Gölge Salgını: Fidye Yazılımın Şirketler İçin Mevcut ve Gelecekteki Tehlikeleri

COVID-19'a karşı devam eden mücadelenin ortasında, küresel hükümetler ve işletmeler, kimsenin bağışık olmadığı başka bir viral tehditle karşı karşıya. Fidye yazılımı saldırıları, son iki yılda Interpol'ün artık onları dünya çapında bir salgın olarak gördüğü noktaya yükseldi. Küresel güvenlik organizasyonunun Genel Sekreteri Jurgen Stock, 2021 ortalarında yayınlanan acil eylem çağrısında, fidye yazılımlarıyla mücadelenin herhangi bir organizasyon veya endüstrinin tek başına yapamayacağı kadar büyük bir görev haline geldiğini söyledi. Küresel bir yanıt olmadan, fidye yazılımı suç çılgınlığının katlanarak büyümesini hiçbir şeyin engelleyemeyeceğini söyledi.

Ekim ayında, Beyaz Saray'ın Ulusal Güvenlik Konseyi küresel bir sanal siber güvenlik zirvesi düzenledi ve katılımcı 30 ülke siber savunmaya odaklanan NATO benzeri bir koalisyon kurmayı taahhüt etti. Ancak Toptal'ın danıştığı uzmanlar, şirket liderlerinin de fidye yazılımlarına karşı savaşa girmesi gerektiğini söylüyor.

Siber güvenlik araştırmaları ve terörle mücadelede dünya lideri ve Northwestern Üniversitesi Roberta Buffett Küresel İlişkiler Enstitüsü'nde profesör ve öğretim üyesi olan VS Subrahmanian, "Bu, Interpol gibi bir grup hükümet ve uluslararası kuruluştan daha fazlası olmalı" , Toptal Insights'a söyler. Fidye yazılımı önleme "büyük şirketleri içermeli ve bağımsız veya akademik araştırmacılar gibi bu şeyler hakkında çok derin düşünen insanları içermelidir."

Fidye yazılımı saldırıları, Interpol'ün artık onları dünya çapında bir salgın olarak gördüğü noktaya yükseldi.

Fidye yazılımı ekosisteminin büyümesini yavaşlatmak ve küresel ekonomiyi savunmak, şirketleri hem şimdi hem de gelecekte koruyacaktır. Altın standart siber güvenlik kontrol listelerine sahip şirketler bile günümüzün fidye yazılımı tehdidine karşı bağışık değildir. Ve bir saldırıdan çıkış yolunu satın alabileceklerine inanan şirket liderleri, bilgisayar korsanlarına ödeme yapanların yalnızca %8'inin tüm verilerini geri aldığını öğrenmekten rahatsız olabilir.

ABD devlet kurumları, Fortune 500 şirketleri ile ortak olan bir veri bilimi ve sosyal analitik şirketi olan SentiMetrix'in kurucu ortağı olan Subrahmanian, "Şu anda saldırganlar, savunmalardan kaçmak veya üstesinden gelmek için stratejilerini sürekli geliştiriyorlar, bu yüzden bu sürekli bir savaş" diyor. ve önde gelen üniversiteler. "Saldırıların sayısı artıyor ve tüm işletmeler tehdit altında."

Mevcut Durum

2020'de COVID-19'un kapanması sırasında uzaktan çalışmaya ani geçiş ve bulut bilişime artan bağımlılık, birçok şirketin ağlarındaki zayıflıkları ortaya çıkardı ve kötü amaçlı yazılımlar için daha fazla giriş noktası oluşturdu; bilgisayar korsanlarının bir kuruluşun verilerini kilitlemesine, kaldırmasına izin veren kötü amaçlı yazılım programları. şirketin bilgisayarlarını kontrol edin ve harici sunucularda rehin alın.

ABD Hazine Bakanlığı Mali Suçları Uygulama Ağı'nın (FinCen) tahminlerine göre, Amerikan kuruluşlarının fidye yazılımı saldırganlarına ödediği toplam tutar 2019 ile Haziran 2021 arasında iki katından fazla arttı. Siber güvenlik firması Palo Alto Networks'ün sahip olduğu küresel bir tehdit araştırma ve kötü amaçlı yazılım analiz grubu olan Unit 42'ye göre, her kurbandan talep edilen ortalama fidye ödemesi de patladı, 2019'da sadece 1 milyon dolardan utangaçken 2020'de 5 milyon doların üzerine çıktı.

Yakın tarihin en felç edici saldırılarından birinde, bilgisayar korsanları 2021'de Colonial Pipeline Co.'nun fidye olarak 4,4 milyon dolar ödemesine kadar ABD'nin Doğu Sahili'nin çoğuna benzin tedarikini beş gün boyunca kapatmaya zorladı. Aynı zamanda, Chicago merkezli sigorta devi CNA, fidye yazılımı saldırganlarına 40 milyon dolar ödeyerek bireysel bir saldırı için yeni bir rekor kırdı.

2021'in sonlarında, küresel İK yazılım çözümleri lideri Ultimate Kronos Group, büyük işverenleri Noel tatilinden iki hafta önce çalışanlarına ödeme yapmak için alternatif yollar bulmaya zorlayan bir saldırıya uğradı. Talep edilen fidye miktarı kamuya açıklanmadı, ancak UKG'nin 2021'de 3,3 milyar dolar kazanç bildirdiği göz önüne alındığında büyük olması muhtemel.

Suçluların kârındaki üstel büyüme, dünyanın her yerinden daha fazla oportünist çekiyor. Çin bir siber suç noktası olarak biliniyor; hackerlar için diğer aktif ülkeler arasında Brezilya, Polonya, İran, Hindistan, Amerika Birleşik Devletleri, Rusya ve Ukrayna bulunmaktadır.

Günümüzün Fidye Yazılım Saldırıları Giderek Daha Acımasız

Fidye yazılımı saldırıları çok basit bir prosedür izlerdi: “Saldırıya uğrarsınız. Bazı dosyalarınız şifrelenir. Bu dosyaları geri almak için Bitcoin olarak bir fidye ödemeniz gerekecek” diyor Subrahmanian. Bu tür saldırılar 1980'lerin sonlarında, bilgisayar virüslerinin bilgisayarlarının kilidini açmak için anonim posta kutularına nakit göndermek zorunda kalacak olan şüpheli olmayan kurbanlara disketlere dağıtılmasıyla başladı. Küresel iş çevrimiçi hale geldikçe, planlar da değişti.

Yıllar geçtikçe kuruluşlar, dosyaları sık sık harici sabit sürücülere veya bulut sunucularına yedeklemenin, veri kilitlenmesi tehdidini etkisiz hale getirdiğini fark etti. Subrahmanian, "Yani fidye yazılımı tehdidi aktörlerinin yaptığı şey, çalışma şeklini değiştirmekti" diyor. “Bir saldırı gerçekleştirdikleri zaman, sadece verilerinizi şifrelemekle kalmıyorlar. Bir kısmını da çalıyorlar.”

Çalınan verilerden yararlanan bilgisayar korsanları, saldırılar sırasında artık düzenli olarak dört tür gasp kullanıyor. Birincisi, kurbanın verilerini şifrelemek ve siber suçlu tarafından kontrol edilen bir sunucuya sızdırmak (kaldırmaktır). İkincisi, şirketin itibarını zedeleyebilecek özel sırları veya bilgileri kamuya açıklamakla tehdit etmektir. Üçüncü bir gasp türü, bir kuruluşun halka açık web sitelerini kapatan bir Hizmet Reddi (DOS) saldırısını tehdit etmeyi içerir.

