Aracılığıyla paylaş

Uç Nokta Güvenliği

Endpoint Security, bulutta barındırılan işlem uç noktası kaynaklarının kapsamlı bir şekilde korunmasını sağlar. Etkin uç nokta güvenliği yetkisiz erişimi engeller, tehditleri algılar ve yanıtlar ve bulut ortamlarında çalışan sanallaştırılmış altyapı için güvenlik uyumluluğunu korur.

Kapsamlı uç nokta güvenlik özellikleri olmadan:

  • Kötü amaçlı yazılım ve fidye yazılımı bulaşmaları: Korumasız bulut sanal makineleri kötü amaçlı yazılım yürütülmesine, fidye yazılımı şifrelemesine ve iş yükü bütünlüğünü ve iş operasyonlarını tehlikeye atacak kalıcı tehditlere olanak sağlar.
  • Kimlik bilgisi hırsızlığı ve yanal hareket: Güvenliği aşılmış bulut uç noktaları, saldırganların kimlik bilgilerini toplamasına, ayrıcalıkları yükseltmesine ve bulut ortamları ile sanal ağlar arasında ileriye doğru hareket etmesini sağlar.
  • Veri sızdırma: Yönetilmeyen bulut iş yüklerinde, bulut depolama ve veritabanlarından yetkisiz veri aktarımına izin veren veri koruma denetimleri yok.
  • Uyumluluk ihlalleri: Bulut altyapısı için uç nokta güvenlik denetimlerini gösterememe, mevzuat denetimi hataları ve olası tasdikler oluşturur.
  • Yönetilmeyen bulut kaynakları: Güvenlik aracıları olmadan sağlanan sanal makineler, güvenlik açıkları ve görünürlük kör noktaları oluşturan koruma denetimlerini atlar.
  • Yapılandırma kayma: Tutarsız güvenlik yapılandırmalarıyla çalışan bulut sanal makineleri güvenlik açıkları oluşturur ve genel güvenlik duruşlarını azaltır.

Endpoint Security güvenlik etki alanının iki temel sütunu aşağıdadır.

Bulut uç noktası tehdit koruması: Bulut sanal makineleri için kötü amaçlı yazılımdan koruma, davranış analizi ve otomatik düzeltme gibi kapsamlı tehdit algılama ve yanıt özellikleri dağıtın. Bulut iş yüklerini hedef alan tehditleri hasara neden olmadan önce tanımlamak ve etkisiz hale getirmek için gerçek zamanlı tehdit zekası bağıntısını ve tümleşik genişletilmiş algılama ve yanıt (XDR) uygulayın.

İlgili denetimler:

Bulut uç noktası güvenlik yapılandırması: İşletim sistemi yapılandırmaları, uygulama denetimleri ve güvenlik özelliği etkinleştirme dahil olmak üzere tüm bulut sanal makinelerinde güvenlik temellerini ve sağlamlaştırma standartlarını zorunlu kılın. Bulutta barındırılan işlem kaynakları için otomatik yapılandırma yönetimi ve kayma algılama aracılığıyla tutarlı güvenlik duruşu sağlayın.

İlgili denetimler:

ES-1: Uç Nokta Algılama ve Yanıt Kullanma (EDR)

Azure İlkesi: Bkz . Azure yerleşik ilke tanımları: ES-1.

Güvenlik ilkesi

Uç nokta etkinlikleri, davranış analizi ve otomatik tehdit yanıtı için gerçek zamanlı görünürlük sağlayan kapsamlı uç nokta algılama ve yanıt özellikleri uygulayın. Güvenlik kuruluşlarının gelişmiş tehditleri algılamasına, olayları araştırmasına ve ortam genelinde uç nokta risklerini kapsamak ve düzeltmek için hızla yanıt vermesine olanak tanıyın.

Azaltma riski

Kapsamlı uç nokta algılama ve yanıt özellikleri olmadan çalışan kuruluşlar, geleneksel önleyici denetimleri atlayan gelişmiş tehditlerden önemli risklerle karşı karşıya kalır. EDR olmadan:

  • Algılanmayan gelişmiş tehditler: Dosyasız kötü amaçlı yazılım, sistem içindeki kaynakları kullanma teknikleri ve sıfır gün açıkları gibi ileri düzey saldırılar, imza tabanlı algılamayı atlatarak uzun süre fark edilmeden faaliyet göstermektedir.
  • Gecikmeli olay yanıtı: Uç nokta etkinliklerinde gerçek zamanlı görünürlüğün olmaması, hızlı tehdit algılamayı ve yanıtı önleyerek saldırganların kalıcılık kurması ve verileri sızdırması için zaman sağlar.
  • Sınırlı tehdit görünürlüğü: Güvenlik ekipleri kapsamlı uç nokta telemetrisi ve davranış analizi olmadan saldırı düzenlerini, yanal hareketi veya komut ve denetim iletişimlerini belirleyemez.
  • Etkisiz tehdit kapsaması: El ile araştırma ve düzeltme işlemleri, tehditlerin yanıt etkinlikleri sırasında uç noktalara yayılmasına ve daha geniş bir kurumsal etki yaratmasına olanak sağlar.
  • Eksik adli özellikler: Geçmiş uç nokta etkinlik verilerinin olmaması kök neden analizini, saldırı yeniden yapılandırmayı ve güvenlik olaylarından alınan dersleri önler.
  • Güvenlik duruşunda kör noktalar: İzlenmeyen uç nokta etkinlikleri, iç tehditlerin algılanmasını, ayrıcalık yükseltmesini ve veri sızdırma girişimlerini önleyen görünürlük boşlukları oluşturur.

