Fidye yazılımlarına karşı koruma sağlamak için yedekleme ve geri yükleme planı
Fidye yazılımı saldırıları, kuruluşunuzu saldırganlara para ödemeye zorlamak için verileri ve sistemleri kasıtlı olarak şifreler veya siler. Bu saldırılar verilerinizi, yedeklemelerinizi ve ayrıca saldırganlara ödeme yapmadan kurtarmanız için gereken önemli belgeleri hedefler (kuruluşunuzun ödeme olasılığını artırmanın bir aracı olarak).
Bu makalede, kritik iş sistemlerinizi korumak için bir saldırıdan önce ve iş operasyonlarının hızlı bir şekilde kurtarılmasını sağlamak için bir saldırı sırasında yapılması gerekenler ele alır.
Fidye yazılımı nedir?
Fidye yazılımı, dosyaları ve klasörleri şifreleyerek önemli verilere ve sistemlere erişimi engelleyen bir tür haraç saldırısıdır. Saldırganlar, genellikle kripto para birimleri biçiminde, şifre çözme anahtarı karşılığında veya gizli verileri karanlık web'e veya genel İnternet'e yayınlamama karşılığında para talep ederek kurbanlardan para almak için fidye yazılımı kullanır.
Erken fidye yazılımlarında çoğunlukla kimlik avı veya cihazlar arasında yayılan kötü amaçlı yazılımlar kullanılırken, insan tarafından çalıştırılan fidye yazılımı, insan saldırısı operatörleri tarafından yönetilen etkin saldırganlardan oluşan bir çetenin bir kuruluştaki tüm sistemleri (tek bir cihaz veya cihaz kümesi yerine) hedeflediği ortaya çıkmıştır. Bir saldırının yapabilecekleri:
- Verilerinizi şifreleme
- Verilerinizi dışarı çıkarma
- Yedeklemelerinizi bozma
Fidye yazılımı, saldırganların kuruluşa sızmak, kuruluş ağında gezinmek ve ortama ve zayıflıklarına uyum sağlamak için ortak sistem ve güvenlik yanlış yapılandırmaları ve güvenlik açıkları hakkında bilgilerinden yararlanmaktadır.
Fidye yazılımı, fidye yazılımı gerçekten belirli bir tarihte yürütülmeden önce, birkaç hafta veya ay içinde verilerinizi sızdırmak için hazırlanabilir.
Fidye yazılımı, anahtarınızı sistemde tutarken verilerinizi yavaş yavaş şifreleyebilir. Anahtarınız hala kullanılabilir durumdayken verileriniz sizin için kullanılabilir durumdadır ve fidye yazılımı dikkatinizi çeken bir durumdur. Ancak yedekleriniz şifrelenmiş verilerdendir. Tüm verileriniz şifrelendiğinde ve son yedeklemeler de şifrelenmiş veriler olduğunda, artık verilerinizi okuyamayacak şekilde anahtarınız kaldırılır.
Gerçek hasar genellikle saldırı gelecekte kötü amaçlı etkinlikler için arka kapı bırakırken dosyaları dışarı sızdığında yapılır ve bu riskler fidyenin ödenip ödenmediğine bağlı olarak devam eder. Bu saldırılar iş operasyonları için yıkıcı olabilir ve temizlenmesi zor olabilir ve gelecekteki saldırılara karşı koruma sağlamak için tam bir saldırgan çıkarma gerektirebilir. Yalnızca kötü amaçlı yazılım düzeltmesi gerektiren erken fidye yazılımı biçimlerinden farklı olarak, insan tarafından çalıştırılan fidye yazılımı ilk karşılaşmadan sonra iş operasyonlarınızı tehdit etmeye devam edebilir.
Saldırının etkisi
Fidye yazılımı saldırısının herhangi bir kuruluş üzerindeki etkisini doğru şekilde ölçmek zordur. Saldırının kapsamına bağlı olarak etki şunları içerebilir:
- Veri erişimi kaybı
- İş operasyon kesintisi
- Finansal kayıp
- Fikri mülkiyet hırsızlığı
- Müşteri güveninin tehlikeye atılmış veya itibarının zedelenmiş olduğu
- Yasal giderler
Kendini nasıl koruyabilirsin?
