Selamlar arkadaşlar,
Brightmail kullanan ortamlarda sahada gördüğüm kadarıyla yapılması atlanan önemli bir konfigürasyon var; DISARM. Default aktif olarak gelmiyor; bu nedenle sizleri bilgilendirmek istedim.
Disarm temel olarak, ofis dokumanları, PDF dosyaları gibi dosya formatları içerisinden exploit edilebilen zararlı kodların engellenmesi olarak tarif edebilirim. Örneğin bir word dokumanının içerisindeki gömülü bir flash içerik makro zararlı kod, bir zafiyeti kullanarak networkunuze zarar verebilmekte. Özellikle spear phishing dediğimiz hedefli saldırılara karşı koruma sağlayan bu özelliği aktif hale getirmenizi öneriyorum. Malum, saldırganlar mail gatewaylerden executable dosyaların engellenmesi nedeniyle, bu tip gelişmiş metotlar kullanıyorlar.
Ekte, ekran görüntülerini fikir vermesi açısından paylaştım.
- Her zamanki gibi, önce bir test grubu oluşturup, devreye alıp gözlemleyip, sonrasında genele uygulamanızı tavsiye ederiz. Test esnasında olası bir false positive oluşturma durumuna karşı “Archive the message” opsiyonu da kullanabilirsiniz. (Slide 25) Bir diğer önerimde status ekranında kaynak utilizasyonlarını kontrol ettikten sonra devreye almanız. Sözgelimi 4 GB RAM li eski tip bir donanımda bu tip gelişmiş korumaları aktif etmeniz, performans sıkıntılarına yol açabilir. </LI>
Disarm nedir: Makale: https://www.symantec.com/docs/HOWTO93093 Video: https://bcove.me/383lkdhs
Disarm ayarı: Makale: https://www.symantec.com/docs/HOWTO93096
Bilgilerinize, iyi çalışmalar.
Kaynak: Eren Sonmez – Symantec