EDR özellikleri olmadan, kuruluşlar tehditleri yalnızca saldırı yürütme aşamaları yerine önemli hasarlar oluştuktan sonra algılar.

MITRE ATT&CK

  • İlk Erişim (TA0001): kimlik avı (T1566) ve dışa bakan uygulamayı (T1190) istismar ederek algılama olmadan uç noktalarda ilk erişimi sağlama.
  • Yürütme (TA0002): önleyici denetimleri atlayan uç noktalarda kötü amaçlı kod yürüten komut ve betik yorumlayıcısı (T1059).
  • Kalıcılık (TA0003): Geleneksel kötü amaçlı yazılımdan koruma tarafından algılanmayan kalıcı erişim mekanizmaları oluşturan sistem işlemini (T1543) oluşturun veya değiştirin.
  • Savunma Kaçamak (TA0005): güvenlik araçlarını devre dışı bırakarak savunmaları (T1562) bozar ve dosyaları veya bilgileri (T1027) algılama özelliklerinden kaçınarak gizler.
  • Kimlik Bilgisi Erişimi (TA0006): ayrıcalık yükseltme ve yanal hareket için uç nokta belleğinden kimlik bilgilerini toplayan işletim sistemi kimlik bilgisi dökümü (T1003).

ES-1.1: Uç nokta algılama ve yanıt çözümünü dağıtma

Geleneksel virüsten koruma imzası algılama, statik analizden kaçınmak için dosyasız yöntemler, mevcut sistem dosyaları ve karmaşık gizleme teknikleri kullanan modern tehditleri kaçırarak uç noktaları sıfır gün açıklarına ve sürekli tehditlere karşı savunmasız bırakır. Uç nokta algılama ve yanıt, imza kullanılabilirliğine bakılmaksızın kötü amaçlı etkinlikleri tanımlayan, anormal işlem yürütmeyi, kimlik bilgisi erişim girişimlerini ve yanal hareket desenlerini algılayan davranışsal izleme ve makine öğrenmesi sağlar. Kapsamlı telemetri koleksiyonu, saldırı zaman çizelgelerini yeniden oluşturan ve ilk algılama sırasında gözden kaçırılan risk göstergelerini tanımlayan adli araştırma ve tehdit avcılığı sağlar.

Bu EDR özellikleriyle davranışsal tehdit algılaması oluşturun:

EDR yapılandırması için en iyi yöntemler:

  • Davranış algılamayı etkinleştirme: Hassas iş yüklerini barındıran yüksek değerli Azure VM'lerine odaklanan işlem yürütme düzenlerini, dosya sistemi değişikliklerini, ağ bağlantılarını ve kayıt defteri değişikliklerini izlemek için davranış analizini yapılandırın.
  • Algılama duyarlılığını ayarlayın: Dosyasız kötü amaçlı yazılımlar, LOLBin'ler (kötü amaçlı olarak kullanılan meşru sistem araçları) ve kimlik bilgisi erişim girişimleri için algılama kapsamını yanlış pozitif oranlarıyla dengelemek amacıyla tehdit algılama duyarlılığını iş yükü kritikliğine göre ayarlayın.
  • Otomatik yanıtı yapılandırma: Kritik olmayan VM'ler için işlem sonlandırma ve el ile gözden geçirme gerektiren üretim sistemleri için yalnızca uyarı gibi iş yükü türlerine uygun otomatik yanıt eylemlerini tanımlayın.
  • Araştırma yordamları oluşturun: İşlem ağacı analizi, zaman çizelgesi yeniden yapılandırma ve ağ bağlantısı izlemeden yararlanarak güvenlik ekiplerinin olay kapsamını hızla değerlendirebildiğini sağlayan belge araştırma iş akışları.
  • Uyarı yükseltmesini tanımlayın: Uyarı önem derecesi eşiklerini ve kritik tehditleri tanımlı yanıt süresi hedefleri içindeki arama güvenlik personeline yönlendiren yükseltme yollarını yapılandırın.

EDR dağıtım stratejisi:

  • Evrensel bulut uç nokta kapsamı: Tüm Azure Windows VM'leri, Linux VM'leri, Azure Sanal Masaüstü oturum konakları ve sanal makine ölçek kümeleri arasında Uç Nokta için Microsoft Defender aracıları dağıtarak kapsam açıkları olmadan kapsamlı görünürlük sağlayın.
  • Otomatik sağlama: Kaynak oluşturulduktan sonra anında koruma sağlayan yeni sanal makineler için Bulut için Microsoft Defender aracılığıyla otomatik aracı sağlamayı etkinleştirin.
  • Algılayıcı sistem durumunu izleme: Çevrimdışı veya yanlış yapılandırılmış bulut sanal makineleri için otomatik uyarı ile EDR algılayıcısının sistem durumunu, sürüm uyumluluğunu ve telemetri akışını sürekli izleme.
  • Bulutta yerel mimari: Bulut iş yükleri için otomatik güncelleştirmeler ve ölçeklenebilirlik sağlayan yerel Azure tümleştirmesi ile bulut tabanlı EDR platformu.
  • Performans iyileştirmesi: Basit sensör tasarımı, bulut iş yükleri için kapsamlı izleme özelliklerini korurken sanal makine kaynak tüketimini en aza indirir.