Fidye yazılımlarına kurban düşmesini önlemenin en iyi yolu önleyici önlemleri uygulamak ve saldırganların sistemlerinize sızmak için atmış olduğu her adımdan kuruluşunuzu koruyan araçlara sahip olmaktır.
Kuruluşunuzu bir bulut hizmetine taşıyarak şirket içi kullanıma sunmanızı azaltabilirsiniz. Microsoft, Microsoft Azure'ı fidye yazılımı saldırılarına karşı dayanıklı hale getiren ve kuruluşların fidye yazılımı saldırı tekniklerini yenen yerel güvenlik özelliklerine yatırım yaptı. Fidye yazılımı ve haraç kullanımı ve kuruluşunuzu koruma hakkında kapsamlı bir görünüm için, İnsan tarafından çalıştırılan Fidye Yazılımı Risk Azaltma Proje Planı PowerPoint sunusunda yer alan bilgileri kullanın.
Bir noktada bir fidye yazılımı saldırısına kurban düşeceğini varsaymalısınız. Verilerinizi korumak ve fidye ödemekten kaçınmak için atabileceğiniz en önemli adımlardan biri, iş açısından kritik bilgileriniz için güvenilir bir yedekleme ve geri yükleme planına sahip olmaktır. Fidye yazılımı saldırganları, yedekleme uygulamalarını ve birim gölge kopyası gibi işletim sistemi özelliklerini etkisiz hale getirmek için büyük yatırımlar yapmış olduğundan, kötü amaçlı bir saldırgana erişilemeyen yedeklemelere sahip olmak kritik önem taşır.
Azure Backup
Azure Backup , hem verileriniz aktarımda hem de beklerken yedekleme ortamınıza güvenlik sağlar. Azure Backup ile şunları yedekleyebilirsiniz:
- Şirket içi dosyalar, klasörler ve sistem durumu
- Tüm Windows/Linux VM'leri
- Azure Yönetilen Diskleri
- Depolama hesabına Azure dosya paylaşımları
- Azure VM'lerinde çalışan SQL Server veritabanları
Yedekleme verileri Azure depolama alanında depolanır ve konuk veya saldırganın yedekleme depolama alanına veya içeriğine doğrudan erişimi yoktur. Sanal makine yedeklemesi ile, yedekleme anlık görüntüsü oluşturma ve depolama, konuk veya saldırganın uygulamayla tutarlı yedeklemeler için iş yükünü sessize alma dışında hiçbir müdahaleye sahip olmadığı Azure dokusu tarafından gerçekleştirilir. SQL ve SAP HANA ile yedekleme uzantısı belirli bloblara yazmak için geçici erişim elde eder. Bu şekilde, güvenliği aşılmış bir ortamda bile var olan yedeklemeler saldırgan tarafından oynanamaz veya silinemez.
Azure Backup, Azure Backup ile ilgili olayların eylemlerini görüntülemek ve yapılandırmak için yerleşik izleme ve uyarı özellikleri sağlar. Yedekleme Raporları, kullanımı izlemek, yedeklemeleri ve geri yüklemeleri denetlemek ve farklı ayrıntı düzeylerindeki temel eğilimleri belirlemek için tek noktadan bir hedef görevi görür. Azure Backup'ın izleme ve raporlama araçlarını kullanmak, yetkisiz, şüpheli veya kötü amaçlı etkinlikler gerçekleştiği anda sizi uyarır.
Yalnızca geçerli kullanıcıların çeşitli işlemler gerçekleştirediğinden emin olmak için denetimler eklenmiştir. Bunlar ek bir kimlik doğrulaması katmanı eklemeyi içerir. Kritik işlemler için ek bir kimlik doğrulaması katmanı eklemenin bir parçası olarak, çevrimiçi yedeklemeleri değiştirmeden önce bir güvenlik PIN'i girmeniz istenir.
Azure Backup'ta yerleşik olarak bulunan güvenlik özellikleri hakkında daha fazla bilgi edinin.
Yedeklemeleri doğrulama
Yedeklemeniz oluşturulduktan sonra ve geri yüklemeden önce yedeklemenizin iyi olduğunu doğrulayın. Azure'da verileri barındıran bir depolama varlığı olan Kurtarma Hizmetleri kasası kullanmanızı öneririz. Veriler genellikle verilerin kopyaları ya da sanal makinelerin (VM), iş yüklerinin, sunucuların veya iş istasyonlarının yapılandırma bilgileridir. IaaS VM'leri (Linux veya Windows) ve Azure SQL veritabanlarının yanı sıra şirket içi varlıklar gibi çeşitli Azure hizmetlerinin yedekleme verilerini tutmak için Kurtarma Hizmetleri kasalarını kullanabilirsiniz. Kurtarma Hizmetleri kasaları, yedekleme verilerinizi düzenlemeyi ve aşağıdaki gibi özellikler sağlamayı kolaylaştırır:
- Üretim ve yedekleme sunucularının güvenliği aşılmış olsa bile yedeklemelerinizin güvenliğini sağlamanızı ve verileri güvenli bir şekilde kurtarabilmenizi sağlayan gelişmiş özellikler. Daha fazla bilgi edinin.
- Merkezi bir portaldan hibrit BT ortamınız (Azure IaaS VM'leri ve şirket içi varlıklar) için izleme. Daha fazla bilgi edinin.
- Yedekleme ve geri yükleme erişimini tanımlı bir kullanıcı rolleri kümesine kısıtlayan Azure rol tabanlı erişim denetimi (Azure RBAC) ile uyumluluk. Azure RBAC çeşitli yerleşik roller sağlar ve Azure Backup'ın kurtarma noktalarını yönetmek için üç yerleşik rolü vardır. Daha fazla bilgi edinin.
- Kötü amaçlı bir aktör bir yedeklemeyi silse bile geçici silme koruması (veya yedekleme verileri yanlışlıkla silinir). Yedekleme verileri 14 gün daha saklanır ve veri kaybı olmadan bir yedekleme öğesinin kurtarılmasını sağlar. Daha fazla bilgi edinin.
- Bölgeler Arası Geri Yükleme, Azure VM'lerini eşleştirilmiş bir Azure bölgesi olan ikincil bir bölgeye geri yüklemenize olanak tanır. Çoğaltılan verileri ikincil bölgeye istediğiniz zaman geri yükleyebilirsiniz. Bu, azure'ın olağanüstü durum bildirmesini beklemeden (kasanın GRS ayarlarından farklı olarak) denetim uyumluluğu için ve kesinti senaryoları sırasında ikincil bölge verilerini geri yüklemenize olanak tanır. Daha fazla bilgi edinin.
Not
Azure Backup'ta iki tür kasa vardır. Kurtarma Hizmetleri kasalarına ek olarak, Azure Backup tarafından desteklenen daha yeni iş yükleri için verileri barındıran Backup kasaları da vardır.
Saldırıdan önce yapılması gerekenler
Daha önce belirtildiği gibi, bir noktada bir fidye yazılımı saldırısına kurban düşeceğini varsaymalısınız. İş açısından kritik sistemlerinizi tanımlamak ve bir saldırıdan önce en iyi yöntemleri uygulamak, mümkün olan en kısa sürede yeniden çalışmaya başlamanızı sağlar.
Sizin için en önemli olanı belirleme
Fidye yazılımı bir saldırı planlarken saldırabilir, bu nedenle ilk önceliğiniz sizin için en önemli iş açısından kritik sistemleri belirlemek ve bu sistemlerde düzenli yedeklemeler yapmaya başlamak olmalıdır.
Deneyimlerimize göre, müşteriler için en önemli beş uygulama bu öncelik sırasına göre aşağıdaki kategorilere ayrılır:
- Kimlik sistemleri – Kullanıcıların Active Directory, Microsoft Entra Connect, AD etki alanı denetleyicileri gibi tüm sistemlere (aşağıda açıklananlar dahil) erişmesi için gereklidir
- İnsan hayatı – insan hayatını destekleyen ya da tıbbi ya da yaşam destek sistemleri, güvenlik sistemleri (ambulans, sevk sistemleri, trafik ışığı kontrolü), büyük makineler, kimyasal/biyolojik sistemler, gıda veya kişisel ürünlerin üretimi ve diğerleri gibi risk altına sokabilen herhangi bir sistem
- Finansal sistemler – Parasal işlemleri işleyen ve üç aylık raporlama için ödeme sistemleri ve ilgili veritabanları, finansal sistem gibi işletmeyi çalışır durumda tutan sistemler
- Ürün veya hizmet etkinleştirme – müşterilerinizin size ödeme yaptığı iş hizmetlerini sağlamak veya fiziksel ürünler üretmek/sunmak için gereken tüm sistemler, fabrika kontrol sistemleri, ürün teslimi/dağıtım sistemleri ve benzeri
- Güvenlik (en düşük) – Saldırıları izlemek ve minimum güvenlik hizmetleri sağlamak için gereken güvenlik sistemlerini de önceliklendirmeniz gerekir. Bu, geçerli saldırıların (veya kolay fırsatçı saldırıların) geri yüklenen sistemlerinize hemen erişim (veya yeniden kazanma) sağlayamamasına odaklanmalıdır
Önceliklendirilmiş yedekleme listenize de önceliklendirilmiş geri yükleme listenize dönüşür. Kritik sistemlerinizi tanımladıktan ve düzenli yedeklemeler gerçekleştirdikten sonra maruz kalma düzeyinizi azaltmaya yönelik adımları uygulayın.
