Fidye yazılımı saldırılarının kuruluşunuza girmesini zorlaştırın
Bu aşamada, giriş noktalarındaki riskleri aşamalı olarak kaldırarak saldırganların şirket içi veya bulut sistemlerinize girmek için daha zor çalışmasını sağlarsınız.
Bu değişikliklerin birçoğu tanıdık ve kolay olsa da, stratejinin bu bölümünde yaptığınız çalışmaların diğer önemli kısımlarda ilerlemenizi yavaşlatmaması son derece önemlidir!
Üç bölümdeki siber güvenlik planını gözden geçirme bağlantıları şunlardır:
Uzaktan erişim
Uzaktan erişim bağlantısı aracılığıyla kuruluşunuzun intranetine erişim elde etmek, fidye yazılımı saldırganları için bir saldırı vektördür.
Şirket içi kullanıcı hesabı ele geçirildikten sonra saldırgan, zeka toplamak, ayrıcalıkları yükseltmek ve fidye yazılımı yüklemek için intranette serbestçe dolaşabilir. 2021'deki Koloni İşlem Hattı siber saldırısı bir örnektir.
Uzaktan erişim için program ve proje üyesi sorumlulukları
Bu tabloda, sonuçları belirlemek ve yönlendirmek için bir sponsorluk/program yönetimi/proje yönetimi hiyerarşisi açısından fidye yazılımlarından uzaktan erişim çözümünüzün genel olarak korunması açıklanmaktadır.
| Lead | Uygulayıcı | Hesap verilebilirlik |
|---|---|---|
| CISO veya CIO | Yönetici sponsorluğu | |
| Merkezi BT Altyapısı/Ağ Ekibi'ndeki program lideri | Sonuçları ve ekipler arası işbirliğini yönlendirme | |
| BT ve Güvenlik Mimarları | Mimarilerle bileşen tümleştirmesine öncelik belirleme | |
| Merkezi BT Kimlik Ekibi | Microsoft Entra Kimliğini ve koşullu erişim ilkelerini yapılandırma | |
| Merkezi BT İşlemleri | Ortamda değişiklik uygulama | |
| İş Yükü Sahipleri | Uygulama yayımlama için RBAC izinlerine yardımcı olun | |
| Güvenlik İlkesi ve Standartları | Standartları ve ilke belgelerini güncelleştirme | |
| Güvenlik Uyumluluğu Yönetimi | Uyumluluğu sağlamak için izleme | |
| Kullanıcı Eğitimi Ekibi | İş akışı değişiklikleriyle ilgili tüm yönergeleri güncelleştirin, eğitim ve değişiklik yönetimi gerçekleştirin |
Uzaktan erişim için uygulama denetim listesi
Uzaktan erişim altyapınızı fidye yazılımı saldırganlarına karşı korumak için bu en iyi yöntemleri uygulayın.
| Bitti | Görev | Açıklama |
|---|---|---|
| Yazılım ve alet güncelleştirmelerini koruyun. Üretici korumalarını (güvenlik güncelleştirmeleri, desteklenen durum) eksik veya ihmal etmekten kaçının. | Saldırganlar, henüz saldırı vektörleri olarak düzeltme eki uygulamamış iyi bilinen güvenlik açıklarını kullanır. | |
| Koşullu Erişim ile kullanıcı ve cihaz doğrulaması Sıfır Güven zorunlu kılmayı da ekleyerek Microsoft Entra Id'yi mevcut uzaktan erişim için yapılandırın. | Sıfır Güven, kuruluşunuza erişimin güvenliğini sağlamak için birden çok düzey sağlar. | |
| Mevcut üçüncü taraf VPN çözümleri (Cisco Any Bağlan, Palo Alto Networks GlobalProtect & Captive Portal, Fortinet FortiGate SSL VPN, Citrix NetScaler, Zscaler Private Access (ZPA) ve daha fazlası için güvenliği yapılandırın. | Uzaktan erişim çözümünüzün yerleşik güvenliğinden yararlanın. | |
| Uzaktan erişim sağlamak için Azure Noktadan Siteye (P2S) VPN'i dağıtın. | Microsoft Entra Id ve mevcut Azure aboneliklerinizle tümleştirmeden yararlanın. | |
| Microsoft Entra uygulama ara sunucusu ile şirket içi web uygulamaları yayımlayın. | Microsoft Entra uygulama proxy'si ile yayımlanan uygulamaların uzaktan erişim bağlantısına ihtiyacı yoktur. | |
| Azure Bastion ile Azure kaynaklarına güvenli erişim. | Azure sanal makinelerinize SSL üzerinden güvenli ve sorunsuz bir şekilde bağlanın. | |
| Temel ve olası saldırılardan sapmaları bulmak ve düzeltmek için denetim ve izleme (bkz . Algılama ve Yanıt). | Temel güvenlik özelliklerini ve ayarlarını yoklayan fidye yazılımı etkinliklerinden kaynaklanan riski azaltın. |
E-posta ve işbirliği
Çalışanlarınızın dış içeriğe kolayca ve güvenli bir şekilde erişmesine izin verirken saldırganların bunları kötüye kullanmalarını zorlaştırmak için e-posta ve işbirliği çözümlerine yönelik en iyi yöntemleri uygulayın.
