Linux için Microsoft Defender geliyor. Bilmen gereken şey budur

Microsoft'un güvenlik araçları şirketin kendi platformlarının ötesine uzanıyor. Linux için Defender tutkusu geniş olsa da, ilk önizleme sadece sunuculara yöneliktir ve Windows'a göre daha azdır.

Ne zaman Defender macOS'a geldi Microsoft'un yanı sıra Windows da yazılım adının değiştiğini Windows Defender'dan Microsoft Defender'a. Sunumda gizli gelecek hakkında bir ipucu vardı: penguen çıkartması olan bir Linux dizüstü bilgisayar. şimdi Linux için Microsoft Defender ATP in Red Hat Enterprise Linux 7+, CentOS Linux 7+, Ubuntu 16 LTS veya daha üstü, SLES 12+, Debian 9+ ve Oracle Enterprise Linux 7 için herkese açık önizlemedir. Ancak bu işletim sistemlerini gerçekte ne korur?

Microsoft zaten Windows ve Mac'teki Defender aracılarında Linux kötü amaçlı yazılım algılamasına sahiptir, çünkü dosyalar bir cihazdan diğerine taşınır ve nerede olursa olsun kötü amaçlı yazılım yakalamak istersiniz – ideal olarak savunmasız bir sisteme geçmeden önce. Kullanıyorsanız WSLDefender sizi zaten virüs bulaşmış gibi tehditlere karşı koruyor npm paketleri şifreleme araçları yüklemeye çalışan

Mac önce geldi çünkü Microsoft'un kurumsal müşterilerinin istediği emir, diyor Microsoft 365 güvenlik kurumsal başkan yardımcısı Rob Lefferts. "Müşterilerimiz için sorunlu olan tüm uç noktalara Mac ile başlayıp Linux'a, özellikle de şu anda odak noktası olan sunucuya Linux – ve ardından iOS ve Android ve nasıl bu mobil uç noktaları koruyoruz. "

Lefferts, uzun vadeli sonucun kapsamlı uç nokta güvenliği olduğunu söylüyor: "Yeni nesil korumayı, EDR'ye ek olarak antivirüs ve davranışsal (koruma) gibi şeyleri (uç nokta algılama ve düzeltme) içerir. Defender için yaptığımız her şey, bunun en savunmasız oldukları yerlerde tüm platformlarda çalıştığından emin olmak istiyoruz. "

Akıllı telefonlar için Microsoft, yalnızca e-postada değil, aynı zamanda mesajlaşma uygulamalarında da kimlik avına odaklanmış gibi görünüyor. Lefferts, "Kötü niyetli kampanyaları ve siteleri tespit etmek için çok sayıda geniş varlığımız var ve bunu mobil cihazlarda yardım etmeye hazırlıyoruz" diyor.

Sorun, e-posta gibi bir alanı koruma konusunda daha iyi olduğunuzda, saldırganların diğer alanlara taşınmasıdır (bu nedenle Office 365 ATP artık SharePoint'i kapsamaktadır).

"Bir mobil cihazda iletişim ve işbirliği için kullanılan birçok başka kanal var, çünkü bu onun için doğal bir yer. Bu, güvenliği daha kapsamlı bir şekilde nasıl düşündüğümüze uyuyor, bu da önem verdiğiniz tüm uç noktalarla başlıyor, "diyor Lefferts. "Ama sonra uç noktaların ötesine geçelim – bir tehdit koruma ortamında tüm mülkünüz, tüm kullanıcılarınız ve tüm verileriniz ve tüm iletişim araçlarınız hakkında konuşalım."

<a href = "https://tr4.cbsistatic.com/hub/i/2020/03/24/7627f88c-256b-4d61-bab4-e3e1baaf9ae5/microsoft-defender-linux-tease.jpg" target = "_ blank" data-component = "modalEnlargeImage" data-headline = "

Microsoft ilk defa geçen Temmuz ayında Defender'ın Linux sürümünü taklit etti.

