Bu içerik, ilgili yazılım ve bilgiler kontrol edilerek güncel sürüm ve kullanım durumuna göre revize edilmiştir.
Yazar: Bünyamin KAYA
- Microsoft, ele geçirilmiş cihazları otomatik olarak ağdan ayırabilen yeni bir güvenlik özelliğini Defender for Endpoint için test ediyor.
- Microsoft Defender otomatik cihaz izolasyonu, saldırganların ağ içinde yatay hareket etmesini zorlaştırarak riskleri azaltmayı hedefliyor.
- İzole edilen cihazlar ağ bağlantısını kaybetse de Defender for Endpoint ile iletişim kurmaya devam ediyor.
- Özellik, veri sızıntısı ve fidye yazılımı saldırılarının yayılmasını sınırlamak için Automatic attack disruption mekanizmasının bir parçası olarak çalışıyor.
- Güvenlik ekipleri, inceleme ve risk giderme süreci tamamlandıktan sonra cihazları manuel olarak izolasyondan çıkarabiliyor.
Microsoft Defender for Endpoint, saldırıların ağ içinde yayılmasını durdurmak amacıyla ele geçirilmiş cihazları otomatik olarak izole edebilen yeni bir özelliği test ediyor.
Microsoft, Defender for Endpoint için geliştirdiği yeni özellikle, güvenliği ihlal edilmiş uç cihazların otomatik olarak ağdan ayrılmasını sağlayarak saldırganların kurum ağı içinde ilerlemesini zorlaştırmayı hedefliyor.
Yeni özellik şu anda preview (ön izleme) aşamasında bulunuyor. Bu özellik, saldırıları sınırlamak, etkilerini azaltmak ve güvenlik ekiplerine müdahale için daha fazla zaman kazandırmak üzere tasarlanan Automatic attack disruption (Otomatik saldırı kesintisi) mekanizmasının bir parçası olarak çalışıyor.
Bilgi: Otomatik olarak izole edilen cihazlar ağdan koparılır; ancak Microsoft Defender for Endpoint hizmetiyle bağlantıları korunur. Böylece cihazın güvenlik durumu izlenmeye devam eder.
Microsoft’a göre, bir kuruluş içindeki cihazın ele geçirildiğinden şüphelenilirse, Microsoft Defender for Endpoint bu cihazı Automatic attack disruption kapsamında otomatik olarak izole edebilir.
Bu otomatik izolasyon, kuruluşun daha fazla zarar görme riskini azaltmaya, saldırganların ağ içinde lateral movement (yatay hareket) yapmasını sınırlamaya ve data exfiltration (veri sızdırma) ile ransomware (fidye yazılımı) yayılımı gibi ciddi sonuçların önüne geçmeye yardımcı olur.
Automatic Device Isolation (Otomatik Cihaz İzolasyonu) özelliği, yalnızca Microsoft Defender for Endpoint’e bağlı kullanıcı iş istasyonlarında çalışır. Güvenlik ekipleri, olay incelemesi tamamlandıktan ve riskler giderildikten sonra cihazları istedikleri zaman izolasyondan çıkarabilir.
Uyarı: Otomatik izolasyon, cihazın ağ bağlantısını sınırlandırarak saldırının yayılmasını engellemeye yardımcı olur. Ancak cihazın tamamen güvenli kabul edilmesi için olay incelemesinin tamamlanması ve gerekli iyileştirme adımlarının uygulanması gerekir.
Bir cihazı otomatik izolasyondan çıkarmak için güvenlik ekiplerinin Device inventory (Cihaz envanteri) bölümünden ilgili cihazı seçmesi veya cihaz sayfasını açarak işlem menüsünden Release from isolation (İzolasyondan çıkar) seçeneğini kullanması gerekiyor.
Microsoft, yaklaşık dört yıl önce, Haziran 2022’de yöneticilerin ele geçirilmiş ve yönetilmeyen Windows cihazlarını manuel olarak izole edebileceğini duyurmuştu. Bu yöntemle, Defender for Endpoint’e bağlı uç noktalar üzerinden gelen ve giden bağlantılar engellenebiliyordu.
Ocak 2023’te Microsoft, Defender for Endpoint için bağlı Linux sistemlerinde cihaz izolasyonu desteğini test etmeye başladı. Bu özellik, Ekim 2023’te genel kullanıma sunuldu.
Aynı dönemde şirket, Defender for Endpoint’in Automatic attack disruption kapsamında ele geçirilmiş kullanıcı hesaplarını da izole edebileceğini açıklamıştı. Bu yetenek, özellikle insan operatörlü fidye yazılımı saldırılarında lateral movement (yatay hareket) girişimlerini engellemeye yardımcı oluyor.
Microsoft kısa süre önce, kurumsal uç nokta güvenlik platformu Defender for Endpoint için başka bir yeni özelliği de test etmeye başladı. Bu özellik, ağdaki diğer cihazların tehlikeye girmesini önlemek amacıyla keşfedilmemiş Windows cihazları için gelen ve giden trafiği otomatik olarak engelleyebiliyor.
Şirket ayrıca bu ayın başlarında, bağlı Linux sistemlerinde antivirüs taramalarının planlanmasına imkân veren yeni bir preview (ön izleme) özelliğini duyurdu. Bu özellik, Microsoft Defender portal, mdatp managed JSON configuration (mdatp yönetilen JSON yapılandırması) veya mdatp command-line tool (mdatp komut satırı aracı) üzerinden kullanılabiliyor.
Microsoft’un açıklamasına göre planlanmış taramalar; günlük quick scan (hızlı tarama), belirli aralıklarla hızlı tarama ve haftalık full scan (tam tarama) seçeneklerini destekliyor. Ayrıca düşük öncelikli çalıştırma, sistem boştayken tarama yapma ve rastgele başlangıç zamanı gibi ek ayarlar da sunuluyor.
Benim Değerlendirmem
Siber güvenlik tarafında saldırıları yalnızca tespit etmek değil, mümkün olan en kısa sürede etkisini sınırlandırmak da giderek daha önemli hale geliyor. Microsoft’un test ettiği otomatik cihaz izolasyonu yaklaşımı bu açıdan dikkat çekici görünüyor çünkü güvenliği ihlal edilmiş bir cihazın ağ içinde hareket alanını hızla kısıtlayarak olası veri sızıntılarının ve fidye yazılımı yayılımının önüne geçmeyi hedefliyor.
Özellikle geniş ölçekli kurumsal ortamlarda, güvenlik ekiplerinin her olaya anında müdahale edemediği düşünüldüğünde bu tür otomasyonların önemli bir destek sağlayabileceği söylenebilir.
Bununla birlikte, özelliğin şu anda ön izleme aşamasında olduğunu ve otomatik karar mekanizmalarının zaman zaman ek doğrulama gerektirebileceğini de göz önünde bulundurmak gerekiyor.
Bu nedenle güvenlik ekiplerinin süreçleri yakından takip etmesi ve otomatik müdahaleleri düzenli olarak değerlendirmesi önem taşıyor. Genel olarak bakıldığında, saldırıların yayılmasını erken aşamada durdurmaya odaklanan bu yaklaşımın kurumsal güvenlik stratejilerinde giderek daha fazla yer bulacağını düşünüyorum.