Saldırganlar, e-posta ve dosya paylaşımı gibi yetkili işbirliği araçlarıyla kötü amaçlı içerik aktararak ve kullanıcıları bu içeriği çalıştırmaya ikna ederek sıklıkla ortama girer. Microsoft, bu saldırı vektörlerine karşı korumayı büyük ölçüde artıran gelişmiş risk azaltmalarına yatırım yaptı.
E-posta ve işbirliği için program ve proje üyesi sorumlulukları
Bu tabloda, sonuçları belirlemek ve yönlendirmek için sponsorluk/program yönetimi/proje yönetimi hiyerarşisi açısından fidye yazılımlarından e-posta ve işbirliği çözümlerinizin genel olarak korunması açıklanmaktadır.
| Lead | Uygulayıcı | Hesap verilebilirlik |
|---|---|---|
| CISO, CIO veya Kimlik Direktörü | Yönetici sponsorluğu | |
| Güvenlik Mimarisi ekibinden program lideri | Sonuçları ve ekipler arası işbirliğini yönlendirme | |
| BT Mimarları | Mimarilerle bileşen tümleştirmesine öncelik belirleme | |
| Bulut Üretkenliği veya Son Kullanıcı Ekibi | Office 365 için Defender, Azure Site Recovery ve AMSI'yi etkinleştirme | |
| Güvenlik Mimarisi / Altyapısı + Uç Nokta | Yapılandırma yardımı | |
| Kullanıcı Eğitimi Ekibi | İş akışı değişiklikleriyle ilgili güncelleştirme kılavuzu | |
| Güvenlik İlkesi ve Standartları | Standartları ve ilke belgelerini güncelleştirme | |
| Güvenlik Uyumluluğu Yönetimi | Uyumluluğu sağlamak için izleme |
E-posta ve işbirliği için uygulama denetim listesi
E-posta ve işbirliği çözümlerinizi fidye yazılımı saldırganlarından korumak için bu en iyi yöntemleri uygulayın.
| Bitti | Görev | Açıklama |
|---|---|---|
| Office VBA için AMSI'yi etkinleştirin. | Uç Nokta için Defender gibi uç nokta araçlarıyla Office makro saldırılarını algılama. | |
| Office 365 için Defender veya benzer bir çözüm kullanarak Gelişmiş E-posta güvenliği uygulayın. | E-posta, saldırganlar için yaygın bir giriş noktasıdır. | |
| Aşağıdaki yaygın saldırı tekniklerini engellemek için saldırı yüzeyini azaltma (Azure Site Recovery) kurallarını dağıtın: - Kimlik bilgisi hırsızlığı, fidye yazılımı etkinliği ve PsExec ile WMI'nin şüpheli kullanımı gibi uç nokta kötüye kullanımı. - gelişmiş makro etkinliği, yürütülebilir içerik, işlem oluşturma ve Office uygulaması'ler tarafından başlatılan işlem ekleme gibi silahlaştırılmış Office belge etkinliği. Not: Bu kuralları önce denetim modunda dağıtın, ardından olumsuz etkileri değerlendirin ve ardından blok modunda dağıtın. |
Azure Site Recovery, yaygın saldırı yöntemlerini azaltmaya yönelik özel olarak hedeflenen ek koruma katmanları sağlar. | |
| Temel ve olası saldırılardan sapmaları bulmak ve düzeltmek için denetim ve izleme (bkz . Algılama ve Yanıt). | Temel güvenlik özelliklerini ve ayarlarını yoklayan fidye yazılımı etkinliklerinden kaynaklanan riski azaltır. |
Uç Noktalar
İlgili güvenlik özelliklerini uygulayın ve uç noktalar (cihazlar) ve uygulamalar için yazılım bakımı en iyi yöntemlerini sıkı bir şekilde izleyin ve doğrudan İnternet trafiğine ve içeriğine maruz kalan uygulamalara ve sunucu/istemci işletim sistemlerine öncelik verir.
