Yedekleme neden tek başına yeterli değildir

Fidye yazılımlarından korunmak açısından verileri yedeklemek iyi bir fikir olsa da neden yeterli değildir?

Bugünlerde neredeyse yeni doğan bebekler bile fidye yazılımının anlamını biliyor. Fidye yazılımı terimi; gazeteler, dergiler ve bilgi güvenliği raporları dahil olmak üzere hemen hemen her yerde endişe verici bir istikrarla karşımıza çıkıyor. 2016’yı Fidye Yazılımı Yılı ilan etmiştik, ancak 2017 ile karşılaştırıldığında 2016 neredeyse solda sıfır kaldı. Nispeten sessiz geçen 2018 ve 2019’un ardından 2020’de fidye yazılımlarının tekrar manşetlere girdiğini gördük.

Kurumsal blogumuzda fidye yazılımları hakkında onlarca yazı bulunuyor ve neredeyse tamamı şu üç genel ipucunu veriyor:

  1. İyi bir koruma kullanın.
  2. Asla şüpheli sitelerden şüpheli dosyalar indirmeyin, şüpheli kişilerden gelen e-postalardaki şüpheli ekleri açmayın ve çalışanlarınıza da aynı şekilde davranmayı öğretin.
  3. Verileri düzenli olarak yedekleyin.

Zaman zaman bu öneriye getirilen itirazları duyuyorum. Örneğin insanlar, “Koruma da, çalışan farkındalığı da iyi şeyler. Ancak madem her şeyi düzenli olarak yedekleyebiliyoruz, neden korumayla ve çalışanları eğitmekle uğraşalım?” diye düşünebiliyor. Zaten sürekli yedekleme yapıyoruz; fidye yazılımına maruz kalırsak her şeyi yeniden yükleriz, olur biter, değil mi?

Değil.

Yedekler kurtarılabilir olmalıdır

Yedekleme elbette gereklidir. Peki, şirketinizin altyapısını bir yedekten geri yüklemeyi hiç denediniz mi? Bu göründüğü kadar kolay bir iş değil. Üstelik sahip olduğunuz bilgisayar ve altyapı çeşitliliği arttıkça işler daha da zorlaşıyor. Deneyimli BT uzmanlarının tümü, muhtemelen her şeyin eksiksiz olarak veya beklendiği şekilde geri yüklenmediği bir yedekleme ile karşı karşıya kalmıştır. Süreç kesinlikle umulan hızda ilerlemez. Üstelik bazen yedeklemeler hiç çalışmayabilir.

Yedeklemelerin olası hazin sonuçlarını görmüş olan herkes, yedekleme bütünlüğünü düzenli olarak kontrol etmesi, hazırlık ortamında sunucuyu diriltme alıştırmaları yapması ve gerekli durumlarda kurtarma işleminin uzun sürmeyeceğinden emin olması gerektiğini bilir. Dolayısıyla henüz yedeklemeden kurtarma yapmayı denememiş olanlar da tedbiri elden bırakmamalı; gerçek bir saldırıyla karşılaşıldığında yedeklemelerinin yardımcı olma ihtimali düşüktür.

Yedeklemeye güvenmekle ilgili bir başka sorun da, yedekleme sunucusu ağ çevresi içinde bulunuyorsa fidye yazılımının onu da ağdaki diğer tüm bilgisayarlarla birlikte şifreleyecek olmasıdır; bu da tüm kurtarma planlarına veda etmek anlamına gelir.

Özetle: Ağı segmentlere ayırarak, yedeklemeleri akıllıca yaparak ve geri yükleme testleri gerçekleştirerek yedekleri hızla canlıya alma olasılığınızı en üst düzeye çıkarın .

Kurtarma süresi, iş yapılamayan süre anlamına gelir; iş yapılamayan süreler ise pahalıya patlar

Farklı cihazlara ve altyapıya sahip büyük şirketlerde hızlı bir kurtarma olasılığı düşüktür. Yedekleme mükemmel çalışsa ve büyük emeklerle her şeyi geri yüklemeyi başarsanız bile, bu süreç yine de oldukça uzun sürecektir.