"data-credit =" Resim: Microsoft "rel =" noopener noreferrer nofollow ">microsoft-defender-linux-tease.jpg "veri-orijinal =" https://tr4.cbsistatic.com/hub/i/2020/03/24/7627f88c-256b-4d61-bab4-e3e1baaf9ae5/microsoft-defender-linux -tease.jpg

Microsoft ilk defa geçen Temmuz ayında Defender'ın Linux sürümünü taklit etti.

Görüntü: Microsoft

Grafiklerde düşünme

Lefferts, Defender ATP genellikle 2020'nin sonunda Linux için kullanılabilir olduğunda, bu kapsamlı uç nokta koruması "Windows'da gördüğünüz tam olarak aynı türde algılama araçlarının geniş bir yelpazesini" içerecektir. "İlk sürüm, Windows'ta sahip olduğumuz tüm iyileştirme eylem yeteneklerini içermiyor, ancak zaman içinde eklemeyi arzuladığımız bir şey."

Antivirüs bu gün zor bir terim, Lefferts not ediyor – bunun yerine "kutuda, hemen harekete geçecek koruyucu önlemler" hakkında konuşuyor – çünkü virüslerden, özellikle de komut dosyalarından ve çok daha fazla tehdit var telsiz saldırılar. Diyerek şöyle devam etti: "Bunu teklifin bir parçası olarak görüyoruz, ancak daha çok çalıştırılabilir nesnelere odaklanıyor."

Önizleme, kötü amaçlı yazılımları ve 'potansiyel olarak istenmeyen uygulamaları' (PUA'lar) tespit edebilir ve engelleyebilir. Linux için çok fazla reklam yazılımı yoktur, ancak madenciler yüklediğiniz bir şey veya yüklemeye kandırıldığınız bir şey olabilir ve hatta meşru uzaktan yönetici araçları, bunları sisteme koyan bir saldırgansa bir sorundur. En önemlisi, bu bilgileri Defender Güvenlik Merkezi.

Defans gerçekten iki şeydir. Uç noktada çalışan ajan var: dosyaları tarama, işletim sisteminde neler olduğunu izleme, cihazdaki kötü amaçlı yazılımı algılama ve engelleme veya kaldırma (ayrıca size hangi uygulamaların çalışabileceğini kontrol etme, aynı zamanda Defender Gelişmiş Tehdit Koruması birden çok sistemden gelen bilgilerin ilişkilendirildiği bulut hizmeti.

Saldırganlar ayrı cihazlar ve sistemler veya hatta bir hedefler listesi düşünmezler: sistemlerin birbirine nasıl bağlandığını ve kontrol altına almak, en fazla çıkarmak için aynı ortamda enfekte olmuş bir cihazdan diğerine nasıl hareket edebileceklerini düşünürler. ve güvenlik ekibinin onları dışarı atmasını durdurun. Virüs açık bir dizüstü bilgisayar, bir sunucuda bir düzine başarısız parola denemesi ve başka bir sunucuda olağandışı dosya erişimi üç ayrı sorun değildir: ağda hareket eden ve daha fazla sisteme erişen bir saldırganlardır.

GÖRMEK: Başarılı bir geliştirici kariyeri nasıl oluşturulur (ücretsiz PDF) (TechRepublic)

Savunucular, sistemin aynı tür grafik görünümüne ihtiyaç duyar ve Defender ATP'nin daha fazla sistemden sinyal alabilmesi için saldırmak zorunda olduğunuz daha net görünüm. Bunun arkasındaki fikir Microsoft güvenlik grafiğicihazlarından birinde Outlook'ta bir kimlik avı iletisini tıklayan kullanıcılar veya Word belgesinde bir şifreleme indiren bir makro indiren bir bağlantı gibi kullanıcılar ekleyebilir. Artık Linux sistemleri bu grafiğe beslenebilir, diye açıklıyor Lefferts.

"Bunu yapmanın ana nedenlerinden biri, bu korumayı kurumsal sisteminize bağlamaktır. Defender, ortamınızdaki uç nokta aygıtları için uçtan uca koruma ile ilgilidir – bir EDR sistemi olarak Defender ATP'ye takılmıştır, sinyaller gösteriyor tek bir kontrol panelinde ve olayları ve saldırıları tespit ediyor ve güvenlik ekiplerine ve SOC analistlerine bu daha büyük resmi anlamak için ihtiyaç duydukları araçları sağlıyor "diyor.