ES-1.2: EDR'yi genişletilmiş algılama ve yanıt (XDR) ile tümleştirme

Yalıtılmış uç nokta algılama, birden çok sistem ve hizmet arasında kimlik güvenliğinin aşılmasına, yanal harekete ve veri sızdırmaya yayılan karmaşık saldırı zincirlerini kaçıran bağlantısız uyarılar oluşturur. Genişletilmiş algılama ve yanıt, tek sinyal algılamanın tanımlayamadığı tam saldırı anlatılarını ortaya çıkarmak için uç noktalardan, kimlik sağlayıcılarından, bulut altyapısından ve ağ trafiğinden gelen telemetri verilerini ilişkilendirmektedir. Birleşik olay bağlamı, güvenlik ekiplerinin tüm saldırı kapsamını anlamasına ve her uyarıya bağımsız olarak yanıt vermek yerine tüm etkilenen sistemlerde eşgüdümlü kapsama uygulamasına olanak tanır.

Bu XDR tümleştirme özellikleriyle platformlar arası tehditleri ilişkilendirin:

  • Kimlik, e-posta, uygulamalar ve bulut altyapısı arasında güvenlik telemetrisini ilişkilendirmek için uç nokta algılamayı ve yanıtı Microsoft Defender XDR ile tümleştirerek ortam genelinde birleşik tehdit algılama ve eşgüdümlü yanıt sağlama.

XDR tümleştirmesi için en iyi yöntemler:

  • Sinyaller arası bağıntıyı etkinleştirin: Bulut VM olaylarını Azure Etkinlik günlükleri, Microsoft Entra ID kimlik doğrulama sinyalleri ve Birleşik olay bağlamı oluşturan Azure Ağ İzleyicisi trafik analizi ile ilişkilendirmek için Microsoft Defender XDR tümleştirmesini etkinleştirin.
  • Olay gruplandırma yapılandırması: Bulut VM'lerinden, kimlik sistemlerinden ve altyapı değişikliklerinden gelen ilgili uyarıları araştırma ek yükünü azaltan ve ortalama algılama süresini (MTTD) artıran tek olaylara göre gruplandıran bağıntı kurallarını tanımlayın.
  • Yanıt playbook'larını tasarlama: Ağ Güvenlik Grubu güncelleştirmeleri aracılığıyla VM yalıtımını otomatik hale getirme, Microsoft Entra Kimliği aracılığıyla hizmet hesabının askıya alınması ve adli tıp için anlık görüntü oluşturma ile eşgüdümlü yanıt iş akışları oluşturun.
  • Öncelik puanlaması oluşturma: Güvenlik operasyonları ekip yanıtını önceliklendirmek için VM kritiklik etiketlerini, veri sınıflandırmasını ve saldırı ilerleme aşamasını birleştiren olay önem derecesi puanlamasını yapılandırın.
  • Saldırı yolu görselleştirmesini gözden geçirin: Yanal hareket fırsatlarını ve mimari düzeltme gerektiren ayrıcalıklı erişim risklerini tanımlayan XDR tarafından oluşturulan saldırı yollarını düzenli olarak analiz edin.

XDR mimari bileşenleri:

  • Kimlik sinyalleri:Microsoft Entra ID Protection ile tümleştirme, bulut tabanlı kimlikler için kimlik doğrulama anomalileri, imkansız seyahat ve kimlik bilgisi güvenliği ihlal göstergeleriyle bulut VM etkinliklerini ilişkilendirir.
  • Bulut altyapısı tümleştirmesi: Sanal makine kötü amaçlı yazılım algılamasının Azure Etkinlik günlükleri, kaynak dağıtım olayları ve tedarik zincirini ve yapılandırma tabanlı saldırıları tanımlayan altyapı değişiklikleriyle bağıntısı.
  • Bulut iş yükü koruması: Bulut aboneliklerini ve bölgelerini kapsayan tehditleri algılayan Azure Sanal Makineler, kapsayıcı örnekleri ve Bulut için Microsoft Defender korumalı kaynaklar genelinde birleşik görünürlük.
  • Ağ algılama tümleştirmesi: Sanal makine iletişimlerinin Azure Ağ İzleyicisi ve sanal ağ trafiği analiziyle ilişkilendirilmesi, komut ve denetim trafiğini ve bulut ağları arasındaki yanal hareketi tanımlar.

ES-1.3: EDR otomasyonunu ve tümleştirmesini etkinleştirme

Yüksek hacimli güvenlik uyarılarına el ile araştırma ve yanıt verme, tehditlerin ilk riskten veri sızdırmaya kadar ilerlemesine olanak sağlayan yanıt gecikmelerine neden olurken sürdürülebilir olmayan analist iş yükü oluşturur. Otomatik araştırma uyarı bağlamını analiz eder, adli analiz gerçekleştirir ve düzeltme eylemlerini el ile analizden sonraki saatler yerine saniyeler içinde belirler. Güvenlik düzenlemesi, EDR telemetrisini bulut altyapısı denetimleri ve kimlik yönetimiyle tümleştirerek güvenliği aşılmış sistemleri yalıtan, kimlik bilgilerini iptal eden ve adli kanıtları aynı anda koruyan eşgüdümlü otomatik yanıt sağlar.

Şu otomasyon özellikleriyle tehdit yanıtlarını hızlandırın:

  • Otomatik araştırma, düzeltme ve güvenlik operasyonları tümleştirmesi uygulayarak ortalama yanıt verme süresini (MTTR) kısaltıp güvenlik platformları arasında birleşik tehdit algılamayı etkinleştirin.

