Forum
Bildirimler
Hepsini Temizle
Genel Konular
5
Yazılar
4
Üyeler
4
Likes
1,631
Görüntüleme
Konu başlatıcı
Merhabalar Özel olmayan bir Kurumda Bilgi işlem Sorumlusu olarak çalışıyorum son 2 yılda 2018 ve 2019 yıllarında 2 sefer fidye virüsü saldırısına uğradık. Güvenlik duvarı fortigate lisanslı olmasına rağmen. Allah'a çok şükür kendi imkanlarımla yedeklemeleri düzenli olarak yaptığım için hiçbir sorun yaşamadım. Sabit olan IP numaramı da değiştirmemin gerekli olduğunu düşündüm fakat kurum olduğu için bu durum telekom haricinde kurumumuzun diğer kurumlardan kullanmış olduğu birçok internet ve web tabanlı yazılımları olduğu için bunu bütün kurumlara yazışmayla bildirmem gerektiği için hayli zaman almasından ziyade IP adresi değişse bile tekrar aynı gün fidye virüsüne maruz kalan kurumların bilgisini aldım. Günümüzde nas cihazları var fakat bunlarda doğru konumlandırılmadığı takdirde fidye virüsleri buna da bulaşabiliyor. Bu tür cihazların uyku modu gibi özelliklerinden faydalanarak doğru konumlandırılması gerekiyor.Bu sorunun en iyi çözümünü şuan Bulut yedekleme de buldum. Çünkü bulut sistemleri kriptolu verileri kabul etmediği gibi, geçmiş tarihte ve saatte verilerinizi geri getirebilirsiniz. Örneğin 1 gün öncesi verilerinize ulaşabiliyorsunuz. Bunun haricinde tek satırlık bir .bat uzantılı olan komutla ethernetimi görev zamanlayıcı ile belirlemiş olduğum gün ve saatlerde otomatik kapanıp, açılmasını sağlıyorum. Yaptığım işlemlerimi sıralayım;
1-Bulut sistemine anlık yedekleme.
2-Manuel olarak Client bir bilgisayara hergün otomatik belirlenen saatte yedekleme (imaj şeklinde).
3-Etherneti görev zamanlayıcısı ile hergün, hafta sonların hariç (hafta sonları kapalı) otomatik belirlediğim saatlerde kapatması ve açması.
Aç komutu: "netsh interface set interface "Ethernet" enable" (tırnak içinde belirttiğim komutu tırnak işareti olmadan oluşturmalısınız .bat uzantılı olarak)
Kapat komutı: "netsh interface set interface "Ethernet" disabled" (tırnak içinde belirttiğim komutu tırnak işareti olmadan oluşturmalısınız .bat uzantılı olarak)
Bu yapmış olduğum işlemleri benim gibi fidye virüsü bulaşmış veya bulaşabilecek risk altında olan ve birde benim durumumda (Bilgi İşlem Sorumlusu) olan arkadaşlara bir faydam olursa düşüncesiyle bu konuyu yazarak belirtmek istedim.
Bu konu 4 yıl önce 3 defa mehmet gezginç tarafından düzenlendi
Gönderildi : 22/01/2020 10:12
Tamam da personel mesai bitiminde bilgisayarlarını kapatmıyorlar mı?
Gönderildi : 22/01/2020 11:29
Konu başlatıcı
Personel kapatıyor personelde sıkıntı yok. Ana makine yani sunucumuz devamlı açık olduğu için bütün bunları sadece sunucu için yapıyorum. Zaten önce direk sunucuları hedef alıyor çoğunlukla fidye virüsleri.
Bu ileti 4 yıl önce mehmet gezginç tarafından düzenlendi
Gönderildi : 22/01/2020 12:15
Yöntemi paylaşmanız güzel ama kulağı tersten tutmak olmuş sanki biraz. Aktif role sunucuların ethernet'ini kapatamazsınız ki roller mesai saatleri dışında da aktif kalmalı. Tavsiye olarak bunun yerine doğru senaryo, policy'ler oluşturulması gerekmekte bu tip attacklar için. Burada firewall, anti çözümler ve offsite backup ana aşamalar. Örneğin sizin yaptığınız da bir amatör offsite backup uygulaması. Offsite backup cloud, tape yada unmount edilen bir external disk olabilir ve tabi ki bunu yönetecek bir yazılım. Ayrıca local ransomware ataklarında wan ip değiştirmenize gerek yok. İçeri sızmalarda da temel de gerek yok. Sızma gerçekleşen ortamlar açık kaldığında çoğunluk senaryo da IP değişse de yine sizi bulurlar. O yüzden açıkların kapatılması, dışarıdan erişimlerin denetim altına alınması ana mecburiyet. Mesela bu devlette bir web portal üzerinden gerçekleşmişse de bildirirsiniz o konuda uzman desteğiyle çözüm üretmeleri gerekir.
'balık vermez, nasıl tutulabildiğine yönlendirir'
****************************************************************
Probleminiz Çözüldüğünde Sonucu Burada Paylaşırsanız. Sizde Aynı Problemi Yaşayanlar İçin Yardım Etmiş Olursunuz. Eğer sorununuz çözüldü ise lütfen "çözüldü" olarak işaretlerseniz diğer üyeler için çok büyük kolaylık sağlayacaktır.
*****************************************************************
Gönderildi : 22/01/2020 13:24
mehmet gezginç and mehmet gezginç reacted
Merhaba, endüstri standartı olmayan yöntemler hiç bir zaman kullanmayın. Özellikle bu ethernet açma, kapatma çok riskli bir durum.
Bunun yerine aslında en iyi çözümü bulmuşsunuz. Kamu kurumu olduğunuzu düşünüyorum, "yerel" pek çok bulut sağlayıcısı var, bunlara verilerinizi on-prem de şifrleyip yollayabiliyorsunuz. Bu sayede %100 güvenlik sağlayabilirsiniz.
Diğer yöntemler yönetilmesi zor şeyler bence.
https://www.youtube.com/watch?v=bR10dGJgoLI
https://www.youtube.com/watch?v=BJ88eUvkYtw
İnceleyebilirsiniz
Danışman - ITSTACK Bilgi Sistemleri
****************************************************************
Probleminiz Çözüldüğünde Sonucu Burada Paylaşırsanız.
Sizde Aynı Problemi Yaşayanlar İçin Yardım Etmiş Olursunuz.
Eğer sorununuz çözüldü ise lütfen "çözüldü" olarak işaretlerseniz diğer üyeler için çok büyük kolaylık sağlayacaktır.
*****************************************************************
Gönderildi : 23/01/2020 23:36
mehmet gezginç and mehmet gezginç reacted