İnternet'te kullanıma sunulan uç noktalar, saldırganların kuruluşun varlıklarına erişmesini sağlayan yaygın bir giriş vektördür. Önleyici denetimlerle ortak işletim sistemi ve uygulama güvenlik açıklarının engellenmesinin önceliklerini belirleyerek sonraki aşamaları yürütmelerini yavaşlatın veya durdurun.
Uç noktalar için program ve proje üyesi sorumlulukları
Bu tabloda, sonuçları belirlemek ve yönlendirmek için bir sponsorluk/program yönetimi/proje yönetimi hiyerarşisi açısından uç noktalarınızın fidye yazılımlarından genel olarak korunması açıklanmaktadır.
| Lead | Uygulayıcı | Hesap verilebilirlik |
|---|---|---|
| İş liderliği, hem kapalı kalma süresinin hem de saldırı hasarının iş üzerindeki etkisinden sorumlu | Yönetici sponsorluğu (bakım) | |
| Merkezi BT İşlemleri veya CIO | Yönetici sponsorluğu (diğerleri) | |
| Merkezi BT Altyapı Ekibi'nden program lideri | Sonuçları ve ekipler arası işbirliğini yönlendirme | |
| BT ve Güvenlik Mimarları | Mimarilerle bileşen tümleştirmesine öncelik belirleme | |
| Merkezi BT İşlemleri | Ortamda değişiklik uygulama | |
| Bulut Üretkenliği veya Son Kullanıcı Ekibi | Saldırı yüzeyini azaltmayı etkinleştirme | |
| İş Yükü/Uygulama Sahipleri | Değişiklikler için bakım pencerelerini tanımlama | |
| Güvenlik İlkesi ve Standartları | Standartları ve ilke belgelerini güncelleştirme | |
| Güvenlik Uyumluluğu Yönetimi | Uyumluluğu sağlamak için izleme |
Uç noktalar için uygulama denetim listesi
Bu en iyi yöntemleri tüm Windows, Linux, macOS, Android, iOS ve diğer uç noktalara uygulayın.
| Bitti | Görev | Açıklama |
|---|---|---|
| Saldırı yüzeyi azaltma kuralları, kurcalama koruması ve ilk görüşte engelleme ile bilinen tehditleri engelleyin. | Bu yerleşik güvenlik özelliklerinin kullanılmamasının, bir saldırganın kuruluşunuza girmesinin nedeni olmasına izin vermeyin. | |
| İnternet'e yönelik Windows sunucularını ve istemcilerini ve Office uygulaması dağıtımlarını sağlamlaştırmak için Güvenlik Temelleri uygulayın. | En düşük güvenlik düzeyiyle kuruluşunuzu koruyun ve oradan oluşturun. | |
| Yazılımınızı şu şekilde koruyun: - Güncelleştirildi: İşletim sistemleri, tarayıcılar ve e-posta istemcileri için kritik güvenlik güncelleştirmelerini hızla dağıtma - Desteklenir: Satıcılarınız tarafından desteklenen sürümler için işletim sistemlerini ve yazılımları yükseltin. |
Saldırganlar, üretici güncelleştirmelerini ve yükseltmelerini kaçırdığınıza veya ihmal ettiğinize güveniyor. | |