Otomatik araştırma ve düzeltme:

  • Otomatik araştırmayı etkinleştirme: Üretim iş yükleri için el ile onay gerektirirken araştırma temeli oluşturmak üzere üretim dışı VM'lerde orta ve yüksek önem derecesi uyarıları için otomatik araştırmayı etkinleştirin.
  • Onay iş akışlarını tanımlama: İş operasyonlarını etkileyen değişiklikler için güvenlik mimarı incelemesi gerektiren üretim VM'lerinde otomatik düzeltme eylemleri için onay kapıları oluşturun.
  • Otomatik düzeltmeyi yapılandırma: Otomatik kötü amaçlı yazılım kaldırma, kalıcılığı ortadan kaldırma, Azure Ağ Güvenlik Grubu güncelleştirmeleri aracılığıyla VM ağ yalıtımını ve güvenlik yapılandırması geri yüklemesini etkinleştirin.
  • Belge yükseltme ölçütleri: Benzerlik analizi eşgüdümlü kampanyaları veya gelişmiş kalıcı tehditleri tanımladığında otomatik araştırmaları insan analistlere yükseltme ölçütlerini tanımlayın.

Güvenlik işlemleri tümleştirmesi:

  • SIEM ile tümleştirme: EDR telemetrisini Microsoft Sentinel'e aktararak birleşik güvenlik izlemesine olanak tanıyın ve EDR uyarılarını Azure Etkinlik günlükleri, kaynak değişiklikleri ve kimlik sinyalleriyle birleştiren bağıntı kuralları geliştirin.
  • SOAR otomasyonlarını etkinleştirme: Azure kaynak yalıtımı, kimlik yönetimi ve sanal ağ güvenlik güncelleştirmeleriyle EDR kapsamasını koordine eden otomatik yanıt playbook'larını yapılandırın.
  • Geçmiş verileri saklama: Uyumluluk gereksinimleri, tehdit avcılığı ve gelişmiş tehditlerin araştırılmasını sağlayan geçmişe dönük değerlendirme analizi için geçmiş EDR verilerini koruyun.
  • Tehdit bilgilerini zenginleştirin: Araştırma ve yanıt kararlarını hızlandıran otomatik tehdit bilgileri aramalarını, dosya karması analizini ve Azure kaynak meta verilerini uygulama.

Uygulama örneği

Bulutta barındırılan ticaret platformlarını çalıştıran bir finansal hizmetler kuruluşu, adli araştırma sırasında haftalarca algılanmayan ve müşteri hesabı verilerini tehlikeye atan gelişmiş kalıcı tehditler keşfetti.

Zorluk: Bulut VM'lerinde geleneksel virüsten koruma, sadece imza tabanlı algılamaya dayanıyordu, dosyasız saldırıları ve yanal hareketleri gözden kaçırıyordu. Güvenlik ekibi, saldırı zaman çizelgelerini göremedi ve dağıtılmış bulut altyapısı üzerinden manuel araştırma ile mücadele etti.

Çözüm yaklaşımı:

  • Kapsamlı EDR dağıtımı: Azure İlkesi kullanılarak Windows/Linux VM'leri ve Azure Sanal Masaüstü oturum konakları arasında otomatik sağlama ile Bulut için Microsoft Defender tümleştirmesi aracılığıyla Uç Nokta için Microsoft Defender etkinleştirildi.
  • Otomatik tehdit yanıtı: Kripto para madencileri, web kabukları ve yetkisiz yazılımlar için otomatik düzeltme yapılandırıldı. Dağıtılan yanıt playbook'ları, Ağ Güvenlik Grubu güncellemeleri aracılığıyla tehlikeye atılmış VM'leri yalıtır ve adli inceleme amaçlı anlık görüntüleri tetikler.
  • XDR tümleştirmesi: Vm telemetrisini Microsoft Entra ID kimlik doğrulaması sinyalleri ve Azure altyapısı değişiklikleriyle ilişkilendirerek birleşik olay bağlamı oluşturan Microsoft Defender XDR dağıtıldı.
  • Proaktif tehdit avcılığı: Azure sanal ağlarında yanal hareket desenlerine odaklanan gelişmiş tehdit avcılığı sorguları kullanılarak oluşturulan tehdit avcılığı programı.

Sonuç: Tehdit algılama süresi haftalardan saatlere önemli ölçüde azaltıldı. Otomatik yanıt, el ile müdahale edilmeden tehditlerin çoğunu içeriyordu. Birleşik olay görünümü, araştırma süresini önemli ölçüde kısaltmıştır.

Kritiklik düzeyi

Olmalı.

Denetim eşlemesi

  • NIST SP 800-53 Rev.5: SI-4(1), SI-4(2), SI-4(5), SI-4(12), SI-4(16), IR-4(1), IR-4(4)
  • PCI-DSS v4: 5.3.2, 5.3.4, 10.2.1, 11.5.1
  • CIS Denetimleri v8.1: 8.5, 8.11, 13.2, 13.10
  • NIST CSF v2.0: DE. CM-1, DE. CM-4, DE. CM-7, RS. AN-1
  • ISO 27001:2022: A.8.16, A.5.24, A.5.26
  • SOC 2: CC7.2, CC7.3

ES-2: Modern kötü amaçlı yazılımdan koruma yazılımı kullanma

Azure İlkesi: Bkz . Azure yerleşik ilke tanımları: ES-2.

Güvenlik ilkesi

bilinen ve bilinmeyen tehditlere karşı koruma sağlamak için imza tabanlı algılamayı davranış analizi, makine öğrenmesi, bulut tabanlı zeka ve açıklardan yararlanma önleme ile birleştiren modern kötü amaçlı yazılımdan koruma çözümleri dağıtın. En düşük performans etkisi ve merkezi yönetim ile tüm uç nokta platformları genelinde kapsamlı kötü amaçlı yazılım koruması sağlayın.

