Günümüzün dijital çağında, fidye yazılımları (ransomware) işletmeler için giderek daha ciddi bir tehdit haline geliyor. Birleşik Krallık Ulusal Siber Güvenlik Merkezi (NCSC) tarafından hazırlanan yakın tarihli bir rapora göre, Yapay Zeka’nın (AI) önümüzdeki 2 yıl içinde fidye yazılımı saldırılarının hacmini ve etkisini artırması bekleniyor. Bu tehditlerle başa çıkmak için sağlam bir siber güvenlik stratejisi kritik önem taşıyor. İşte tam da bu noktada, NetApp’ın ONTAP sistemlerine entegre edilmiş Otonom Fidye Yazılımı Koruması (ARP) devreye giriyor. ARP, fidye yazılımı saldırılarını proaktif bir şekilde tespit ederek ve bunlara yanıt vererek veri güvenliğinizi bir sonraki seviyeye taşıyor.
Peki, bu etkileyici teknoloji nasıl çalışıyor ve işletmenizi nasıl koruyor? Hadi birlikte inceleyelim.
ARP Nedir ve Nasıl Çalışır?
ONTAP 9.10.1 sürümünden itibaren sunulan ARP özelliği, NAS (NFS ve SMB) ortamlarındaki iş yükü analizini kullanarak fidye yazılımı saldırısına işaret edebilecek anormal etkinlikleri proaktif olarak tespit eder ve uyarır. ARP, doğrudan ONTAP’ın içine entegre edildiği için, diğer ONTAP özellikleriyle sorunsuz bir şekilde koordine olur. Gerçek zamanlı çalışarak, dosya sistemine yazılan veya okunan veriyi işler ve potansiyel fidye yazılımı saldırılarını hızla tespit edip yanıt verir….
Şüpheli bir saldırı tespit edildiğinde, ARP mevcut planlanmış snapshot’lara ek olarak yeni snapshot’lar (anlık görüntüler) oluşturur ve böylece verilerinizin güvenli bir kurtarma noktasına sahip olmasını sağlar.
Yapay Zeka Gücüyle ARP/AI (ONTAP 9.16.1 ve Sonrası)
ONTAP 9.16.1 ile başlayarak, ARP, fidye yazılımı analizi için makine öğrenimi (machine-learning) modeli benimseyerek siber dayanıklılığı artırır. Bu model, sürekli gelişen fidye yazılımı türlerini %99 doğrulukla tespit edebilmektedir. Makine öğrenimi modeli, simüle edilmiş fidye yazılımı saldırılarından önceki ve sonraki geniş bir dosya veri kümesi üzerinde ONTAP dışında kaynak yoğun bir şekilde eğitilmiştir; ancak bu eğitimden elde edilen bilgiler ONTAP içinde model için kullanılır…
ARP/AI ve FlexVol birimleriyle, bir öğrenme süresi (learning period) yoktur. ARP/AI, kurulum veya 9.16.1’e yükseltme sonrasında hemen etkin ve aktiftir. Eğer ARP zaten bu birimler için etkinleştirilmişse, cluster’ınızı ONTAP 9.16.1’e yükselttikten sonra ARP/AI mevcut ve yeni FlexVol birimler için otomatik olarak etkinleşecektir. Ancak, ONTAP 9.16.1 ile FlexGroup birimleri için ARP kullanılıyorsa, bir öğrenme süresi hala gereklidir.
ARP/AI, en son fidye yazılımı tehditlerine karşı güncel koruma sağlamak için düzenli ONTAP yükseltme ve sürüm cadencesi dışında sık otomatik güncellemeler (automatic updates) sunar. Bu güvenlik güncellemelerini System Manager üzerinden yönetebilir veya manuel olarak kontrol edebilirsiniz.
ARP Neleri Tespit Eder?
ARP, saldırganın fidye ödenene kadar verileri sakladığı denial-of-service attacks’a (hizmet reddi saldırıları) karşı koruma sağlamak üzere tasarlanmıştır. Gerçek zamanlı fidye yazılımı tespiti şu temellere dayanır:
• Gelen verinin şifrelenmiş (encrypted) veya düz metin (plaintext) olarak tanımlanması.
• Aşağıdaki analizlerin tespiti:
- Entropy: Bir dosyadaki verinin rastgeleliğinin değerlendirilmesi.
- File extension types: Normal dosya uzantı tipine uymayan bir uzantı.
- File IOPS: Veri şifreleme ile anormal hacim aktivitesinde ani bir artış (ONTAP 9.11.1’den itibaren).
ARP, çoğu fidye yazılımı saldırısının yayılmasını yalnızca az sayıda dosya şifrelendikten sonra tespit edebilir, verileri korumak için otomatik olarak eylemde bulunabilir ve şüpheli bir saldırının meydana geldiği konusunda sizi uyarabilir. Hiçbir fidye yazılımı tespit veya önleme sistemi, bir saldırıdan tamamen güvenliği garanti edemez. ARP, anti-virüs yazılımının bir ihlali tespit edememesi durumunda önemli bir ek savunma katmanı olarak işlev görür.
Öğrenme ve Aktif Modlar (Learning and Active Modes)
ONTAP 9.10.1’den 9.15.1’e kadar olan tüm ARP sürümlerinde ve ONTAP 9.16.1 ile FlexGroup birimleri için kullanılan ARP’de iki mod bulunur:
- Learning mode (Öğrenme Modu) veya “dry run” modu: ARP’yi etkinleştirdiğinizde bu modda çalışır15. Bu modda, ONTAP sistemi, entropy, file extension types ve file IOPS gibi analitik alanlara dayanarak bir uyarı profili geliştirir15. İş yükü özelliklerini değerlendirmek için yeterince süre öğrenme modunda çalıştıktan sonra, aktif moda geçebilir ve verilerinizi korumaya başlayabilirsiniz15. Genellikle 30 gün öğrenme modunda bırakılması önerilir15. ONTAP 9.13.1’den itibaren ARP, optimal öğrenme aralığını otomatik olarak belirler ve geçişi otomatikleştirebilir, bu da 30 günden önce gerçekleşebilir15.
