Microsoft, Uç Nokta müşterilerinin Kasım 2022’den bu yana denediği “kullanıcıyı içerme” özelliğinin artık daha geniş bir kuruluş havuzunun kullanımına sunulduğunu duyurdu.
Bu özellik, kuruluşların fidye yazılımı, iş e-postasının ele geçirilmesi ve ortadaki düşman gibi, çoğu zaman güvenliği ihlal edilmiş kullanıcı hesaplarıyla başlayan, insanlar tarafından gerçekleştirilen saldırıları engellemesine yardımcı olmayı amaçlıyor.
Uç Nokta için Microsoft Defender
Uç Nokta için Microsoft Defender, ağlar ve sistemler üzerindeki tehditleri algılayan ve kuruluşların güvenlik personelinin saldırıları araştırıp yanıt vermesine olanak tanıyan, Microsoft’un kurumsal genişletilmiş algılama ve yanıt (XDR) çözümüdür.
Operatörler, Uç Nokta için Microsoft Defender’a kayıtlı cihazları yönetebilir, ancak aynı zamanda güvenliği ihlal edilmiş, risk altında olmayan cihazları da içerebilir.
Otomatik saldırı kesintisi
“Kullanıcıyı içerme” özelliği, bir saldırının ilk aşamasını tespit etmek ve engellemek için Microsoft 365 Defender iş yükleri (kimlikler, uç noktalar, e-posta ve SaaS uygulamaları) arasındaki sinyalleri ilişkilendirir.
Şirketten Rob Lefferts şunları söyledi: “Saldırı kesintisi, tüm cihazlarda güvenliği ihlal edilmiş kullanıcıları kontrol altına alarak, saldırganların kötü niyetli hareket etme şansına sahip olmadan önce onları geride bırakmasını sağlayarak (örneğin, yanlara doğru hareket etmek için hesapları kullanmak, kimlik bilgileri hırsızlığı yapmak, veri sızdırmak ve uzaktan şifrelemek) elde ediliyor.” Microsoft 365 Güvenlik’te başkan yardımcısı.
“Varsayılan olarak açık olan bu özellik, ele geçirilen kullanıcının başka herhangi bir uç noktayla ilişkili herhangi bir etkinliği olup olmadığını belirleyecek ve esas olarak bunları içeren tüm gelen ve giden iletişimi anında kesecek. Bir kullanıcı en yüksek izin düzeyine sahip olsa ve normalde güvenlik kontrolünün kapsamı dışında olsa bile, saldırganın kuruluştaki herhangi bir cihaza erişimi yine de kısıtlanacaktır.”
Bu özellik aynı zamanda kalan tüm cihazları aynı anda “aşılayarak” saldırganın daha fazla yayılmasını önler.
Kullanıcıları kapsama seçeneği yalnızca otomatik olarak kullanılabilir; bu, güvenlik ekibi çalışmıyorken bile saldırıların engelleneceği anlamına gelir.
Saldırı senaryosuna ve aşamasına bağlı olarak, kullanıcıyı kontrol altına almak için tetiklenen eylemler, kullanıcının (güvenliği aşılmış hesap) diğer sistemlerde oturum açmasını engellemeyi, aktif oturumların bağlantısını kesmeyi veya aktif oturumları sonlandırmayı, SMB etkinliğini durdurmayı vb. içerebilir. Amaç, yanal hareketi önlemektir.
Kullanılabilirlik
“Saldırı kesintisi, iş e-postasının ele geçirilmesi ve ortadaki düşman da dahil olmak üzere en yaygın, karmaşık saldırıları kapsar. Bu senaryoların her biri uç noktalar, e-posta, kimlikler ve uygulamalar gibi saldırı vektörlerinin bir kombinasyonunu içeriyor ve bu da güvenlik ekiplerinin saldırının nereden geldiğini belirlemesinde önemli bir zorluk teşkil ediyor,” diye belirtti Lefferts.
Otomatik saldırı kesintisi, güvenlik operasyonları analistlerine, ele geçirilen kimliğe yönelik tehdidi tespit etmek, tanımlamak ve düzeltmek için ekstra zaman sağlar.
Bu özellik şu anda Microsoft Defender for Endpoint Plan 2 ve ilgili paketlere, Defender for Business bağımsız ve ilişkili paketlere sahip müşteriler tarafından kullanılabilir ve yalnızca yerleşik cihazlar için çalışır.