FİDYE SALDIRILARINDA  KURUMSAL YAPILAR İÇİN TAVSİYELER, ÖNCESİ VE SONRASI

Zararlı yazılım türleri arasında en yaygın olanlarından birisi olan fidye yazılımları (fidye virüsü olarak da adlandırılır), bulaştıkları sistemlerde dosyalara erişimi engelleyerek kullanıcılardan fidye talep edilmesine olanak sağlayan yazılımlardır. Uluslararası araştırma ve raporlar, fidye yazılımı saldırılarının büyük ölçüde dikkate alınması gerektiği ve saldırıların ciddi zararlar verebildiği hususlarını birçok defa vurgulamıştır. Saldırıların maddi zararının gün geçtikçe arttığı, saldırganların özellikle büyük fidyeler ödemeye gücü yeten kurum ve kuruluşlar ile önemli şirketleri hedef almayı tercih ettikleri belirtilmektedir. Bu saldırıların yoğun şekilde hedefi haline gelen kurumsal yapıların, saldırıları önlemelerinde veya gerçekleşen saldırıların etkilerini en aza indirmelerinde yol gösterici olabilecek ipuçları bu içerikte derlenmiştir.

Saldırıların tehlikelerini azaltmak için aşağıdaki önlemlerin alınmaları önerilmektedir.

• Bilişim alt yapısı ağlarına uzaktan erişim için çok faktörlü kimlik     doğrulaması   isteyin.
• Oltalama e-postalarının son kullanıcılara ulaşmasını önlemek için güçlü  spam filtrelerini etkinleştirin. Çalıştırılabilir dosya içeren e-postaların  son  kullanıcılara ulaşmasını engelleyin.
• Kullanıcıları kötü niyetli web sitelerini ziyaret etmekten veya kötü niyetli  ekleri açmaktan caydırmak ve hedefli oltalama e-postalarına uygun  kullanıcı yanıtlarını  güçlendirmek adına, hedefli oltalama için     kullanıcı eğitim    programları ve  simüle edilmiş saldırılar uygulayın.
• Bilinen kötü amaçlı IP adresleriyle giriş ve çıkış iletişimini engellemek için internet trafiğini filtreleyin. URL engelleme ve/veya izin listeleri uygulayarak kullanıcıların kötü niyetli web sitelerine erişmesini önleyin.
• Bilişim alt yapısı ağlarına bağlı işletim sistemleri, uygulamalar ve aygıt yazımları dahil olmak üzere tüm yazılımları zamanında güncelleyin. Merkezi bir yama yönetimi sistemi kullanmayı değerlendirin; yama yönetimi programına hangi bilişim ağlarının ve bölgelerinin katılması gerektiğini belirlemek için risk tabanlı bir değerlendirme stratejisi kullanın.
• Özellikle Uzak Masaüstü Bağlantısı’nı kısıtlayarak, ağlar üzerinden kaynaklara erişimi sınırlayın. Riskleri değerlendirdikten sonra, Uzak Masaüstü Bağlantısı’nın operasyonel olarak gerekli olduğu düşünülürse, çıkış kaynaklarını kısıtlayın ve çok faktörlü kimlik doğrulaması isteyin.
• Kritiklik, sonuç ve operasyonel gerekliliği dikkate alarak bilişim alt yapısı varlıklarını mantıksal bölgeler halinde düzenleyin. Bölgeler arasında geçerli iletişim kanalları tanımlayın ve ağ trafiğini filtrelemek ve bölgeler arasındaki iletişimi izlemek için güvenlik kontrollerini konuşlandırın. Endüstriyel kontrol sistemi protokollerinin bilişim alt yapısı ağını geçmesini yasaklayın.
• Bilişim alt yapısı ağlarında düzenli veri yedekleme prosedürleri uygulayın. Yedeklemeleri sık ve düzenli olarak yapın. Veri yedekleme prosedürleri ayrıca aşağıdaki yöntemleri içermelidir:

