Giriş
Microsoft, siber güvenlik alanında önemli bir adım atarak, Defender for Endpoint platformuna yeni bir otomatik cihaz izolasyonu özelliği ekliyor. Bu özellik, sistemlere sızmış cihazları otomatik olarak izole ederek, saldırganların ağda yan hareket etmelerini engellemeyi hedefliyor.
Saldırı Nasıl Çalışıyor?
Otomatik cihaz izolasyonu, Microsoft Defender for Endpoint tarafından yönetilen, kayıtlı son kullanıcı iş istasyonları üzerinde çalışır. Bu işlem, sızmış cihazların ağdan bağlantısının kesilmesini sağlar, ancak cihaz yine de Microsoft Defender for Endpoint servisine bağlanarak izlenir. Microsoft’un açıklamasına göre:
- Otomatik izolasyon, kuruluş üzerindeki olumsuz etkilerin azaltılmasına yardımcı olur.
- Saldırganların yan hareketlerini sınırlayarak veri sızıntısı ve fidye yazılımı yayılımını engeller.
Cihazlar, güvenlik operatörleri tarafından olay araştırması tamamlandıktan sonra istendiği zaman kontrol dışına alınabilir. Bunun için, “Cihaz envanteri” bölümünden ilgili cihaz seçilerek “İzolasyondan Çıkar” seçeneği kullanılabilir.
Etkilenen Sistemler
Bu özellik, Microsoft Defender for Endpoint ile yönetilen cihazları etkilemektedir. Ayrıca, 2023 Ocak ayında başlatılan bir test ile Linux cihazlarında da izolasyon desteği eklenmiştir. Ancak, bu özellik yalnızca kayıtlı ve yönetilen cihazlarda geçerlidir.
- Windows Cihazları: Temel olarak Windows üzerinde çalışıyor.
- Linux Cihazları: Ocak 2023’te teste çıkarıldı ve Ekim 2023 itibarıyla genel kullanıma sunuldu.
Çözüm ve Korunma
Microsoft, Defender for Endpoint platformu için ayrıca, keşfedilmemiş Windows uç noktalarına gelen ve giden trafiği otomatik olarak engelleyen yeni bir özelliği test etmektedir. Bu, diğer sistemlere sızılmasını önler. Yönetim konusunda, yöneticiler için bazı yeni özellikler de sunulmuştur:
- Antivirüs Taramaları: Uzaktan yönetilen Linux sistemlerde antivirüs taramalarını programlama imkânı.
- Planlı Taramalar: Günlük hızlı taramalar, belirli aralıklarla hızlı taramalar ve haftalık tam taramalar gibi seçenekler sunulmaktadır.
Aksiyon
Kullanıcıların bu yeni otomatik izolasyon özelliğinden faydalanabilmesi için Microsoft Defender for Endpoint yazılımlarını güncellemeleri ve düzenli olarak güvenlik kontrolleri gerçekleştirmeleri önemlidir. Ayrıca, sistemleriyle ilgili her türlü riski azaltmak adına, gerekiyorsa bazı portları kapatmalarını veya güvenlik duvarı ayarlarını gözden geçirmelerini tavsiye ederiz. Sızma olaylarına karşı daha etkili bir savunma oluşturmak için sürekli eğitim ve bilgilendirme faaliyetlerine katılmaları da büyük önem taşımaktadır.
