Not
Bu sayfaya erişim yetkilendirme gerektiriyor. Oturum açmayı veya dizinleri değiştirmeyi deneyebilirsiniz.
Bu sayfaya erişim yetkilendirme gerektiriyor. Dizinleri değiştirmeyi deneyebilirsiniz.
Fidye yazılımı olayları genellikle güvenlik ekiplerinin belirleyebileceği ayrı uyarı işaretleriyle birlikte bulunur. Diğer kötü amaçlı yazılım türlerinden farklı olarak fidye yazılımı genellikle bir olayı bildirmeden önce en az araştırma gerektiren yüksek oranda belirgin göstergeler üretir. Bu yüksek güvenilirlikli tetikleyiciler, yükseltmeden önce kapsamlı analiz gerektiren daha ince tehditlerin aksine durur. Fidye yazılımı saldırdığında, kanıt genellikle belirlenemez.
Genel olarak, bu tür enfeksiyonlar temel sistem davranışından, anahtar sisteminin veya kullanıcı dosyalarının olmamasından ve fidye talebinden açıktır. Bu gibi durumlarda analist, saldırıyı azaltmak için otomatik eylemler gerçekleştirmek de dahil olmak üzere olayı hemen bildirmeyi ve yükseltmeyi göz önünde bulundurmalıdır.
Fidye yazılımı saldırılarını algılama
Bulut için Microsoft Defender, Genişletilmiş Algılama ve Yanıt (XDR) olarak da adlandırılan yüksek kaliteli tehdit algılama ve yanıt özellikleri sağlar.
VM'lere, SQL Server'lara, Web uygulamalarına ve kimliklere yönelik yaygın saldırıların hızlı algılanmasını ve düzeltilmesini sağlayın.
Yaygın Giriş Noktalarına Öncelik Verme – Fidye yazılımı (ve diğer) işleçler Uç Nokta/E-posta/Kimlik + Uzak Masaüstü Protokolü (RDP) tercihidir
- Tümleşik XDR - Yüksek kaliteli uyarılar sağlamak ve yanıt sırasında uyuşma ve el ile uygulanan adımları en aza indirmek için Microsoft Bulut için Defender gibi tümleşik Genişletilmiş Algılama ve Yanıt (XDR) araçlarını kullanın
- Deneme Yanılma - Parola spreyi gibi deneme yanılma girişimlerini izle.
Saldırgan Güvenliği Devre Dışı Bırakma için İzleme – Genellikle Human-Operated Ransomware (HumOR) saldırı zincirinin bir parçası
Olay Günlüklerini Temizleme – özellikle Güvenlik Olay günlüğü ve PowerShell İşlem günlükleri
- Güvenlik araçlarının/denetimlerinin devre dışı bırakılması (bazı gruplarla ilişkili)
Emtia Kötü Amaçlı Yazılımlarını Yoksaymayın - Fidye yazılımı saldırganları, koyu pazarlardan hedef kuruluşlara düzenli olarak erişim satın alır
Dış uzmanları süreçlere – uzmanlığı tamamlamak amacıyla, Microsoft Olay Yanıtı ekibi (eski adıyla DART/CRSP) gibi, entegre edin.
Şirket içi dağıtımda Uç Nokta için Defender'i kullanarak güvenliği aşılmış cihazları hızla yalıtma.
Fidye yazılımı saldırılarına yanıt verme
Olay bildirimi
Başarılı bir fidye yazılımı enfeksiyonu doğrulandıktan sonra analist, yeni bir olayı temsil edip etmediğini veya mevcut bir olayla ilgili olup olmadığını doğrulamalıdır. Şu anda açık olan ve benzer durumları gösteren biletleri arayın. Öyleyse, geçerli olay biletini bilet oluşturma sistemindeki yeni bilgilerle güncelleştirin. Bu yeni bir olaysa, ilgili bilet sisteminde bir olay bildirilmeli ve olayı içermek ve azaltmak için uygun ekiplere veya sağlayıcılara yükseltilmelidir. Fidye yazılımı olaylarını yönetmenin birden çok BT ve güvenlik ekibi tarafından gerçekleştirilecek eylemleri gerektirebileceğini unutmayın. Mümkün olduğunda, biletin iş akışına yol gösteren bir fidye yazılımı olayı olarak açıkça tanımlandığından emin olun.