- Active mode (Aktif Mod) veya “enabled” modu: Optimal öğrenme süresi tamamlandıktan sonra ARP aktif moda geçer16. Bir tehdit algılandığında ONTAP, veriyi korumak için ARP snapshot’ları oluşturur16. Aktif modda, bir dosya uzantısı anormal olarak işaretlenirse, uyarıyı değerlendirmeli ve verilerinizi korumak için harekete geçmeli veya uyarıyı bir false positive (yanlış pozitif) olarak işaretlemelisiniz17. Bu, uyarı profilini günceller ve aynı dosya uzantısı tekrar görüldüğünde tekrar uyarı almamanızı sağlar17. ONTAP 9.11.1’den itibaren ARP için algılama parametrelerini özelleştirebilirsiniz17.
Tehdit Değerlendirmesi ve ARP Snapshot’ları
Aktif modda ve öğrenme modunda değilken, ARP, öğrenilen analitiklere karşı gelen verileri ölçerek tehdit olasılığını değerlendirir. Bir tehdit algılandığında bir ölçüm atanır:
- Low (Düşük): Birimdeki bir anormalliğin en erken tespiti (örneğin, birimde yeni bir dosya uzantısı gözlemlenmesi)18. Bu algılama seviyesi sadece ARP/AI olmayan ONTAP 9.16.1 öncesi sürümlerde mevcuttur1819. ONTAP düşük tehditler hakkında uyarı göndermez, ancak ONTAP 9.14.1’den itibaren uyarı ayarlarını değiştirebilirsiniz19.
- Moderate (Orta): Aynı, daha önce hiç görülmemiş dosya uzantısına sahip birden fazla dosya gözlemlenir18. ONTAP 9.10.1’de bu eşik 100 veya daha fazla dosya iken19, ONTAP 9.11.1’den itibaren dosya miktarı değiştirilebilir; varsayılan değeri 20’dir.
Düşük tehdit durumunda, ONTAP bir anormallik algılar ve en iyi kurtarma noktasını oluşturmak için birimin snapshot’ını oluşturur. ARP snapshot’ları, kolayca tanımlanabilmeleri için Anti-ransomware-backup önekiyle adlandırılır, örneğin Anti_ransomware_backup.2022-12-20_124819. Tehdit, ONTAP bir analitik raporu çalıştırdıktan sonra orta seviyeye yükselir ve anormalliğin bir fidye yazılımı profiliyle eşleşip eşleşmediğini belirler. Saldırı olasılığı orta olduğunda, ONTAP bir EMS notification (EMS bildirimi) oluşturarak tehdidi değerlendirmenizi ister.
Orta seviyedeki tehdit bilgilerini System Manager’ın “Events” bölümünde veya security anti-ransomware volume show komutuyla görüntüleyebilirsiniz. Bireysel ARP snapshot’ları iki gün, birden fazla ARP snapshot’ı ise varsayılan olarak beş gün saklanır. ONTAP 9.11.1’den itibaren bu saklama ayarları değiştirilebilir.
Fidye Yazılımı Saldırısı Sonrası Veri Kurtarma
Bir saldırı şüphesi olduğunda, sistem o anda birim snapshot’ı alır ve bu kopyayı kilitler. Saldırı daha sonra onaylanırsa, birim ARP snapshot’ı kullanılarak geri yüklenebilir. Kilitli snapshot’lar normal yollarla silinemez. Ancak, saldırıyı daha sonra bir false positive olarak işaretlemeye karar verirseniz, kilitli kopya silinir.
Etkilenen dosyalar ve saldırı zamanı bilgisiyle, tüm birimi bir snapshot’a geri döndürmek yerine, etkilenen dosyaları çeşitli snapshot’lardan seçici olarak kurtarmak mümkündür. ARP, fidye yazılımı saldırılarına yanıt vermek için kanıtlanmış ONTAP veri koruma ve disaster recovery teknolojisi üzerine inşa edilmiştir.
Hadi Bunun Nasıl Çalıştığına Bakalım !!!
NetApp arayüzünde volume seçildikten sonra Security sekmesine geçildiğinde, anti-ransomware özelliğinin devre dışı olduğu görülmektedir.
İlgili özelliği etkinleştiriyoruz. Bu işlem sonrasında sistem, volume içerisinde yer alan dosyaları analiz ederek mevcut dosya uzantılarını belirleyecektir. Analiz sürecinin tamamlanabilmesi için belirli bir süre beklenmesi gerekmektedir.
Bu adımları detaylarına girmeden özetleyerek sizlere kısa bir sunum şeklinde aktaralım.
İlgili volume içerisinde bulunan verileri aşağıdaki listede görüntüleyebilirsiniz.
Özelliğin işleyişini değerlendirebilmek adına, kontrollü bir sanal saldırı simülasyonu gerçekleştireceğiz.
Tekrar volume üzerinde Snapshot sekmesini kontrol ediyor ve sistemin otomatik olarak snapshot alıp almadığını inceliyoruz.
Sistemin ‘Anti_ransomware_backup.2025-06-06_2007’ adıyla bir snapshot oluşturduğunu ve ilgili dosyaların şifrelendiğini gözlemliyoruz.
İlgili snapshot’tan geri yükleme işlemi gerçekleştiriliyor ve dosyaların önceki hallerine başarıyla döndüğü gözlemleniyor.
