[By Oren Dvoskin, Director of Product Marketing at Morphisec]
Küresel siber güvenlik pazarı yükselmeye devam ediyor ve siber suçluların giderek daha karmaşık ve etkili hale gelmesinin haklı bir nedeni var. Aslında günümüz suçlularının gelişmişliğinin, saldırdıkları savunma sistemlerinin evrimini çok geride bıraktığını söylemek yanlış olmaz.
Bu uyumsuzluğun harika bir örneği, modern savaş alanı saldırılarını gerçekleştiren kötü amaçlı yazılımların patlamasıdır. Bu saldırılar ilk olarak 2010’ların ortasında ortaya çıkmaya başladı, ancak son yıllara kadar faaliyetlerde bir artış yaşandı; son Aqua Nautilus araştırması, 2023’te modern savaş alanı saldırılarında %1.400’lük bir artış olduğunu gösteriyor. Bu şaşırtıcı bir rakam. Çoğu güvenlik ekibinin bu saldırıları tespit etmek ve azaltmak için algılamaya dayalı çözümlere güvendiğini düşündüğünüzde endişelenmek için haklı nedenleriniz var.
Tespit Tabanlı Çözümler Kısa Sürede Ortaya Çıkıyor
Uç nokta koruma platformları (EPP), uç nokta algılama ve yanıt (EDR/XDR) ve antivirüs (AV), kötü amaçlı yazılımların yürütülebilir dosyalara dayandığı durumlarda etkilidir. Bunun nedeni, saldırı modelleri ve imzalar gibi geride bırakılan kanıtların ekiplerin onları tanımlamasına yardımcı olmasıdır. Ancak günümüzde, saldırı zincirlerinin çalışma zamanı sırasında cihaz belleğini giderek daha fazla hedef almasıyla birlikte, tespit edilecek imzalar veya analiz edilecek davranış kalıpları artık mevcut değil. Bu, geleneksel defans oyuncularının görünürlüğünün sınırlı kalmasına neden oluyor. Bu tehditlerin kanıtlarının zamanla ortaya çıkabileceği doğrudur, ancak o zamana kadar savunmacıların bir şey yapması için genellikle çok geç olur.
İçeri girmek Modern Siber Savaş Alanı Saldırılar
Modern siber savaş alanı saldırılarına daha az aşina olanlar için, ilişkili dosyalarla birlikte veya bunlar olmadan kurulabilirler ve tercih ettikleri operasyon alanı, son kullanıcının bir uygulamayı başlatıp kapattığı çok özel bir şeritte yer alır. Saldırganların bu alanı hedeflemesinin nedeni, bir uygulamanın çalışma zamanı sırasında cihaz belleğinde meydana gelen olayların çoğunlukla savunucular tarafından görülmemesidir.
Bu görünmezliği anlamak için, bir güvenlik çözümünün bir uygulamayı kullanımdayken nasıl taramaya çalışabileceğini düşünün. Devam eden bir saldırıyı yakalamak için doğru tetikleme işlemlerini dinlerken ve kötü amaçlı kalıpları bulurken, uygulamanın kullanım ömrü boyunca cihaz belleğini birden çok kez taraması gerekir. Bu çok göz korkutucu gelmeyebilir ancak bunu 1000 veya daha fazla çalışanı olan bir kuruluşa ölçeklendirmeyi deneyin.
Tipik bir uygulamanın çalışma zamanı ortamında 4 GB sanal bellek bulunabilir. Bu miktardaki veriyi etkili bir şekilde VE sık sık taramak, uygulamayı kullanılamaz hale getirecek kadar yavaşlatacaktır. Bunun bir kuruluşun üretkenliğini veya kârlılığını nasıl etkileyeceğini düşünün.
Bu bizi, belirli bellek bölgelerini belirli zamanlarda ve belirli parametrelerde inceleyen bellek tarayıcılarıyla baş başa bırakıyor. Günün sonunda ekipler içgörü kazanabilir ancak bu, uygulama belleğinin yüzde üç ila dörtüyle sınırlı olacaktır. Olabilir diyorum çünkü modern savaş alanı tehditleri sıklıkla tespit edilmelerini zorlaştıran şaşırtma tekniklerinden yararlanıyor. Artık tek samanlıkta tek iğne bulma zorluğu, 100 samanlıkta tek iğne bulmaya kadar varıyor.
Ve bu saldırıların aynı zamanda çoğu çözümün devam eden saldırıları tespit etmek için kullandığı kancaları atlattığı veya kurcaladığı gerçeğine bile değinmedim. Bu, saldırganların uzun süreler boyunca tespit edilmeden kalmasına olanak tanır; uzaktan erişim truva atı (RAT), bilgi hırsızı ve uygulama belleğini kullanan yükleyici, ağda ortalama 11 gün kadar kalır. RAT’lar ve bilgi hırsızları gibi gelişmiş tehditler için bu rakam 45 güne yakındır.
Modern Savaş Alanının Birçok Yüzü
Modern siber savaş alanı tek bir tehdit türünden fazlasını barındırır; bu, çok çeşitli sonuçlara yol açan saldırı zincirlerinin bir özelliğidir. Örneğin, fidye yazılımının mutlaka bellek çalışma zamanı saldırılarıyla ilişkili olması gerekmez. Ancak fidye yazılımını dağıtmak için tehdit aktörlerinin genellikle ağlara sızması ve ayrıcalıkları yükseltmesi gerekir. Bu işlemler çalışma zamanında bellekte gerçekleşme eğilimindedir.
Bu tehditler yalnızca Windows sunucuları ve aygıtlarındaki bellek işlemlerini de hedef almıyor. Linux’u hedef alıyorlar. Örneğin, Cobalt Strike’ın kötü amaçlı bir sürümü, tehdit aktörleri tarafından özellikle Linux sunucularına karşı kullanılmak üzere oluşturuldu. Linux’un sanallaştırma platformlarına ve ağ sunucularına güç sağlamak için kullanıldığı finans gibi sektörlerde, saldırılarda şiddetli bir artış yaşandı. Saldırılar genellikle bilgi hırsızlığı ve veri şifrelemeye zemin hazırlamak için bellekteki iş açısından kritik sunucuları tehlikeye atar.
Modern Siber Savaş Alanı Çılgınlığını Durdurmak
İşletmelerden devlet kurumlarına ve aradaki her şeye kadar önemli olan, çalışma zamanı sırasında uygulama belleğine yönelik tehditleri durdurmaya odaklanmaya başlamaktır. Yalnızca tespite odaklanmak iyi bir şey değil. Bunun nedeni, modern siber savaş alanının ve dosyasız kötü amaçlı yazılımların aslında görünmez olması ve korunan varlıkları çevreleyen bir kale duvarı inşa eden ve kötü amaçlı etkinliklerin tespit edilmesine dayanan geleneksel güvenlik tekniklerinin size hiçbir faydası olmayacağıdır.
Kanıtlanmış yanıtlardan biri, bellekten ödün verilmesini ilk etapta önleyen bir güvenlik katmanı içeren Derinlemesine Savunma’dır. Teknoloji seçeneklerinden biri Otomatik Hareketli Hedef Savunmasıdır (AMTD). AMTD’yi bu kadar etkili kılan şey, gelişmiş tehditlerin bile nüfuz edemeyeceği dinamik bir saldırı yüzeyi oluşturmasıdır. Bunun nedeni AMTD’nin çalışma zamanı sırasında uygulama belleğini, API’leri ve diğer işletim sistemi kaynaklarını değiştirmesidir. Bunu uygulamalar kullanılırken performans üzerinde hiçbir etkisi olmadan yapar.
Bunu ev güvenliği açısından düşünün. AMTD, hırsızları dışarıda tutmak için sürekli olarak bir evin kapılarını (ön, arka, bodrum – adını siz koyun) hareket ettirirken aynı zamanda sahte kapıları da arkalarında bırakır. Bu sahte kapılar, kötü amaçlı yazılımları adli analiz için tuzağa düşüren şeydir. Bir hırsızın gerçek bir kapı bulması durumunda geri döndüğünde kapı orada olmayacaktır. Sonuç olarak aynı uç noktaya veya başka bir uç noktaya yapılan saldırıyı yeniden kullanamazlar.
Artık AMTD teknolojisi, saldırıları gerçekleştikten sonra tespit etmek yerine, diğer tespit tabanlı çözümlerin yapamadığını yapıyor; herhangi bir imzaya veya tanınabilir davranışa ihtiyaç duymadan saldırıları proaktif olarak engelliyor ve bunu yaparak Modern Battlefield saldırılarını tarih haline getiriyor.
Oren T. Dvoskin, Ürün Pazarlama Direktörü, Morphisec
Oren T. Dvoskin, Morphisec’te Ürün Pazarlama Direktörüdür ve Otomatik Hareketli Hedef Savunması tarafından desteklenen uç nokta koruması sağlar. Morphisec’e katılmadan önce Oren, OPSWAT’ta OT ve Endüstriyel Siber Güvenlik pazarlamasından sorumlu Başkan Yardımcısıydı ve şirketin OT ve ICS güvenlik çözümleri portföyünü yönetiyordu. Oren daha önce siber güvenlik, sağlık hizmetleri ve tıbbi cihazlar alanlarında pazarlama ve iş liderliği pozisyonlarında görev almış olup, daha önce yazılım Ar-Ge alanında kapsamlı bir kariyere sahipti. Dvoskin, Technion – İsrail Teknoloji Enstitüsü’nden MBA derecesine ve bilgisayar bilimleri alanında lisans derecesine sahiptir ve İsrail Savunma Kuvvetleri MAMRAM programlama kursundan mezun olmuştur.
Reklam