• Yedeklemelerin düzenli olarak test edildiğinden emin olun.
• Olayın çözümlenmesi adına sistemdeki her olay kaydını (log kayıtları) ayrı bir bilgisayar sisteminde kaydedin.
• Yedeklerinizi ayrı ayrı depolayın. Yedekler, fidye yazılımının yayılmasını sağlayabilecek ağ bağlantılarından izole edilmelidir. Pek çok fidye yazılımı erişilebilir yedeklemeleri bulmaya ve şifrelemeye veya silmeye çalıştığı için yedeklemelerin çevrimdışı olarak muhafaza edilmesi önemlidir. Mevcut yedeklemeleri çevrimdışı tutmak kritik öneme sahiptir. Çünkü ağ verileriniz fidye yazılımı ile şifrelenmişse, kuruluşunuz sistemleri önceki durumuna geri yükleyebilir. En iyi yöntem, yedeklemelerinizi harici bir sabit sürücü gibi ağdan erişilemeyen ayrı bir cihazda saklamaktır.
• Yeniden yapılandırılmaları gerektiğinde, kritik sistemlerin düzenli olarak güncellenen "ana görüntülerini" koruyun. Bu, önceden yapılandırılmış bir işletim sistemi ve sanal makine veya sunucu gibi bir sistemi yeniden inşa etmek için hızlı bir şekilde yerleştirilebilen ilişkili yazılım uygulamalarını içeren görüntü "şablonlarının" muhafazasını gerektirir.
• Birincil sistemin yeniden kurulumu tercih edilmediğinde, sistemleri yeniden kurmak için yedek donanımı saklayın. Birincil sistemden daha yeni veya daha eski olan donanım, görüntülerden yeniden kurulurken kurulum engellerine veya uyumsuzluklara neden olabilir.
• Kaynak kodunu veya çalıştırılabilir dosyaları saklayın. Sistem görüntülerinden yeniden kurulum daha verimlidir, ancak bazı görüntüler farklı donanım veya platformlara doğru şekilde yüklenmez; gerekli yazılıma ayrı erişimin olması bu durumlarda yardımcı olacaktır.

• Kullanıcı ve işlem hesaplarının hesap kullanım politikaları, kullanıcı hesabı kontrolü ve ayrıcalıklı hesap yönetimi aracılığıyla sınırlandırıldığından emin olun. Erişim haklarını en az erişim hakkı ve görev dağılımı ilkelerine göre düzenleyin.
• Güncel imzaları kullanarak bilişim alt yapısı ağlarını düzenli olarak taramak için virüsten koruma/kötü amaçlı yazılımdan koruma programları yükleyin. Bilişim alt yapısı ağlarının nasıl tanımlandığını ve kötü niyetli yazılım varlığına karşı nasıl değerlendirildiğini belirlemek için riske dayalı bir varlık envanteri stratejisi kullanın.

• E-posta ile iletilen haberleşme dosyalarından makro komut dosyalarını devre dışı bırakın.
• Yalnızca sistemlerin güvenlik politikası tarafından bilinen ve izin verilen programları çalıştırılmasına izin veren uygulama izin listesini uygulayın. AppData/LocalAppData klasörü dahil olmak üzere programların popüler internet tarayıcılarını destekleyen geçici klasörler veya sıkıştırma/açma programları gibi yaygın fidye yazılımı konumlarından çalıştırılmasını önlemek için yazılım kısıtlama ilkeleri veya diğer denetimleri uygulayın.

• Tor çıkış ağlarından ve diğer anonimleştirme hizmetlerinden harici bağlantıların beklenmediği IP adreslerine ve bağlantı noktalarına gelen bağlantıları izleyin ve/veya engelleyin. (yani, VPN ağ geçitleri, posta bağlantı noktaları, web bağlantı noktaları dışında).

ŞÜPHELİ BİR DURUMDA NELER YAPILMALI ?

• Etkilenen sistemi izole edin. Etkilenen sistemi tüm ağlardan kaldırın ve bilgisayarın kablosuz, Bluetooth ve diğer olası ağ özelliklerini devre dışı bırakın. İster kablolu ister kablosuz olsun, tüm paylaşılan ve ağa bağlı sürücülerin bağlantısının kesildiğinden emin olun. Uçucu verilerin (RAM) kaybolmaması için gerekli tedbirleri alın.
• Diğer bilgisayarları ve cihazları kapatın. Fidye yazılımı tarafından tam olarak şifrelenmemiş ama etkilenmiş bilgisayarlarla aynı ağı paylaşan diğer bilgisayarları veya cihazları kapatın ve ayırın. Mümkünse, tüm virüslü ve potansiyel olarak virüs bulaşmış bilgisayarları ve cihazları merkezi bir konumda toplayın ve güvenli hale getirin; şifrelenmiş tüm bilgisayarları açıkça etiketlediğinizden emin olun. Tamamen şifrelenmemiş virüslü bilgisayarların kapatılması ve ayrılması, kısmen şifrelenmiş dosyaların uzmanlar tarafından kurtarılmasına izin verebilir.
• Sistemdeki en yetkili kullanıcı bilgileri ve şifrelerini en kısa sürede değiştirin.  Olayın başlangıcından itibaren vakit kaybetmeksizin ilgili kurumlar ile irtibata geçin. Olay sonrası sistemdeki kayıp ve hasarların giderilmesi için alanında uzman olmayan kişi ve/veya firmaların sistemler üzerinde değişiklik yapmasına izin vermeyin.
• Yedeklemelerinizi koruyun. Yedekleme verilerinizin çevrimdışı ve güvenli olduğundan emin olun. Mümkünse, kötü amaçlı yazılım içermediğini kontrol etmek için yedekleme verilerinizi bir virüsten koruma programı ile tarayın.