Microsoft Defender Saldırıya Uğrayan Cihazları Otomatik İzole Edecek – Veri Sızıntısı
Live
Sorgula
Kurumsal
Hakkımızda Kurucunun Notu Basın & Medya Gizlilik Politikası Kullanım Koşulları SSS Basın Kiti
Ürünler
HUBOne HUBCorp Yakında Veri Sızıntısı Android Yakında Veri Sızıntısı iOS Yakında Veri Sızıntısı Huawei Yakında Breach Radar Argus Flow Argus Engine LivePlatform
Teknolojiler
Argus AI Nedir? HUBOne'da Dene Argus Flow Nedir? Argus Engine Nedir?
Blog İletişim

Microsoft Defender Saldırıya Uğrayan Cihazları Otomatik Kapatacak

Microsoft, ağ içinde yanal olarak hareket etmeye çalışan saldırganları durdurmak için tehlikeye atılmış uç noktaları otomatik olarak izole edecek yeni bir Defender for Endpoint yeteneğini test ediyor. Bu hamle, güvenlik operasyon merkezlerinin (SOC) yükünü hafifletmeyi amaçlıyor.

Mavi bir arka plan üzerinde Microsoft Defender kalkan logosu, yeni otomatik uç nokta izolasyon özelliğini temsil ediyor.

Ne Oldu

Microsoft, siber güvenlik dünyasında otomasyon adına yeni bir adım atıyor. Şirket, kurumsal güvenlik ürünü olan Defender for Endpoint için test aşamasında olan bir özellik duyurdu. Bu özellik, bir saldırgan tarafından ele geçirildiği tespit edilen bir bilgisayarı veya sunucuyu (yani bir "uç noktayı") otomatik olarak ağın geri kalanından ayıracak. Düşünün ki, bir binada yangın alarmı çaldığında, yangının çıktığı odanın kapılarının otomatik olarak kilitlenmesi gibi. Amaç, yangının, yani saldırganın, diğer odalara sıçramasını engellemek.

Bu yeni yetenek, "otomatik saldırı kesintisi" (automatic attack disruption) olarak adlandırılan daha geniş bir stratejinin parçası. Normalde, Defender bir anomali tespit ettiğinde, örneğin bir kullanıcının bilgisayarından ağdaki diğer makinelere şüpheli komutlar gönderildiğinde, bir güvenlik analistine uyarı gönderir. Analist bu uyarıyı inceler, durumun ciddiyetini değerlendirir ve eğer gerekliyse o makineyi manuel olarak ağdan izole eder. Bu süreç, en hızlı analistin bile dakikalarını, hatta bazen daha uzun süresini alabilir. Siber saldırıların saniyeler içinde yayılabildiği bir ortamda bu dakikalar çok değerli.

İşte Microsoft'un yeni özelliği burada devreye giriyor. Artık, sistem belirli bir güvenilirlik seviyesinde bir cihazın ele geçirildiğini ve saldırganın "yanal hareket" yapmaya çalıştığını anlarsa, insan müdahalesini beklemeyecek. Cihazı anında karantinaya alacak. Bu izolasyon, cihazın internete veya diğer ağ kaynaklarına erişimini engellerken, Defender for Endpoint servisleriyle iletişimini sürdürmesini sağlıyor. Böylece güvenlik ekibi, cihazı uzaktan inceleyip ne olduğunu anlamaya devam edebiliyor. Bu, saldırganı bir odaya kilitlemek ama güvenlik kameralarının çalışmaya devam etmesi gibi bir durum.

E-postanız sızdırıldı mı? Ücretsiz sorgulayın, saniyeler içinde öğrenin.

Hemen Sorgula →

Ele Geçirilen Veriler

Bu haber bir veri sızıntısı haberi değil, aksine gelecekteki sızıntıları önlemeye yönelik bir teknoloji duyurusu. Dolayısıyla, "şu veriler ele geçirildi" diyemeyiz. Ancak, bu özelliğin neden geliştirildiğini anlamak için, saldırganların bir ağa sızdıktan sonra ne tür verilerin peşinde olduğunu konuşmamız gerekiyor. Bu teknoloji, tam olarak bu verileri korumak için var.

Bir saldırgan, genellikle bir kimlik avı e-postası veya zafiyetli bir yazılım aracılığıyla tek bir çalışanın bilgisayarına sızar. Bu ilk makine, onlar için genellikle bir atlama taşıdır. Asıl hedefleri bu makinede değildir. Hedefleri, ağın daha derinlerindedir. Peki ne ararlar?

