Fidye yazılımı daha hızlı değiştiğinde ne yapmalı? Belki TA yardımcı olabilir
Halk gerçekten fidye yazılımının gücünü gördü ve fark etti. 2017'de patlak veren WannaCry, hükümet, eğitim, hastaneler, enerji, iletişim ve üretim gibi birçok önemli bilgi altyapısı alanında eşi görülmemiş ağır kayıplara neden oldu. Şimdi baktığımızda, bu sadece başlangıç. Aslında, WannaCry'den bu yana SimpleLocker, SamSam, NotPetya ve LockerGoga gibi yeni sürümler hızla ortaya çıktı ve geliştirildi.
Genel fidye yazılımı bulaşma ve yok etme sürecinin, fidye yazılımı yazarının kullanıcı dosyalarını şifrelemek için simetrik bir şifreleme algoritması ve anahtarı korumak için asimetrik bir şifreleme algoritması kullanması olduğunu söylüyoruz; anahtar uzunluğu yeterli ise kırılamayacağı söylenebilir. Öte yandan, fidye yazılımının hızlı gelişimi, imzalar ve kalıp eşleştirme gibi geleneksel tekniklerin fidye yazılımlarını başarılı bir şekilde algılamasını giderek zorlaştırdı.
Öyleyse, fidye yazılımı daha hızlı değiştiğinde, nasıl yanıt vermeliyiz?
Aslında fidye yazılımının özü aynıdır: Uç nokta sistemine kimlik avı e-postaları veya benzer stratejilerle girerler, şifreleme kodlarını almak için kötü amaçlı yazılımlar yüklerler ve ardından tüm ağ sistemindeki verileri şifreler ve ardından kurbandan fidye talep ederler. Fidye yazılımlarının saldırısına uğradıktan sonra kişi, kuruluş veya kurumlara göre daha pahalı olduğunu söylüyoruz. 2017'den 2018'e kadar fidye yazılımı saldırılarının sayısı azalmış olsa da, daha hedefli bir gelişme eğilimi gösterdiler ve işletmeleri hedef alıyorlar.
Açıkçası, bilgisayar korsanları, her kuruluşun sistemdeki boşlukları zamanında kapatmayacağını ve "eski" fidye yazılımının kullanımının bile işe yarayabileceğini çok iyi biliyor. Bununla birlikte, eski fidye yazılımı genellikle daha küçük ölçekli siber suç örgütleri tarafından kullanılır. Mevcut kötü amaçlı yazılımların çoğu için ya devlet tarafından ya da profesyonel suç örgütleri tarafından çalıştırılır. Hedefleri, büyük ölçüde kendi verilerine güvenenler ve Ödeyebilecek gücü olan şirketler.
Geçmişte, savunma için genellikle imzalar ve kalıp eşleştirme gibi geleneksel teknikleri kullandık, ancak bu yöntemleri kullanarak başarılı bir şekilde tespit etmenin giderek zorlaştığını gördük. Çünkü mevcut fidye yazılımının, savunma teknolojisinden kaçmaya çalışan çok sayıda kötü amaçlı yazılım olduğunu gördük. Açıkçası, fidye yazılımının sürekli gelişmesiyle birlikte, ona karşı savunmanın da artması gerekiyor.
Bunu ağdaki davranış analizi işlevi aracılığıyla tespit edebilir ve virüs bulaşmış sistemden ağın geri kalanına yayılmadan önce kapatabiliriz. Analitik bir perspektiften, bu alışılmadık ağ davranışlarını bulmamız gerekiyor. Günümüzün bilgisayar korsanları, kötü amaçlı yazılımlarını gizlemekte çok başarılılar Ağa girdiklerinde, sertifikalı yasal bir kullanıcı gibi görünüyorlar. Açıkçası, kötü amaçlı yazılım kendini kolayca açığa çıkarmayacaktır, bu nedenle davranış analizi, özellikle veriler şifrelendiğinde, mücadele için anahtar yöntemdir, analiz çok önemli hale gelir.
Web tarayıcıları gibi uygulamalar TLS şifrelemesine geçerken, kötü amaçlı yazılımların da aynı şeyi yaptığını görüyoruz.Kriptolu ağ trafiğinin davranış analizi ve gözlemi, kötü amaçlı yazılımların varlığını tespit edebilir ve olası tehditlerini daha da sınırlayabilir. Ve hasar.
Kötü amaçlı yazılım bir saldırı başlattığında, uç nokta saldırıyı ilk bulan uç noktadır. Son nokta, temel anti-virüs işlevlerine sahiptir, ancak kötü amaçlı yazılım, virüsten korunma korumasını görebilir ve bundan kaçınmak veya devre dışı bırakmak için önlemler alabilir. Ağın fidye yazılımlarıyla başa çıkmada bu kadar başarılı olmasının bir nedeni, bilgisayar korsanlarının ağı kapatamaması, yöneticilerin ağ üzerinde farklı davranış türlerini gözlemleyebilmesi ve kötü amaçlı yazılımların yöneticilerin bunu yapmasını engelleyememesidir.
Ayrıca makine öğrenimi, ağın anormal davranışını tespit etmede rol oynayabilir. Makine öğrenimi senaryosunda, veri modelinin ölçeği ne kadar büyükse o kadar iyidir. Sistem, ağda neler olup bittiğini daha kapsamlı bir şekilde anlamak için farklı sistemlerden ağ veri paketlerini ve günlükleri aynı anda görüntüleyecektir. Sistemin gördüğü şeylerin çoğu gürültü olabilir, ancak makine öğrenimi, büyük miktarda veriden zayıf sinyalleri filtrelemek konusunda iyidir.
Aslında, bazı güvenlik satıcıları fidye yazılımı için halihazırda algılama ve savunma teknolojilerine sahipler, özellikle artık birçok şirket buluta geçtiğinden, bu da bulut güvenliğini önemli bir güvenlik hedefi haline getiriyor. Bulut açısından, Kaspersky'nin kötü amaçlı yazılım analiz sistemi, kullanıcıların sanallaştırma platformunda kötü amaçlı yazılım tespitinden kaçınmasına yardımcı olabilecek kendi sanallaştırma platformuna dayanır ve sanal analiz sistemindeki kötü amaçlı yazılımın çalışma hızı gerçek ortamdan farklı değildir. .
Sistem aynı zamanda, bilinmeyen fidye yazılımlarını tespit etmesini sağlayan fidye yazılımının genel davranışını da analiz edip tespit edebilir ve ayrıca uzun döngüler ve yansıtıcı yükleme gibi fidye yazılımı karşı önlemlerini de tespit edebilir. Örneğin, kötü şöhretli WannaCry, orijinal versiyonu bu teknikle tespit edildi.
Ek olarak, sistem aynı zamanda yerel hassas hashing teknolojisine dayalı VisHash teknolojisini de sunar; bu, benzer kötü amaçlı yazılım örneklerini bir grup halinde öldürmek için bir VisHash kullanmayı mümkün kılar ve aynı zamanda basit anti-virüs teknolojisini geçersiz kılar. Örneğin, 2018'de Çin'de öfkelenen GlobeImposter örnekleri aslında kod olarak çok benzer ve bu örnekler bir VisHash tarafından kapsanabilir. Elbette, burada kısa bir açıklama için basit bir örnek veriyoruz.Ayrıca, kurumsal kullanıcılar bulutta kendi güvenlik faktörlerini iyileştirmek için diğer güvenlik satıcılarından çözümler de seçebilir.
