by Murat Songür (Kıdemli Satış Mühendisi ve Güvenlik Danışmanı)
Kurumsal yapıların tüm iş akışlarının bilişim ile yapıldığı günümüzde, sayısal ortamlarda üretilen bilgiler kurumların en önemli varlığı haline geldi. Yine bilişim imkanları kullanarak bu bilgileri ele geçirmek ve bu bilgileri pazarlayarak kazanç elde etmek de siber suçlular adını verdiğimiz kitlenin ana uğraşı durumunda. Daha önce amacı yaygın kitlelere zarar vererek adlarını duyurmak olan siber suçlular bu nedenle artık daha az göze çarpan ve etkiledikleri sistemden olabildiğince çok veri çıkaran zararlı yazılımlar geliştirme yolunu seçtiler.
Seçilen bu yol bilgi güvenliği ile uğraşanları yeni bir bakış açısına yönlendirmek zorunda. Daha önce bilgi güvenliği sağlamak standart bazı disiplinleri izlemekle yapılabiliyordu. Güvenlik duvarlarında belirli iletişim kuralları tanımlanıyor, zararlı web sitelerine erişim, zararlı e-postaların filtrelenmesi ağ geçitleri üzerinde yapılıyor, saldırı önleme sistemleri tanıdıkları ağ paketlerine karşı önlemler alıyor, en son olarak da antivirüs yazılımları uç noktalara gelen trafikte imza veri tabanlarında zararlı olarak belirtilen kodlara karşı gerekli eylemleri uyguluyorlardı. Tüm bu eylemlerde ortak nokta gelen saldırının “bilinen” olması üzerine dayanıyor. Oysa saldırganlar artık bilinmemek üzerine kuruyor oyunlarını.
Bu bakış açısı ile kurumların kendilerini hedefleyen “özel saldırı”lara karşı önlem almaları gerekiyor. Trend Micro olarak “özel bir saldırı özel bir savunma gerektirir” sloganımız ile Trend Micro Deep Discovery çözüm ailemiz ile kurumların karşı karşıya oldukları hedefli saldırılara karşı çözümler üretiyoruz.
Trend Micro Deep Discovery aslında tek bir ürün değil, Inspector ve Advisor adlı iki modelden oluşan bir ürün ailesi. Bu ailenin en yaygın bilinen üyesi Deep Discovery Inspector ürünü. Özel saldırılara karşı savunmada temel bileşen olarak kullanılan Deep Discovery Inspector ağ trafiği denetimi, gelişmiş tehditlerin tespiti ve gerçek zamanlı analiz ve raporlama sağlayarak gelişmiş ve hedefe odaklı tehditlere karşı koruma sağlıyor.
Deep Discovery Inspector kurumsal internet bağlantısını güvenlik duvarının iç bacağından hem gelen hem de giden internet trafiğinin aynalanması ile dinleyecek şekilde konumlandırılıyor. Deep Discovery Inspector seçime göre fiziksel ya da sanal adanmış sunucu biçeminde kullanılabilmekte. Deep Discovery Inspector üzerinde üç katmanlı bir saldırı tespit mimarisi yer almakta. İlk katmanda, Gelişmiş Tehdit Tarama Motoru (Advanced Threat Scan Engine), Ağ İçerik Denetleme Motoru (Network Content Inspection Engine) ve URL Filtreleme Motoru (URL Filtering Engine) ile internet trafiği üzerinde bulunan zararlı bileşenler tespit ediliyor.
Daha sonra devreye tamamı ile özelleştirilebilen bir kum havuzu (sandbox) sanal makine üzerinde hem anında oluşan hem de zaman, sistem ayar değişikliği gibi çeşitli parametrelerle daha sonra tetiklenerek oluşması muhtemel olaylar gözlemleniyor. Sanal Çözümleyici (Virtual Analyser) ile bu olaylar arasında ilişkisel bağlantılar kuruluyor.