Saldırıdan önce atılması gereken adımlar
Saldırıdan önce bu en iyi yöntemleri uygulayın.
| Görev | Ayrıntı |
|---|---|
| Önce yeniden çevrimiçi olmanız gereken önemli sistemleri belirleyin (yukarıdaki ilk beş kategoriyi kullanarak) ve bu sistemlerin normal yedeklemelerini hemen gerçekleştirmeye başlayın. | Bir saldırıdan sonra mümkün olan en hızlı şekilde çalışmaya başlamak için, bugün sizin için en önemli olanı belirleyin. |
| Kuruluşunuzu buluta geçirin. Buluta geçişinizi desteklemeye yardımcı olmak için bir Microsoft Birleştirilmiş Destek planı satın almayı veya bir Microsoft iş ortağıyla çalışmayı göz önünde bulundurun. |
Otomatik yedekleme ve self servis geri alma ile verileri bulut hizmetlerine taşıyarak şirket içi kullanıma sunmanızı azaltın. Microsoft Azure, iş açısından kritik sistemlerinizi yedeklemenize ve yedeklemelerinizi daha hızlı geri yüklemenize yardımcı olacak güçlü bir araç kümesine sahiptir. Microsoft Birleştirilmiş Destek, ihtiyacınız olduğunda size yardımcı olacak bir bulut hizmetleri destek modelidir. Birleştirilmiş Destek: Gereken sorun çözümü ve kritik olay yükseltmesi ile 7/24 kullanılabilen belirlenmiş bir ekip sağlar BT ortamınızın durumunu izlemenize yardımcı olur ve sorunların oluşmadan önce engellenmesini sağlamak için proaktif olarak çalışır |
| Sürüm oluşturma ve geri dönüşüm kutusu özelliklerinden yararlanmak için kullanıcı verilerini OneDrive ve SharePoint gibi bulut çözümlerine taşıyın. Gecikmeleri ve kurtarma maliyetini azaltmak için kullanıcıları dosyalarını kendi başlarına kurtarma konusunda eğitin. Örneğin, bir kullanıcının OneDrive dosyalarına kötü amaçlı yazılım bulaşmışsa, onedrive'larının tamamını önceki bir zamana geri yükleyebilir. Kullanıcıların kendi dosyalarını geri yüklemesine izin vermeden önce Microsoft Defender XDR gibi bir savunma stratejisini göz önünde bulundurun. |
Microsoft bulutundaki kullanıcı verileri yerleşik güvenlik ve veri yönetimi özellikleriyle korunabilir. Kullanıcılara kendi dosyalarını nasıl geri yükleyebileceklerini öğretmek iyidir, ancak kullanıcılarınızın saldırıyı gerçekleştirmek için kullanılan kötü amaçlı yazılımları geri yüklemediğinden emin olmanız gerekir. Yapmanız gerekenler: Saldırganın çıkarıldığından emin olana kadar kullanıcılarınızın dosyalarını geri yüklemediğinden emin olun Bir kullanıcının kötü amaçlı yazılımlardan bazılarını geri yüklemesi durumunda bir risk azaltma işlemine sahip olun Microsoft Defender XDR, etkilenen varlıkları güvenli bir duruma geri döndürmek için yapay zeka destekli otomatik eylemleri ve playbook'ları kullanır. Microsoft Defender XDR, bir olayla ilgili tüm etkilenen varlıkların mümkün olduğunca otomatik olarak düzeltilmesini sağlamak için paket ürünlerinin otomatik düzeltme özelliklerinden yararlanır. |
| Microsoft bulut güvenliği karşılaştırmasını uygulayın. | Microsoft bulut güvenliği karşılaştırması NIST SP800-53, CIS Denetimleri v7.1 gibi sektör tabanlı güvenlik denetimi çerçevelerini temel alan güvenlik denetim çerçevemizdir. Kuruluşlara Azure ve Azure hizmetlerini yapılandırma ve güvenlik denetimlerini uygulama konusunda rehberlik sağlar. Bkz. Yedekleme ve Kurtarma. |