Azaltma riski

Eski veya yalnızca imzayla çalışan kötü amaçlı yazılımdan koruma çözümleri kullanan kuruluşlar, geleneksel algılama yöntemlerinden kaçınan modern tehditlere karşı artan riskle karşı karşıya kalır. Modern kötü amaçlı yazılımdan koruma özellikleri olmadan:

  • Sıfır gün açıklarından yararlanma güvenlik açığı: İmza tabanlı algılama, imzalar oluşturulup dağıtılana kadar yeni kötü amaçlı yazılım çeşitlemelerini ve sıfır gün açıklarını belirleyemez.
  • Polimorfik kötü amaçlı yazılımdan kaçınma: Çok biçimli kod, şifreleme ve gizleme tekniklerini kullanan gelişmiş kötü amaçlı yazılımlar imza eşleştirmeyi ve statik analizi atlar.
  • Dosyasız saldırı yürütme: Diske dokunmadan tamamen RAM'de yürütülen bellek yerleşik saldırıları, geleneksel dosya tabanlı tarama mekanizmalarından kaçınıyor.
  • Fidye yazılımı şifrelemesi: Modern fidye yazılımı varyantları, imza tabanlı algılama kötü amaçlı işlemleri tanımlayıp engellemeden önce şifrelemeyi hızla yürütür.
  • Betik tabanlı saldırı yayılımı: PowerShell, JavaScript ve diğer betik saldırıları, uygulama tabanlı kötü amaçlı yazılımdan koruma denetimlerini atlatmak için güvenilir sistem araçlarından yararlanılarak uygulanır.
  • Performans düşüşü: Aşırı sistem kaynakları kullanan eski kötü amaçlı yazılımdan koruma çözümleri uç nokta performansını ve kullanıcı üretkenliğini etkiler.

Geleneksel imza tabanlı kötü amaçlı yazılımdan koruma, gelişmiş davranış algılama ve makine öğrenmesi özellikleri gerektiren modern tehdit ortamına karşı yetersiz koruma sağlar.

MITRE ATT&CK

  • Yürütme (TA0002): kötü amaçlı dosya (T1204.002) kimlik avı, indirmeler veya çıkarılabilir medya aracılığıyla teslim edilen kötü amaçlı yazılım yüklerini yürütür.
  • Savunmadan Kaçınma (TA0005): karartılmış dosyalar veya bilgiler (T1027) ve sanallaştırma/korumalı alan atlatma (T1497) gibi yöntemlerle imza tabanlı algılamayı atlama.
  • Etki (TA0040): fidye yazılımı dağıtımı, algılama gerçekleşmeden önce kuruluş verilerini şifreleyerek etki yaratmayı amaçlıyor (T1486).

ES-2.1: Yeni nesil kötü amaçlı yazılımdan koruma çözümünü dağıtma

İmza tabanlı kötü amaçlı yazılımdan koruma, bilinen tehditlere karşı temel koruma sağlar, ancak modern kötü amaçlı yazılımlar davranış analizi ve makine öğrenmesi sınıflandırması gerektiren geleneksel algılamayı önlemek için polimorfizm, paketleme ve şifreleme kullanır. Çok katmanlı koruma, bilinen tehditlere yönelik statik imzaları dinamik davranış izleme ve bulut destekli zeka ile birleştirerek yeni ortaya çıkan kötü amaçlı yazılım çeşitlemelerini ve sıfır gün açıklarını algılar. Merkezi yönetim tüm uç noktalarda tutarlı koruma temelleri sağlarken, kurcalama koruması saldırganların ilk erişim elde ettikten sonra güvenlik denetimlerini devre dışı bırakmasını önler.

Bu savunma katmanları aracılığıyla kapsamlı kötü amaçlı yazılım koruması dağıtın:

  • Bulut iş yükleri için imza tabanlı algılama, davranış analizi, makine öğrenmesi sınıflandırması ve açıktan yararlanma önleme özellikleri dahil olmak üzere çok katmanlı koruma sağlayan Azure Sanal Makinelerinde Microsoft Defender Virüsten Koruma'yı uygulayın.

Kötü amaçlı yazılımdan koruma yapılandırması en iyi yöntemleri:

  • Koruma katmanlarını yapılandırma: Tüm koruma katmanlarını (imza tabanlı, buluşsal, davranışsal, bulut destekli ML) varsayılan olarak etkinleştirerek yalnızca belirli iş yükü gereksinimleri güvenlik ekibi tarafından belgelendiğinde ve onaylandığında seçmeli devre dışı bırakma olanağı sağlar.
  • Bulut korumasını etkinleştirme: Hava boşluklu koruma modellerine ihtiyaç duyan, yüksek derecede hassas verileri işleyen VM'ler haricinde, bilinmeyen dosyalar için otomatik örnek gönderimi ile bulut korumasını etkinleştirin.
  • Dışlama yönetimini yapılandırma: Saldırı yüzeyinin açığa çıkarılmasını en aza indiren kötü amaçlı yazılımdan koruma dışlamaları için iş gerekçesi, güvenlik incelemesi ve zaman sınırlı onaylar gerektiren resmi özel durum süreci oluşturun.
  • Test kurcalama koruması: Tüm üretim VM'lerinde kurcalama korumasını etkinleştirin ve kötü amaçlı yazılımdan korumanın simülasyon saldırıları sırasında çalışır durumda kalmasını sağlamak için denetimli test yoluyla etkinliği doğrulayın.
  • Merkezi yönetim oluşturma: Bulut için Microsoft Defender ve Azure İlkesi aracılığıyla kuruluş temeli yapılandırmasını ve yapılandırma değişiklikleri için idare iş akışlarını tanımlayarak merkezi kötü amaçlı yazılımdan koruma yönetimi uygulayın.

