Microsoft Defender Fidye Yazılımı Koruması
Microsoft’tan Microsoft Defender Kullanıcıları İçin AI-güdümlü Fidye Yazılımı Koruması
Microsoft, Microsoft Defender for Endpoint müşterileri için, riskleri değerlendirerek, çevredeki tehlikeli aktörleri engelleyecek, mevcut bulut korumasını tamamlayan ve yapay zekâ güdümlü bir fidye yazılımı saldırısı algılama sistemini tanıttı.
İnsan tarafından işletilen fidye yazılımı saldırıları, belirli bir dizi yöntem ve davranışla karakterize edildiğinden, Microsoft, bu tür saldırıları tespit etmek için veriye dayalı bir AI yaklaşımı kullanabileceklerine inandıklarını belitti.
İlk Dayanak Noktasının Önlenmesi
Saldırganlar, genellikle, cihaza uzaktan erişim sağlayan, kötü amaçlı bir ikili (binary) dosya yerleştirerek hedef sistemde bir erişim sağlar.
Ancak, saldırılarda kullanılan tüm binary dosyaların kötü niyetli olmadığı bilinmektedir. Saldırılarda kullanılan birçok yürütülebilir dosya, yerleşik Windows komutları da dahil olmak üzere yasal genel de programlardır.
Bu ikili dosyalar tarafından oluşturulan göstergeler düşük öncelikli olarak görülebilir ve koruma yazılımları tarafından göz ardı edilebilir.
Olağandışı davranışları, güvenli binary dosyalardan bile ayırt edebilecek yapay zekâ güdümlü uyarlanabilir bir koruma sistemi, cihazınızda olası bir güvenlik açığının önlenmesinde çok önemli bir rol oynayabilir. Bu, saldırılara karşı koruma ve karşı atak yapacak ekiplere saldırıları engellemek için çok değerli zamanlar kazandırabilir.
Microsoft, yapay zekâ güdümlü savunma sistemleri hakkında “Müşteri ortamında, yapay zeka güdümlü uyarlanabilir koruma özelliği, erişim sağlayacak binary dosyayı durdurarak ağa girmesini önlemede özellikle başarılı oldu” dedi.
“Uyarlanabilir koruma, saldırı zincirini erken bir aşamada durdurdu ve böylece saldırının genel etkisi önemli ölçüde azaltıldı.”
“Tehdit, insan tarafından işletilen fidye yazılımları da dahil olmak üzere birçok siber saldırının temel bileşenleri olan, kimlik bilgisi hırsızlığı ve veri hırsızlığı için yaygın olarak kullanılan bir bankacılık truva atı olan Cridex di.”
Yöneticilerin manuel olarak ayarladığı bulut korumasının aksine, yeni sistem uyarlanabilir, yani gerçek zamanlı verilere ve makine öğrenimi tahminlerine dayalı olarak bulut tarafından sağlanan engelleme kararlarının saldırganlığını otomatik olarak artırıp azaltabilir.
Sonraki Saldırı Adımlarını Engelleme
Algoritma, riski gerçek büyüklüğünde değerlendiremese ve bir fidye yazılımı aktörü hedef ağa girmenin bir yolunu bulsa bile, sistem onlar için bir engel olmaya devam edecektir.
Microsoft’un açıkladığı gibi, uyarlamalı koruma, fidye yazılımı aktörlerinin keşif aşamasında kullandığı ağ numaralandırma gibi görünüşte zararsız işlemleri algılayabilir ve engelleyebilir.
Benzer şekilde, açık kaynaklı araçlar genellikle yanal hareket için kötüye kullanılır veya tanımlanabilir bir imzası olmayan hafifçe değiştirilmiş emtia kötü amaçlı yazılımları tespit edilebilir ve engellenebilir.
Microsoft’a göre “Varsayımsal olarak, erken ve orta aşama saldırıların tespit edilmediği ve engellenmediği durumlarda, yapay zekâ güdümlü uyarlanabilir koruma, özellikle fidye yazılımı söz konusu olduğunda çok işe yarayabilir.”
“Cihazın güvenliğinin zaten ihlal edildiği göz önüne alındığında, yapay zeka güdümlü uyarlanabilir koruma sistemimiz kolayca ve otomatik olarak en agresif moda geçebilir ve gerçek bir fidye yazılımı tehdidini engelleyerek önemli dosyaların ve verilerin şifrelenmesini sağlar. Böylece sizi olası bir fidye talebinden ve ödemesinden koruyabilir”
Kalkanları Yukarıda tutmak
Savunma mekanizmaları daha karmaşık hale geldikçe, aktörlerin onlardan kaçınmaya veya atlatmaya çalışmak yerine onları devre dışı bırakmaya çalışması çok daha olasıdır.
Bu, yöneticilerin savunma araçlarının durumunu düzenli olarak kontrol etmeleri ve her zaman çalışır durumda olduklarından emin olmaları gerektiği anlamına gelir.
Bulut koruması varsayılan olarak açıktır ve yapay zekaya dayalı geliştirme artık Microsoft Defender for Endpoints’e “her zaman açık” moduyla otomatik olarak dahil edilmiştir.
Bu özelliklerden herhangi biri devre dışı bırakılırsa, yöneticiler, güvenliğin ihlal edilip edilmediğini belirlemek için derhal daha fazla araştırma yapmalıdır.