"Günün sonunda, saldırganlar müşterilerin verilerini bir şekilde ya da başka bir şekilde takip ediyorlar – ister silme, şifreleme, doxx, çalma, ne olursa olsun. Ancak bu yoldaki temel amaçlardan biri sunucu omurgası ortamında kalıcılık kazanmaktır. Bu, diğer her şeye kilitlenip taşınabildikleri merkezi bir noktadır, çünkü son kullanıcılar her zaman bunlara geri dönmeye devam ederler.Bazen Active Directory, bazen bu sadece bir uygulama sunucusudur ve oradan şimdi saldırı, çevredeki son kullanıcılar arasında willy-nilly. "

<a href = "https://tr2.cbsistatic.com/hub/i/2020/03/24/ca4f6b5e-abdd-4625-b81d-d4bf4a24b8f6/microsoft-defender-linux-command-line.jpg" target = " _blank "data-component =" modalEnlargeImage "data-headline ="

Şimdilik, Linux için Defender tamamen komut satırı tarafından yönlendiriliyor.

"data-credit =" Resim: Microsoft "rel =" noopener noreferrer nofollow ">microsoft-defender-linux-command-line.jpg "veri-orijinal =" https://tr2.cbsistatic.com/hub/i/2020/03/24/ca4f6b5e-abdd-4625-b81d-d4bf4a24b8f6/microsoft-defender -linux-komut line.jpg

Şimdilik, Linux için Defender tamamen komut satırı tarafından yönlendiriliyor.

Görüntü: Microsoft

Komut satırı kontrolü

Bu yüzden Linux'ta Defender başlangıçta sunuculara ve DNS'ye odaklanıyor, diyor Lefferts: "Linux makineleri, tüm makineler, uygulamalar için platformlar olarak kullanılıyor". Bu, bulutta çalışan VM'leri içerir ve sunucuları hedeflediği için Defender'ın Linux'ta bir kullanıcı arayüzü yoktur – hepsi komut satırından çalıştırılır, Ansible, Chef ve Kukla gibi olağan Linux yönetim araçlarıyla çalışır ve yapılandırma seçenekleri JSON dosyasındadır. Ayrıca, önizleme özellikleri açık korunan Linux sistemlerinden ayrıntıları görmek için Microsoft Defender Güvenlik Merkezi'nde.

Güvenlik araçlarını güncel tutmak önemlidir, ancak WSL dağıtımlarında olduğu gibi Microsoft, Linux kullanıcılarına izin vermek için otomatik güncellemelerden kaçınır kendi güncelleme programlarını yönet Defender ajanı için. Şirketler, senaryoları ve araçları kullanarak bunun için zaten süreçlere sahip olacaklardır. peyzaj veya standart katılımsız yükseltme seçeneğini kullanabilirsiniz. İmzalar ve tehdit tanımları Defender aracısına otomatik olarak aktarılacaktır (Windows'ta, günde birkaç kez olur).

Korumak istiyorsanız Linux çalıştıran bir dizüstü bilgisayarda Defender'ı çalıştırmanızı durduracak hiçbir şey yoktur. "Henüz bir masaüstü veya kullanıcı uç noktası olarak Linux'u hedeflemiyoruz – yine de, öncelikle GUI sorunu nedeniyle, işe yarıyor olsa da. Yani, kodlayıcılar gibi insanlar hakkında konuşuyorsanız, bu ortamda hayatta kalabilirler ancak bu, normal kullanıcılarda kaybedeceğimiz bir şey değil, "diye uyarıyor Lefferts.

Linux'u bir geliştirme platformu olarak kullanıyorsanız ve açık kaynaklı projelere dayalı kendi özel uygulamalarınızı oluşturuyorsanız, bunlar güvenlik açıklarıyla birlikte gelebilir ve işletmeler bunları yakalamaya yardımcı olan izleme ister. Geliştirme araçları dağıtılmadan önce bu konuda yardımcı olabilir, ancak Microsoft Defender bir tehdit olduklarında açık kaynaklı araç kitlerini zaten algılar ve aynı şey sunucular için de geçerlidir. "Sadece bu bitler diskte mevcut değil, aynı zamanda aslında alışıyorlar ve belleğe yükleniyorlar," diyor Lefferts.

