Mayıs ayının başlarında, Amerika Birleşik Devletleri’ndeki en büyük rafine edilmiş petrol boru hattı Colonial Pipeline, DarkSide fidye yazılımı sorunuyla karşı karşıya kaldı. Enfeksiyon, şirketi değerlendirmeler yapılırken uyarı niteliğinde olarak boru hattını kapatmaya zorladı ve Doğu Sahili boyunca benzin istasyonlarında uzun araba kuyruklarına yol açtı. Aynı ayın ilerleyen saatlerinde REvil fidye yazılımı, dünyanın en büyük et işleyicisi olan JBS’ye saldırdı ve şirketin et üretimlerini kesintiye uğrattı. Temmuz ayında REvil, yönetilen hizmet sağlayıcı Kaseya’nın müşterilerini etkileyerek bir kez daha vurdu. Saldırganlar, Kaseya VSA (Sanal Sistem Yöneticisi) yazılımındaki bir kimlik doğrulama atlama güvenlik açığından yararlanarak, saldırganların yazılım tarafından yönetilen ana bilgisayarlar aracılığıyla alt müşterilere kötü amaçlı bir yük dağıtmasına olanak tanıyor.
Fidye yazılımı çetelerinin asıl amacı finansal kazanç olduğundan, eğitim sektörünün genellikle kötü adamların hedeflerinin dışında olduğu düşünülüyordu. Ancak, Federal Soruşturma Bürosu’ndan (FBI) bir rapor aksini önerdi. FBI, 16 Mart’ta bir uyarı yayınladı ve halkı ABD ve İngiltere’deki eğitim kurumlarını giderek daha fazla hedef alan PYSA fidye yazılımı konusunda uyardı. Mespinoza olarak da bilinen PYSA, “Protect Your System Amigo” yani ”Sisteminizi koruyun Arkadaş”ın kısaltmasıdır ve PYSA’nın Vurten fidye yazılımıyla yakından ilişkili olduğu düşünülmektedir.
PYSA ilk olarak Aralık 2019’da tespit edildi. O zamanlar şifrelediği dosyalara bir “.locked” dosya uzantısı ekledi, ancak daha sonra daha tanıdık “.pysa” dosya uzantısına geçti. PYSA’nın giriş noktaları genellikle üç yöntemle ilişkilendirilir:
- İstenmeyen e-postalar,
- RDP’nin internete açık olduğu bir Windows ana bilgisayarına izinsiz giriş ve
- Merkezi bir yönetim konsolunun yanı sıra bazı Active Directory (AD) hesaplarına karşı kaba kuvvet saldırıları.
PYSA, virüs bulaştığında, yanal hareket ve bilgi keşfi sağlamak için ProcDump, Mimikatz ve Advanced IP Scanner gibi çeşitli araçlar kullanır. PYSA, güvenliği ihlal edilmiş makineden bilgi çaldığı ve dosyaları şifrelediği, kurbandan dosyalarının şifresini çözmesi ve çalınan bilgileri halka açıklamaması için para talep ettiği için çifte gasplı bir fidye yazılımıdır.
Grief fidye yazılımı ise Mayıs 2021’de Mississippi’de bir okul bölgesini vurdu. Kamuya açık bir rapora göre, Grief’in sızıntı sitesi, fidye yazılımı (ransomware) yazılımının dahili belgeler ve kişisel bilgiler de dahil olmak üzere 10 GB değerinde veri çaldığını belirtti. Ayrıca Washington eyaletindeki bir başka okul bölgesi ve Virginia’daki okulların da Grief tarafından saldırıya uğradığı bildirildi. GriefOrPay olarak da bilinen Grief fidye yazılımının, DoppelPaymer fidye yazılımının yeniden markalaşmış hali olduğu düşünülüyor.
DoppelPaymer, en az Temmuz 2019’danberi piyasada olan ve BitPaymer fidye yazılımı ailesinin bir üyesi. DoppelPaymer’dan Grief’e yeniden markalaşmanın nedeni açık olmasa da Colonial Pipeline olayından sonra nedeni belli oldu. Bir teoriye göre, yeniden markalaşmanın nedeni kolluk kuvvetlerinin dikkatlerini gruptan uzaklaştırmasıydı. Fidye yazılımı çeteleri, mağdurlardan yeterli para toplandıktan sonra adlarını, logolarını ve kayıtlarını değiştiren dolandırıcı şirketler gibi çalışır ve kolluk kuvvetlerinin istenmeyen ilgisini ve dikkatini başka yöne çeker. İzinsiz giriş taktikleri henüz belirlenmemiş olsa da, DoppelyPaymer yükünün Dridex botnet aracılığıyla dağıtıldığı düşünüldüğünde, Grief saldırısı dolaylı olarak spam e-postalara dayanıyor. Başka bir rapor, Grief bulaşmış bazı makinelerde Cobalt Strike’ın varlığını gösteriyor.
