İmza tabanlı tehdit tespitinin geleneksel uygulamasının bulut güvenliği zorlukları için iyileştirilmesi gerektiği giderek daha belirgin hale geliyor.
Bu Help Net Security videosunda, RAD Security CTO’su Jimmy Mesta, çalışma zamanında açık kaynaklı görüntü davranışının davranışsal parmak izlerini oluşturmak için önerilen yeni bir standardı tartışıyor.
İmza tabanlı tehdit tespitinin artık uygulanabilir olmamasının nedenleri sayısızdır:
Çok fazla yanlış pozitif! İmza tabanlı tespit çözümünüz DataDog aracınızı kaç kez işaretledi? Ve potansiyel bir güvenlik açığına sahip bir pod ölçekte dağıtıldığında, bu güvenlik açığının ortamınızda aynı sıklıkta tekrarlandığını görüyorsunuz, değil mi?
Durumsuz uyarılar: İmzalar durumsuz uyarılar oluşturur. Örneğin, bir kapsayıcıdaki bir kabuğun her başarılı oluşumu için uyarı alabilirsiniz. Peki ya bunu olayın meydana geldiği ad alanına ve dahil olan kimliğe bağlamak isterseniz? İmza tabanlı teknolojiler genellikle bu meta verileri doğrudan çekirdekten toplar ve bu da performans sorunlarına neden olur.
Yeni saldırıları tespit edin: Tanımı gereği, bir imza bilinen bir saldırı için yazılır, bu nedenle yeni bir saldırı durumunda, bir imza için gecikme en iyi ihtimalle günler veya bazı durumlarda haftalar olabilir. Ancak imzayla bile, yalnızca bazı istismar yollarını kapsıyor veya sıfırıncı günün istismar edilebileceği bağlamı belirliyor olabilirsiniz, bu nedenle saldırı ve tüm istismarları tam olarak anlaşılana ve imzalar eşleşene kadar kullanışlılığı sınırlıdır.