Microsoft Defender Hücuma Məruz Qalan Cihazları Avtomatik Təcrid Edəcək – Veri Sızıntısı
Live
Sorğu
Korporativ
Haqqımızda Qurucunun notu Mətbuat & Media Məxfilik siyasəti İstifadə şərtləri TSS Mətbuat Kiti
Məhsullar
HUBOne HUBCorp Tezliklə Veri Sızıntısı Android Tezliklə Veri Sızıntısı iOS Tezliklə Veri Sızıntısı Huawei Tezliklə Breach Radar Argus Flow Argus Engine LivePlatform
Texnologiyalar
Argus AI Nədir? HUBOne'da sına Argus Flow nədir? Argus Engine Nədir?
Bloq Əlaqə

Microsoft Defender Haker Hücumuna Məruz Qalan Cihazları Avtomatik Təcrid Edəcək

Microsoft, şəbəkə daxilində yanal hərəkət etməyə çalışan hakerləri dayandırmaq üçün təhlükəyə məruz qalmış son nöqtələri avtomatik olaraq təcrid edəcək yeni bir Defender for Endpoint qabiliyyətini sınaqdan keçirir. Bu addım təhlükəsizlik əməliyyat mərkəzlərinin (SOC) yükünü yüngülləşdirməyi hədəfləyir.

Mavi fonda Microsoft Defender qalxan loqosu, yeni avtomatik son nöqtə təcrid xüsusiyyətini təmsil edir.

Nə Baş Verdi

Microsoft, kiber təhlükəsizlik dünyasında avtomatlaşdırma adına yeni bir addım atır. Şirkət, korporativ təhlükəsizlik məhsulu olan Defender for Endpoint üçün sınaq mərhələsində olan bir xüsusiyyət elan etdi. Bu xüsusiyyət, bir haker tərəfindən ələ keçirildiyi müəyyən edilən bir kompüteri və ya serveri (yəni bir "son nöqtəni") avtomatik olaraq şəbəkənin qalan hissəsindən ayıracaq. Təsəvvür edin ki, bir binada yanğın siqnalı işə düşdükdə, yanğının başladığı otağın qapıları avtomatik olaraq bağlanır. Məqsəd, yanğının, yəni hakerin, digər otaqlara keçməsinin qarşısını almaqdır.

Bu yeni qabiliyyət, "avtomatik hücumun kəsilməsi" (automatic attack disruption) adlandırılan daha geniş bir strategiyanın bir hissəsidir. Normalda, Defender bir anomaliya aşkar etdikdə, məsələn, bir istifadəçinin kompüterindən şəbəkədəki digər cihazlara şübhəli əmrlər göndərildikdə, bir təhlükəsizlik analitikinə xəbərdarlıq göndərir. Analitik bu xəbərdarlığı araşdırır, vəziyyətin ciddiliyini qiymətləndirir və əgər lazımdırsa, o cihazı əl ilə şəbəkədən təcrid edir. Bu proses, ən sürətli analitikin belə dəqiqələrini, hətta bəzən daha çox vaxtını ala bilər. Kiber hücumların saniyələr ərzində yayıla bildiyi bir mühitdə bu dəqiqələr çox dəyərlidir.

Məhz Microsoft-un yeni xüsusiyyəti burada dövrəyə girir. Artıq, sistem müəyyən bir etibarlılıq səviyyəsində bir cihazın ələ keçirildiyini və hakerin "yanal hərəkət" etməyə çalışdığını anlasa, insan müdaxiləsini gözləməyəcək. Cihazı dərhal karantinə alacaq. Bu təcrid, cihazın internetə və ya digər şəbəkə resurslarına girişini əngəlləyərkən, Defender for Endpoint servisləri ilə əlaqəsini davam etdirməsini təmin edir. Beləliklə, təhlükəsizlik komandası, cihazı uzaqdan araşdırıb nə baş verdiyini anlamağa davam edə bilər. Bu, hakeri bir otağa kilidləmək, ancaq təhlükəsizlik kameralarının işləməyə davam etməsi kimi bir vəziyyətdir.

E-poçtunuz sızdırılıb? Pulsuz yoxlayın — saniyələr içində nəticə.

İndi Yoxla →

Ələ Keçirilən Məlumatlar

Bu xəbər bir məlumat sızması xəbəri deyil, əksinə gələcəkdəki sızmaların qarşısını almağa yönəlmiş bir texnologiya elanıdır. Buna görə də, "bu məlumatlar ələ keçirildi" deyə bilmərik. Ancaq, bu xüsusiyyətin niyə inkişaf etdirildiyini anlamaq üçün, hakerlərin bir şəbəkəyə sızdıqdan sonra hansı növ məlumatların arxasında olduğunu danışmalıyıq. Bu texnologiya, məhz bu məlumatları qorumaq üçün mövcuddur.

Bir haker, adətən bir fişinq e-poçtu və ya zəifliyi olan bir proqram vasitəsilə tək bir işçinin kompüterinə sızır. Bu ilk cihaz, onlar üçün adətən bir tramplindir. Əsas hədəfləri bu cihazda deyil. Hədəfləri, şəbəkənin daha dərinliklərindədir. Bəs nə axtarırlar?

  • Administrator Hesabları: Hakerlərin müqəddəs kasası, "Domain Admin" kimi bütün şəbəkə üzərində tam səlahiyyətə malik hesabların kimlik məlumatlarıdır. Bu məlumatlara çatdıqlarında, istədikləri hər serverə, hər kompüterə daxil ola bilərlər. Bu yeni təcrid xüsusiyyəti, hakerin bu kimlik məlumatlarını axtarmaq üçün şəbəkədə gəzməsinin qarşısını almağı hədəfləyir.
  • Maliyyə Məlumatları: Mühasibatlıq şöbəsinin serverləri, müştəri ödəniş məlumatları, şirkət balansları, bank hesab detalları kimi məlumatlar hər zaman əsas hədəfdir.
  • Müştəri və İşçi Məlumatları (PII): Adlar, ünvanlar, şəxsiyyət vəsiqəsi nömrələri, maaş məlumatları kimi şəxsi məlumatlar, qara bazarda olduqca dəyərlidir və ciddi hüquqi məsuliyyətlər yaradır.
  • Əqli Mülkiyyət: Ar-Ge şöbəsinin serverlərində saxlanılan məhsul dizaynları, patent müraciətləri, ticarət sirləri, proqram mənbə kodları bir şirkətin gələcəyi deməkdir. Bunların oğurlanması, şirkəti iflasa belə sürükləyə bilər.
  • Verilənlər Bazaları: Müştəri münasibətlərinin idarə edilməsi (CRM) və ya müəssisə resurslarının planlaşdırılması (ERP) sistemlərinin verilənlər bazaları, bir şirkətin əməliyyat ürəyidir. Hakerlər bu məlumatlara daxil olub şifrələyərək fidyə tələb edə bilərlər.

Avtomatik təcrid, hakerin bu dəyərli aktivlərə çatmasını təmin edəcək o kritik "yayılma" anının qarşısını almaq üçün nəzərdə tutulmuşdur. Haker ilk girdiyi otaqda kilidli qalarsa, evin qalan hissəsindəki zinət əşyalarına çata bilməz.

Hücum Necə Həyata Keçirildi

Burada konkret bir hücumdan deyil, bu yeni xüsusiyyətin qarşısını almaq üçün nəzərdə tutulmuş ümumi bir hücum metodologiyasından, yəni "yanal hərəkətdən" (lateral movement) bəhs edirik. Bu, müasir kiber hücumların demək olar ki, standart bir addımıdır və adətən belə işləyir:

1. İlkin Giriş (Initial Access): Hər şey bir yerdən başlayır. Adətən bu, bir işçinin diqqətsizliyi ilə olur. "Hesab-fakturanız əlavədədir" kimi görünən bir e-poçtdakı zərərli bir linkə klikləməsi və ya hər kəsə açıq bir serverdəki yenilənməmiş bir proqramın zəifliyindən istifadə edilməsi kimi. Haker artıq şəbəkənin içindədir, ancaq yalnız tək bir, adətən aşağı səlahiyyətli bir kompüterdə.

2. Kəşfiyyat (Discovery): Haker, daxil olduğu kompüterdə dərhal ətrafı yoxlamağa başlayır. Bu kompüterdə hansı istifadəçi daxil olub? Bu istifadəçinin şəbəkədəki digər hansı cihazlara giriş hüququ var? Şəbəkədəki digər vacib serverlər (məsələn, domain controller) haradadır? Bu mərhələdə, "ping", "net view" kimi sadə əmrlər və ya daha inkişaf etmiş şəbəkə skanlama vasitələri istifadə edirlər.

3. Kimlik Məlumatlarının Oğurlanması (Credential Theft): Hakerin məqsədi, olduğu cihazda daha səlahiyyətli bir hesabın parolunu və ya hash-ini ələ keçirməkdir. Mimikatz kimi vasitələr, o anda kompüterin yaddaşında olan kimlik məlumatlarını oğurlamaq üçün tez-tez istifadə olunur. Bəlkə bir sistem administratoru qısa bir müddət əvvəl o cihazda daxil olub və izləri hələ də oradadır.

4. Yanal Hərəkət (Lateral Movement): Məhz əsas məqam budur. Haker, oğurladığı yeni kimlik məlumatları ilə və ya mövcud istifadəçinin hüquqları ilə, şəbəkədəki başqa bir kompüterə keçməyə çalışır. Bunun üçün PsExec, Windows İdarəetmə Alətləri (WMI) kimi qanuni sistem idarəetmə vasitələrindən istifadə edirlər. Bu, təhlükəsizlik sistemlərinin gözündən qaçmalarını asanlaşdırır, çünki normal idarəetmə fəaliyyətlərinə bənzəyir. Hər uğurlu sıçrayışla hədəflərinə bir addım daha yaxınlaşırlar.

Microsoft Defender-in yeni xüsusiyyəti, məhz bu 4-cü addımı hədəf alır. Defender, bir cihazdan digərinə anormal bir şəkildə WMI və ya PsExec əmrlərinin göndərildiyini gördükdə və bu fəaliyyətin əvvəlki şübhəli hadisələrlə əlaqəli olduğuna qərar verdikdə, "Bu normal bir idarəetmə fəaliyyəti deyil, bu bir hakerin yanal hərəkətidir" deyərək mənbə cihazını dərhal təcrid edir. Hakerin növbəti addıma keçməsinin qarşısını alır.

Kimlər Təsirlənir

Bu xüsusiyyətdən birbaşa təsirlənəcək olanlar, Microsoft-un korporativ təhlükəsizlik ekosistemindən istifadə edən şirkətlər və bu şirkətlərdəki kiber təhlükəsizlik komandalarıdır. Daha ətraflı baxsaq:

  • Təhlükəsizlik Əməliyyat Mərkəzi (SOC) Analitikləri: Bu insanlar, hər gün yüzlərlə, minlərlə xəbərdarlıqla boğuşan cəbhədəki əsgərlərdir. Avtomatik təcrid, onların üzərindəki yükü ciddi şəkildə azalda bilər. Gecə yarısı gələn bir xəbərdarlıq üçün yatağından qalxıb kompüter başına keçmək əvəzinə, sistemin ilk müdaxiləni özünün etdiyini bilərək daha rahat yata bilərlər. Bu onlara, sadə müdaxilələr yerinə daha mürəkkəb təhdid ovu və təhqiqat fəaliyyətlərinə fokuslanmaq üçün vaxt qazandırır.
  • Orta və Böyük Müəssisələr: Xüsusilə minlərlə son nöqtəsi olan böyük şirkətlərdə, hər bir cihazı əl ilə izləmək qeyri-mümkündür. Avtomatlaşdırma, bu miqyasdakı şəbəkələri idarə edilə bilən edir. Bir hücumun yüzlərlə cihaza yayılması ilə yalnız bir cihazda dayandırılması arasındakı fərq, milyonlarla dollarlıq bir fidyə ödəməklə ödəməmək arasındakı fərq ola bilər.
  • Microsoft 365 E5 Lisenziyasına Sahib Təşkilatlar: Bu cür inkişaf etmiş xüsusiyyətlər adətən Microsoft-un ən yüksək səviyyəli lisenziya paketlərində təklif olunur. Buna görə də, bu xüsusiyyətdən istifadə etmək istəyən şirkətlərin çox güman ki, Microsoft 365 E5 və ya ekvivalenti bir təhlükəsizlik lisenziyasına sahib olmaları tələb olunacaq.

Bəs potensial mənfi təsirlər? Hər avtomatlaşdırmanın bir riski var: yanlış pozitivlər (false positives). Təsəvvür edin ki, bir sistem administratorunun etdiyi tamamilə qanuni bir uzaqdan idarəetmə əməliyyatı, sistem tərəfindən səhvən hücum olaraq qəbul edilərsə nə olar? O administratorun işlədiyi cihaz və ya daha pisi, üzərində işlədiyi kritik bir server avtomatik olaraq təcrid edilə bilər. Bu da iş axınlarının dayanmasına, istehsalatın ləngiməsinə səbəb ola bilər. Buna görə Microsoft, bu xüsusiyyətin etibarlılıq səviyyəsinin çox yüksək olduğunu və yalnız müəyyən hücum nümunələri ilə uyğunlaşdıqda işə düşəcəyini vurğulayır.

Nə Edə Bilərsiniz

Əgər bir sistem administratoru və ya təhlükəsizlik mütəxəssisisinizsə və şirkətinizdə Defender for Endpoint istifadə edilirsə, bu yeni xüsusiyyət sizin üçün birbaşa hərəkətə keçirilə bilən addımları ehtiva edir. "Parolunuzu güclü edin" kimi ümumi tövsiyələrdən bəhs etmirik.

1. Ümumi Baxış (Public Preview) Ayarlarını Yoxlayın: Bu xüsusiyyət hazırda ümumi istifadəyə verilməyib, sınaq mərhələsindədir. Şirkətinizin Microsoft 365 Defender portalında ümumi baxış xüsusiyyətlərini aktivləşdirib-aktivləşdirmədiyinizi yoxlayın. Əgər aktivdirsə, bu xüsusiyyəti portalınızda görməyə başlaya bilərsiniz. Microsoft-un rəsmi sənədlərini izləyərək xüsusiyyətin tam olaraq harada yerləşdiyini və necə konfiqurasiya edildiyini öyrənin.

2. Test və Pilot Tətbiq Edin: Bu xüsusiyyəti dərhal bütün şirkətdə işə salmaq, indicə bəhs etdiyimiz yanlış pozitiv riskləri səbəbindən təhlükəli ola bilər. Bunun əvəzinə, BT şöbəsi və ya müəyyən bir test istifadəçi qrupu kimi daha kiçik, nəzarət edilə bilən bir qrup üzərində aktivləşdirərək başlayın. Sistemin normal idarəetmə fəaliyyətlərinə necə reaksiya verdiyini müşahidə edin. Gözlənilməz bir təcrid olub-olmadığını izləyin.

3. Təcriddən Çıxarma Prosedurunu Öyrənin: Bir cihaz (haqlı ya da haqsız yerə) təcrid edildikdə, onu yenidən şəbəkəyə necə daxil edəcəyinizi bilməlisiniz. Defender portalında bir cihazın təcridini ləğv etmə addımlarını öyrənin və sənədləşdirin. Bir yanlış pozitiv vəziyyətində, kritik bir serveri dəqiqələr ərzində yenidən işə sala bilməlisiniz.

