VMware ESXi Ransomware Karşı Neler Yapabiliriz.?
  1. Anasayfa
  2. Security

VMware ESXi Ransomware Karşı Neler Yapabiliriz.?

0

Uzunca süredir takip ettiğim ve çeşitli forum ve bloglarda okuduğum Esxi sunucuları hedef alan birkaç  ransomware yazılımlarına denk geldim. Bu konu aslında ilerleyen günlerde daha fazla dikkat çekmeye başlayacak öncesinde neler yapabiliriz bu yazımızda anlatmaya çalışacağım. Bu tarz yazılımlara karşı herhangi bir güvenlik önleminiz yok ise  esxi hostlarınızda vcenter ‘inizda ve vmware ‘in kullanmış olduğunuz çözümlerinde ciddi derecede sorunlar yaşabilirsiniz.

Ransomware yazılımlarının esxi hostlarınızı hiç bir zaman bu durumdan etkilenmeyeceğini düşünüyorsanız yanılıyorsunuz diyebilirim. öncelikle esxi hostunuza erişen bu yazılım ayrıca sanal makinelerinizin yada cluster da yer alan diğer bileşenleri rahatlıkla etkileyebilir sisteminize ciddi ölçüde zararlar verebilir.  Aslında bahsetmeye çalıştığım VMware teknolojileri ile çalışan ekiplerinizin  bazen olması gerektiği gibi güvenlik ekipleriyle  uyum içinde olmayabilir. Sonuçta, Clusterınızı yöneten admin :) ESXI virüs almaz ve VM’lerde  başka birinin sorumluluğundadır  değil mi?

Aksine VMware gibi kritik altyapıdan sorumlu olduğunuzda, bu gerçekten tüm ekibinizin sorumluluğundadır ve herkes bu durumun bir paydaşıdır.  VMware ürünlerine  yatkınsanız ve ortamınız için bir bu tarz sorunlara karşı bir müdahele planın yok ise kuruluşunuzun güvenlik politikalarınızı gözden geçirip güncellemenin vakti geldi ve geçiyor bile :)

Peki bu ransomware ‘dan nasıl kurtulurum ? 

Kendi kendinize  veya kurum kararı olarak biz bu şifrelenmiş ESXI hostun veya VM’lerin verilerini  almak için şifrenin ücretini ödeyelim ve verilerimizi kurtaralım düşüncesi aklınıza gelebilir bunu yapsanızda artık veriler dışarıya sızdırılmış ve tekrar o şifreleri girip şifrelenen uygulamaları ve yazılımları kullanmak ne kadar doğru olur bu işten sorumlu tüm paydaşlarla görüşerek net kararlarınızı alabilirsiniz. Ayrıca VM ‘lerinizi kurtarmadan önce alt yapınızda çalışan VMware ürünlerini tekrardan yapılandırmak gerektiğinide unutmamak lazım.

VMware Güvenlik ekipleriniz ile bağlı bulunan tüm paydaşlar bir araya geldikten sonra olayın herkesin aynı dili konuşması adına neler yaşandığını ve nasıl devam edeceğinizi net bir şekilde ifade etmesi gerekmektedir.  devamında  Kapsamı ve etkiyi öğrendikten sonra, kurtarmaya başlayabilir veya başlamayabilirsiniz, öğrenemeyebilirsiniz.

Sonuç olarak mutlaka  vakit kaybetmeden bu tarz acil önlem planlarınızı oluşturmalı ve gerekli önlemleri almalısınız.

ESXI hostumuzu bu durumdan hızlıca nasıl kurtarabilirim?

  • Hostunuz şifrelendiyse mutlaka yeniden kurmanız gerekmektedir.
  • Birden fazla hostunuz var ise mutlaka VMware ‘in dağıtım araçlarını kullanın. Oluşturacağınız Profiller ile hızlıca sonuca ulaşabilirsiniz.
  • Düzenli olarak dışa aktardığınız yedekleriniz varsa mutlaka kullanın. ( distributed virtual switch config,host profiles for configuration)

Tabi yukardaki özelliklerin bir çoğu Enterprise License ile gelen özellikler yoksa ne yapacağız?

Aşağıdaki teknolojilerden yararlanabilirsin.

  • PowerCLI script(s)
  • Ansible

Ransomware li bir sanal makinayı kurtarma 

Unutmayın, fidye yazılımı bir felakettir. Felaket kurtarma planı, güncel tutulursa ve yakın zamanda kapsamlı bir şekilde test edilirse bu tarz şeylerden korkmaya gerek yok. herhalde tüm kurumlar zaman zaman bu tarz tatbikatlar yapıyordur ve önlemlerini almıştır diye düşünüyorum.

ESXi hostlarınız tekrar çevrimiçi olduktan sonra, bir sonraki görev sanal makinelerinizi geri yüklemektir. Tabi geri dönmeden önce kontrol noktalarının belirlenmesi önemli bir konudur. örneğin fidye yazılımının ortama ne zaman girdiğini biliyor musunuz veya sanal makineleri geri yüklerken taramanız mı gerekiyor mu gerekli checklist ‘leri oluşturarak ilerlemenizi tavsiye ediyorum.

Diğer bir konu ise eğer bu tarz birşeyle karşılaştığınızda yatılmış bir network ve alt yapıya sahip iseniz makinalarınız burda kontrol edebilir sonrasında üretim ortamına alabilirsiniz.

Yazının başında da bahsetmiştim bur bir felaket olduğu için hızlıca bu ortamlarınızı DR site üzerinde de ayağa kaldırmayı test etmeniz ve planlarınızı güncel tutmanız gerekmektedir.

Yedeklerim şifrelenirse ne olur?

O zaman başımız büyük beleda demektedir. Bunun olmaması için herkesin yedeklerinin değişmez (Immutable) bir kopyasına sahip olması gerekir.  backup yazılımlarının veya kullandığınız backup appliance ‘larının bu özelliğini kullanmayı unutmayın.

 

Lütfen VMware’in fidye yazılımı kaynaklarına bir göz atmayı unutmayın..

 

 

 

 

15 yılı aşkın bir süredir Bilgi Teknolojileri sektörünün içerisindeyim. Bilişim sektörü ile alakalı farklı eğitimler sertifikalar edinerek bu sektör içerisin de son 12 yıldır profesyonel olarak çalışmaktayım. Yeditepe Üniversitesi Makine bölümü ve Eskişehir Üniversitesi işletme bölümü mezunuyum. Bilişim sektöründe kurumsal firmalarda, pek çok farklı pozisyonlarda görev aldım.

Yazarın Profili
İlginizi Çekebilir

Bültenimize Katılın

Hemen ücretsiz üye olun ve yeni güncellemelerden haberdar olan ilk kişi olun.

E-posta adresiniz yayınlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir