fbpx
Anasayfa » Trend Micro ile CryptoLocker’ a Karsi Endpoint Güvenligi

Makaleyi Paylaş

3. Parti Yazılımlar / Uncategorized

Trend Micro ile CryptoLocker’ a Karsi Endpoint Güvenligi

Bildiğiniz üzere son zamanlarda CryptoLocker türevi fidyecilik yazılımlarına sıkça rastlıyoruz.

Peki güvenlik üreticileri bunlara karşı nasıl önlem alıyorlar?

Bugün, dünya devleri arasında yerini alan Trend Micro tarafında nasıl bir yol izlenerek fidyecilik yazılımlarından kurtulabilirizi inceleyeceğiz.

Trend Micro, uç noktada bize 4 ayrı koruma katmanı sunarak fidyecilik yazılımından tamamen kurtulmamızı sağlıyor. Bu arada bu işi Deep Discovery ürün ailesi ile birlikte yani APT cihazlarıyla Gateway seviyesinde engelleyebilen en güvenilir markadır Trend Micro. Bugün konuşacağımız konu; Endpoint seviyesinde hangi yöntemleri kullanarak fidyecilik yazılımdan kurtulabiliriz?

Sponsor

Endpoint tarafında koruma sağlayacağımız 4 ayrı katman;

Application Control

Web Reputation

Behavior Monitoring

Backup

Application Control;

Trend Micro Application Control endpoint tarafında çalışan tüm uygulamaların yönetimini sağlayan bir yazılımdır, bu uygulamada bulunan özelliklerden biri LOCKDOWN özelliğidir.

LOCKDOWN kuralı uygulandığı andan itibaren Windows üzerinde yüklü uygulamaların dışında hiçbir uygulama çalışmayacaktır, yani Lock Down kuralı çalıştıktan sonra yüklenen hiçbir uygulama çalışmayacaktır, bu özellik hem kullanıcılarınızın farklı bir uygulama yükleyememesini hem de fidyecilik yazılımlarının çalışmamasını sağlayacaktır, kuralım içerisindeki Exclusion List sayesinde sonradan yüklenen uygulamaların çalışmasını sağlayabileceksiniz.

Ayrıca Application Control ile sertifikası olmayan uygulamaların çalışmamasını sağlayarak yine CryptoLocker türevi fidyecilik yazılımlarının çalışmamasını sağlayabilirsiniz. Aşağıdaki ekran görüntüsünde, Lock Down kuralının uygulandığı bir sistem üzerinde çalışmak isteyen fidyecilik yazılımının nasıl engellendiği görünmektedir.

clip_image002

 

Application Control çözümünü kullanmadığınızı düşünürsek, bir sonraki katmada bizi neler bekliyor? Application Control kullanmıyor olsanız bile muhakkak Endpoint Security kullanıyorsunuzdur. Trend Micro tarafında Endpoint Security olarak 2 ayrı çözüm bulunmaktadır, Kobi Şirketler için Worry Free Business Security, Enterprise kurumlar için Office Scan güvenliğinizi sağlamaktadır, bu kısımdan sonra anlatacağımız özellikler Endpoint Security üzerinde bulunan özelliklerdir.

 

 

 

 

Web Reputation;

Trend Micro’nun yapı taşlarından olan ve En Güçlü yönü olarak bilinen Web Reputation “Smart Protection Network” teknolojisi ile beslenmektedir.

 

Smart Protection Network; Veri Tabanına eklenecek olan bir bilginin “hash” ile dağıtılarak en hızlı şekilde tüm kullanıcılara gönderilmesidir. Diğer markalarda bu teknolojinin adı değişmektedir.

 

Trend Micro’nun farkı ise; Diğer markalar bu teknolojiyi yeni yeni kullanmaya başlamışken Trend Micro 16-17 yıldır bu teknolojiyi kullanmaktadır, şuan diğer markalar bu teknolojiyi 2. Seçenek olarak sunarken Trend Micro tüm ürünlerini bu teknolojiye göre üretmekte ve neredeyse tüm ürünlerinde aktif olarak kullanmaktadır. Bunun arkasında tabi ki yılların vermiş olduğu bilgi ve tecrübe yatmaktadır.