ES-2.2: Gelişmiş tehdit koruması özelliklerini etkinleştirme

Yalnızca kötü amaçlı yazılım algılama, saldırganlar bellek bozulması güvenlik açıklarından yararlandığında, meşru sistem özelliklerini kötüye kullanırken ve geleneksel imzalar bunların varlığını algılamadan önce verileri şifrelediğinde yetersiz koruma sağlar. Kötü amaçlı yazılım imzalarından bağımsız olarak, istismar koruma azaltmaları (DEP, ASLR, Control Flow Guard), bellek tabanlı saldırıları engelleyerek uygulama açıklarının kötüye kullanılmasını önler. Saldırı yüzeyi azaltma kuralları güvenilmeyen kaynaklardan betik yürütmeyi engelleyerek, kimlik bilgisi erişimini sınırlayarak ve fidye yazılımı şifrelemesi gerçekleşmeden önce kritik veri klasörlerini koruyarak saldırgan teknikleri kısıtlar.

Bu gelişmiş korumalar aracılığıyla kötüye kullanım tekniklerini önleyin:

  • Açıklardan yararlanma tekniklerini önlemek ve saldırı yüzeyini azaltmak için açıklardan yararlanma koruması, saldırı yüzeyini azaltma, kontrollü klasör erişimi ve ağ koruması gibi gelişmiş koruma özelliklerini yapılandırın.

Açık koruma yapılandırması:

  • Bellek korumalarını etkinleştirme: Üretim dağıtımı öncesinde geliştirme ortamlarında uygulama uyumluluğunu test eden tüm Azure VM'lerinde Veri Yürütme Engellemesi (DEP), Adres Alanı Düzeni Rastgele Seçme (ASLR) ve Denetim Flow Guard'ı (CFG) etkinleştirin.
  • Uygulamaya özgü korumaları yapılandırma: Üç ayda bir belgelenen ve gözden geçirilen özel durumlar dışında yüksek riskli uygulamalara (tarayıcılar, Office uygulamaları, PDF okuyucular) hedeflenen açıklardan yararlanma korumaları uygulayın.
  • Azaltma önlemlerinin etkinliğini test edin: Yaygın tekniklere (yığın püskürtme, ROP, SEH üzerine yazma) karşı korumayı doğrulayan kontrollü exploit simülasyon testi gerçekleştirin ve sonuçlara göre yapılandırmaları ayarlayın.
  • İstisna süreci oluşturma: Güvenlik mimarı incelemesi, iş gerekçesi ve telafi edici kontroller gerektiren istismar koruması istisnaları için resmi onay akışını tanımlayın.

Saldırı yüzeyi azaltma yapılandırması:

  • ASR kurallarını aşamalı olarak dağıtma: Düşük etkili kurallardan başlayarak blok moduna geçmeden önce 30 gün boyunca etkiyi analiz ederek saldırı yüzeyi azaltma kurallarını denetim modunda etkinleştirin.
  • Betik yürütme denetimlerini yapılandırma: Güvenilir olmayan kaynaklardan karartılmış JavaScript/VBScript/PowerShell yürütmesini engellerken, geçerli otomasyon betikleri için belgelenmiş özel durumları koruyun.
  • Fidye yazılımı korumasını etkinleştirme: Aylık olarak gözden geçirilen onaylı uygulama listesiyle kritik veri klasörlerini koruyan denetimli klasör erişimini yapılandırın.
  • Kimlik bilgisi korumasını uygulama: Yasal güvenlik araçlarını etkileyen hatalı pozitifler için Windows Yerel Güvenlik Yetkilisi Alt Sistemi izlemesinden kimlik bilgilerinin çalınmasını engelleyen LSASS korumasını etkinleştirin.
  • ASR kural etkinliğini izleme: ASR kural bloklama olaylarını ve saldırı düzenlerini tanımlayarak güvenlik kapsamını optimize etmek için kural yapılandırmalarını ayarladığınız haftalık gözden geçirmeler yapın.

Ağ koruması:

  • Web tehdit koruması: Kötü amaçlı IP adreslerine, etki alanlarına ve URL'lere bağlantıları engellemek, komut ve denetim iletişimlerini ve kötü amaçlı indirmeleri önler.
  • SmartScreen tümleştirmesi:Microsoft Defender SmartScreen , indirilen dosyalar ve ziyaret edilen web siteleri için gerçek zamanlı itibar denetimleri yaparak bilinen kimlik avı ve kötü amaçlı yazılım dağıtım sitelerine erişimi engeller.
  • Ağ izinsiz girişi önleme: Uç nokta düzeyinde ağ tabanlı açıklardan yararlanma girişimlerinin ve yanal hareket etkinliklerinin algılanması ve engellenmesi.

Uygulama örneği

Bir sağlık kuruluşu, Azure Sanal Masaüstü altyapısında hasta kayıtlarını şifreleyen fidye yazılımı saldırısına uğradı. Geleneksel virüsten koruma yazılımı, silahlaştırılmış tıbbi görüntüleme dosyaları aracılığıyla teslim edilen bellekte yerleşik kötü amaçlı yazılımları algılayamadı.

Zorluk: Eski imza tabanlı koruma, dosyasız saldırıları veya betik tabanlı fidye yazılımlarını algılayamadı. Klinisyenlerin HIPAA güvenlik kontrollerini sürdürürken tıbbi uygulamalara kesintisiz erişime ihtiyacı vardı. Hasta kayıtları, algılamadan önce fidye yazılımıyla şifrelendi.

Çözüm yaklaşımı:

  • Davranış algılama: Tıbbi uygulama VM'lerine yönelik dosyasız kötü amaçlı yazılımları ve betik tabanlı saldırıları algılayan bulut tabanlı koruma ve davranış analizi ile Microsoft Defender Virüsten Koruma dağıtıldı.
  • Saldırı yüzeyini azaltma: Yapılandırılmış ASR kuralları, Güvenilmeyen kaynaklardan PowerShell yürütmesini engelliyor ve elektronik sistem durumu kayıtlarını barındıran uygulama sunucularında kimlik bilgisi dökümünü engelliyor.
  • Fidye yazılımı koruması: Hasta veri dizinlerini yetkisiz değişikliklere karşı koruyarak fidye yazılımı şifreleme girişimlerini engelleyen Azure Sanal Masaüstü'ne denetimli klasör erişimi uygulandı.
  • Kötüye yararlanma önleme: Web tarayıcıları ve tıbbi görüntüleme görüntüleyicileri için ilk güvenlik açığı vektörlerini önleyen açıklardan yararlanma koruması etkinleştirildi.

Sonuç: Şifrelemeden önce saniyeler içinde sonraki fidye yazılımı girişimleri algılandı ve engellendi. Davranış analizi aracılığıyla hatalı pozitif sonuçları önemli ölçüde azalttık. Kapsamlı koruma kapsamı ile HIPAA uyumluluğunu sürdürür.

Kritiklik düzeyi

Olmalı.

Denetim eşlemesi

  • NIST SP 800-53 Rev.5: SI-3(1), SI-3(2), SI-3(4), SI-3(7), SI-3(8)
  • PCI-DSS v4: 5.1.1, 5.2.1, 5.2.2, 5.2.3, 5.3.1, 5.3.2
  • CIS Denetimleri v8.1: 10.1, 10.2, 10.5, 10.7
  • NIST CSF v2.0: DE. CM-4, PR. DS-6
  • ISO 27001:2022: A.8.7
  • SOC 2: CC6.1, CC7.2

ES-3: Kötü amaçlı yazılımdan koruma yazılımının ve imzalarının güncelleştirildiğinden emin olun

Güvenlik ilkesi

Otomatik imza güncelleştirmeleri, yazılım sürümü yönetimi ve güncelleştirme uyumluluğu izleme aracılığıyla mevcut kötü amaçlı yazılımdan korumayı koruyun. Tüm uç noktaların güvenlik açığı pencerelerini en aza indiren ve etkili tehdit algılama özelliklerini koruyan zamanında koruma güncelleştirmeleri aldığından emin olun.

Azaltma riski

Eski kötü amaçlı yazılımdan koruma imzaları ve yazılım sürümleri, uç noktaları geçerli korumayla önlenebilen bilinen tehditlere karşı savunmasız bırakır. Zamanında güncelleştirmeler olmadan:

  • Bilinen kötü amaçlı yazılım algılama hatası: Eski imzalar, son güncelleştirmeden sonra tanımlanan yeni kötü amaçlı yazılım çeşitlemelerini, açıklardan yararlanmaları ve tehdit kampanyalarını algılayamaz.
  • Koruma atlama: Saldırganlar, imza boşluklarını bilerek eski korumaya sahip uç noktaları özel olarak hedefler ve kötü amaçlı yazılım yürütülmesine izin verir.
  • Güvenlik açığından yararlanma: Eşleşmeyen kötü amaçlı yazılımdan koruma yazılımı, saldırganların korumayı devre dışı bırakmak veya ayrıcalıkları ilerletmek için yararlandığı güvenlik açıkları içerir.
  • Uyumluluk ihlalleri: Yasal çerçeveler, güncel olmayan imzalardan veya yazılım sürümlerinden kaynaklanan denetim hatalarıyla mevcut kötü amaçlı yazılımdan koruma gerektirir.
  • Olay yanıtı boşlukları: Eski koruma, ilk saldırı aşamalarında algılamayı engeller ve güncelleştirmeler algılamayı etkinleştirmeden önce tehditlerin kalıcılık oluşturmasına olanak tanır.

Mevcut kötü amaçlı yazılımdan koruma güncelleştirmelerini koruyan kuruluşlar kötü amaçlı yazılım bulaşma oranlarını önemli ölçüde azaltır ve genel güvenlik duruşunu geliştirir.

MITRE ATT&CK

  • Savunma Kaçınma (TA0005): algılanmamak için eski anti-malware yazılımından yararlanarak savunmaları (T1562) bozar.
  • Yürütme (TA0002): geçerli imzaların algılayacağı bilinen açıklardan yararlanan istemci yürütme (T1203) için yararlanma.

ES-3.1: Otomatik güncelleştirmeleri yapılandırma ve zorunlu kılma

Tehdit imzaları eskidikçe ve algılama altyapıları eskidikçe kötü amaçlı yazılımdan koruma hızla azalır ve eski algılama özelliklerinden kaçınan yeni kötü amaçlı yazılım çeşitleri sürekli olarak ortaya çıkar. Otomatik güncelleştirme mekanizmaları, uç noktaların gecikmelere ve kapsam açıklarına neden olan el ile işlemlere gerek kalmadan mevcut tehdit bilgileri ve algılama algoritmalarını korumasını sağlar. Uyumluluk izleme, güvenlik çevresinde yüksek riskli güvenlik açıklarını temsil eden eski korumaya sahip uç noktaları tanımlar ve saldırganlar koruma boşluklarından yararlanmadan önce hedeflenen düzeltmeyi etkinleştirir.