| İş sürekliliği/olağanüstü durum kurtarma (BC/DR) planınızı düzenli olarak kullanın. Olay yanıtı senaryolarını simüle edin. Bir saldırıya hazırlanırken gerçekleştirdiğiniz alıştırmalar, önceliklendirilmiş yedekleme ve geri yükleme listelerinizin etrafında planlanmalı ve yürütülmelidir. BC/DR'nizin kritik iş operasyonlarını sıfır işlevsellikten (tüm sistemler kapalı) hızla çevrimiçi hale getirebilmesini sağlamak için düzenli olarak 'Sıfırdan Kurtar' senaryolarını test edin. |
Bir fidye yazılımı veya haraç saldırısına doğal afetle aynı öneme sahip davranarak iş operasyonlarının hızlı bir şekilde kurtarılmasını sağlar. Bant dışı çalışan ve müşteri iletişimleri de dahil olmak üzere ekipler arası süreçleri ve teknik yordamları doğrulamak için alıştırma alıştırmaları gerçekleştirin (tüm e-posta ve sohbetlerin kapalı olduğunu varsayın). |
| Olası riskleri belirlemek ve önleyici denetimler ve eylemlerde nasıl aracılık yapacağınızı ele almak için bir risk kaydı oluşturmayı göz önünde bulundurun. Yüksek olasılık ve yüksek etki senaryosu olarak risk kaydı yapmak için fidye yazılımı ekleyin. | Risk kaydı, riskin oluşma olasılığına ve bu riskin oluşması durumunda işletmenizin önem derecesine göre risklere öncelik vermenize yardımcı olabilir. Enterprise Risk Management (ERM) değerlendirme döngüsü aracılığıyla risk azaltma durumunu izleyin. |
| Tüm kritik iş sistemlerini düzenli bir zamanlamaya göre (Active Directory gibi kritik bağımlılıkların yedekleri dahil) otomatik olarak yedekleyin. Yedeklemeniz oluşturulduktan sonra yedeklemenizin iyi olduğunu doğrulayın. |
Son yedeklemeye kadar verileri kurtarmanıza olanak tanır. |
| Geri yükleme yordamı belgeleri, CMDB, ağ diyagramları ve SolarWinds örnekleri gibi kurtarma için gereken destekleyici belgeleri ve sistemleri koruyun (veya yazdırın). | Saldırganlar, kurtarma yeteneğinizi etkilediğinden bu kaynakları kasten hedefler. |
| Tehdit bilgileri sağlayıcıları, kötü amaçlı yazılımdan koruma çözümü sağlayıcıları ve kötü amaçlı yazılım analizi sağlayıcısının desteği olmak üzere üçüncü taraf desteğine yönelik ayrıntılı yordamlara sahip olduğunuzdan emin olun. Bu yordamları koruyun (veya yazdırın). | Verilen fidye yazılımı değişkeninde bilinen zayıflıklar veya şifre çözme araçları varsa üçüncü taraf kişiler yararlı olabilir. |
| Yedekleme ve kurtarma stratejisinin şunları içerdiğini emin olun: Verileri belirli bir noktaya yedekleme olanağı. Yedeklerin birden çok kopyası yalıtılmış, çevrimdışı (havayla eşlenen) konumlarda depolanır. Yedeklenen bilgilerin ne kadar hızlı alınabileceğini ve üretim ortamına yerleştirilebileceğini belirten kurtarma süresi hedefleri. Bir üretim ortamına/korumalı alana yedeklemenin hızlı bir şekilde geri yüklenmesi. |
Bir kuruluş ihlal edildikten sonra yedeklemeler dayanıklılık için gereklidir. Maksimum koruma ve kullanılabilirlik için 3-2-1 kuralını uygulayın: 3 kopya (özgün + 2 yedekleme), 2 depolama türü ve 1 site dışı veya soğuk kopya. |