Grief aynı zamanda dosya şifresini çözmek için Monero kripto para biriminde fidye ödemeleri talep eden ve toplanan verileri serbest bırakmayan çifte gasp fidye yazılımıdır. Grief çetesi son zamanlarda taktiklerini bir üst seviyeye çıkardı. Yeni fidye mesajı, kurbanın kanun uygulayıcıları veya profesyonel bir fidye müzakerecisi ile temasa geçmesi durumunda, şifrelenmiş dosyaları kurtarmak için gerekli şifre çözme anahtarını silmekle tehdit ediyor. Bu, Grief’i fidye yazılımı olmanın yanı sıra bir wiper yazılım (Silecek, bulaştığı bilgisayarın sabit sürücüsünü silmeyi amaçlayan bir kötü amaçlı yazılım) haline getirir.
Bir rapora göre, fidye yazılımı saldırıları 2020 boyunca ABD’deki yaklaşık 1.800 okulu etkiledi ve 1,3 milyondan fazla öğrenciyi etkiledi. Bu süre zarfında fidyeler olay başına 10.000 dolardan 1 milyon doların üzerine çıktı ve eğitim kurumlarına ek 6.62 milyar dolarlık kesinti süresine mal oldu. Üniversitelere saldırmak, büyük işletmelere saldırarak elde edilebilecek büyük miktarda fidye parasıyla sonuçlanmasa da, birçok üniversite sistemi, devlet kurumları için iletişim bilgileri ve e-postaların yanı sıra değerli araştırma verilerini içerdiğinden, savunma sanayileri, ilaç laboratuvarları ve üniversite araştırmacılarından yararlanan diğer özel şirketlerden çalınan bilgiler finansal kazanç için kullanılabilir.
Bazı Fidye Yazılım (Ransomware) sağlayıcılarının, ortaklarını gerekli görülen sektörleri (gaz, petrol, hastaneler, nükleer santraller vb.) ve ayrıca devlet sektörlerini, askeri ve sivil toplum kuruluşlarını hedeflemekten hariç tutan bir kuralı olduğunun farkındayız. Bunlar çoğu eğitim sektörünün ait olduğu kar kuruluşlarıdır. Çoğunlukla, bu sektörler hedef alındığında çok az tolerans gösteren kolluk kuvvetlerinin yaptırımlarından kaçınmak istiyorlar.
FortiGuard Labs, eğitim sektörünü hedef alan en az 20 farklı fidye yazılımı enfeksiyon tespit etti. Bu enfeksiyonların çoğu, diğer ülkeleri büyük bir farkla geride bırakan Amerika Birleşik Devletleri’nde meydana geldi. Pysa ve Ryuk fidye yazılımı aileleri en yaygın olanlar, onları hemen yakından takip eden Grief ve Babuk fidye yazılımları. İlginç bir şekilde, REvil, Blackmatter, Lockbit, DarkSide ve Ragnar Locker gibi birçok kayda değer fidye yazılımı varyantının okulları hedeflediği tespit edilmedi. Bu kısmen, bazı fidye yazılımı gruplarının bağlı kuruluşlara dayattığı ve sağlık ve eğitim gibi belirli sektörlere saldırmalarını yasakladığı yukarıda belirtilen politika ile açıklanabilir.
Eğitim Sektörleriyle İlişkili Hasat Edilen E-posta Adresleri
FortiGuard Labs, alan adında “.edu” bulunan e-posta adresleri için bir OSINT kaynağından alınan listeleri de analiz etti. Mayıs ve Ağustos 2021 arasında 50 Eyalet ve bölgenin tamamındaki ABD eğitim kurumlarına ait 138.088 e-posta adresi toplandı. Hasat edilen e-postalar genellikle karanlık ağda (dark web) satılır ve gelecekteki saldırılar için kullanılabilir.
Eğitim Sektörlerinde IPS Tespiti
IPS algılama, kötü amaçlı yazılım yaygınlığına ilişkin bazı ilginç bilgiler sağlar. Vahşi doğadaki tüm fidye yazılımlarını tanımlamasa da hangi fidye yazılımlarının IPS sistemlerini tetiklediğini yakalar. Aşağıdaki tablolar, ABD’de ve dünya genelinde eğitim sektöründe 11 Ağustos ile 10 Eylül 2021 arasında tetiklenen ilk beş IPS algılamasını göstermektedir. Bu veriler, ABD’deki IPS algılama eğilimlerini dünyanın geri kalanındakilerle karşılaştırır. Bu filtrelenmemiş veriler, hangi siber saldırıların eğitim sektörlerini hedef aldığını gösteriyor.
Aşağıdaki tablolar, 11 Ağustos ile 10 Eylül 2021 tarihleri arasında eğitim sektöründeki kuruluşlar içinde tetiklenen ilk beş IPS imzasını göstermektedir. Rakamların benzersiz makineler için filtrelenmediğini, yani gerçek etkinin daha düşük olabileceği anlamına geldiğini unutmayın. Ancak bu veriler, eğitim sektörüne karşı son 30 gün içinde ne kadar tarama ve istismar girişimi yapıldığı hakkında hala istihbarat sağlıyor. Ayrıca bu saldırılar, bir saldırganın mutlaka bir eğitim kurumu içinde çalışan teknolojiyi hedef aldığı anlamına gelmez. Bu, eğitim sektörü ağlarında konuşlandırılmış IPS sistemleri tarafından tanımlanan ve engellenen saldırıların bir kaydıdır.
Şekil 1: ABD eğitim sektöründe gözlemlenen ilk 5 IPS tespiti (11 Ağustos – 10 Eylül 2021)
Şekil 2: Eğitim sektöründe dünya çapında gözlemlenen ilk 5 IPS algılaması (11 Ağustos – 10 Eylül 2021)
-NTP.Monlist.Command.DoS, NTP hizmetinde bir Hizmet Reddi güvenlik açığına karşı bir girişimi belirtir. İmza, CVE-2013-5211 ile ilişkilidir.
-Nmap.Script.Scanner, hedef sistemin hangi hizmetleri çalıştırdığını belirleyen ve bulgularına göre daha fazla saldırı gerçekleştiren bir Nmap komut dosyası motoru tarayıcısından yapılan bir tarama girişimini belirtir.
-SolarWinds.SUNBURST.Backdoor, ağda SUNBURST Backdoor C2 iletişiminin algılandığını gösterir. SunBurst, 2020’nin sonlarında, güvenliği ihlal edilmiş SolarWind’in Orion BT izleme ve yönetim yazılımı güncelleme sistemi aracılığıyla dağıtılan bir arka kapı programıdır.
-Liman. Tarama, hedeflenen sistemde hangi bağlantı noktalarının veya hizmetlerin kullanılabilir olduğunu belirleyen bir bağlantı noktası tarayıcısı tarafından yapılan bir taramayı algılar.
-Backdoor.DoublePulsar, DoublePulsar kötü amaçlı yazılımının varlığını veya RDP protokolü aracılığıyla bir tarama girişimi olduğunu gösterir. DoublePulsar, Mart 2017’de Shadow Brokers grubu tarafından NSA sızıntısının bir parçası olan ve Mayıs 2017’de WannaCry fidye yazılımı saldırısında kullanılan bir arka kapı truva atıdır.
-Qualys.Vulnerability. Tarayıcı, Qualys Güvenlik Açığı Tarayıcısı tarafından bir tarama girişimi algıladı. Saldırgan, hedeflenen sistemin hizmetlerini tanımlamak ve bulgularına dayanarak başka saldırılar gerçekleştirmek için tarayıcıyı kullanabilir.
Nmap.Scirpt.Scanner ve Port.Scanning Qualys.Vulnerability.Scanner, eğitim sektöründe düzenli suçlular gibi görünüyor. Sunburst arka kapı IPS imzalarının ABD’deki genel etkinliğin büyük bir yüzdesini oluşturduğunu görünce şaşırdık, ancak daha fazla araştırma, çoğu IPS algılamasının ABD’deki bir eğitim kuruluşuna ait olduğunu ortaya çıkardı.
Ancak, 11 Ağustos – 10 Eylül 2021 tarihleri arasında eğitim sektörleri tarafından en çok erişilen URL’lerden bazılarını araştırdığımızda, Backdoor.DouplePulsar, URL’leri, analizimiz sırasında Glupteba kötü amaçlı yazılımının türevlerine yol açtığı için daha anlamlıydı. Glupteba, Golang’da yazılmış çapraz platformlu bir truva atı türüdür ve öncelikle meşru web sitelerine veya reklam ağlarına enjekte edilen kötü amaçlı reklamlar yoluyla dağıtılır. Analizimiz, URL’lerden indirilen Glupteba varyantlarının, ABD Ulusal Güvenlik Ajansı (NSA) tarafından geliştirilen ve ShadowBrokers hack grubu tarafından 2017’de sızdırılan, kötü şöhretli bir EternalBlue açığını başlatmak için bir modül içerdiğini doğruladı.Bu istismar daha sonra kötü şöhretli Wannacry ve Petya değil saldırılarında kullanıldı. Kötü amaçlı URL’lerle iletişim kuran makineler Glupteba kötü amaçlı yazılımını indirmiş ve kurmuş olabilir. Glupteba daha sonra, ShadowBrokers tarafından açıklanan ve ek kötü amaçlı kodların yürütülmesini sağlayan bir arka kapı implantı olan DoublePulsar’ı dağıtmak için EternalBlue’dan yararlandı. Bu senaryo, Backdoor.DouplePulsar imzasının neden tetiklendiğine dair iyi bir açıklama sağlar. Tespit en çok, toplam Backdoor.DouplePulsar algılamalarının %70’ini oluşturan Brezilya, Güney Afrika ve Hindistan’da gözlendi.
Eğitim Sektöründe Botnet ve AV Tespitleri
Ardından, eğilimleri bulmak için ABD’de ve dünya çapında gözlemlenen Botnet etkinliklerini karşılaştırdık. Neredeyse senkronize oldukları ortaya çıktı. Engellenen saldırıları kaydeden IPS tetikleyicilerinin aksine, botnet algılamaları bir ağ içinde etkin botnet kötü amaçlı yazılımlarını gösterir. Mirai IoT botnet her iki bölgeye de liderlik ederken, onu Gh0st Rat ve Zeroaccess izledi. Birlikte, ABD ve küresel eğitim sektörlerindeki botnet faaliyetlerinin %50’sinden fazlasını oluşturuyorlar. Bu üç botnetin kötü amaçlı yazılım kaynak kodları hazır olduğundan, eğitim sektörü hem ciddi hem de acemi botnet saldırganlarının potansiyel hedefidir.
Şekil 3: ABD’deki Botnet etkinlikleri (11 Ağustos – 10 Eylül 2021)
Şekil 4: Dünya Çapındaki Botnet etkinlikleri (11 Ağustos – 10 Eylül 2021)
Aşağıdaki grafikler, 11 Ağustos- 10 Eylül 2021 tarihleri arasında ABD’de ve dünya genelinde eğitim sektöründe gözlemlenen ilk beş AV algılamasını göstermektedir. Bu veriler, o dönemde hangi kötü amaçlı yazılımların engellendiğini gösterir.
Şekil 5: ABD’de ve dünya genelinde gözlemlenen AV algılaması (11 Ağustos – 10 Eylül 2021)
Cryxos, ABD’de ve dünya çapında tetiklenen en yaygın kötü amaçlı yazılımdı. Bu kötü amaçlı JavaScript varyantı, genellikle sahte arama desteği dolandırıcılıklarıyla ilişkilendirilmekteydi. Kurbanın makinesinin ciddi sorunları olduğuna dair sahte bir uyarı gönderilir. Kurbana ayrıca, hassas verileri kaybetme riskiyle karşı karşıya kaldıkları için sahte bir düzeltme için destek araması talimatı verilir. Dolandırıcılar daha sonra ya bir kredi kartı ya da hediye kartları yoluyla bir ödeme isterler. Diğer yaygın saldırılar ise:
-W32/Swizzor!B.tr, yıllardır var olan eski bir Windows kötü amaçlı yazılımıdır. Kötü amaçlı yazılım, hedeflenen bir makinede istenmeyen reklamlar göstermek veya uzak dosyaları indirip yürütmek için tasarlanmıştır. Sonuç olarak, Swizzor bulaşmış bir cihaz, kötü amaçlı yazılımla ilişkili olduğu bilinen başka davranışlar (yani veri hırsızlığı) gösterebilir.
-JS/Miner.BP!tr, kullanıcının bilgisi olmadan kripto para madenciliği yapan kötü amaçlı bir javascripttir. Kurbanın makinesi daha yavaş performans ve daha yüksek elektrik kullanımı yaşayabilir.
