Ağınızı, gerçekleşme ihtimali olan her tehditten koruma konusunda yazdığımız bin bir yazının hepsini okudunuz diyelim. Ama bazen, tüm önlemlere rağmen ağınıza virüs bulaşabilir. Bu yaşandığında ise yapmanız gereken sakin olup hızlı ve kararlı hareket etmektir. Tepkiniz, yaşanan olayın şirketiniz için ölümcül bir baş ağrısına veya gurur duyacağınız bir başarıya dönüşmesinde etkili olacak.
Kurtarma sürecinde uygulanacak adımları atarken hem çalışanların hem de dış dünyanın gözünde şeffaflığınızı korumak için tüm eylemlerinizi belgelendirmeyi unutmayın. Ayrıca ilerleyen zamanlarda sisteminizi hedef alabilecek başka kötü amaçlı araçları tespit etme çalışmalarınız için mümkün olduğunca çok kanıt toplayın. Bunun için günlükleri ve sonraki araştırmalarda faydalı olabilecek, kötü amaçlı yazılıma ait diğer izleri kaydetmeniz gerekir.
Bölüm bir: Bulun ve izole edin
Yapacağınız ilk şey, sisteme yapılan izinsiz giriş eyleminin kapsamını belirlemektir. Kötü amaçlı yazılım ağın tamamına yayılmış mı? Birden fazla ofise ulaşmış mı?
Kurumsal altyapıda virüsün bulaştığı bilgisayarları ve ağ bölümlerini aramakla başlayın ve buluşmayı sınırlandırmak için tespit ettiğiniz makineleri ağın geri kalanından ayırın.
Şirketinizde fazla sayıda bilgisayar yoksa antivirüs, EDR ve güvenlik duvarı günlükleriyle başlayın. Alternatif olarak uygulama senaryolarının son derece sınırlı olduğu durumlarda fiziksel olarak makineden makineye yürüyerek makineleri kontrol edebilirsiniz.
Çok sayıda bilgisayardan bahsediyorsak Bilgi Güvenliği ve Olay Yönetimi (SIEM) sistemindeki olayları ve günlükleri analiz etmeniz gerekecektir. Bu, sonrasında yapacağınız işlerin tamamını ortadan kaldırmasa da büyük resmi görmeniz için iyi bir başlangıç olabilir.
Virüsün bulaştığı makineleri ağdan izole ettikten sonra ilgili makinelerin disk görüntülerini oluşturun ve mümkünse araştırma bitene kadar bu makineleri ayrı tutun. (Şirketin bilgisayarlarda kesinti süresi yaşanmasını kaldıracak maddi gücü yoksa disk görüntülerini oluşturduktan sonra araştırmak üzere bellek dökümünü kaydedin.)
Bölüm iki: Analiz edin ve harekete geçin
Kapsamı kontrol etmeyi tamamladıktan sonra elinizde şifreli dosyalarla dolu makinelerin yer aldığı bir listeniz ve bu disklerin görüntüleri olacaktır. Virüsün bulaştığı tüm makinelerin ağla bağlantısını kestiğiniz için bunlar artık tehdit oluşturmaz. Kurtarma sürecini hemen <em>başlatabilirsiniz</em> ama önce ağın kalanının güvende olduğundan emin olun.
Şimdi fidye yazılımı analiz ederek sisteminize nasıl bulaştığını ve bu fidye yazılımı genellikle hangi grupların kullandığını öğrenme zamanı. Yani, tehdit avı sürecine başlayacağız. Fidye yazılımlar birdenbire ortaya çıkıvermez. Önce dosya yükleyici, RAT (Uzaktan Erişim Truva Atları), Truva atı yükleyici veya benzeri bir unsurla sisteme kurulurlar. İşte o unsuru bulup kökünü kazımanız gerekir.
Bunun için kurum içinde bir araştırma gerçekleştirin. Önce hangi bilgisayara saldırıldığını ve ilgili bilgisayarın saldırıyı neden durduramadığını bulmak için günlükleri detaylı olarak inceleyin.
