Bağlantılı cihazlarla ilgilenen güvenlik ekipleri genellikle gece boyunca uzun ürün yazılımı taramaları yürütüyor, sabahları ilerlemeyi kontrol ediyor ve iş arkadaşlarına tek bir görüntünün neden bir iş günü hesaplama süresi harcadığını açıklamaya çalışıyor. Bu rutin, EMBA aygıt yazılımı analiz aracının farklı ortamlarda çalışırken nasıl davrandığını inceleyen yeni bir araştırma makalesinin bağlamını oluşturuyor.
Çalışma, yerel bağımsız bir sistemdeki ve bir Microsoft Azure sanal makinesindeki EMBA dağıtımlarını inceliyor. Düzenli güvenlik çalışmasının bir parçası olarak ürün yazılımı analizine güvenen uygulayıcılar için önemli olan yürütme süresi, tekrarlanabilirlik, maliyet ve operasyonel özelliklere odaklanır.
Araştırmacıların ölçmek için yola çıktıkları şey
Yazarlar araştırmayı güvenlik ekiplerinde sıklıkla ortaya çıkan pratik bir soru etrafında tasarladılar. Dağıtım seçimlerinin, Nesnelerin İnterneti ürün yazılımı analizi için EMBA kullanmanın günlük deneyimini nasıl şekillendirdiğini anlamak istediler.
Deneyler, ortamlarda aynı EMBA yapılandırmalarını kullandı. Aynı donanım yazılımı örnekleri yerel sistemlerde ve bulutta çalışıyordu. Modül davranışında ve yürütme modellerinde zaman içinde meydana gelen değişiklikleri yakalamak için birden fazla EMBA sürümü dahil edildi. Her çalıştırma için tarama süresi, sistem kaynağı kullanımı ve bulgu sayısı kaydedildi.
Çalışmada, çoğu EMBA modülünü tetikleme yetenekleri nedeniyle seçilen küçük bir ürün yazılımı görüntüsü seti kullanıldı. Bu seçim, araştırmacıların çıkarma, statik analiz ve dinamik kontroller boyunca uzun süren davranışları gözlemlemesine olanak tanıdı.
Uygulama süresi ve pratikte tekrarlanabilirlik
Makalenin araştırdığı ana alanlardan biri yürütme süresidir. Ürün yazılımı taramaları, özellikle orta ve büyük boyutlu görüntüler için genellikle saatlerce sürer. Araştırmacılar tutarlılığı ölçmek için tarama sürelerini ikinci ve tekrarlanan çalışmalara kadar takip ettiler.
Aynı platformda tekrarlanan uygulamalar neredeyse aynı çalışma süreleri ve bulgular üretti. Bu davranış, test etme, doğrulama veya araştırma çalışmaları sırasında tekrarlanabilir sonuçlara dayanan ekipler için önemlidir. Ayrıca taramaların zaman içinde aynı ayarlarla yeniden çalıştırılması gereken ortamlarda EMBA’nın kullanımını da destekler.
Veriler ayrıca aygıt yazılımı boyutunun tek başına tarama süresini açıklamadığını gösteriyor. İç yapı, sıkıştırma ve gömülü bileşenler, bireysel modüllerin çalışma süresini etkiledi. Bazı küçük görüntüler, özellikle derin inceleme aşamalarında uzun analiz adımlarını tetikledi.
Araştırma ortak yazarı, UTSA Carlos Alvarez İşletme Fakültesi’nde Araştırma Bilimcisi Asistanı olan Kenan Sansal Nuray, Help Net Security’ye sonuçların daha bilinçli bir tarama planlamasına ihtiyaç duyulduğunu gösterdiğini söyledi. EMBA davranışının ürün yazılımı görüntülerinin dahili düzenini takip ettiğini açıkladı. Alışılmadık veya son derece özelleştirilmiş donanım yazılımı için ekiplere, dosya sistemi tanımlama ve paket açma doğrulaması gibi yapısal keşifle başlamalarını tavsiye etti. Erken yapısal içgörü, bilinçli modül seçimini destekler ve ekiplerin, alışılmadık düzenlerle ürün yazılımındaki analiz süresini yönetmesine yardımcı olur.
Uygulayıcı bakış açısıyla bulut dağıtımları
Azure sanal makine kurulumu, güvenlik ekipleri tarafından kullanılan ortak bir modeli izledi. Örnek, çekirdek sayısı ve bellek açısından yerel sistemle eşleşti. Ubuntu, EMBA rehberliğine uygun olarak kullanıldı.