-W32/Agent.DRI!tr.dldr, uzak dosyaları indirmek ve yürütmek için tasarlanmış bir tür truva atı kötü amaçlı yazılımıdır. Tıpkı Switzzor gibi, bu kötü amaçlı yazılımın bulaştığı bir makine de kötü niyetli davranışlar sergileyebilir.
-W32/RanumBot.X!tr, bir arka kapı açan ve Komuta ve Kontrol sunucusundan komut bekleyen bir Truva Atı türüdür. Davranışı, aldığı uzak komutlara bağlıdır.
Sonuç- Eğitim Sektörleri
Diğer endüstri sektörlerininde olduğu gibi, eğitim kurumları da siber saldırılara maruz kalmaktadır. Arka kapı enfeksiyonları (Backdoor infections), bir kurumun araştırma çabası için hayati önem taşıyabilecek bilgi sızıntılarına yol açar veya öğrencilerin, velilerin ve öğretim üyelerinin kişisel bilgilerinin çalınmasına neden olur. Halka açık bir saldırı, bağlı kuruluşları ve ortakları tarafından finansal kayıplara, markaların zarar görmesine ve inanç ve itibar kaybına yol açabilir. Daha da kötüsü, fidye yazılımı yalnızca savunmasız bir ağa karşı yerleştirilmez, aynı zamanda güvenliği ihlal edilmiş bir ağa erişim de karaborsada diğer fidye yazılımı çetelerine satılabilir.
Bu türdeki hemen hemen her araştırmadan elde edilen en kritik çıkarımlardan biri ise, suçluların mevcut yamalarla ezici bir şekilde bilinen güvenlik açıklarını hedef almasıdır. Bu, siber hijyeni birinci öncelik haline getiriyor. Benzer şekilde, kritik verilerin yedeklenmesi ihtiyacını yeniden ortaya çıkarıyor. Düzenli yedeklemeler uygulanmazsa veya düzgün yönetilmezse, etkilenen cihazları değiştirmek kurumlara yüz binlerce dolara mal olabilir. Bununla birlikte, bir kurban güvenli yedeklemelere ve mükemmel bir kurtarma planına sahip olsa bile, saldırganlar çalınan verileri sızdırmakla tehdit etmeye devam edecektir. Fidye ödenmezse, karanlık ağdaki her şeyi serbest bırakırlar. Bu nedenle, bekleyen tüm verilerin şifrelenmesi de dahil olmak üzere, fidye yazılımlarına karşı sağlam bir önleme ve kurtarma planına sahip olmak zorunludur.
Benzer şekilde, botnet’ler, saldırganın altyapısının bir parçası haline gelen kuruluşlar için dolaylı bir tehdittir. Saldırgan, bant genişliğini diğer taraflara karşı DDoS saldırıları başlatmak, yanal olarak diğer kurumlara geçmek veya kripto madenciliği veya diğer yasadışı amaçlar için hesaplama gücünden yararlanmak için kullanabilir. Sonuç olarak bu mağdurlar için üretkenlik ve gelir kaybına neden olacaktır.
Fortinet tarafından bu yılın başlarında yayınlanan “Eğitim Siber Güvenliğini Etkileyen Tehditler” başlıklı bir blogdaki şu ifadeyi daha fazla vurgulayamayız:
“Saldırıyı önlemeyle ilgili maliyet ve çabanın, başarılı bir saldırının sonuçlarıyla ilişkili maliyetten önemli ölçüde daha az olduğu yaygın bir bilgidir. Bu nedenle, eğitimde siber güvenlik ve ötesinde, kapsamlı siber güvenlik stratejilerine yatırım yapmak yalnızca hassas verileri ve altyapıyı korumakla kalmaz, aynı zamanda maliyetlerin düşürülmesine de yardımcı olabilir.”
Fortinet Korumaları ve Öneriler
FortiGuard Labs, bu blogla ilişkili kötü amaçlı yazılımlar için aşağıdaki AV kapsamına sahiptir:
W32/Ransom.REVIL!tr
W32/Ransom_Revil.R03BC0DHU20
W32/DarkSide.B!tr.ransom
W32/Darkside.AO!tr.ransom
ELF/Darkside.A9B5!tr.ransom
W32/Darkside.50B7!tr.ransom
W32/Darkside.B7D5!tr.ransom
W32/Filecoder.NYO!tr.ransom
W32/Zudochka.DLR!tr.ransom
W32/DoppelPaymer.BM!tr
PossibleThreat.PALLASNET.H
W32/PossibleThreat
W32/RanumBox.X!tr
W32/Agent.BMGF!tr.dldr
JS/Miner.BP!tr
W32/Swizzor.B!tr
JS/Cryxos.DEB1!tr
FortiGuard Labs’ın bu yazıyla ilgili kötü amaçlı yazılımlar için belirttiği IPS kapsamı:
Telerik.Web.UI.RadAsyncUpload.
Handling.Arbitrary.File.Upload
PHPUnit.Eval-stdin.PHP.Remote.
Code.Execution
Apache.Struts.2.Jakarta.Multipart.Parser
.Code.Execution
ThinkPHP.Controller.Parameter.Remote.
Code.Execution
Dasan.GPON.Remote.
Code.Execution
NTP.Monlist.Command DoS
Nmap.Script.Scanner
SolarWinds.SUNBURST Backdoor
Port.Scanning
Backdoor.DoublePulsar
Qualys.Vulnerability.Scanner
Mirai.Botnet
XcodeGhost
Andromeda.Botnet
Torpig.Mebroot.Botnet
Zeroaccess.Botnet
Backdoor.Cobalt.Strike.Beacon
Kaseya.VSA.Remote.
Code.Execution
Darkside.Botnet
Fortinet yapısı, aşağıdaki teknolojileri kullanarak eğitim kurumlarına uçtan uca koruma sağlayabilir:
FortiMail (kimlik avı saldırılarını ve kötü amaçlı ekleri engeller), Web Filtreleme (kötü amaçlı URL’leri engeller), FortiEDR (gerçek zamanlı ve bulut tabanlı koruma), FortiSandbox (tanımlayıcı ve bilinmeyen saldırıları önleme), FortiToken (çok faktörlü kimlik doğrulama) ve amaca dayalı segmentasyon (yanal hareketi önleme).
Kuruluşlar ayrıca, personeli en son kimlik avı/spearphishing teknikleri ve bunları nasıl tespit edip bunlara nasıl yanıt verecekleri konusunda eğitmek ve bilgilendirmek için tasarlanmış sürekli son kullanıcı eğitimleri yürütmeye şiddetle teşvik edilir. Bu, çalışanları tanımadıkları birinden gelen ekleri asla açmamaya ve tanınmayan/güvenilmeyen göndericilerden gelen e-postalara her zaman dikkatli davranmaya teşvik etmeyi içermelidir.
Sosyal mühendislik dağıtım mekanizmalarının bir parçası olarak birçok phishing ve spearphishing saldırısının gerçekleştirildiği bildirildiğinden, son kullanıcıların da şu anda kullanımda olan çeşitli saldırı türlerinden haberdar edilmesi gerekir. FortiPhish bulut tabanlı kimlik avı simülasyon hizmeti, kullanıcı farkındalığını ve uyanıklığını test etmek ve eğitim çabalarını geliştirmeye yardımcı olmak için gerçek dünyadan simüle edilmiş kimlik avı saldırılarını ve analizini kullanır. Kötü amaçlı ekleri veya bağlantıları olan e-postaların nasıl tespit edileceğine ilişkin düzenli eğitim oturumları, hazırlıksız testlerle birlikte kullanıcı farkındalığını artırır ve ağa ilk erişimin önlenmesine yardımcı olur.
Sıfır Güven Ağ Erişimi (ZTNA), her tür saldırı/tehdide yöneliktir:
-Saldırı Yüzeyini Azaltır—ZTNA, geleneksel VPN tarafından sağlanan ağ düzeyinde erişim yerine yalnızca özel olarak istenen uygulamalara erişime izin verir.
-Endpoint Security Compliance’ı Sağlar—Uç noktanın güvenlik ilkelerinizle uyumlu olduğundan (kritik güvenlik açıkları yok, yeterli güvenlik etkinleştirilmiş vb.) emin olmak için kontrol eder ve yalnızca uyumlu uç noktalara erişim izni verir.
-Kaynaklara erişen kullanıcıların ve cihazların “yetkili” olduğunu doğrular. Cihazları ve kullanıcıları oturum bazında tanımlar ve bu bilgileri uygulama erişimi için daha akıllı kararlar vermek için kullanır (Bu cihazın bu uygulamaya erişmesine izin verilmeli mi? Bağlantı xyz coğrafi konumundan mı? Peki ya mesai sonrası?). Yerel ağa bağlı oldukları veya etki alanının bir parçası oldukları için tüm uç noktaların tüm kaynaklara erişimi olmamalıdır.
Segmentasyon – kötü amaçlı yazılımın yanal hareketini önleyerek, tehlike durumunda maruz kalmayı azaltır.