Son olarak Ağ İçerik İlişkilendirilme Motoru (Network Content Correlation Engine) ile hem ilk katman hem de sanal çözümleyici üzerinde oluşan olayların ilişkilendirilmesi sağlanıyor. Bu şekilde kurum ağ trafiği üzerinde oluşan olayların bir bütün olarak analiz edilmesi sağlanıyor. Deep Discovery Inspector’ı benzersiz kılan özelliklerin tümü, çözümün kuruma özel olması noktasına odaklanıyor. Deep Discovery Inspector sadece internet trafiği, e-posta gibi klişeleşmiş saldırı kanallarına odaklanmakla kalmayıp içlerinde IRC, MSN vb. protokollerin de bulunduğu 80’in üzerinde ağ protokolünü tek bir cihaz üzerinde analiz etme yeteneğine sahip. Sanal Çözümleyici üzerinde kullanılan işletim sistemi tamamı ile özelleştirilebiliyor; bu sayede yerel dil kullanan bir işletim sistemi üzerinde kuruma ait özel yazılımların bulunduğu bir makine üzerinde oluşması muhtemel güvenlik olayları gözlemlenebiliyor.
Deep Discovery Inspector sadece analiz ile kısıtlı bir ürün değil. Kurum ağında zararlı yazılım bulaşmış makinelerin komuta kontrol sunucularına ulaşımı TCP Reset ile engelleniyor. Ayrıca Deep Discovery çözümünün bir bileşeni plan Threat Mitigator ile söz konusu makinelerin zararlı yazılımlardan arındırılması da sağlanabiliyor.
Deep Discovery Inspector 100 Mbps’den 1 Gbps’ye kadar olan ağ trafiği kapasitelerine göre sanal ya da fiziksel adanmış sunucu biçeminde konumlandırılabiliyor. 2013 yılı içinde daha yüksek kapasiteli modellerin de çıkmasını bekliyoruz. Tek başına bir Deep Discovery Inspector cihazı bile gelişmiş ve hedefe odaklı saldırılara karşı kuruma özel bir savunma mekanizması oluşturmada oldukça etkim bir çözüm. Ancak daha kapsamlı bir analiz senaryosu gündeme geldiğinde Trend Micro olarak Deep Discovery Advisor çözümü gündeme geliyor.
Deep Discovery Inspector ile tek bir sanal makinenin üzerinde analiz edilen olaylar Deep Discovery Advisor ile kurumsal yapının komple analizi noktasına taşınabiliyor. Çoklu kum havuzu makineleri ile kurumun iç yapısını birebir taklit eden bir kum kalesi (sandcastle) sistemi oluşturulabiliyor ve bu yapı Tehdit Çözümleyici ile daha derinlemesine inceleniyor. Bu sayede hem farklı rollerde farklı bileşenlere sahip sistemlerin üzerinde oluşması muhtemel olaylar, bu sistemlerde oluşan olaylar arasındaki ilişkiler ve sistemde bulunan dosyaların barındırabileceği tehditler gözlemlenip raporlanabiliyor. Deep Discovery Advisor ile de amaçlanan kuruma özel geliştirilecek saldırıların kuruma özel bir ortam kullanılarak tespit edilmesi ve buna uygun önlemlerin alınması.
Kurumların kendilerine özel olarak hazırlanan gelişmiş ve hedefe odaklı saldırılara karşı kendilerine özel bir savunma yapısı oluşturmalarında önemli bir bileşen de gerek Trend Micro gerekse de iş ortaklarımız ile verdiğimiz güvenlik danışmanlık hizmetleri. Akıllı, esnek ve günün gereksinimlerine uyarlanabilen bir siber güvenlik mimarisi bugün tüm kurumsal yapılarda öncelikli olarak oluşturulması gereken bir bileşen. Trend Micro olarak Deep Discovery ürün ailemiz ile bu ihtiyacı adresleyen çözümler oluşturmayı amaçlıyoruz.