İzole Etme/Hafifletme
Genel olarak, çeşitli sunucu/uç nokta kötü amaçlı yazılımdan koruma, e-posta kötü amaçlı yazılımdan koruma ve ağ koruma çözümleri, bilinen fidye yazılımlarını otomatik olarak içerecek ve azaltacak şekilde yapılandırılmalıdır. Ancak, belirli fidye yazılımı varyantının bu tür korumaları atladığı ve hedef sistemlere başarıyla bulaştığı durumlar olabilir.
Microsoft, En İyi Azure Güvenlik En İyi Yöntemleri'nden olay yanıtı süreçlerinizi güncelleştirmenize yardımcı olacak kapsamlı kaynaklar sağlar.
Kötü amaçlı yazılımdan koruma sistemleri tarafından yapılan otomatik eylemlerin başarısız olduğu fidye yazılımı içeren bildirilen bir olayı içermesi veya azaltması için önerilen eylemler şunlardır:
- Standart destek süreçleri aracılığıyla kötü amaçlı yazılımdan koruma satıcılarıyla etkileşime geçin
- Kötü amaçlı yazılımdan koruma sistemlerine kötü amaçlı yazılımlarla ilişkili karmaları ve diğer bilgileri el ile ekleme
- Kötü amaçlı yazılımdan koruma satıcısı güncelleştirmelerini uygulama
- Düzeltilebilene kadar etkilenen sistemleri içerir
- Güvenliği aşılmış hesapları devre dışı bırakma
- Kök neden analizi gerçekleştirme
- Etkilenen sistemlere ilgili düzeltme eklerini ve yapılandırma değişikliklerini uygulama
- İç ve dış denetimleri kullanarak fidye yazılımı iletişimlerini engelleme
- Önbelleğe alınmış içeriği temizleme
Kurtarma yolu
Microsoft Algılama ve Yanıt Ekibi, saldırılardan korunmanıza yardımcı olur
İlk etapta uzlaşmaya neden olan temel güvenlik sorunlarını anlamak ve düzeltmek fidye yazılımı hedefleri için bir öncelik olmalıdır.
Süreçlere Microsoft Olay Yanıtı gibi uzmanlığı desteklemek için dış uzmanları tümleştirin. Microsoft Olay Yanıtı, dünyanın dört bir yanındaki müşterilerle etkileşime girerek saldırı gerçekleşmeden önce saldırılara karşı koruma ve sağlamlaştırmanın yanı sıra bir saldırının ne zaman gerçekleştiğini araştırıp düzeltmeye yardımcı olur.
Müşteriler, zamanında ve doğru yanıt için doğrudan Microsoft Defender Portalı'ndan güvenlik uzmanlarımızla etkileşime geçebilir. Uzmanlar, uyarı sorgularından, risk altındaki cihazlardan, şüpheli ağ bağlantısının kök nedeninden devam eden gelişmiş kalıcı tehdit kampanyalarıyla ilgili ek tehdit bilgilerine kadar kuruluşunuzu etkileyen karmaşık tehditleri daha iyi anlamak için gereken içgörüleri sağlar.
Microsoft, güvenli operasyonlara geri dönme konusunda şirketinize yardımcı olmak için hazırdır.
Microsoft yüzlerce risk kurtarma işlemi gerçekleştirir ve denenmiş ve doğru bir metodolojiye sahiptir. Sizi daha güvenli bir konuma getirmekle kalmayıp, duruma tepki vermek yerine uzun vadeli stratejinizi değerlendirme fırsatı da sağlar.
Microsoft, Hızlı Fidye Yazılımı Kurtarma hizmetleri sağlar. Bunun altında, kimlik hizmetlerinin geri yüklenmesi, düzeltme ve sağlamlaştırma gibi tüm alanlarda ve fidye yazılımı saldırılarının hedeflerinin mümkün olan en kısa zaman diliminde normal işletmeye dönmesine yardımcı olmak için izleme dağıtımı ile birlikte yardım sağlanır.
Hızlı Fidye Yazılımı Kurtarma hizmetlerimiz, görevlendirme süresi boyunca "Gizli" olarak ele alınır. Hızlı Fidye Yazılımı Kurtarma görevlendirmeleri yalnızca Azure Cloud & AI Domain'in bir parçası olan Compromise Recovery Security Practice (CRSP) ekibi tarafından sunulur. Daha fazla bilgi için Azure güvenliği hakkında iletişim isteğinde bulunarak CRSP ile iletişime geçebilirsiniz.
Sırada ne var?
Teknik incelemeye bakın: Fidye yazılımı saldırısı için Azure savunmaları teknik incelemesi.
Bu serideki diğer makaleler: