Veeam, 2022 Fidye Yazılım Trendleri Raporu'nun sonuçlarını VeeamON 2022'de açıkladı. Veeam’in raporu kuruluşların %72'sinin yedekleme havuzlarının kısmi veya tam saldırılara maruz kaldığını ve bu saldırıların verileri fidye ödemeden kurtarabilme becerisini önemli ölçüde etkilediğini tespit etti. Modern Veri Koruması sağlayan yedekleme, kurtarma ve veri yönetimi çözümlerinde lider olan Veeam Yazılım, raporda başarılı saldırıların %80'inin bilinen güvenlik açıklarını hedeflediğini ortaya çıkardı. Bu bilgi yazılım yamalama ve yükseltmenin önemini pekiştiriyor. Rapor ayrıca, hemen hemen tüm saldırganların, kurbanın fidye ödemeden kurtarma becerisini devre dışı bırakmak için yedekleme havuzlarını yok etmeye çalıştığını da gösteriyor.
Türünün ilk örneği olan bu çalışma, bu saldırıların temel öğrenimlerini, bunların BT ortamları üzerindeki etkilerini ve ileriye dönük iş sürekliliğini sağlayan Modern Veri Koruma stratejilerini uygulamak için atılan adımları inceledi. Araştırma projesi, kuruluşlar arasında siber hazırlık uyumunu anlamak için özel olarak dört farklı BT rolü özelinde (CISO'lar, Güvenlik Uzmanları, Yedekleme Yöneticileri ve BT Operasyonları) araştırma yaptı.
“Fidye yazılımı, veri hırsızlığını demokratikleştirdi ve her sektördeki kurumun fidye ödemeden kurtarma ve çözüm sunma becerilerini üst düzeye çıkarabilmeleri için işbirliğini artırmalarını gerekli kıldı.” diyen Veeam CTO’su Danny Allan, “ Verileri geri yükleme için siber suçlulara fidye ödemek veri kurtarma stratejisi değildir. Fidye ödemek verileri kurtarmayı garanti etmeyeceği gibi, itibarın zedelenmesi ve müşteri güveninin kaybolması risklerini de artırır. Bu durum, suç faaliyetlerini ödüllendiren kendi kendini gerçekleştiren bir kehaneti beslediğinden ayrıca önemlidir.” şeklinde konuştu.
Fidye ödemek kurtarma stratejisi değildir
Ankete katılan kuruluşlar arasında siber-mağdur olanların çoğu (%76) bir saldırıyı sona erdirmek ve verileri kurtarmak için fidye ödedi. Ne yazık ki, bunlardan %52'si fidyeyi ödeyip verileri kurtarmayı başarırken, %24'ü fidyeyi ödedi, ancak yine de verileri kurtaramadı. Dikkat çeken bir diğer sonuç, kuruluşların %19'unun kendi verilerini kurtarabildikleri için fidye ödememesi oldu. Dolayısıyla siber-mağdur olan %81'in hedeflemesi gereken şey şu: fidye ödemeden verileri kurtarmak.
“Güçlü bir Modern Veri Koruma stratejisinin ayırt edici özelliklerinden biri, kuruluşun fidyeyi asla ödemeden, saldırıları önlemek, onarmak ve saldırılardan kurtulmak için elinden gelen her şeyi yapacağına dair net bir politikaya bağlı olmasıdır” diyen Allan sözlerini söyle sürdürdü: “Fidye yazılımının yaygın ve kaçınılmaz tehdidine rağmen, işletmelerin bunun karşısında çaresiz kaldığı söylemi doğru değil. Çalışanlarınızı eğitin ve kusursuz dijital hijyen uygulamalarını sağlayın; veri koruma çözümleriniz ve protokolleriniz için düzenli olarak sıkı testler gerçekleştirin; ve kilit paydaşları en kötü durum senaryolarına hazırlayan ayrıntılı iş sürekliliği planları oluşturun”
Önleme hem IT hem de kullanıcıların özenli gayretini gerektirir
Suçlular için "saldırı yüzeyi" çeşitlidir. Siber kötüler, üretim ortamlarına ilk olarak, hatalı kullanıcıların kötü niyetli bağlantıları tıklayarak güvenli olmayan web sitelerini ziyaret etmeleri veya kimlik avı e-postalarıyla etkileşimde bulunmalarıyla erişim sağladılar ve yine birçok olayın önlenebilir doğasını ortaya çıkardılar. Ortama başarıyla eriştikten sonra, veri merkezi sunucuları, uzak ofis platformları ve bulutta barındırılan sunucular arasında bulaşma oranlarında çok az fark vardı. Çoğu durumda, davetsiz misafirler, ortak işletim sistemleri ve hipervizörlerin yanı sıra NAS platformları ve veritabanı sunucuları da dahil olmak üzere bilinen güvenlik açıklarından yararlandılar, her taşın altına baktılar ve bulabilecekleri yama uygulanmamış veya eski yazılımlardan yararlandılar. Güvenlik Uzmanları ve Yedekleme Yöneticileri tarafından BT Operasyonları veya CISO'lara kıyasla önemli ölçüde daha yüksek bulaşma oranlarının bildirilmesi "soruna daha yakın olanların sorunları daha da fazla gördüğünü" ima etmesi bakımından önemli.
Onarma değişmezlikle başlar
Ankete katılanlar, saldırganların %94'ünün yedekleme havuzlarını yok etmeye çalıştığını ve vakaların %72'sinde bu stratejinin en azından kısmen başarılı olduğunu doğruladı. Bir kuruluşun kurtarma eşiğini bu şekilde ortadan kaldırılması popüler bir saldırı stratejisi çünkü kurbanların “fidyeyi ödemekten başka seçeneği kalmaması” olasılığını artırıyor. Bu senaryoya karşı koruma sağlamanın tek yolu, veri koruma çerçevesi içinde en az bir değişmezlik katmanına veya hiçbir sistemle bağlantısı olmayan, izole bir katmana sahip olmaktan geçiyor (Ankete katılanların %95'i şu anda buna sahip olduklarını belirttiler). Aslında, birçok kuruluş disk, bulut ve bant stratejilerinin birden fazla katmanında bir düzeyde değişmezlik ortamına veya izole edilmiş ortama sahip olduğunu bildirdi.
Veeam 2022 Fidye Saldırı Trendleri Raporu’nda yer alan diğer bulgular şöyle:
Düzenleme önemlidir: Sistemlerinin kurtarılabilirliğini proaktif olarak sağlamak için BT ekiplerinin altıda biri (%16), sunucularının geri yüklenebilir olmasını sağlamak için yedeklerinin doğrulanmasını ve kurtarılabilirliğini otomatik hale getiriyor. Ek olarak, yanıt verenlerin %46'sı, bir fidye yazılımı saldırısının onarımı sırasında sistemleri yeniden üretime sokmadan önce geri yüklenen verilerinin temiz olduğundan emin olmak için yalıtılmış bir "sandbox" veya hazırlama/test alanı kullanıyor.
Kuruluş uyumlamaları birleştirilmeli: Kuruluşlarının %81'i siber ve iş sürekliliği/felaket kurtarma stratejilerinin uyumlu olduğuna inanıyor. Ancak, yanıt verenlerin %52'si bu ekipler arasındaki etkileşimlerin iyileştirilmesi gerektiğini düşünüyor
Depoların çeşitlendirilmesi temel gereklilik: Neredeyse tüm (%95) kuruluşların en az bir değişmez veya diğer ağlardan izole edilmiş veri koruma katmanı var, %74'ü değişmezlik sunan bulut havuzlarını kullanıyor; %67'si değişmezlik veya kilitleme ile şirket içi disk havuzlarını kullanıyor; ve %22'si ağlardan izole edilmiş bant kullanıyor. Değişmez olsun ya da olmasın, kuruluşlar, disk havuzlarına ek olarak, üretim verilerinin %45'inin hala bantta depolandığını ve %62'sinin veri yaşam döngülerinin bir noktasında bir buluta gittiğini kaydettiler.