Siber güvenlik tedarikçisi WithSecure, sanal alan test ortamını daha erişilebilir hale getirdiği varsayılan yeni geliştirilmiş bir teknolojinin pilot uygulamasını yapıyor ve fidye yazılımı için etkili bir şekilde “geri al düğmesi” bulduğunu iddia ediyor.
Bu özelliği zaten Sunucular için Elements Endpoint Protection ürününe dahil etmiş olan Helsinki merkezli firma, Activity Monitor adlı teknolojinin kötü amaçlı yazılımların neden olabileceği zararı hızlı ve kolay bir şekilde geri alabileceğini söylüyor.
Siber güvenlik bağlamında, korumalı alanlar, analistlerin ve araştırmacıların, sistemleri veya verileri nasıl etkilediğini ve zararlı olup olmadığını görmek için bilinmeyen kodları çalıştırabilecekleri test ortamlarıdır. Ağdaki diğer sistemlerden izole oldukları için bu oldukça güvenli bir şekilde yapılabilir.
Bununla birlikte, WithSecure baş araştırmacısı Broderick Aquilino’ya göre, geleneksel korumalı alan ortamları, kullanışlı olmalarına rağmen, bazı sınırlamaları da beraberinde getiriyor. “Bir korumalı alan tarafından sağlanan analiz, kötü amaçlı yazılımın davranışının çok kapsamlı bir resmini gösteriyor, ancak çok fazla kaynak tüketiyor ve bu da kullanımlarını sınırlıyor” dedi. “Activity Monitor ile, korumalı alanların nasıl çalıştığından ziyade sağladığı yetenekleri yeniden oluşturarak bu sınırlamaların üstesinden geldik. Artık bu yetenekleri daha fazla kuruluşa getirebilecek koruma mekanizmaları oluşturabiliriz.”
Yalıtılmış bir ortamda şüpheli kod çalıştırmak yerine, Activity Monitor bunun yerine önce sistemlerin ve verilerin seçici yedeklerini oluşturur ve ardından oturumu izlerken kodun üzerinde çalışmasına izin verir.
Bu noktada zararlı olabilecek değişiklikleri tespit ederse, oturumu kod yürütülmeden önceki durumuna döndürmek için yedeklerini kullanmadan önce işlemleri engeller.
WithSecure, bu yöntemle, fidye yazılımı bulaşmalarını herhangi bir veriyi yürütmeden ve şifrelemeden önce etkili bir şekilde durduran bir araç sunabileceğini söyledi. Doğruysa, bu, kuruluşlara milyarlarca sterlin tasarruf sağlayabilir.
Aquilino şunları ekledi: “Arka uçta kullandığımız korumalı alan yaklaşımını kopyalamaya çalışıyorduk, ancak bunu uç noktalar için kullanıyoruz. Korumalı alan, test edilmemiş kodu izole ederek ve yürütülmesine izin vererek çalışır; bu, şüpheli kodun çevreyi riske atmadan ne yapacağını anlayabileceğiniz anlamına gelir. Ancak bu zaman alır ve bu nedenle uç noktalar için pek uygun değildir çünkü gecikme kullanıcılar tarafından çok fark edilir. Bir kullanıcı bir dosyayı çalıştıracak ve ardından sonucu almak için birkaç dakika beklemesi gerekecektir.
“Bu durumda, bir sanal alan oluşturmaya çalıştık, ancak uç noktada” dedi. “Zayıf kullanıcı deneyimini ele almak için, dosyaları ve her şeyi şifrelemesine izin vererek sistemde çalışmasına izin vermeye karar verdik. Sonra bu geri alma özelliğini bulduk, böylece dosyaların şifrelendiğini görüyoruz, ardından geri alma işlemini kullanıcının herhangi bir etkileşimi olmadan otomatik olarak yapıyoruz ve yürütülen dosyayı siliyoruz.”
Hizmeti dağıtan bir son kullanıcı için Activity Monitor, Elements teklifinde açılabilen bir özellik olarak gelecek. Etkinleştirildiğinde, kullanıcının Windows Sunucusundaki tüm paylaşılan klasörleri otomatik olarak keşfedecektir – yöneticiler isterlerse seçilen klasörleri hariç tutmayı seçebilirler – ve ardından arka planda sessizce çalışmaya başlarlar. Etkili bir şekilde, dedi WithSecure, bir fidye yazılımı dolabı dosyalarınızı şifrelemeye çalışmadığı sürece bunu fark etmeyeceksiniz.
Activity Monitor’ün rapor ve normal olmak üzere iki modu vardır. Rapor modunda, fidye yazılımı çalıştırıldığında yönetici bilgilendirilecek, ancak geri alma özelliği otomatik olarak devreye girmeyecek; bu, sistemlerde yapılan meşru değişikliklerin yanlışlıkla geri alınmasını durduracak hızda bir korumadır. Normal mod açıksa, Activity Monitor otomatik olarak şifreleme işlemini geri alır ve yönetici iki bildirim görür; önce bir fidye yazılımı çalıştırmaya çalıştı, ardından kısa bir süre sonra sistem başarılı bir şekilde önceki durumuna geri yüklendi.
Bununla birlikte, WithSecure Intelligence başkan yardımcısı Paolo Palumbo, Activity Monitor’ün fidye yazılımlarını durdurmanın ötesinde bir potansiyele sahip olabileceğini söyledi. “Bu yaklaşım, çok güçlü algılama yeteneklerini daha verimli hale getirerek yeni şekillerde kullanılabilmelerini sağlıyor” dedi.
“Verimlilik, çözümlerimizin kuruluşlara işlerini yapmalarını veya iş hedeflerini gerçekleştirmelerini engellemeden pratik, etkili koruma sağlamasını sağlamak için güvenlik açısından çok önemlidir. Ve bu teknolojiyi kullanarak yeni uygulamalar ve özellikler geliştirirken, müşterilerimiz için daha iyi, daha verimli savunma mekanizmaları sağlamasını bekliyoruz.”
Activity Monitor’ü üreten araştırma, “bir dizi yeni ve entegre araç ve hizmetten oluşan bütüncül ve etkili bir dijital güvenlik ve gizlilik çerçevesi sağlama” misyonuna sahip TRUST aWARE projesi tarafından desteklenmiştir ve finansman Avrupa Birliği’nin aracılığıyla aktarılmıştır. (AB’nin) Horizon 2020 araştırma ve yenilik programı.