Azure’da çalışan müşterilerin fidye yazılımı saldırılarına karşı korunmasını sağlamak için Microsoft, Azure güvenliğine büyük yatırım yaptı ve müşterilere Azure bulut iş yüklerini korumak için gereken güvenlik denetimlerini sağladı.
En iyi uygulamalara ve önerilere kapsamlı bir genel bakış “Fidye Yazılımı Saldırısı için Azure Savunmaları” e-kitabında bulunabilir.
Burada, ağ güvenliğini yakınlaştırmak ve Azure Güvenlik Duvarı’nın fidye yazılımlarına karşı koruma konusunda size nasıl yardımcı olabileceğini anlamak istiyoruz.
Fidye yazılımı temel olarak, bir miktar para ödenene kadar bilgisayar sisteminize erişimi engellemek için tasarlanmış bir tür kötü amaçlı yazılımdır. Saldırgan genellikle ağınıza nüfuz etmek ve kötü amaçlı yazılımları hedef ana bilgisayar üzerinde yürütmek için sisteminizde varolan bir güvenlik açığından yararlanır.
Fidye yazılımı genellikle kötü amaçlı ekler içeren kimlik avı e-postaları veya drive-by indirme yoluyla yayılır. Drive-by indirme, bir kullanıcı bilmeden virüslü bir web sitesini ziyaret ettiğinde ve ardından kötü amaçlı yazılım kullanıcının bilgisi olmadan indirilip yüklendiğinde gerçekleşir.
Burada Azure Güvenlik Duvarı Premium yardıma gelir. İzinsiz giriş algılama ve önleme sistemi (IDPS) özelliğiyle, kötü amaçlı etkinlikleri tanımlamak ve ağınıza nüfuz etmesini önlemek için tüm üstbilgileri ve yükü de dahil olmak üzere her paket kapsamlı bir şekilde denetlenecektir. IDPS, ağınızı kötü amaçlı etkinlikler için izlemenize, bu etkinlikle ilgili bilgileri günlüğe kaydetmenize, bildirmenize ve isteğe bağlı olarak engellemeye çalışmanıza olanak tanır.
IDPS imzaları hem uygulama hem de ağ düzeyinde trafik için geçerlidir (Katmanlar 4-7), tamamen yönetilirler ve sürekli değişen dinamik saldırı ortamıyla güncel kalmak için 50’den fazla farklı kategoride 65.000’den fazla imza içerirler:
- Azure Güvenlik Duvarı, Microsoft Active Protections Program (MAPP) ve Microsoft Güvenlik Yanıt Merkezi’nden (MSRC) güvenlik açığı bilgilerine erken erişim elde ediyor.
- Azure Güvenlik Duvarı her gün 30 ila 50 yeni imza yayınlıyor.
Günümüzde, Güvenli Yuva Katmanı (SSL) veya Aktarım Katmanı Güvenliği (TLS) gibi modern şifreleme, internet trafiğini güvence altına almak için küresel olarak kullanılmaktadır. Saldırganlar, kötü amaçlı yazılımlarını kurban ağına taşımak için şifreleme kullanıyor. Bu nedenle, müşteriler de diğer trafikler gibi şifreli trafiklerini incelemelidir.
Azure Firewall Premium IDPS, şifrelenmemiş trafik için tüm bağlantı noktalarındaki ve protokollerdeki saldırıları algılamanıza olanak tanır. Ancak, HTTPS trafiğinin incelenmesi gerektiğinde Azure Güvenlik Duvarı, trafiğin şifresini çözmek ve kötü amaçlı etkinlikleri doğru bir şekilde algılamak için TLS denetim özelliğini kullanabilir.
Fidye yazılımı hedef makineye yüklendikten sonra, makinenin verilerini şifrelemeye çalışabilir, bu nedenle bir şifreleme anahtarı kullanmayı gerektirir ve saldırgan tarafından barındırılan C&C sunucusundan şifreleme anahtarını almak için Komut ve Kontrol’ü (C&C) kullanabilir. CryptoLocker, WannaCry, TeslaCrypt, Cerber ve Locky, gerekli şifreleme anahtarlarını almak için C&C kullanan fidye yazılımlarından bazılarıdır.
Azure Firewall Premium, C&C bağlantısını algılamak ve saldırganın müşterilerin verilerini şifrelemesini önlemek için engellemek için tasarlanmış yüzlerce imzaya sahiptir.
Şekil 1: Komut ve kontrol kanalı kullanarak fidye yazılımı saldırısına karşı güvenlik duvarı koruması
Fidye yazılımı saldırılarını savuşturmak için kapsamlı bir yaklaşım sergilemek
Fidye yazılımı saldırılarını savuşturmak için bütünsel bir yaklaşım sergilemeniz önerilir. Azure Güvenlik Duvarı varsayılan reddetme modunda çalışır ve yönetici tarafından açıkça izin verilmediği sürece erişimi engeller. Tehdit İstihbaratı (TI) özelliğinin uyarı/reddetme modunda etkinleştirilmesi, bilinen kötü amaçlı IP’lere ve etki alanlarına erişimi engeller. Microsoft Threat Intel akışı, yeni ve yeni ortaya çıkan tehditlere göre sürekli olarak güncellenir.
Güvenlik duvarı ilkesi, güvenlik duvarlarının merkezi yapılandırması için kullanılabilir. Bu, tehditlere hızlı bir şekilde yanıt vermenize yardımcı olur. Müşteriler, yalnızca birkaç tıklamayla birden fazla güvenlik duvarında Tehdit Intel ve IDPS’yi etkinleştirebilir. Web kategorileri, yöneticilerin kumar web siteleri, sosyal medya web siteleri ve diğerleri gibi web kategorilerine kullanıcı erişimine izin vermesine veya reddetmesine izin verir. URL filtreleme, dış sitelere kapsamlı erişim sağlar ve riski daha da azaltabilir. Başka bir deyişle, Azure Güvenlik Duvarı, şirketlerin kötü amaçlı yazılımlara ve fidye yazılımlarına karşı kapsamlı bir şekilde savunma yapması için gerekli her şeye sahiptir.
Algılama, önleme olarak eşit derecede önemlidir. Microsoft Sentinel için Azure Güvenlik Duvarı çözümü, dağıtımı kolay bir çözüm biçiminde hem algılama hem de önleme sağlar. Önleme ve algılamayı birleştirmek, hem mümkün olduğunda karmaşık tehditleri önlemenizi sağlarken, diğer yandan siber saldırıları tespit etmek ve hızlı bir şekilde yanıt vermek için “ihlal zihniyetini varsaymanızı” sağlar.