 

 

Web Reputation; Web sayfaları üzerinden gelebilecek tehditleri engelleyen özelliktir, fidyecilik yazılımlarının Endpoint Security tarafında ilk takılacakları noktadır.

Mail ile gelen, CryptoLocker türevi fidyecilik yazılımını yayan web sayfası linkine tıkladığınızda büyük bir oranda sayfaya giremiyor olacaksınız. Trend Micro, Web Reputation ile sayfaya girmenizi engelleyecektir.

Web Reputation özelliği tehlikeli sayfaları engelleyecek şekilde aktif. Fidyecilik yazılımı içeren sahte fatura mailindeki linke girmeye çalıştığımızda aşağıdaki gibi web reputation özelliği engelliyor olacaktır

 

 

 

 

 

clip_image004

clip_image006

 

Buraya kadar olan kısmı özetlersek;

Application Control kullanarak CryptoLocker’a önlem olabiliyoruz ama herkes Application Control kullanmıyor demiştik ve Endpoint Security üzerinden nasıl engelleyebileceğimizden bahsetmiştik.

 

Sizin de tahmin edeceğiniz gibi Endpoint üzerindeki web reputation, veri tabanı ile çalışmaktadır ve veri tabanına eklenen web sayfalarına girmemenizi sağlayacaktır, burada vurgulamak istediğimiz nokta; Trend Micro’nun veri tabanı dağıtma yöntemi olan Smart Protection Network idi.

Kritik Soru; Veri tabanına eklenmemiş, mail ile daha ilk kez size gelen yeni bir varyasyonu nasıl engelleyeceğiz?

 

Cevap Aşağıda.

Behavior Monitoring;

 

Trend Micro’nun sezgisel analiz özelliğidir, veri tabanına eklenmemiş uygulamaların nasıl çalıştığını kontrol eder ve olmaması gereken bir hareket yakaladığında uygulamanın çalışmamasını sağlar.

Worry Free Business Security tarafında Mayıs 2015 tarihinde çıkarılan bir patch ile;

Office Scan tarafında Ocak 2015 tarihinde çıkarılan Service Pack ile;

Behavior Monitoring özelliğine yeni bir yetenek kazandırılmıştır, çalışan bir uygulama 30 saniye içinde 3 nesnenin dışında başka bir nesneyi şifrelemeye çalışıyorsa fidyecilik yazılımı aksiyonu olarak kabul ediliyor ve çalışması engelleniyor. Rakipler bunu yeni yeni yapmaya başlamışken Trend Micro 1 seneden fazla bir zamandır bu özelliği kullanarak engelleme yapabiliyor.

Aşağıdaki CryptoLocker örneğinde anti-virüs ve web reputation özelliği kapatılmış bir Trend Micro Endpoint Security uygulamasının Behavior Monitoring özelliğini kullanarak nasıl engelleme yaptığını görüyorsunuz.

clip_image008

Smart Protection Network teknolojisini hayata geçirerek tüm dünyaya kanıtlamış ve bundan sonra yapmış olduğu tüm yeniliklerle adından sıkça bahsedilmesini sağlamıştır.  

Bilinemeyen fidyecilik yazılımlarına karşı nasıl önlem alınacağını Trend Micro yine tüm Dünyaya öğretmiş ve bunun üzerine eklenen özelliği geliştirerek yoluna devam etmiştir.

 

Backup;  

Behavior Monitoring özelliğine yeni eklenen bir teknolojidir, Nesneleri değiştirmeye çalışan bir uygulama çalıştığında aktif olan ve değişmeye yani şifrelenmeye başlayan nesnelerin yedeğini alarak daha sonradan bu yedeğe ulaşmanızı sağlayan yeni bir özelliktir.

Şuan SMB taraftaki Worry Free Business Security uygulamasında Eylül 2015 tarihide çıkarılan Service Pack ile kullanabildiğimiz bu özelliğin yakın zamanda Office Scan tarafına da gelmesini beklemekteyiz

 

 

Makaleyi Paylaş

Cevap bırakın