4. Gözləntiləri İdarə Edin: Bu bir sehrli çubuq deyil. Avtomatik təcrid, hakerin ilk cəhdini dayandıra bilər, ancaq bu, əsas təhlükəsizlik gigiyenasını laqeyd edə biləcəyiniz mənasını vermir. Zəifliklərin idarə edilməsi, fişinq təlimləri, güclü autentifikasiya kimi əsas addımlar hələ də həyati əhəmiyyət daşıyır. Bu alət, müdafiənizə bir qat daha əlavə edir, digər qatların yerini almır.

5. Varlıq İnventarını Güncəl Saxlayın: Hansı cihazın təcrid edildiyini anlamaq, o cihazın nə qədər kritik olduğunu bilməklə başlayır. Şəbəkənizdəki bütün cihazların (serverlər, noutbuklar) nə işə yaradığı, kimə aid olduğu və nə qədər kritik olduğu məlumatını ehtiva edən güncəl bir inventarınız olmalıdır. Beləliklə, "SRV-DB-01" təcrid edildikdə, bunun bütün şirkətin verilənlər bazası serveri olduğunu və təcili müdaxilə tələb etdiyini dərhal bilərsiniz.

Şirkət Nə Deyir

Microsoft, bu yeni xüsusiyyəti elan etdiyi bloq yazısında və texniki sənədlərində, bunun müasir fidyə proqramı hücumlarına və insan tərəfindən idarə olunan (human-operated) kiber hücumlara qarşı bir cavab olduğunu bildirir. Şirkətə görə, hakerlər bir şəbəkəyə daxil olduqdan sonra adətən proqnozlaşdırıla bilən və səs-küylü yollarla yayılmağa çalışırlar. Bu "səs-küy", avtomatlaşdırmanın onları aşkar etməsi üçün bir fürsət yaradır.

Microsoft-dan Məhsul Marketinqi Meneceri Rob Lefferts, verdiyi bir açıqlamada, "Hücumların sürəti, insan müdaxiləsinin sürətini ötüb. Təhlükəsizlik komandalarına, hücumun ilk anlarında dəyərli saniyələr və dəqiqələr qazandırmalıyıq. Avtomatik hücumun kəsilməsi, bir hücumun tək bir cihazdakı bir xəbərdarlıq olmaqdan çıxıb tam təşəkküllü bir korporativ böhrana çevrilməsinin qarşısını almaq üçün nəzərdə tutulub" dedi.

Şirkət, bu xüsusiyyətin xüsusilə fidyə proqramı hücumlarının yayılma mərhələsini qırmaq üçün inkişaf etdirildiyinin altını çəkir. Bir çox fidyə proqramı hadisəsində, hakerlər şəbəkədəki yüzlərlə kompüteri şifrələmədən əvvəl yanal hərəkət texnikalarından istifadə edərək girişlərini genişləndirirlər. Microsoft-un iddiası, bu avtomatik təcridin, şifrələmə başlamazdan çox əvvəl hücum zəncirini qıra biləcəyi istiqamətindədir.

Həmçinin, bu xüsusiyyətin XDR (Genişləndirilmiş Aşkarlama və Cavab) platformalarının gələcəyi haqqında da bir ipucu verdiyini qeyd edirlər. Gələcəkdə təhlükəsizlik məhsulları yalnız xəbərdarlıqlar yaratmaqla qalmayacaq, həm də yüksək etibarlılıqlı təhdidlərə qarşı avtonom olaraq hərəkətə keçərək analitiklərin işini asanlaşdıracaq. Bu xüsusiyyət, bu vizionun konkret bir nümunəsi olaraq təqdim edilir.

Mənbə

https://www.bleepingcomputer.com/news/microsoft/microsoft-defender-can-now-automatically-isolate-hacked-endpoints/

Bu Məqaləni Paylaş
X LinkedIn WhatsApp
← Əvvəlki Yazı 7-Eleven Məlumat Sızıntısı 185 Min Nəfərə Təsir Etdi Növbəti Yazı → Kaliforniya Keçmiş 23andMe Şirkətini Məhkəməyə Verir

Həftəlik Bülten

Hər həftə seçilmiş məlumat pozuntusu xəbərləri gələn qutunuza çatdırılsın.