Ransomware Artık Yedekleri Hedefliyor
Günümüz ransomware saldırıları, eski tip dosya şifreleme saldırılarından çok uzaktadır. Modern saldırganlar, sistemlere girdikten sonra acele etmez. Önce ağı tanır, yetkileri yükseltir ve en kritik noktayı tespit eder: yedekleme altyapısı.
Çünkü saldırganlar şunu çok iyi bilir: Eğer yedekler çalışıyorsa fidye pazarlığı başlamadan biter. Bu yüzden yedekler silinir, bozulur ya da şifrelenir. Çoğu vakada saldırı tespit edildiğinde, asıl darbe zaten backup sistemine vurulmuştur.
Backup ile Recovery Aynı Şey Değildir
Kurumların en büyük yanılgısı burada başlar. Backup almak, yalnızca verinin bir kopyasını oluşturmaktır. Recovery ise bu kopyanın kriz anında eksiksiz, hızlı ve çalışır şekilde geri yüklenebilmesidir. Aradaki fark, saldırı yaşanana kadar çoğu zaman fark edilmez.
Birçok organizasyon yedek alır ama bu yedeklerin gerçekten işe yarayıp yaramadığını hiç test etmez. Yedekleme job’ları başarısızdır, loglar kontrol edilmez, restore senaryoları kağıt üzerinde kalır. Saldırı anında ise kimse hangi sistemin ne kadar sürede ayağa kalkacağını bilmez.
“Yedeklerimiz Vardı” Denen Ama Dönülemeyen Anlar
Ransomware sonrası yapılan incelemelerde tekrar eden bir gerçek vardır: Yedekler genellikle saldırıyla aynı kaderi paylaşır. Domain’e bağlı bir backup sunucusu, saldırgan için sadece bir başka hedeftir. Yetkisi ele geçirilen bir hesap, yedekleri de erişilebilir hale getirir.
Bazı durumlarda yedekler vardır ama çok eskidir. Günlük alındığı sanılan yedeklerin aslında aylardır çalışmadığı ortaya çıkar. Kimse kontrol etmemiştir çünkü “zaten otomatik”tir. Kurtarma denendiğinde ise işin geri dönüş maliyeti kabul edilemez seviyededir.
Daha da kötüsü, yedekler bozuk çıkabilir. Dosyalar açılmaz, veritabanları ayağa kalkmaz, uygulamalar çalışmaz. Çünkü bu yedekler hiçbir zaman gerçek bir felaket senaryosunda test edilmemiştir.
Kurtarma Süresi Gerçek Hayatta Her Şeyi Belirler
Teknik olarak geri dönülebilse bile asıl soru şudur: Ne kadar sürede?
Bir sistemin beş gün sonra ayağa kalkması, çoğu sektör için fiilen iflas anlamına gelir. Üretim durur, müşteriler gider, sözleşmeler iptal olur ve itibar telafisi zor bir darbe alır.
Bu noktada kurumlar şunu fark eder: Yedek var ama iş devam edemiyordur. İşte fidye ödemeleri tam da bu çaresizlik anında masaya gelir.
Gerçek Dayanıklılık Nasıl Sağlanır?
Ransomware’e karşı dayanıklı olmak, sadece daha fazla disk almak ya da daha sık yedek almak değildir. Asıl mesele, saldırganın yedeğe dokunamamasını sağlamak ve kurtarma sürecini önceden prova etmektir.
Immutable yedekler, offline kopyalar ve izole kimlik yapıları bu yüzden kritiktir. Ancak bunlar tek başına yeterli olmaz. Kurtarma testleri düzenli yapılmıyorsa, RTO ve RPO iş birimleriyle birlikte belirlenmemişse, backup sistemi yine bir “umut”tan öteye geçmez.
Gerçekçi olmak gerekir: Test edilmemiş bir kurtarma planı, plan değildir.
Acı Ama Öğretici Bir Gerçek
Ransomware sonrası yapılan birçok olay analizinde kök neden aynıdır:
Sorun yedek olmaması değil, kurtarma olmamasıdır.
Yedekleme altyapısı, siber güvenliğin sessiz kahramanı değildir. Aksine, saldırganların ilk hedeflerinden biridir. Bu gerçeği kabul etmeyen her kurum, saldırıdan sonra aynı cümleyi kurar:
“Her şeyimiz vardı ama geri dönemedik.”
Sonuç: Backup Bir Güvence Değil, Bir Taahhüttür
Gerçek siber dayanıklılık, yedek aldığınızı söylemekle değil;
o yedekten ne kadar sürede, ne kadar eksiksiz ve ne kadar güvenli dönebildiğinizle ölçülür.
Unutulmaması gereken en net gerçek şudur:
Kurtaramadığınız yedek, sadece disk alanı tüketir.
Backup Var Ama Kurtarma Yok: Ransomware Sonrası Acı Gerçek