| Yedeklemeleri kasıtlı silmeye ve şifrelemeye karşı koruyun: Yedeklemeleri çevrimdışı veya site dışı depolama alanında ve/veya sabit depolama alanında depolayın. Çevrimiçi yedeklemenin değiştirilmesine veya silinmesine izin vermeden önce bant dışı adımları (MFA veya güvenlik PIN'i gibi) zorunlu kılın. Kurtarma Hizmetleri kasanızdaki verileri güvenli bir şekilde yedeklemek ve geri yüklemek için Azure Sanal Ağ içinde özel uç noktalar oluşturun. |
Saldırganlar tarafından erişilebilen yedeklemeler, iş kurtarma için kullanılamaz hale getirilebilir. Çevrimdışı depolama, herhangi bir ağ bant genişliği kullanmadan yedekleme verilerinin sağlam bir şekilde aktarılmasını sağlar. Azure Backup, ilk yedekleme verilerini ağ bant genişliği kullanmadan çevrimdışı olarak aktaran çevrimdışı yedeklemeyi destekler. Yedekleme verilerini fiziksel depolama cihazlarına kopyalamak için bir mekanizma sağlar. Cihazlar daha sonra yakındaki bir Azure veri merkezine gönderilir ve bir Kurtarma Hizmetleri kasasına yüklenir. Çevrimiçi sabit depolama (Azure Blob gibi), iş açısından kritik veri nesnelerini WORM (Bir Kez Yaz, Çok Oku) durumunda depolamanıza olanak tanır. Bu durum, verileri kullanıcı tarafından belirtilen bir aralık için silinemez ve değiştirilemez hale getirir. Çok faktörlü kimlik doğrulaması (MFA) tüm yönetici hesapları için zorunlu olmalıdır ve tüm kullanıcılar için kesinlikle önerilir. Tercih edilen yöntem, mümkün olduğunda SMS veya ses yerine bir kimlik doğrulayıcı uygulaması kullanmaktır. Azure Backup'ı ayarlarken, Kurtarma hizmetlerinizi Azure portalında oluşturulan bir güvenlik PIN'ini kullanarak MFA'yı etkinleştirecek şekilde yapılandırabilirsiniz. Bu, bir kurtarma noktasını güncelleştirme veya kaldırma gibi kritik işlemleri gerçekleştirmek için bir güvenlik pini oluşturulmasını sağlar. |
| Korumalı klasörleri belirleyin. | Yetkisiz uygulamaların bu klasörlerdeki verileri değiştirmesini zorlaştırır. |
| İzinlerinizi gözden geçirin: Dosya paylaşımları, SharePoint ve diğer çözümler üzerinde kapsamlı yazma/silme izinlerini keşfedin. Geniş, iş açısından kritik veriler için yazma/silme izinlerine sahip olan birçok kullanıcı olarak tanımlanır. İş işbirliği gereksinimlerini karşılarken geniş kapsamlı izinleri azaltın. Geniş izinlerin yeniden ortaya çıkmasın diye denetim ve izleme. |
Geniş erişim sağlayan fidye yazılımı etkinliklerinin riskini azaltır. |
| Kimlik avı girişimine karşı koruma: Kullanıcıların kimlik avı girişimini tanımlamasına yardımcı olmak ve güvenliğin aşılması için ilk giriş noktası oluşturabilecek bir öğeye tıklamaktan kaçınmak için düzenli olarak güvenlik farkındalığı eğitimi gerçekleştirin. Başarılı bir kimlik avı girişimi olasılığını algılamak ve en aza indirmek için e-postaya güvenlik filtreleme denetimleri uygulayın. |
Saldırganlar tarafından bir kuruluşa sızmak için kullanılan en yaygın yöntem, e-posta yoluyla kimlik avı girişimleridir. Exchange Online Protection (EOP), kuruluşunuzu istenmeyen postalara, kötü amaçlı yazılımlara ve diğer e-posta tehditlerine karşı koruyan bulut tabanlı filtreleme hizmetidir. EOP, Exchange Online posta kutularına sahip tüm Microsoft 365 kuruluşlarına dahildir. E-posta için güvenlik filtreleme denetimi örneği, Güvenli Bağlantılar'dır. Güvenli Bağlantılar, Office 365 için Defender gelen posta akışı sırasında e-posta