  • Yönetici Hesapları: Saldırganların kutsal kasesi, "Domain Admin" gibi tüm ağ üzerinde tam yetkiye sahip hesapların kimlik bilgileridir. Bu bilgilere ulaştıklarında, istedikleri her sunucuya, her bilgisayara erişebilirler. Bu yeni izolasyon özelliği, saldırganın bu kimlik bilgilerini aramak için ağda gezinmesini engellemeyi hedefler.
  • Finansal Veriler: Muhasebe departmanının sunucuları, müşteri ödeme bilgileri, şirket bilançoları, banka hesap detayları gibi bilgiler her zaman birincil hedeftir.
  • Müşteri ve Çalışan Bilgileri (PII): İsimler, adresler, kimlik numaraları, maaş bilgileri gibi kişisel veriler, karaborsada oldukça değerlidir ve ciddi yasal sorumluluklar doğurur.
  • Fikri Mülkiyet: Ar-Ge departmanının sunucularında saklanan ürün tasarımları, patent başvuruları, ticari sırlar, yazılım kaynak kodları bir şirketin geleceği demektir. Bunların çalınması, şirketi iflasa bile sürükleyebilir.
  • Veritabanları: Müşteri ilişkileri yönetimi (CRM) veya kurumsal kaynak planlaması (ERP) sistemlerinin veritabanları, bir şirketin operasyonel kalbidir. Saldırganlar bu verilere erişip şifreleyerek fidye talep edebilirler.

Otomatik izolasyon, saldırganın bu değerli varlıklara ulaşmasını sağlayacak o kritik "yayılma" anını engellemek için tasarlanmıştır. Saldırgan ilk girdiği odada kilitli kalırsa, evin geri kalanındaki mücevherlere ulaşamaz.

Saldırının Nasıl Gerçekleştiği

Burada belirli bir saldırıdan değil, bu yeni özelliğin engellemek için tasarlandığı genel bir saldırı metodolojisinden, yani "yanal hareketten" (lateral movement) bahsediyoruz. Bu, modern siber saldırıların neredeyse standart bir adımıdır ve genellikle şöyle işler:

1. İlk Erişim (Initial Access): Her şey bir yerden başlar. Genellikle bu, bir çalışanın dikkatsizliğiyle olur. "Faturanız ektedir" gibi görünen bir e-postadaki zararlı bir bağlantıya tıklaması veya herkese açık bir sunucudaki güncellenmemiş bir yazılımın zafiyetinden faydalanılması gibi. Saldırgan artık ağın içindedir, ama sadece tek bir, genellikle düşük yetkili bir bilgisayarda.

2. Keşif (Discovery): Saldırgan, girdiği bilgisayarda hemen etrafı kolaçan etmeye başlar. Bu bilgisayarda hangi kullanıcı oturum açmış? Bu kullanıcının ağdaki diğer hangi makinelere erişim hakkı var? Ağdaki diğer önemli sunucular (örneğin domain controller) nerede? Bu aşamada, "ping", "net view" gibi basit komutlar veya daha gelişmiş ağ tarama araçları kullanırlar.

3. Kimlik Bilgisi Hırsızlığı (Credential Theft): Saldırganın amacı, bulunduğu makinede daha yetkili bir hesabın parolasını veya hash'ini ele geçirmektir. Mimikatz gibi araçlar, o anda bilgisayarın belleğinde bulunan kimlik bilgilerini çalmak için sıklıkla kullanılır. Belki bir sistem yöneticisi kısa bir süre önce o makinede oturum açmıştır ve izleri hala oradadır.

4. Yanal Hareket (Lateral Movement): İşte kilit nokta burası. Saldırgan, çaldığı yeni kimlik bilgileriyle veya mevcut kullanıcının haklarıyla, ağdaki başka bir bilgisayara atlamaya çalışır. Bunun için PsExec, Windows Yönetim Araçları (WMI) gibi meşru sistem yönetimi araçlarını kullanırlar. Bu, güvenlik sistemlerinin gözünden kaçmalarını kolaylaştırır çünkü normal yönetici aktivitelerine benzer görünür. Her başarılı atlama ile hedeflerine bir adım daha yaklaşırlar.

Microsoft Defender'ın yeni özelliği, tam da bu 4. adımı hedef alıyor. Defender, bir makineden diğerine anormal bir şekilde WMI veya PsExec komutları gönderildiğini gördüğünde ve bu aktivitenin daha önceki şüpheli olaylarla ilişkili olduğuna karar verdiğinde, "Bu normal bir yönetici aktivitesi değil, bu bir saldırganın yanal hareketi" diyerek kaynak makineyi anında izole ediyor. Saldırganın bir sonraki adıma geçmesini engelliyor.

Etkilenenler Kim

Bu özellikten doğrudan etkilenecek olanlar, Microsoft'un kurumsal güvenlik ekosistemini kullanan şirketler ve bu şirketlerdeki siber güvenlik ekipleri. Daha detaylı bakacak olursak:

  • Güvenlik Operasyon Merkezi (SOC) Analistleri: Bu insanlar, her gün yüzlerce, binlerce uyarıyla boğuşan cephedeki askerlerdir. Otomatik izolasyon, onların üzerindeki yükü ciddi anlamda azaltabilir. Gece yarısı gelen bir uyarı için yatağından fırlayıp bilgisayar başına geçmek yerine, sistemin ilk müdahaleyi kendisinin yaptığını bilerek daha rahat uyuyabilirler. Bu onlara, basit müdahaleler yerine daha karmaşık tehdit avcılığı ve soruşturma faaliyetlerine odaklanmaları için zaman kazandırır.
  • Orta ve Büyük Ölçekli İşletmeler: Özellikle binlerce uç noktası olan büyük şirketlerde, her bir cihazı manuel olarak takip etmek imkansızdır. Otomasyon, bu ölçekteki ağları yönetilebilir kılar. Bir saldırının yüzlerce makineye yayılması ile sadece bir makinede durdurulması arasındaki fark, milyonlarca dolarlık bir fidye ödemekle ödememek arasındaki fark olabilir.
  • Microsoft 365 E5 Lisansına Sahip Kuruluşlar: Bu tür gelişmiş özellikler genellikle Microsoft'un en üst düzey lisans paketlerinde sunulur. Dolayısıyla, bu özelliği kullanmak isteyen şirketlerin muhtemelen Microsoft 365 E5 veya eşdeğeri bir güvenlik lisansına sahip olmaları gerekecektir.

Peki ya potansiyel olumsuz etkiler? Her otomasyonun bir riski vardır: yanlış pozitifler (false positives). Düşünün ki, bir sistem yöneticisinin yaptığı tamamen meşru bir uzaktan yönetim işlemi, sistem tarafından yanlışlıkla saldırı olarak algılanırsa ne olur? O yöneticinin çalıştığı makine veya daha kötüsü, üzerinde çalıştığı kritik bir sunucu otomatik olarak izole edilebilir. Bu da iş akışlarının durmasına, üretimin aksamasına neden olabilir. Bu yüzden Microsoft, bu özelliğin güvenilirlik seviyesinin çok yüksek olduğunu ve sadece belirli saldırı kalıplarıyla eşleştiğinde devreye gireceğini vurguluyor.

Ne Yapabilirsin

Eğer bir sistem yöneticisi veya güvenlik uzmanıysan ve şirketinde Defender for Endpoint kullanılıyorsa, bu yeni özellik senin için doğrudan eyleme geçirilebilir adımlar içeriyor. Öyle "parolanızı güçlü yapın" gibi genel tavsiyelerden bahsetmiyoruz.

1. Genel Önizleme (Public Preview) Ayarlarını Kontrol Et: Bu özellik şu anda genel kullanıma sunulmadı, test aşamasında. Şirketinizin Microsoft 365 Defender portalında genel önizleme özelliklerini etkinleştirip etkinleştirmediğinizi kontrol edin. Eğer etkinse, bu özelliği portalınızda görmeye başlayabilirsiniz. Microsoft'un resmi belgelerini takip ederek özelliğin tam olarak nerede bulunduğunu ve nasıl yapılandırıldığını öğrenin.

2. Test ve Pilot Uygulama Yapın: Bu özelliği hemen tüm şirkette devreye sokmak, az önce bahsettiğimiz yanlış pozitif riskleri nedeniyle tehlikeli olabilir. Bunun yerine, BT departmanı veya belirli bir test kullanıcı grubu gibi daha küçük, kontrol edilebilir bir grup üzerinde etkinleştirerek başlayın. Sistemin normal yönetici aktivitelerine nasıl tepki verdiğini gözlemleyin. Beklenmedik bir izolasyon olup olmadığını izleyin.