Araştırma sonuçlarına göre ileri düzeyde gizlenmiş kötü amaçlı yazılımı ağdan uzaklaştırın ve mümkünse iş operasyonlarını geri başlatın. Ardından neyin bu saldırıyı engelleme potansiyeli olduğunu bulun: Güvenlik yazılımı bakımından eksiğiniz ne? Bulduğunuz boşlukları doldurun.
Sonraki adımda çalışanları yaşanan olayla ilgili uyarın, bu gibi tuzakların tespiti ve önlenmesiyle ilgili bilgilendirin ve ilerleyen zamanlarda eğitim verileceğini bildirin.
Son olarak şu andan başlayarak güncelleme ve yamaları zamanında kurun. Güncellemeler ve yama yönetimi BT yöneticilerinin önemli önceliklerindendir ve kötü amaçlı yazılımlar genellikle mevcut bir yamayla önlenebilecek güvenlik açıklarından sisteme sızar.
Bölüm üç: Temizleyin ve geri yükleyin
Bu aşamaya kadar ağdaki tehdidi ve tehdidin içeri sızdığı deliği hallettiniz. Şimdi dikkatinizi çalışma dışı kalan bilgisayarlara çevirme zamanı. Araştırma için bu makinelere ihtiyaç kalmadıysa sürücüleri biçimlendirin ve verileri, en son temiz yedekten geri yükleyin.
Ama yedek kopyanız yoksa sürücülerdeki her şeyi deşifre etmeye çalışmanız gerekir. Kaspersky’nin No Ransom web sitesi ile başlayabilirsiniz. Karşılaştığınız fidye yazılım için gereken şifre çözücü bu sitede mevcut olabilir. Aradığınız şifre çözücü burada yoksa yardım almak için siber güvenlik sağlayıcınızla iletişime geçin. Ne olursa olsun şifrelenen dosyaları silmeyin. Zaman zaman yeni şifre çözücüler yayınlanmaktadır. Daha önce olduğu gibi yarın yeni bir şifre çözücü yayınlanabilir.
Durum her ne olursa olsun saldırganlara ödeme yapmayın. Yaparsanız bir suç faaliyetine sponsor olmuş olursunuz ve ödeme yapsanız bile verilerinizin şifresinin çözülme ihtimali pek yüksek değildir. Verilerinizi engellemekten ayrı olarak fidye yazılım saldırganları verilerinizi şantaj amacıyla çalmış olabilir. Bu durumda aç gözlü siber suçlulara ödeme yapmanız onları daha fazlasını istemeye teşvik eder. Geçmişte yaşanan bazı olaylarda sisteme izinsiz giren saldırganlar ödeme aldıktan birkaç ay sonra geri gelip daha fazla para talep etmiş ve ilgili kurumu ödeme yapılmadığı takdirde her şeyi yayınlamakla tehdit etmişti.
Genel anlamda çalınan her türlü veriyi halka açık bilgi olarak kabul edin ve veri sızıntısıyla başa çıkmaya hazırlıklı olun. Olay hakkında er ya da geç konuşmanız gerekecek: çalışanlarla, paydaşlarla, devlet kurumlarıyla ve büyük ihtimalle gazetecilerle. Açık sözlülük ve dürüstlük büyük önem taşır ve takdirle karşılanır.
Bölüm dört: Önleyici adımlar atın
Büyük çaplı bir siber saldırı her zaman büyük sorunları beraberinde getirir ve önleme bu aşamada en iyi çözümdür. Çıkabilecek sorunlara karşı önceden hazırlıklı olun:
- Ağdaki tüm uç noktalara (akıllı telefonlar dahil) güvenilir koruma aracı kurun;
- Ağınızı bölümlere ayırın ve iyi yapılandırılmış güvenlik duvarlarıyla donatın. Daha iyi bir önlem olarak yeni tehditlerle ilgili verileri otomatik olarak alan yeni nesil güvenlik duvarı (NGFW) veya benzeri bir ürün kullanın.
- Antivirüse ek olarak güçlü tehdit avı araçlarını deneyin;
- Anında uyarı iletimi için bir SIEM sistemi kurun (büyük şirketler için);
- Düzenli interaktif oturumlarla çalışanlarınıza siber güvenlik alanında eğitimler verin.