iletilerindeki URL'lerin ve bağlantıların taranmasını ve yeniden yazılmasını ve e-posta iletileriyle diğer konumlardaki URL'lerin ve bağlantıların (Microsoft Teams ve Office belgeleri) tıklama zamanında doğrulanmasını sağlayan bir özelliktir. Güvenli Bağlantılar taraması, EOP'de gelen e-posta iletilerinde normal istenmeyen posta önleme ve kötü amaçlı yazılımdan korumanın yanı sıra gerçekleşir. Güvenli Bağlantılar taraması, kuruluşunuzun kimlik avı ve diğer saldırılarda kullanılan kötü amaçlı bağlantılardan korunmasına yardımcı olabilir. Kimlik avı koruması hakkında daha fazla bilgi edinin. |
Saldırı sırasında yapılması gerekenler
Saldırıya uğradıysanız, önceliklendirilmiş yedekleme listeniz önceliklendirilmiş geri yükleme listeniz olur. Geri yüklemeden önce yedeklemenizin iyi olduğunu yeniden doğrulayın. Yedeklemenin içinde kötü amaçlı yazılım arayabilirsiniz.
Saldırı sırasında atılması gereken adımlar
Saldırı sırasında bu en iyi yöntemleri uygulayın.
| Görev | Ayrıntı |
|---|---|
| Saldırının başlarında, özellikle tehdit bilgileri sağlayıcılarından, kötü amaçlı yazılımdan koruma çözümü sağlayıcılarından ve kötü amaçlı yazılım analizi sağlayıcısından gelen destek olmak üzere üçüncü taraf desteğine katılın. | Bu kişiler, verilen fidye yazılımı değişkeninde bilinen bir zayıflık veya şifre çözme araçları varsa yararlı olabilir. Microsoft Olay Yanıtı ekibi , saldırılardan korunmanıza yardımcı olabilir. Microsoft Olay Yanıtı, dünyanın dört bir yanındaki müşterilerle etkileşime girerek saldırı gerçekleşmeden önce saldırılara karşı koruma ve sağlamlaştırmanın yanı sıra bir saldırının ne zaman gerçekleştiğini araştırıp düzeltmeye yardımcı olur. Microsoft, Hızlı Fidye Yazılımı Kurtarma hizmetleri de sağlar. Hizmetler yalnızca Microsoft Global Compromise Recovery Security Practice (CRSP) tarafından sunulur. Fidye yazılımı saldırısı sırasında bu ekibin odak noktası, kimlik doğrulama hizmetini geri yüklemek ve fidye yazılımının etkisini sınırlamaktır. Microsoft Olay Yanıtı, Microsoft'un Industry Solutions Delivery güvenlik hizmeti satırının bir parçasıdır. |
| Yerel veya federal kolluk kuvvetlerinize başvurun. | Birleşik Devletler iseniz IC3 Şikayet Referans Formu'nu kullanarak fidye yazılımı ihlalini bildirmek için FBI'a başvurun. |
| Kötü amaçlı yazılım veya fidye yazılımı yükünü ortamınızdan kaldırmak ve yayılmayı durdurmak için adımlar atın. Fidye yazılımıyla ilişkili yükü algılamak ve kaldırmak için tüm şüpheli bilgisayarlarda ve cihazlarda tam, güncel bir virüsten koruma taraması çalıştırın. Verileri eşitleyen cihazları veya eşlenen ağ sürücülerinin hedeflerini tarayın. |
Windows Defender'ı veya (eski istemciler için) Microsoft Security Essentials'ı kullanabilirsiniz. Fidye yazılımlarını veya kötü amaçlı yazılımları kaldırmanıza da yardımcı olacak bir alternatif, Kötü Amaçlı Yazılımları Temizleme Aracı 'dır (MSRT). |
| önce iş açısından kritik sistemleri geri yükleyin. Geri yüklemeden önce yedeklemenizin iyi olduğunu yeniden doğrulamayı unutmayın. | Bu noktada, her şeyi geri yüklemeniz gerekmez. Geri yükleme listenizdeki en önemli beş iş açısından kritik sistemlere odaklanın. |