Şu güncelleştirme işlemleriyle mevcut kötü amaçlı yazılımdan koruma etkinliğini koruyun:

  • Uç noktaların el ile müdahale olmadan güncel korumayı sürdürmesini temin etmek için, uyumluluk izleme ve zorlama ile birlikte, otomatik kötü amaçlı yazılım imzası ve yazılım güncelleme süreçlerini güvence altına alın.

Otomatik güncelleştirme yapılandırması:

  • Otomatik imza güncelleştirmelerini etkinleştir: Otomatik imza güncelleştirmesini yapılandırma, yeni tehditleri ele almak için her gün birden çok kez denetimler gerçekleştirerek yeni tehdit bilgileri dağıtımının hızlı bir şekilde yapılmasını sağlar.
  • Otomatik altyapı güncelleştirmelerini etkinleştir: Uç noktaların gelişmiş algılama özellikleri ve kritik güvenlik geliştirmeleri almasını sağlamak için otomatik algılama altyapısını ve platform güncelleştirmelerini yapılandırın.
  • Güvenilir güncelleştirme kaynaklarını yapılandırın: Güncelleştirme hizmeti kesintilerine karşı tutarlı güncelleştirme teslimi koruması sağlayan yük devretme mekanizmalarıyla birincil bulut tabanlı güncelleştirmeler oluşturun.
  • Güncelleştirme bütünlüğünü doğrulama: Bozuk veya kötü amaçlı güncelleştirme paketlerinin uç nokta korumasını tehlikeye atmasını önlemek için dağıtımdan önce imza ve yazılım güncelleştirmelerinin otomatik doğrulamasını etkinleştirin.
  • Kritik güncelleştirmeleri test edin: Üretim dağıtımdan önce operasyonel kesintileri önlemeden önce uyumluluk ve etkinliği onaylayan üretim dışı ortamlardaki ana yazılım sürümü güncelleştirmelerini doğrulayın.

Uyumluluk izleme ve yaptırım:

  • Güncelleştirme uyumluluğunu izleme: Güvenlik ilkesi eşiklerini aşan eski korumaya sahip cihazları tanımlayan uç noktalarda imza yaşını ve yazılım sürümlerini izleyin.
  • Otomatik düzeltmeyi zorunlu kılma: Uyumlu olmayan uç noktalar için otomatik güncelleştirme zorlamayı yapılandırarak el ile müdahale olmadan zamanında koruma güncelleştirmeleri sağlayın.
  • Uyumsuz erişimi kısıtla: Ağ erişim kontrolüyle tümleştirerek, düzeltme tamamlanana kadar kritik derecede güncel olmayan korumaya sahip uç noktalara erişimi kısıtlayın.
  • Güvenlik özel durumlarını yönetme: Belgelenmiş telafi denetimleri ve zaman sınırlı onaylarla gecikmeli güncelleştirmeler gerektiren uç noktalar için resmi özel durum süreci oluşturun.

Uygulama örneği

Eski virüsten koruma imzaları bilinen kötü amaçlı yazılım değişkenini algılayamadıktan sonra hassas verileri açığa çıkararak ve işlemleri kesintiye uğrattığında küresel operasyonlara sahip bir kuruluş kritik iş sistemlerini etkileyen kötü amaçlı yazılım salgınıyla karşı karşıya kalır.

Zorluk: Birden çok saat dilimi arasındaki küresel operasyonlar, koordineli güncelleştirmeleri zorlaştırdı. Bölgesel bant genişliği kısıtlamaları imza dağılımını geciktirdi. Yoğun işlem dönemlerinde el ile güncelleme süreçleri, uç noktaların güncel olmayan koruma yazılımı ile çalışmasına sebep olan boşluklar yarattı.

Çözüm yaklaşımı:

  • Otomatik güncelleştirme temposu: Hızlı tehdit bilgileri dağıtımı sağlamak için 2 saatte bir buluta teslim güncelleştirme denetimi yapılandırıldı. El ile güncelleştirme işlemlerine bağımlılık kaldırıldı.
  • Uyumluluk zorlaması: İmzalar 7 günlük yaş sınırını aştığında Azure İlkesi izleme uyarısı uygulandı. Uyumlu olmayan uç noktalara erişimi reddeden ağ erişim denetimiyle tümleştirilmiş.
  • Aşamalı dağıtım stratejisi: Tam dağıtımdan önce küçük pilot grupla yapılandırılmış aşamalı dağıtım testi ana sürümleri, koruma para birimini korurken operasyonel kesintiyi önler.

Sonuç: Haftalardan saatlere kadar ortalama imza yaşı önemli ölçüde azaldı. Güncel olmayan imzalarla ilgili kötü amaçlı yazılım olaylarına karşı yüksek uyumluluk sağlandı ve sonraki dönemde hiçbir olay yaşanmadı.

Kritiklik düzeyi

Olmalı.

Denetim eşlemesi

  • NIST SP 800-53 Rev.5: SI-3(2), SI-2(2), SI-2(5)
  • PCI-DSS v4: 5.3.3, 6.3.3
  • CIS Denetimleri v8.1: 10.3, 7.2
  • NIST CSF v2.0: DE. CM-4, PR. IP-1
  • ISO 27001:2022: A.8.7, A.8.8
  • SOC 2: CC8.1
  • Last updated on