Bunlar gerçekten agresif siber saldırılardır ve bunları gerçekleştiren kişilerin ulus devletlerden daha fazla gücü vardır. —Austin Dimmer, DevSecOps uzmanı

2020'de Finlandiya'da 25 ruh sağlığı kliniği işleten özel bir şirkete yönelik türünün ilk örneği bir saldırıda, "dış gasp" olarak adlandırılan yeni, dördüncü tür bir fidye yazılımı gaspı ortaya çıktı. Saldırganlar, şirketin sistemlerine yeniden erişebilmesi ve dahili verilerinin yayınlanmasını önleyebilmesi için yalnızca para talep etmekle kalmadı, suçlular ayrıca on binlerce bireysel hastayı gasp etti ve bunu yapmazlarsa gizli terapist notlarını ve tedavi kayıtlarını halka açıklamakla tehdit ettiler. kişi başı ortalama 200 Euro ödersiniz.

Austin Dimmer, Toptal Insights'a “Bunlar gerçekten agresif siber saldırılar ve bu saldırıları gerçekleştiren adamlar artık ulus devletlerden daha fazla güce sahipler” dedi. Avrupa Komisyonu, Lego ve Publicis Worldwide için güvenli ağlar kuran ve yöneten bir DevSecOps (geliştirme, güvenlik ve operasyonlar) uzmanı olan Dimmer, siber suçluların çalışmalarından payını gördü. "Sadece vicdansızlar ve merhamet göstermiyorlar."

Karmaşık Bir Ağ Saldırganların Yakalanmasını Zorlaştırır

Fidye yazılımı pazarının merkezi olmayan ve karmaşık yapısı, saldırganları yakalamayı inanılmaz derecede zorlaştırıyor. Tek bir saldırı gerçekleştiren kişilerin ağı, kötü amaçlı yazılımı oluşturan tek bir kötü amaçlı yazılım geliştiricisinin çok ötesine geçer. Geliştiriciler nadiren saldırıları kendileri gerçekleştirir. Bunun yerine, satın almak veya kiralamak için mallarını karanlık ağa atıyorlar. Bu noktada, distribütörler, yazılımı dağıtma ve saldırılar gerçekleştirme hakkı için geliştiricilerle sözleşme yapar.

Ardından, bir fidye ödendiğinde, bir kripto para para aklayıcı ağı devreye girerek fonları temizliyor ve kârları geliştirici(ler), distribütör(ler) ve diğer aktörlere geri dağıtıyor.

Fidye yazılımı saldırganları bulunup yakalandıklarında bile, kurbanlar için parasal tazminat genellikle minimum düzeydedir. Örneğin, Colonial Pipeline davasında FBI, ödenen 4,4 milyon dolarlık fidyenin yaklaşık yarısını telafi etmek için kripto para birimi işlemlerini izleyebildi.

Gelecekteki Saldırıları Tahmin Etme ve Önleme

Bir fidye yazılımı saldırısı tamamlandıktan sonra suçluları ve fidye fonlarını takip etme umudu çok az olan Subrahmanian, tahmin ve önlemeye odaklanıyor. O ve Northwestern'deki ekibi şu anda, veriler tehlikeye atılmadan önce gelecekteki fidye yazılımı saldırılarının türünü ve zamanlamasını tahmin edebilen bir tahmine dayalı sistem geliştiriyor.

Yazılımı, geliştirilmekte olan yeni kötü amaçlı yazılımları belirlemek ve potansiyel distribütörlere ne zaman tanıtıldığını not etmek için karanlık ağ ve sosyal medyadaki iletişimleri ve eğilimleri izlemek için yapay zeka kullanır.

Subrahmanian, bilgisayar korsanlarının sadece ne zaman değil, aynı zamanda sistemlere nasıl sızmaya çalışacağını da belirlemeyi amaçlıyor. İlk bulguları, güvenlik kontrol listelerinde ve danışmanlar tarafından tanımlanan binlerce olası güvenlik açığından bilgisayar korsanlarının yalnızca zayıflıkların %9,3'ünü hedeflediğini gösterdi. Bu, kuruluşların BT güvenlik çabalarının %90'ını yanlış korumalara harcıyor olabileceği anlamına gelir.