| Çevrimdışı yedeklemeleriniz varsa, fidye yazılımı yükünü (kötü amaçlı yazılım) ortamınızdan kaldırdıktan sonra şifrelenmiş verileri geri yükleyebilirsiniz. | Gelecekteki saldırıları önlemek için geri yüklemeden önce fidye yazılımı veya kötü amaçlı yazılımların çevrimdışı yedeklemenizde olmadığından emin olun. |
| Virüs bulaşmadığı bilinen güvenli bir zaman noktası yedekleme görüntüsü belirleyin. Kurtarma Hizmetleri kasası kullanıyorsanız, yedeklemeyi geri yüklemek için doğru zaman noktasını anlamak için olay zaman çizelgesini dikkatle gözden geçirin. |
Gelecekteki saldırıları önlemek için geri yüklemeden önce yedeklemeyi fidye yazılımı veya kötü amaçlı yazılım için tarayın. |
| Tam işletim sistemi geri yükleme ve veri geri yükleme senaryoları için bir güvenlik tarayıcısı ve diğer araçları kullanın. | Microsoft Güvenlik Tarayıcısı, Windows bilgisayarlarından kötü amaçlı yazılımları bulmak ve kaldırmak için tasarlanmış bir tarama aracıdır. Kötü amaçlı yazılımları bulmak ve tanımlanan tehditler tarafından yapılan değişiklikleri tersine çevirmeye çalışmak için indirmeniz ve tarama yapmanız yeterlidir. |
| Virüsten koruma veya uç noktada algılama ve yanıtlama (EDR) çözümünüzün güncel olduğundan emin olun. Ayrıca güncel düzeltme ekleriniz de olması gerekir. | Uç Nokta için Microsoft Defender gibi bir EDR çözümü tercih edilir. |
| İş açısından kritik sistemler çalışır duruma getirildikten sonra diğer sistemleri geri yükleyin. Sistemler geri yüklendikçe, geri yüklediğiniz şey hakkında biçimlendirici kararlar alabilmeniz için telemetri verilerini toplamaya başlayın. |
Telemetri verileri, kötü amaçlı yazılımların hala sistemlerinizde olup olmadığını belirlemenize yardımcı olmalıdır. |
Saldırı sonrası veya simülasyon
Fidye yazılımı saldırısı veya olay yanıtı simülasyonu sonrasında, yedekleme ve geri yükleme planlarınızın yanı sıra güvenlik duruşunuzu geliştirmek için aşağıdaki adımları uygulayın:
- İşlemin düzgün çalışmadığı yerlerde öğrenilen dersleri belirleyin (ve süreci basitleştirme, hızlandırma veya başka bir şekilde iyileştirme fırsatları)
- En büyük güçlükler üzerinde kök neden analizi gerçekleştirin (çözümlerin doğru sorunu ele alındığından emin olmak için yeterli ayrıntıda ( kişileri, süreci ve teknolojiyi göz önünde bulundurarak)
- İlk ihlali araştırın ve düzeltin (yardımcı olmak için Microsoft Olay Yanıtı ekibiyle (eski adıYLA DART) etkileşim kurun)
- Alınan derslere ve fırsatlara göre yedekleme ve geri yükleme stratejinizi güncelleştirin; öncelikle en yüksek etkiyi ve en hızlı uygulama adımlarını temel alarak önceliklendirme
Sonraki adımlar
Fidye yazılımı koruması dağıtmaya yönelik en iyi yöntemler için bkz. Fidye yazılımlarına ve haraçlara karşı hızlı koruma.
Önemli sektör bilgileri:
- 2023 Microsoft Dijital Savunma Raporu (bkz. sayfa 17-26)
Microsoft Azure:
Microsoft Azure Backup ile fidye yazılımlarından korunmaya yardımcı olun (26 dakikalık video)
Microsoft 365:
- Fidye yazılımı saldırısından kurtarma
- Kötü amaçlı yazılım ve fidye yazılımı koruması
- Windows 10 bilgisayarınızı fidye yazılımlarından koruma
- SharePoint Online'da fidye yazılımlarını işleme
Microsoft Defender XDR: