamları için koruma sağlayan siber güvenlik platformu

Siber güvenlik uzmanı Trend Micro, kuruluşların sürekli genişleyen saldırı yüzeyini korumaya yönelik platform tabanlı yaklaşımını açıklıyor. ➡ Devamını oku

BT güvenliği: NIS-2 bunu birinci öncelik haline getiriyor

Alman şirketlerinin yalnızca dörtte birinde yönetim BT güvenliği sorumluluğunu üstleniyor. Özellikle küçük şirketlerde ➡ Devamını oku

Siber saldırılar 104'te yüzde 2023 artacak

Bir siber güvenlik şirketi geçen yılın tehdit ortamını inceledi. Sonuçlar şu konularda önemli bilgiler sağlıyor: ➡ Devamını oku

BT güvenliği: LockBit 4.0'ın temeli etkisiz hale getirildi

Trend Micro, Birleşik Krallık Ulusal Suç Dairesi (NCA) ile birlikte çalışarak, geliştirilmekte olan yayınlanmamış versiyonu analiz etti ➡ Devamını oku

Google Workspace aracılığıyla MDR ve XDR

İster bir kafede, ister havaalanı terminalinde, ister ev ofisinde olsun, çalışanlar birçok yerde çalışır. Ancak bu gelişme beraberinde zorlukları da getiriyor ➡ Devamını oku

Mobil casus yazılımlar işletmeler için tehdit oluşturuyor

Giderek daha fazla insan hem günlük yaşamda hem de şirketlerde mobil cihaz kullanıyor. Bu aynı zamanda “mobil ➡ Devamını oku

Kitle kaynaklı güvenlik birçok güvenlik açığını tespit ediyor

Kitle kaynaklı güvenlik geçen yıl önemli ölçüde arttı. Kamu sektöründe önceki yıla göre yüzde 151 daha fazla güvenlik açığı rapor edildi. ➡ Devamını oku

Kurumsal Depolamadaki yapay zeka, fidye yazılımlarıyla gerçek zamanlı olarak savaşır

NetApp, fidye yazılımlarıyla mücadele etmek için yapay zekayı (AI) ve makine öğrenimini (ML) doğrudan birincil depolamaya entegre eden ilk şirketlerden biridir ➡ Devamını oku

Stories
, , , , ,