| Desteklenmeyen işletim sistemleri ve eski protokoller de dahil olmak üzere güvenli olmayan sistemleri ve protokolleri yalıtma, devre dışı bırakma veya devre dışı bırakma. | Saldırganlar eski cihazların, sistemlerin ve protokollerin bilinen güvenlik açıklarını kuruluşunuza giriş noktası olarak kullanır. | |
| Konak tabanlı güvenlik duvarı ve ağ savunmalarıyla beklenmeyen trafiği engelleyin. | Bazı kötü amaçlı yazılım saldırıları, bir saldırı için bağlantı kurmanın bir yolu olarak konaklara istenmeyen gelen trafiğe dayanır. | |
| Temel ve olası saldırılardan sapmaları bulmak ve düzeltmek için denetim ve izleme (bkz . Algılama ve Yanıt). | Temel güvenlik özelliklerini ve ayarlarını yoklayan fidye yazılımı etkinliklerinden kaynaklanan riski azaltır. |
Hesaplar
Antika iskelet anahtarları bir evi modern bir hırsıza karşı koruyamayacağı gibi, parolalar da hesapları bugün gördüğümüz yaygın saldırılara karşı koruyamaz. Çok faktörlü kimlik doğrulaması (MFA) bir zamanlar zahmetli bir ek adım olsa da parolasız kimlik doğrulaması, kullanıcılarınızın parola hatırlamasını veya yazmasını gerektirmeyen biyometrik yaklaşımları kullanarak oturum açma deneyimini geliştirir. Ayrıca, Sıfır Güven bir altyapı güvenilir cihazlar hakkındaki bilgileri depolar ve bu da bant dışı MFA eylemlerini rahatsız edici olarak sormayı azaltır.
Yüksek ayrıcalıklı yönetici hesaplarından başlayarak, parolasız veya MFA kullanımı dahil olmak üzere hesap güvenliği için bu en iyi yöntemleri sıkı bir şekilde izleyin.
Hesaplar için program ve proje üyesi hesapları
Bu tabloda, sonuçları belirlemek ve yönlendirmek için sponsorluk/program yönetimi/proje yönetimi hiyerarşisi açısından hesaplarınızın fidye yazılımlarından genel olarak korunması açıklanmaktadır.
| Lead | Uygulayıcı | Hesap verilebilirlik |
|---|---|---|
| CISO, CIO veya Kimlik Direktörü | Yönetici sponsorluğu | |
| Kimlik ve Anahtar Yönetimi veya Güvenlik Mimarisi ekiplerinden program lideri | Sonuçları ve ekipler arası işbirliğini yönlendirme | |
| BT ve Güvenlik Mimarları | Mimarilerle bileşen tümleştirmesine öncelik belirleme | |
| Kimlik ve Anahtar Yönetimi veya Merkezi BT İşlemleri | Yapılandırma değişikliklerini uygulama | |
| Güvenlik İlkesi ve Standartları | Standartları ve ilke belgelerini güncelleştirme | |
| Güvenlik Uyumluluğu Yönetimi | Uyumluluğu sağlamak için izleme | |
| Kullanıcı Eğitimi Ekibi | Parolayı veya oturum açma kılavuzunu güncelleştirme, eğitim ve değişiklik yönetimi gerçekleştirme |
Hesaplar için uygulama denetim listesi
Hesaplarınızı fidye yazılımı saldırganlarından korumak için bu en iyi uygulamaları uygulayın.