Bulut yürütme, sanallaştırmaya, disk erişimine ve paylaşılan altyapıya bağlı çalışma zamanı modellerini gösterdi. Bazı ürün yazılımı taramaları, hangi modüllerin çalışma süresine hakim olduğuna bağlı olarak beklenen pencerelerde tamamlandı. Bazı modüller, kaynak koda dönüştürme ve kalıp eşleştirmeyle ilgili uzun yürütme süreleri gösterdi.
Araştırmacılar ayrıca tarama süresine bağlı bulut maliyetlerini de takip etti. Makale, sınırlı sayıda tarama için birkaç yüz dolarlık kullanım ücreti bildiriyor. Bu bilgiler, güvenlik yöneticilerine analiz iş yüklerini planlarken somut bir referans noktası sağlar.
Nuray, bulut tabanlı EMBA dağıtımlarının büyük ölçekli tarama faaliyetlerine çok iyi uyduğunu söyledi. Bulut yürütmeyi birçok cihaz yazılımı görüntüsünde paralel analiz için pratik bir seçenek olarak tanımladı. Yerel sistemlerin, ekiplerin yürütme koşulları ve tekrarlanabilirlik üzerinde sıkı kontrole ihtiyaç duyduğu durumlarda ayrıntılı araştırmayı desteklediğini ekledi.
Bağımsız sistemler ve operasyonel kontrol
Yerel bağımsız sistemler kontrollü bir ortam sağladı. Donanım kaynakları tüm çalıştırmalarda tutarlı kaldı ve ürün yazılımı dosyaları süreç boyunca yerel depolamada kaldı. Bu kurulum tekrarlanabilir testleri ve basitleştirilmiş veri işlemeyi destekler.
Çalışma, tekrarlanan taramalar sırasında öngörülebilir yürütme davranışını açıklamaktadır. Modül zamanlaması çalıştırmalar boyunca sabit kaldı ve bu da ekiplerin tarama pencerelerini ve sistem kullanılabilirliğini planlamasına yardımcı oldu. Makalede ayrıca tek seferlik bir donanım yatırımının, kullanıma dayalı faturalandırma olmadan devam eden analizi desteklediğine dikkat çekiliyor.
Bağımsız sistemler hâlâ bakım, depolama planlaması ve sistem güncellemeleri gerektirir. Araştırma, bu etkinlikleri, güvenlik ekiplerinin halihazırda diğer araçlar için yönettiği rutin operasyonel sahipliğin bir parçası olarak çerçeveliyor.
Modül düzeyinde davranış önemlidir
Bazı modüller her iki ortamda da toplam tarama süresinin önemli bir kısmını tüketiyordu. Kaynak koda dönüştürme, derin çıkarma ve metin arama, çalışma zamanına büyük ölçüde katkıda bulundu.
Diğer modüller hızla tamamlandı ve platformlar arasında benzer zamanlama kalıpları gösterdi. Araştırmacılar bu davranışı aygıt yazılımı yapısı ile modül tasarımı arasındaki etkileşim olarak tanımlıyor. Bu etkileşim, genel tarama davranışını şekillendirir ve ürün yazılımı özelliklerine göre analiz profillerinin ayarlanmasına yönelik fırsatlara işaret eder.
Ürün yazılımı analiz çalışmasını planlamak için araştırmayı kullanma
Araştırma, dağıtım seçimini iş yükü hacmine, bütçe tahminine ve veri işleme tercihlerine bağlı bir operasyonel planlama kararı olarak konumlandırıyor. EMBA, yapılandırmanın aynı kaldığı ortamlarda tutarlı bulgular üretti. Uygulama özellikleri aracın nerede ve nasıl çalıştığını yansıtıyordu.
Nuray, her iki ortamı birleştiren hibrit bir analiz modeli tanımladı. Bu yaklaşımda bulut altyapısı, büyük ürün yazılımı kümelerinde ilk önceliklendirmeyi ve toplu taramayı destekler. Seçilen görüntüler daha sonra daha derin doğrulama ve takip analizi için yerel sistemlere taşınır. Bu modelin yerleşik donanım yazılımı güvenlik iş akışlarıyla uyumlu olduğunu ve araştırma derinliğinden ödün vermeden ölçeği desteklediğini söyledi.
Ürün yazılımı analizi yapan güvenlik ekipleri genellikle taramaların planlanandan daha uzun sürdüğü veya sonuçların beklenenden daha geç ulaştığı anlardan en iyi şekilde yararlanır. Bunun gibi çalışmalar, ekiplerin analiz çalışmasının nereye ait olduğu ve nasıl organize edileceğine dair sorular sormaya başladığı anlarda ortaya çıkma eğilimindedir.