Bu haftalar boyunca (evet, muhtemelen günlerden değil haftalardan bahsediyoruz), şirket iş yapamaz halde kalır. Bazıları, bu tür bir kesinti süresinin maliyetinin fidye ödemekten daha az olduğunu düşünebilir (buna şiddetle karşı çıkıyoruz). Bir fidye yazılımı saldırısından sonra çalışma kesintisi her durumda kaçınılmazdır. Siber suçlular size bir şifre çözücü sağlayacak kadar nazik olsalar bile, tüm sistemlerin ve hizmetlerin şifresini çözmek ve hemen tekrar çalışır duruma getirmek imkansızdır. Üstelik gerçek dünyadaki siber suçlular hiç de nazik değildir; olsalar bile şifre çözücünün amaçlanan şekilde çalışacağının garantisi yoktur.”

Özetle: Fidye yazılımları yüzünden kesinti yaşamamanın tek yolu, fidye yazılımından kaçabilmektir. (Peki nasıl? Cevap, koruma ve çalışanları bilinçlendirme!)

Modern fidye yazılımları, şifreleyicilerden daha kötüdür

Fidye yazılımı çeteleri eskiden çoğunlukla son kullanıcıları hedefliyor ve şifreyi çözmek için yaklaşık 300 USD değerinde kripto para talep ediyordu. Ancak, artık çok daha büyük fidyeler ödeyebilen ve ödeme yapması daha muhtemel olan şirketlere saldırmanın avantajını keşfettiler. Üstelik bu siber suçlulardan bazıları, tıbbi kuruluşlara saldırmaktan da çekinmiyor: Bu yıl birçok hastanenin saldırıya uğradığını gördük. Son olaylardan birinde ise koronavirüs aşı tedarik zincirindeki bir şirket hedef alındı.

Modern fidye yazılımları şifrelemekten fazlasını yapıyor: Ağlarda gizlenerek tespit ettikleri her veri parçasını çalıyorlar. Veriler daha sonra analiz ediliyor ve şirketlere şifreleme, sızdırma veya her iki yolla şantaj yapmak için kullanılıyor. Fidye mesajında, ödeme yapılmamasının müşterilerin kişisel verilerinin veya şirketin ticari sırlarının yayınlanmasına neden olacağı yazabiliyor. Böyle bir durum, ölümcül bir sonuç doğrumasa da şirketin itibarını kalıcı olarak lekeleyebilir. Ayrıca bu tür bir sızıntının GDPR uyum regülatörleri ve benzer kurumlarla oldukça nahoş bazı görüşmelere yol açacağı da kesin.

Davetsiz bir misafirin kurumsal sırları veya kullanıcıların kişisel verilerini sızdırmaya karar vermesi durumunda, yedeklemelere sahip olmanın size bir yardımı dokunmaz. Üstelik yedeklerinizi, içeriden biri tarafından nispeten kolay erişilebilen bulut gibi bir ortamda saklıyorsanız, bizzat bu yedeklerin kendileri de saldırganlara şantaj için ihtiyaç duydukları bilgileri sağlayabilir.

Özetle: Yedekler gereklidir, ancak işletmenizi fidye yazılımlarından korumak için tek başına yeterli değildir.

Fidye yazılımlarına karşı güvenliğin üç ayağı

Elimizde fidye yazılımlarına karşı sihirli bir değnek olmadığı için bir kez daha tavsiyemiz aynı kalıyor: Yedekleme kesinlikle gereklidir, ancak doğru şekilde yapılmalı ve temkinli davranışlarla ve kurtarma provaları ile desteklenmelidir. Bu temkinli davranışların bir kısmı, şirketinizin verileri ne sıklıkla yedeklediği ve yedeklerin nerede depolandığı gibi ayrıntıları bilmektir. İlgili tüm çalışanlar, operasyonları nasıl hızla yeniden başlatacaklarını da tam olarak bilmelidir.

Yalnızca reaktif değil, aynı zamanda tehditlerin ağda yer edinmesini engelleyen proaktif koruma bir zorunluluktur. Çalışanları siber güvenliğin temelleri konusunda eğitmek ve bilgilerini düzenli olarak kontrol etmek de aynı derecede önem taşır.

Kısacası, güvenliğiniz her zaman aynı üç kelimeden ibarettir: Yedekleme, koruma ve farkındalık. Üçünün de yerinde olması gerekir. Üçü de yerinde olduğunda güvenle en iyi fidye yazılımı önleme güvenlik stratejisini uyguladığınızı söyleyebilirsiniz.

İpuçları