19:49:13

Saldırıya Uğrayan Cihazlar Artık Otomatik İzole Edilecek

Microsoft, siber saldırılara karşı geliştirdiği güvenlik platformu olan Microsoft Defender for Endpoint için dikkat çekici yeni bir özelliği test etmeye başladı. Şirket artık saldırıya uğradığından şüphelenilen bilgisayarları otomatik olarak ağdan izole edebiliyor. Bu sayede saldırganların şirket ağı içinde yayılmasının önüne geçilmesi hedefleniyor…

Yeni özellik şu anda önizleme aşamasında bulunuyor ve “otomatik saldırı engelleme” sisteminin bir parçası olarak çalışıyor. Temel amaç, bir cihazın ele geçirildiği düşünülüyorsa o cihazı hızla diğer sistemlerden ayırmak, saldırının yayılmasını yavaşlatmak ve güvenlik ekiplerine müdahale için zaman kazandırmak.

Siber saldırılarda en büyük risklerden biri, saldırganların tek bir bilgisayarı ele geçirdikten sonra ağ içinde diğer cihazlara da sıçrayabilmesidir. Bu yöntem “yatay hareket” olarak adlandırılır. Özellikle fidye yazılımı saldırılarında saldırganlar önce bir kullanıcı cihazına sızar, ardından şirket içindeki sunuculara, dosya sistemlerine ve diğer çalışan bilgisayarlarına ulaşmaya çalışır. Eğer bu yayılım engellenemezse, küçük bir güvenlik açığı kısa sürede şirket genelini etkileyen büyük bir krize dönüşebilir.

Microsoft’un geliştirdiği yeni sistem tam da bu noktada devreye giriyor. Defender for Endpoint, şüpheli davranışlar tespit ettiğinde ilgili cihazı otomatik olarak ağdan ayırabiliyor. Böylece cihazın diğer sistemlerle iletişimi kesiliyor ve saldırganın ağ içinde ilerlemesi zorlaşıyor. Ancak cihaz tamamen çevrimdışı hale getirilmiyor. Sistem, Microsoft’un güvenlik hizmetleriyle bağlantısını sürdürmeye devam ediyor. Bu sayede güvenlik ekipleri cihazı uzaktan inceleyebiliyor, tehdit analizi yapabiliyor ve gerekli müdahaleleri sürdürebiliyor.

Microsoft’a göre bu yaklaşım, veri sızıntısı riskini azaltmanın yanı sıra fidye yazılımlarının yayılmasını önlemede de kritik rol oynuyor. Çünkü modern fidye yazılımı grupları artık yalnızca dosyaları şifrelemekle yetinmiyor; aynı zamanda hassas verileri çalarak şirketleri iki yönlü baskı altına alıyor. Otomatik izolasyon sistemi, saldırının ilk aşamada kontrol altına alınmasını sağlayarak bu zincirin kırılmasına yardımcı olabilir.

Şirketin açıklamasına göre bu özellik yalnızca Defender for Endpoint tarafından yönetilen ve sisteme kayıtlı son kullanıcı cihazlarında çalışıyor. Güvenlik ekipleri olay incelemesini tamamladıktan sonra cihazı manuel olarak yeniden ağa bağlayabiliyor. Bunun için yöneticilerin cihaz envanterine girerek “izolasyondan çıkar” seçeneğini kullanması yeterli oluyor.

Aslında Microsoft’un cihaz izolasyonu konusundaki çalışmaları yeni değil. Şirket, Haziran 2022’de yöneticilerin saldırıya uğramış Windows cihazlarını manuel olarak ağdan ayırabilmesini sağlayan sistemi duyurmuştu. Bu özellik sayesinde güvenlik uzmanları, gelen ve giden tüm iletişimi keserek tehditleri kontrol altında tutabiliyordu. Daha sonra bu destek Linux sistemlerine de genişletildi. 2023 yılında Linux cihazlar için izolasyon özelliği test edilmeye başlandı ve aynı yılın ekim ayında genel kullanıma sunuldu.

Microsoft zamanla yalnızca cihazları değil, kullanıcı hesaplarını da koruma altına almaya başladı. Özellikle klavye üzerinden manuel şekilde ilerleyen fidye yazılımı saldırılarında, saldırganların ele geçirdiği hesapların otomatik olarak izole edilmesi gündeme geldi. Bu yaklaşım, saldırganın şirket içindeki hareket kabiliyetini ciddi ölçüde sınırlandırabiliyor.

Şirket son dönemde Defender platformu için başka güvenlik özellikleri de test ediyor. Bunlardan biri, koruma altında olmayan Windows cihazlarına gelen ve bu cihazlardan çıkan ağ trafiğinin otomatik olarak engellenmesi. Böylece saldırganların savunmasız sistemleri kullanarak ağ içinde yayılmasının önüne geçilmek isteniyor.

Bunun yanında Linux sistemleri için yeni antivirüs tarama özellikleri de geliştiriliyor. Yöneticiler artık Microsoft Defender portalı üzerinden veya komut satırı araçlarıyla düzenli taramalar planlayabiliyor. Sistem; günlük hızlı taramalar, haftalık tam taramalar ve belirli aralıklarla çalışan düşük öncelikli tarama seçeneklerini destekliyor. Ayrıca taramaların cihaz boşta kaldığında başlaması veya rastgele zamanlarda çalıştırılması gibi seçenekler de sunuluyor. Bu özellikler, sistem performansını mümkün olduğunca az etkilemeyi amaçlıyor.

Tüm bu gelişmeler, siber güvenlik dünyasında otomasyonun giderek daha önemli hale geldiğini gösteriyor. Çünkü günümüzde saldırılar hem daha hızlı hem de daha karmaşık hale gelmiş durumda. İnsan müdahalesi çoğu zaman tek başına yeterli olmuyor. Güvenlik sistemlerinin tehditleri gerçek zamanlı olarak algılayıp otomatik tepki verebilmesi büyük önem taşıyor.

Ancak uzmanlara göre otomasyon tek başına yeterli değil. Özellikle otomatik sızma testi araçlarının sınırlı bir rolü bulunuyor. Bu araçlar genellikle yalnızca saldırganların ağ içinde hareket edip edemeyeceğini ölçüyor. Fakat güvenlik önlemlerinin gerçekten etkili olup olmadığını, algılama sistemlerinin doğru çalışıp çalışmadığını veya bulut yapılandırmalarında açık bulunup bulunmadığını tam anlamıyla test edemiyorlar.

Bu nedenle şirketlerin yalnızca otomatik güvenlik araçlarına güvenmek yerine çok katmanlı bir savunma stratejisi kurması gerekiyor. Güçlü izleme sistemleri, düzenli güvenlik güncellemeleri, çalışan farkındalığı ve hızlı müdahale mekanizmaları birlikte çalıştığında siber saldırılara karşı daha etkili bir koruma sağlanabiliyor. Microsoft’un yeni otomatik izolasyon sistemi de bu yaklaşımın önemli parçalarından biri olarak görülüyor.

Bu içeriği beğendiyseniz lütfen çevrenizle paylaşınız…