<a href = "https://tr3.cbsistatic.com/hub/i/2020/03/24/44f01603-f15c-4cc2-a870-85b0f1b9c6f3/microsoft-defender-security-center.jpg" target = "_ blank" data-component = "modalEnlargeImage" data-headline = "

Linux için Defender'ın asıl amacı, kuruluşunuzdaki tüm sistemlerin aynı tehdit izleme aracına olası güvenlik sorunları hakkında sinyaller göndermesidir.

"data-credit =" Resim: Microsoft "rel =" noopener noreferrer nofollow ">microsoft-defender-security-center.jpg "veri-orijinal =" https://tr3.cbsistatic.com/hub/i/2020/03/24/44f01603-f15c-4cc2-a870-85b0f1b9c6f3/microsoft-defender-security -center.jpg

Linux için Defender'ın asıl amacı, kuruluşunuzdaki tüm sistemlerin aynı tehdit izleme aracına olası güvenlik sorunları hakkında sinyaller göndermesidir.

Görüntü: Microsoft

Bazı Linux sistemleri var Defender bu aşamada iyi değil. Lefferts, "Linux'un daha geniş kullanım biçimleri söz konusu olduğunda – IoT cihazlarına veya telefonlara veya sonuçta ortaya çıkabilecek tüm yerlere gömülü olduğunda – bu senaryoları kesinlikle bu noktada hedeflemiyoruz" diyor. IoT için Azure Güvenlik Merkezi örneğin IoT güvenliğini yönetmek için daha iyi bir seçenektir.

Ortamınızdaki tüm son kullanıcı uç noktalarına ve sunucu altyapısına bakma yeteneği, birçok işletme için ileriye doğru bir adım olacaktır. Ancak Defender'ı Linux'a getirmek, çevreyi sertleştirerek ve sorunları önceliklendirerek saldırıları tespit etmekten onları önlemeye geçmenin daha büyük güvenlik stratejisinin bir parçasıdır.

"Savunmacılar daha başarılı olacaklarsa, manzarayı gerçekten saldırganların yaptığı gibi görebilmeleri gerekiyor, ki bu her şey bir hikayede birbirine zincirlenmiş," diyor Lefferts. "Bu sadece sunucuları çekmekle kalmayıp, e-postayı ve kimliğin yeniden kullanılmasını ve bunun bulut uygulamalarına nasıl bağlanacağını, tüm bu etki alanlarını tek bir tutarlı olayda kesmeyi içerir, bu hikayeyi anlatmak için kullandığımız nesne savunucular için. "

"Bunu sadece bir saldırı olduğunda SecOps ekibine söylemekle kalmayıp, güvenlik yöneticilerine ve daha geniş BT ekibine endişe duyulan güvenlik açıklarının nerede olduğu hakkında, bunu peyzajdaki tehditlere göre dinamik olarak yeniden sıralayabilme özelliğiyle anlatmak için kullanabiliriz Bu, kuruluşun düzeltilmesi gereken en büyük güvenlik duruşu sorunlarının neler olduğunu anlamasına yardımcı olacaktır. "

Lefferts, bu tür büyük resimler için hazır değilseniz, Linux için Defender'ın hala yararlı olduğunu söylüyor. "Eğer cennet yasaklıyorsa, bugün Linux mülkünüzü korumak için hiçbir şey kullanmıyorsanız, GA olduğunda hemen Defender ile başlayabilirsiniz. Veya ayrı bir araç kullanıyorsanız, bunu artık yapmak zorunda değilsiniz: aslında Defender ATP ile entegre bir şey dağıtarak daha iyi koruma elde edecek. "

Ayrıca bakınız

Source link

İlk yorum yapan olun

Bir yanıt bırakın

E-posta hesabınız yayımlanmayacak.


*