Son birkaç yılda, uç noktalar siber saldırılarda çok önemli bir rol oynadı. Kuruluşların uç nokta tehditlerini azaltmaya yardımcı olmak için bir ağda hangi cihazların olduğunu bilmek (hem şirket içinde hem de tesis dışında), yeni veya geri dönen cihazları karantinaya almak, tehditleri ve güvenlik açıklarını taramak, kritik yamaları hemen uygulamak gibi atabilecekleri birkaç adım olsa da , vb. – uç nokta güvenliğini sağlamak için yapılacak çok şey var.
Bunu başarmak için bilgisayar korsanlarının uç noktalara karşı kullandığı bazı birincil saldırı vektörlerini anlamak önemlidir.
Kimlik avı/mızraklı kimlik avı
Kimlik avı, özellikle hedef odaklı kimlik avı, kullanıcı kimlik bilgilerini toplamak için uç noktalara erişim sağlamanın etkili bir yoludur.
Kendi başına bir istismar değil, tehdit aktörlerinin bir veri yükü teslim etmek için kullandığı bir yöntemdir – ister sahte bir Microsoft 365 web portalına bağlantı (kimlik bilgileri toplama için) veya üzerinde çalışan kötü amaçlı yazılım yükü içeren makro özellikli bir kelime belgesi olsun. açılış
Bu nüans nedeniyle, güvenlik analistlerinin yalnızca e-posta filtrelemeyi (en iyi ihtimalle kaba bir savunma) değil, aynı zamanda e-posta ile gönderilen kötü amaçlı yazılım yüklerinin dağıtımını engelleyecek uç nokta araçlarını da uygulamaları önemlidir: antivirüs (AV) ve kötü amaçlı yazılımdan koruma (AM). AV/AM ürünlerinin uygulanması, bir kimlik avı e-postasının kurumsal e-posta filtrelerini başarıyla atlaması durumunda kötü amaçlı yazılım yürütülmesini engelleyen bir güvenlik ağı oluşturur.
Yakın zamanda, tehdit aktörlerinin kullanıcı uç noktalarına büyük ölçekte IceXLoader kötü amaçlı yazılımı bulaştırmak için nasıl kimlik avı kullandığını gördük. Kötü amaçlı yazılım, bir e-posta eki olarak teslim edilen masum görünümlü bir ZIP dosyasına paketlenmiştir. Kötü amaçlı yazılım bir kez açıldıktan sonra kendisini bir uç noktanın C sürücüsündeki gizli bir dosya dizinine çıkarır ve saldırganın şirket ağını daha fazla ihlal etmek için ek saldırılar gerçekleştirmesi için bir köprü başı sağlar.
İşletim sistemi güvenlik açığından yararlanma
Güvenlik açıkları, bir programın saldırganlar tarafından yararlanılabilecek şekilde beklenmedik bir şekilde çalışmasına neden olan kaynak kodundaki hatalar olan hatalar nedeniyle mümkün hale gelir. Hatalar kendi başlarına kötü amaçlı değildir, ancak tehdit aktörlerinin kuruluşlara sızması için geçitlerdir. Bunlar, tehdit aktörlerinin kimlik bilgileri toplama saldırıları gerçekleştirmesine gerek kalmadan sistemlere erişmesine izin verir ve sistemleri daha fazla istismara açabilir. Bir sistemin içine girdikten sonra, varlıklara ve kimlik bilgilerine daha fazla erişmek için kötü amaçlı yazılım ve araçlar sunabilirler.
Saldırganlar için güvenlik açığından yararlanma, ister bir cihazdaki ayrıcalıklar aracılığıyla ister bir uç noktadan diğer varlıklara dönerek olsun, bir yükseltme sürecidir. Güvenlik açıklarından yararlanmaya karşı güçlendirilmiş her uç nokta, kurumsal bir BT ortamında kötü amaçlı yazılım yaymaya çalışan bir tehdit aktörü için engel teşkil ediyor.
Kuruluşların bu güvenlik açıklarından saldırganlar tarafından yararlanılmasını önlemelerini sağlayan rutin görevler ve bakım araçları vardır. Yama yönetimi araçları, cihazları tarayabilir, yamalar (düzeltmeler) yükleyebilir ve bu eylemlerin başarısı veya başarısızlığı hakkında raporlar sağlayabilir. Ayrıca kuruluşlar, işletim sistemi yapılandırma dosyalarını istenen güvenli durumda tutmak için yapılandırma yönetimi araçlarından yararlanabilir.
Yazılım güvenlik açığından yararlanma
Bir işletim sistemi ortamına yüklenen ürünlerde (yazılımlarda) yazılım güvenlik açıkları mevcuttur. Örneğin, Google Chrome, öncelikle istismar için büyük bir hedef olduğu için Google’dan sık sık yamalar alır.
İşletim sistemi güvenlik açıklarında olduğu gibi, istismarlara karşı en iyi savunma, uç nokta yönetim araçları tarafından uygulanması kolaylaştırılabilen, sık sık yayınlanan üçüncü taraf yamalar/güncellemelerdir.
Ek olarak, kabul edilebilir kullanım politikalarının uygulanması, son kullanıcıların uç noktalarını ve şirket varlıklarını riske atabilecek davranışlarda bulunma fırsatlarını azaltmaya yardımcı olabilir.
Kuruluşlar, güvenlik bilgileri ve olay yönetimi (SIEM) ve virüsten koruma araçlarının ötesinde, başarıyla yürütülen bir fidye yazılımı saldırısının neden olduğu etkiyi şu yollarla büyük ölçüde azaltabilir:
- Veri kaybı önleme (DLP) çözümlerini uygulama
- Site dışı yedeklemeler oluşturma
- Bulutta veri depolama çözümlerinden yararlanma
Çözüm
Değişen siber saldırı ortamı, BT ve güvenlik departmanlarının çevik olmasını ve tehditlerle birlikte gelişmesini gerektiriyor. Dünün düzeltmeleri bugün işe yaramayabilir – tehditler aynı olsa da taktikleri muhtemelen farklı olabilir. Ağ tehditlerini azaltmak için çalışırken, uç noktaların oynadığı hayati önemi giderek artan rolü unutmayın.