Günümüz BT güvenlik yöneticileri her yönden çok çeşitli online tehdidin saldırısı altında. Bu tehditler, bulut, mobil, sanal ve hibrit ortamların bilinen ve bilinmeyen açıklarının kullanmak üzere tasarlanmışlardır. Ayrıca giderek eski imza tabanlı araçları aşmak için gelişim gösteriyorlar. Yine de bu tehditlerin etkisi hiçbir zaman bu kadar fazla olmadı. Veri sızıntıları ve hizmet kesintileri ağır endüstri cezalarına, marka imajının zarar görmesine, müşteri kaybedilmesine, iyileştirme ve temizleme masraflarına ve hatta yüksek yasal cezalara neden olabilir.
İşte bu nedenle, bilinmeyen modern tehditleri tespit etmeye çalışırken, bir yandan da öğrenmek üzere tasarlanmış yeni bir istatistiksel tabanlı yaklaşım geliştirdik. Bu XGen yaklaşımı, kıdemli araştırmacı Marco Balduzzi tarafından Black Hat’ta sunuldu.
Eski yöntem
İmza tabanlı güvenlik, sadece kullanıcıların bilinen kötü amaçlı yazılımlara karşı koruma konusunda ve özellikle beyaz listelerle birleştirildiğinde kullanıcıların “bilinen iyi” dosyalara maruz kaldıklarından emin olmak için iyi bir yöntemdir. Ancak Balduzzi’ye göre, günümüzün BT ortamları ve karşımıza çıkardığı tehditler işlerin bu şekilde gelişmesinin yeterli olmamasına neden oldu.
Örneğin, polimorfik zararlı yazılımlar, ikili dosyaları farklı formatlarda yeniden derleyerek malware dosyalarının özelliklerini otomatik olarak değiştirebilir. Bu, imza tabanlı algılamanın devam etmesini neredeyse imkansız kılar. Bu arada, karıştırma teknikleri ikili ve metinsel verileri okumak ve anlamayı zorlaştırıyor. Hackerlerin tüm dosyaları karmaşıklaştırmak için kullandığı paketleme teknolojisi bunun güzel bir örneğidir.
İmza tabanlı AV yöntemi, kötü niyetli dosyaları analiz etme konusunda zaman alıcı olabilir, ki bu hiçbir şirketin karşılayamayacağı bir şey. Balduzzi ayrıca, etki alanı üretme algoritması (DGA) kötü niyetli yazılımının yeni türleri K&K sunucularıyla iletişim kurmak için çok sayıda alan adı ürettiğini ve geleneksel URL kara listelerini işe yaramaz hale getirdiğini belirtti.
XGen’e giriş
Cevap, Trend Micro tarafından geliştirilen yeni bir yaklaşımla geleneksel algılama yöntemlerini tamamlamaktır. XGen’de içerik agnostiktir, yani dosya ve / veya web sayfası içeriğinin analiz edilmesi gerekmez. Bunun yerine, Balduzzi’nin açıkladığı gibi, “Kim”, “Ne”, “Nerede” gibi çizgiler boyunca ilişki kalıpları analiz edilir: Kim neyi, nereden yükledi. Sistem ve ağ düzeyindeki bilgileri bu şekilde birleştirerek, olası zararlı yazılımları ve kötü amaçlı URL’leri tespit etmek ve sınıflandırmak için istatistiksel modellerden yararlanır. Dahası, mümkün olan en doğru durumsal farkındalığı elde etmek için bu küresel ölçekte yapılır.
Balduzzi avantajlar açıktır diyor:
- Kötü niyetli indirme olaylarının, örneğin dosyalar ve URL’lerin eşzamanlı algılanması
- Mevcut çözümlere tamamlayıcı yaklaşım, örneğin statik ve dinamik algılama
- Bilinmeyen ve modern tehditlere karşı etkili, gerçek zamanlı tespit
Teknoloji zaten büyük ölçekli bir kurulumda konuşlandırılmış ve gerçek zamanlı tehditlerin sınıflandırılmasını sadece 0.16 saniyede etkili bir şekilde yapabiliyor. Trend Micro, Virüs Total veri tabanında listelenen gelecek malware’lerin % 84’ünü resmi olarak sınıflandırılmadan altı ay önce tespit ettiğini belirtti. Dahası, sınıflandırılmış veriler üzerindeki deneyler, yanlış tespitleri sadece % 0.1’lik bir seviyede tutarken, % 90’ın üzerinde doğru tespit oranı gösterdi.