| Bitti | Görev | Açıklama |
|---|---|---|
| Tüm kullanıcılar için güçlü MFA veya parolasız oturum açmayı zorunlu kılın. Aşağıdakilerden birini veya daha fazlasını kullanarak yönetici ve öncelik hesaplarıyla başlayın: - Windows Hello veya Microsoft Authenticator uygulamasıyla parolasız kimlik doğrulaması. - Çok faktörlü kimlik doğrulaması. - Üçüncü taraf MFA çözümü. |
Yalnızca kullanıcı hesabı parolasını belirleyerek bir saldırganın kimlik bilgisi güvenliğini aşmasını zorlaştırın. | |
| Parola güvenliğini artırın: - Microsoft Entra hesapları için, kuruluşunuza özgü bilinen zayıf parolaları ve ek zayıf terimleri algılamak ve engellemek için Microsoft Entra Parola Koruması'nı kullanın. - şirket içi Active Directory Etki Alanı Hizmetleri (AD DS) hesapları için Microsoft Entra Parola Koruması'nı AD DS hesaplarına genişletin. |
Saldırganların kuruluşunuzun adına göre ortak parolaları veya parolaları belirleyemediğini doğrulayın. | |
| Temel ve olası saldırılardan sapmaları bulmak ve düzeltmek için denetim ve izleme (bkz . Algılama ve Yanıt). | Temel güvenlik özelliklerini ve ayarlarını yoklayan fidye yazılımı etkinliklerinden kaynaklanan riski azaltır. |
Uygulama sonuçları ve zaman çizelgeleri
Bu sonuçları 30 gün içinde elde etmeye çalışın:
- Çalışanların %100'ünün etkin bir şekilde MFA kullandığı
- %100 daha yüksek parola güvenliği dağıtımı
Ek fidye yazılımı kaynakları
Microsoft'tan önemli bilgiler:
- Artan fidye yazılımı tehdidi, Microsoft On the Issues blog gönderisi 20 Temmuz 2021'de
- İnsan tarafından çalıştırılan fidye yazılımı
- Fidye yazılımı ve haraçlara karşı hızla koruma
- 2021 Microsoft Dijital Savunma Raporu (bkz. sayfa 10-19)
- Fidye yazılımı: Microsoft Defender portalında kapsamlı ve sürekli tehdit analizi raporu
- Microsoft'un Algılama ve Yanıt Ekibi (DART) fidye yazılımı yaklaşımı ve örnek olay incelemesi
Microsoft 365:
- Microsoft 365 kiracınız için fidye yazılımı koruması dağıtma
- Azure ve Microsoft 365 ile Fidye Yazılımı Dayanıklılığını En Üst Düzeye Çıkarma
- Fidye yazılımı saldırısından kurtarma
- Kötü amaçlı yazılım ve fidye yazılımı koruması
- Windows 10 bilgisayarınızı fidye yazılımlarından koruma
- SharePoint Online'da fidye yazılımlarını işleme
- Microsoft Defender portalında fidye yazılımı için tehdit analizi raporları
Microsoft Defender XDR:
Microsoft Azure:
- Fidye Yazılımı Saldırısı için Azure Savunmaları
- Azure ve Microsoft 365 ile Fidye Yazılımı Dayanıklılığını En Üst Düzeye Çıkarma
- Fidye yazılımlarına karşı koruma sağlamak için yedekleme ve geri yükleme planı
- Microsoft Azure Backup ile fidye yazılımlarından korunmaya yardımcı olun (26 dakikalık video)
- Sistemik kimlik güvenliğinin aşılmasından kurtarma
- Microsoft Sentinel'de gelişmiş çok aşamalı saldırı algılama
- Microsoft Sentinel'de Fidye Yazılımı için Fusion Algılama
Bulut için Microsoft Defender Uygulamaları:
Microsoft Güvenlik ekibi blog gönderileri:
Fidye yazılımlarını önlemek ve kurtarmak için 3 adım (Eylül 2021)
İnsan tarafından işletilen fidye yazılımıyla mücadele kılavuzu: Bölüm 1 (Eylül 2021)
Microsoft Algılama ve Yanıt Ekibi'nin (DART) fidye yazılımı olay araştırmalarını nasıl yürüttüğüne ilişkin önemli adımlar.
İnsan tarafından işletilen fidye yazılımıyla mücadele kılavuzu: Bölüm 2 (Eylül 2021)
Öneriler ve en iyi yöntemler.
Siber güvenlik risklerini anlayarak dayanıklı olma: Bölüm 4— mevcut tehditlerde gezinme (Mayıs 2021)
Fidye yazılımı bölümüne bakın.
İnsan tarafından işletilen fidye yazılımı saldırıları: Önlenebilir bir olağanüstü durum (Mart 2020)
Gerçek saldırıların saldırı zinciri analizlerini içerir.
Fidye yazılımı yanıtı— ödeme yapmak için mi yoksa ödememek için mi? (Aralık 2019)
Norsk Hydro fidye yazılımı saldırısına şeffaflıkla yanıt veriyor (Aralık 2019)
Geri Bildirim
Çok yakında: 2024 boyunca, içerik için geri bildirim mekanizması olarak GitHub Sorunları’nı kullanımdan kaldıracak ve yeni bir geri bildirim sistemiyle değiştireceğiz. Daha fazla bilgi için bkz. https://aka.ms/ContentUserFeedback.
Gönderin ve geri bildirimi görüntüleyin