Küresel çapta yayılmış anonim bilgisayar korsanlığı gruplarının ve bireylerin eylemlerini tahmin etmek neredeyse imkansız olsa da, siber suçlarla bağlantılı olarak işaretlenen toplu iletişimlerin izlenmesi, büyüyen tehdit alanlarının göstergesi olabilir. Subrahmanian, eğilimleri tahmin etmek için finansal piyasaların akışını izlemek gibi, fidye yazılımı faaliyetinin geniş pazarını gözlemlemenin, araştırmacıların ortaya çıkan kötü amaçlı yazılımları ve potansiyel hedeflerini tanımasına yardımcı olacağını ve böylece kuruluşların proaktif adımlar atabilmesini umuyor.

Özel Sektörün Siber Suçlarla Mücadeleye Yardımcı Olabileceği Yenilikçi Yollar

Subrahmanian'ın ekibinin yaratmaya çalıştığı türden güvenilir tahminler olmadan, cephe hatları hala organizasyonların faaliyet göstermesi için üzücü bir yer. Ancak bu dört strateji, şirket liderlerinin şu anda savaşmasına yardımcı olabilir:

Fidye Yazılım Saldırganlarının Karlarını Azaltın

Fidye yazılımı saldırıları siber suçlulara büyük kazançlar sağlamaya devam ederse, Dimmer hükümet ve kanun uygulama çabalarının çoğunun başarısızlığa mahkum olduğuna inanıyor. Özellikle bilgisayar korsanlarının bulunduğu bazı ülkelerde bu tür diğer ekonomik fırsatların mevcut olmayabileceği düşünüldüğünde, kâr için çok fazla fırsat var.

Toptal'ın Baş Teknoloji Sorumlusu Subrahmanian ve Ismael Peinado, bu ekonomik itici gücü zayıflatmak için şirketlerin fidye ödemeye karşı iç kurallar benimsemeyi ve fidye ödemeyi yasa dışı hale getirecek yasaları desteklemeyi düşünmeleri gerektiğini söylüyor. “Bu saldırıları neden yaptığımızı bir düşünün. Çünkü saldırganlar parayı alıyor. Ve neden kötüye gidiyor? Çünkü parayı almaya devam ediyorlar” diyor Peinado. “Bankalara girip rehin alan insanlara neden fidye ödemiyoruz? Aynı sebepten."

Fidye yazılımı kurbanları tarafından gerçekleştirilen eylemlerin suç sayılması kulağa tartışmalı gelebilir, ancak Subrahmanian, siber suçlulara verilerini kurtarmaları için ödeme yapan şirketlerin, saldırganların kendilerine karşı uluslararası yaptırımları olan ülkelerden olması veya terörizmi destekleyen kuruluşlarla bağlantısı olması durumunda zaten uluslararası hukuku ihlal ediyor olabileceğini belirtiyor. Fidye yazılımları için kripto para ödemelerinin hedef ülkelerini izleyen bilgisayar korsanlarına yapılan kripto para ödemeleri hakkında bir rapor, ödemelerin en az %15'inin uluslararası yasaları ihlal ederek yasaklı kuruluşların eline geçtiğini gösterdi.

Dahası, ödeme yapmak, bilgisayar korsanlarının pazarlıkta kendilerine düşeni yapacağını garanti etmez. Siber güvenlik firması Sophos tarafından dünya çapında 5.000'den fazla BT lideri arasında yakın zamanda yapılan bir ankete göre, ödeme yapan kuruluşlar verilerinin ortalama yalnızca %65'ini geri aldı. Kurbanların sadece %8'i tüm dosyalarını kurtarabildi.

Kontrol Listeleri ve Dış Denetimler Yerine SecOps'a Odaklanın

Şirketlerini korumaya çalışan teknoloji liderleri, genellikle en iyi güvenlik uygulamaları kontrol listelerini kullanır, en son güvenlik yazılımlarına yatırım yapar ve ağ açıklarını test etmek için pahalı güvenlik denetçileri tutar. Ne yazık ki, devlet kurumları, yeni kurulan şirketler ve büyük, yüksek büyüme hızına sahip şirketlerle çalışma konusunda 20 yıllık deneyime sahip küresel bir siber güvenlik lideri olan Peinado, bunun yanlış bir yaklaşım olduğunu söylüyor.

Kontrol listelerinin ve sertifikaların peşinden gitmek ve basit mevzuat uyumluluğuna odaklanmak, kurumsal liderlik arasında yanlış bir güvenlik duygusu yaratırken bir kurumun BT kaynaklarını tüketebilir. Sistemlere ek giriş noktaları ve bulut bilişime olan güven sayesinde ağlara erişim artık eskisi kadar zor değil. Yine de güvenlik firmaları, bilgisayar korsanlarının asla hedefi olmayabilecek ağlardaki güvenlik açıklarını kontrol etmek için hala sayısız saat harcıyor. "Günün sonunda, gerçek bilgisayar korsanlarının yaptıklarına odaklanıyorlar, yani evinize tek bir yoldan girerseniz, içeri girmenin başka bir yolunu bulurlar" diyor.

Bunun yerine Peinado, teknoloji liderlerinin güvenliği doğrudan mühendislik operasyonlarına entegre etmelerini ve sürekli test ve yamalama döngüsünü ortadan kaldırmalarını tavsiye ediyor. DevSecOps veya SecOps olarak adlandırılan bu tür güvenlik operasyonları, güvenliği doğrudan bir şirketin yazılım geliştirme operasyonlarına entegre eder ve yeni tehditlere karşı çevik tepkiler ortamını teşvik eder, diyor.

Örneğin, bir şirketin web sitesinin yeni bir işlevi veya özelliği oluşturulduğunda ve herkese açık olarak kullanıma sunulduğunda, bilgisayar korsanları için yeni bir dizi güvenlik açığı ortaya çıkar. Geleneksel bir çalışma döngüsünde, geliştiriciler yeni web sitesinin işlevlerini bir silo içinde oluşturacak ve ardından bunları dahili (ve bazen harici) güvenlik uzmanları tarafından test edilmek üzere gönderecektir. Güvenlik daha sonra yamalanacak ve olaydan sonra bulunan güvenlik açıkları üzerine atılacaktır.

SecOps ortamında, siteyi veya işlevselliği oluşturan mühendisler ve geliştiriciler, ürün geliştirilirken uygun güvenlik düzeyinin entegre edilmesini sağlamak için bir güvenlik mühendisiyle birlikte çalışır. Peinado, bu entegre yaklaşımın SecOps geliştiricilerini daha geleneksel prosedürlerde mümkün olmayan bir şekilde daha bilinçli ve hesap verebilir hale getirdiğini söylüyor.

Koşullu Siber Güvenlik Yeteneğinden Yararlanın

Toptal'ın geliştirici yetenek ağının bir parçası olarak müşterilerle çalışan Dimmer, müşterilerin süreçlerine SecOps bakış açısını getirmeye çalışırken, genellikle dahili BT ekiplerindeki beceri boşlukları nedeniyle karışık tepkiler aldığını söylüyor. onları daha güvenli hale getirirsiniz. Başarı, sadece doğru sistemlere sahip olmak değil, aynı zamanda bunları kullanacak eğitimli personele sahip olmak demektir, diyor.

Güvenlik mühendisleri gibi yüksek değerli teknoloji rollerini istihdam etmek, şirketler için bir sorun olmaya devam ediyor. TechBeacon tarafından hazırlanan Güvenlik Operasyonları Durumu raporu için ankete katılan 10 kuruluştan yaklaşık 1'i, yetenekli yetenek eksikliğinin 2021'deki 1 numaralı siber güvenlik sorunu olduğunu söyledi ve yaklaşık %30'u bunun en büyük üç engel arasında olduğunu söyledi.

Bu boşlukları doldurmaya yardımcı olmak için Toptal gibi olası ağlar aracılığıyla birinci sınıf teknik yetenekler işe alınabilir. Dimmer gibi siperlerdeki geliştiriciler ve teknoloji liderleri, onlarca yıldır yüksek talep görüyorlardı, ancak şimdi çok daha fazla siber güvenlik çalışanı sıkıntısı nedeniyle daha da fazla talep görüyorlar. Bilgi Sistemleri Güvenliği Derneği, 2019'da sektörde 4 milyon profesyonel boşluk olduğunu tahmin etti ve 2021'de BT liderleriyle yaptığı anket, o zamandan beri farkın genişlediğini ortaya koydu.

Bazı kurumsal liderler, SecOps siperlerine serbest çalışanları dahil etmek gibi en hassas güvenlik projeleri için dış yetenekleri kullanmakta tereddüt edebilir. Ancak güvenlik operasyonlarının bir kısmını harici yeteneklere dış kaynak sağlamak, aslında, zaten bir normdur: TechBeacon tarafından ankete katılan kuruluşların yarısından fazlası, siber güvenlik işlevlerini yerine getirmek için kurum içi ve harici kaynakların bir kombinasyonunu kullandıklarını bildirdi.

Siber Suçlarla Mücadelenin Geleceği

Şimdiye kadar, Subrahmanian'ın erken uyarı AI yazılımı, deneysel modellerde fidye yazılımı saldırılarını tahmin etmede %70 etkili olduğunu kanıtladı, diyor. Testler iyi gitmeye devam ederse, 2022'nin ortalarından itibaren gerçek dünya saldırıları için tahminler yayınlamayı umuyor.

Araştırması ayrıca yazılımdaki güvenlik açıklarının ne zaman belirlendiği ile yazılım yamalarının ve güvenlik güncellemelerinin ne zaman kamuya açık hale geldiği arasındaki boşluğa da odaklanıyor. Bu araştırmadan elde edilen ilk bulgular, kötü amaçlı yazılım saldırılarının yaklaşık yarısının, ortalama olarak yaklaşık 132 gün süren bu dönemde gerçekleştiğini ortaya koymaktadır. Bu uzun süreli güvenlik açığı, yeni tehditlerin başlangıcında bilgisayar korsanlarını durdurmak için etkili bir tahmine dayalı model arayışını daha da kritik hale getiriyor.

Bu arada, Big Tech devreye giriyor. Google, yazılım tedarik zincirinin güvenliğini sağlamaya ve tüm dahili ve harici kullanıcıların kimliğinin sürekli olarak doğrulanmasını gerektiren sıfır güven sistemlerinin, güvenlik çerçevelerinin kullanımını genişletmeye yardımcı olmak için önümüzdeki beş yıl içinde 10 milyar dolar harcamayı taahhüt etti. Microsoft, ABD'deki yerel yönetimlerin savunmalarını yükseltmelerine yardımcı olmak için 150 milyon dolarlık teknik hizmetler sunuyor. Amazon, çalışanlarına verdiği güvenlik bilinci eğitimini halka sunmaya başlamayı ve tüm Amazon Web Services (AWS) istemcileri için iki aşamalı kimlik doğrulamasını ücretsiz hale getirmeyi taahhüt etti.

Subrahmanian, fidye yazılımlarıyla sürekli gelişen bir tehdit olarak savaşmanın küresel bir köy alacağını ve büyük ve küçük şirketlerin bunun bir parçası olması gerektiğini söylüyor.

İlgili: SecOps Talent için Toptal'ın Geliştirici Beceri Dizinine Göz Atın