3. İzolasyondan Çıkarma Prosedürünü Öğren: Bir cihaz (haklı ya da haksız yere) izole edildiğinde, onu tekrar ağa nasıl dahil edeceğini bilmen gerekir. Defender portalında bir cihazın izolasyonunu kaldırma adımlarını öğrenin ve belgeleyin. Bir yanlış pozitif durumunda, kritik bir sunucuyu dakikalar içinde tekrar devreye alabilmelisiniz.

4. Beklentileri Yönet: Bu bir sihirli değnek değil. Otomatik izolasyon, saldırganın ilk denemesini durdurabilir ama bu, temel güvenlik hijyenini ihmal edebileceğiniz anlamına gelmez. Zafiyet yönetimi, kimlik avı eğitimleri, güçlü kimlik doğrulama gibi temel adımlar hala hayati. Bu araç, savunmanıza bir katman daha ekler, diğer katmanların yerini almaz.

5. Varlık Envanterini Güncel Tut: Hangi cihazın izole edildiğini anlamak, o cihazın ne kadar kritik olduğunu bilmekle başlar. Ağınızdaki tüm cihazların (sunucular, dizüstü bilgisayarlar) ne işe yaradığı, kime ait olduğu ve ne kadar kritik olduğu bilgisini içeren güncel bir envanteriniz olmalı. Böylece "SRV-DB-01" izole edildiğinde, bunun tüm şirketin veritabanı sunucusu olduğunu ve acil müdahale gerektirdiğini anında bilirsiniz.

Şirket Ne Diyor

Microsoft, bu yeni özelliği duyurduğu blog yazısında ve teknik belgelerinde, bunun modern fidye yazılımı saldırılarına ve insan eliyle yönetilen (human-operated) siber saldırılara karşı bir cevap olduğunu belirtiyor. Şirkete göre, saldırganlar bir ağa girdikten sonra genellikle tahmin edilebilir ve gürültülü yollarla yayılmaya çalışıyorlar. Bu "gürültü", otomasyonun onları tespit etmesi için bir fırsat sunuyor.

Microsoft'tan Ürün Pazarlama Müdürü Rob Lefferts, yaptığı bir açıklamada, "Saldırıların hızı, insan müdahalesinin hızını aştı. Güvenlik ekiplerine, saldırının ilk anlarında değerli saniyeler ve dakikalar kazandırmak zorundayız. Otomatik saldırı kesintisi, bir saldırının tek bir makinedeki bir uyarı olmaktan çıkıp tam teşekküllü bir kurumsal krize dönüşmesini engellemek için tasarlandı" dedi.

Şirket, bu özelliğin özellikle fidye yazılımı saldırılarının yayılma aşamasını kırmak için geliştirildiğinin altını çiziyor. Birçok fidye yazılımı vakasında, saldırganlar ağdaki yüzlerce bilgisayarı şifrelemeden önce yanal hareket tekniklerini kullanarak erişimlerini genişletiyorlar. Microsoft'un iddiası, bu otomatik izolasyonun, şifreleme başlamadan çok önce saldırı zincirini kırabileceği yönünde.

Ayrıca, bu özelliğin XDR (Genişletilmiş Tespit ve Müdahale) platformlarının geleceği hakkında da bir ipucu verdiğini belirtiyorlar. Gelecekte güvenlik ürünleri sadece uyarılar üretmekle kalmayacak, aynı zamanda yüksek güvenilirlikli tehditlere karşı otonom olarak harekete geçerek analistlerin işini kolaylaştıracak. Bu özellik, bu vizyonun somut bir örneği olarak sunuluyor.

Kaynak

https://www.bleepingcomputer.com/news/microsoft/microsoft-defender-can-now-automatically-isolate-hacked-endpoints/

Bu Yazıyı Paylaş
X LinkedIn WhatsApp
← Önceki Yazı 7-Eleven Veri Sızıntısı 185 Bin Kişiyi Vurdu Sonraki Yazı → Kaliforniya Eski 23andMe'ye Veri İhlali Davası Açtı

Haftalık Bülten

Her hafta seçilmiş veri ihlali haberleri doğrudan gelen kutunuza gelsin.