Merhaba Arkadaşlar ;
Attack Surface Reduction , Windows Defender Exploit Guard'ın, bilgisayarları bulaştırmak için istismar arayan kötü amaçlı yazılımların kullandığı eylemleri önleyen bir özelliktir. Windows Defender Exploit Guard, Microsoft'un Windows 10 v1709'un bir parçası olarak tanıtan yeni bir istilasızlık önleme yetenekleri setidir. Windows Defender Exploit Guard'ın dört bileşeni şunları içerir:
- Ağ Koruması
- Kontrollü Klasör Erişimi
- Korumadan Yararlanma
- Saldırı Yüzeyinin Azaltılması
Yukarıda belirtildiği gibi, büyük yeteneklerden biri, Windows 10 aygıtlarında kendilerini idare eden kötü amaçlı yazılımların ortak eylemlerine karşı koruma sağlayan Saldırı Yüzeyinin Azaltılması'dır .
Saldırı Yüzeyi azaltmanın ne olduğunu ve neden bu kadar önemli olduğunu anlamış olalım.
Windows Defender Saldırı Yüzey Azaltma Özelliği
E-postalar ve ofis uygulamaları, işletmelerin üretkenliğinin en önemli parçasıdır. Siber saldırganların bilgisayarlarına ve ağlarına girmelerinin ve kötü amaçlı yazılım yüklemenin en kolay yoludur. Bilgisayar korsanları doğrudan tümüyle bellekte çalışan ve genellikle Antivirus taramalarıyla saptanamayan exploitleri gerçekleştirmek için ofis makroları ve komut dosyalarını kullanabilirler.
En kötüsü, bir malware'in bir giriş yapması için kullanıcının sadece makroları meşru görünümlü bir Office dosyasında etkinleştirmesini ya da makineyi tehlikeye atabilecek bir e-posta eki açmasını sağlar.
Burası Saldırı Yüzey Azaltımının kurtarma alanına girmesi.
Saldırı Yüzeyinin Azaltılmasının Avantajları
Saldırı Yüzey Küçültme, üretken senaryoları engellemeden bu kötü niyetli belgelerin kullandığı temel davranışları engelleyebilecek bir dizi dahili istihbarat sunar. Saldırı Yüzeyinin Azaltılması, tehdidin veya kötüye kullanımın ne olduğu konusunda kötü niyetli davranışları engelleyerek, kuruluşları sıfır günde gerçekleşen saldırılardan asla koruyamaz ve güvenlik riski ve verimlilik gereksinimlerini dengeler.
ASR Üç temel davranışı kapsar :
- Ofis uygulamaları
- Komut dizileri ve
- E-postalar
Office uygulamaları için Saldırı Yüzeyinde Azaltma kuralı şunları yapabilirsiniz:
- Office uygulamalarının yürütülebilir içeriği engellemesi
- Office uygulamalarının alt işlem oluşturmasını engelleyin
- Office uygulamalarının kodunu başka bir işleme enjekte etmesini engelleyin
- Office'te makro kodundan Win32 içe aktarma işlemini engelle
- Karışık makro kodunu engelleyin
Kötü niyetli ofis makroları, yürütülebilir dosyaları püskürterek ve başlatarak bir Bilgisayar'a bulaşabilir. Attack Surface Reduction, buna karşı ve ayrıca son zamanlarda dünyadaki Bilgisayar'lara bulaştırılmış olan DDEDownloader'a karşı koruma sağlayabilir. Bu açıklama, ASR kuralının etkin bir şekilde engelleyen bir alt süreç oluştururken bir PowerShell downloader çalıştırmak için resmi belgelerde Dinamik Veri Değişimi açılır penceresini kullanır!
Senaryoda Attack Surface Reduction (Atak Yüzeyi Küçültme) kuralı şunları yapabilir:
- Şüphelenilen JavaScript, VBScript ve PowerShell kodlarını gizle
- İnternetten indirilen yükü yürütmek için JavaScript ve VBScript'i engelleyin
E-posta için ASR şunları yapabilir:
E-postadan düşen çalıştırılabilir içeriğin engellenmesi (webmail / mail-client)
Günümüzde bir gün, mızrak-dolandırıcılıkta artış meydana geldi ve hatta çalışanların kişisel e-postaları hedefleniyor. ASR, kurumsal yöneticilerin tehditlere karşı koruma sağlamak için şirket e-posta ve posta istemcileri için kişisel e-postalara dosya politikaları uygulamasına olanak tanır.
Saldırı Yüzeyinin Azaltılması Nasıl Çalışır?
ASR, benzersiz kural kimliği ile tanımlanan kurallar aracılığıyla çalışır. Her bir kuralın durumunu veya modunu yapılandırmak için şunlarla yönetilebilirler:
- Grup ilkesi
- Güç kalkanı
- MDM CSP'leri
Yalnızca bazı kuralların etkinleştirileceği veya kuralların bireysel modda etkinleştirileceği durumlarda kullanılabilir.
Kuruluşunuzda çalışan herhangi bir işletme uygulaması dizisi için, uygulamalarınız ASR algılamanın etkileyebileceği alışılmadık davranışları içeriyorsa, dosya ve klasör tabanlı istisnaları özelleştirebilme olanağı vardır.
Attack Surface Reduction, Windows Defender Antivirüs'un ana AV olmasını ve gerçek zamanlı koruma özelliğinin etkinleştirilmesini gerektirir. Windows 10 Güvenlik temel alınması, yukarıda bahsedilen blok modun'da ki kuralların çoğunun cihazlarınızı herhangi bir tehdide karşı korumak için etkinleştirilmesini öneriyor!
Bütün işlemler bu kadar Herkese Kolay Gelsin.