Dosya sahteciliği, saldırganların geleneksel güvenlik kontrollerini atlamak için kullandıkları en etkili tekniklerden biri olmaya devam ediyor. Geçen yıl OPSWAT , eski araçların bıraktığı boşlukları kapatmak için yapay zeka ile geliştirilmiş bir Dosya Türü Algılama motorunu tanıttı. Bu yıl, Dosya Türü Algılama Modeli v3 ile, doğruluğun en önemli olduğu ve geleneksel mantık tabanlı sistemlerin sürekli olarak yetersiz kaldığı dosya türlerine odaklanarak bu yeteneği geliştirdik.
OPSWAT Dosya Türü Algılama Modeli v3, belirsiz ve yapılandırılmamış dosyaların, özellikle de komut dosyaları, yapılandırma dosyaları ve kaynak kodu gibi metin tabanlı formatların güvenilir bir şekilde sınıflandırılmasına yönelik özel bir zorluğu ele almak üzere tasarlanmıştır. Genelleştirilmiş sınıflandırıcıların aksine bu model, bir kabuk komut dosyasını yanlış sınıflandırmanın veya VBA kodu içeren bir Word dosyası gibi gömülü makrolar içeren bir belgeyi tespit edememenin önemli güvenlik risklerine yol açabileceği siber güvenlik kullanım durumları için özel olarak geliştirilmiştir.
Gerçek Dosya Türü Algılama Neden Kritiktir?
Çoğu tespit sistemi üç ortak yaklaşıma dayanır:
- Dosya Uzantısı: Bu yöntem, .doc veya .exe gibi uzantıya dayalı olarak türünü belirlemek için dosya adını kontrol eder. Hızlıdır ve platformlar arasında geniş ölçüde uyumludur. Ancak kolayca manipüle edilebilir. Kötü amaçlı bir dosya güvenli görünen bir uzantıyla yeniden adlandırılabilir ve bazı sistemler uzantıları tamamen yok sayarak bu yaklaşımı güvenilmez hale getirir.
- Sihirli Baytlar: Bunlar, PDF'ler veya resimler gibi birçok yapılandırılmış dosyanın başında bulunan sabit dizilerdir. Bu yöntem, gerçek dosya içeriğini inceleyerek dosya uzantılarına göre doğruluğu artırır. Dezavantajı, tüm dosya türlerinin iyi tanımlanmış bayt desenlerine sahip olmamasıdır. Sihirli baytlar da taklit edilebilir ve araçlar arasında tutarsız standartlar karışıklığa yol açabilir.
- Karakter Dağılım Analizi: Bu yöntem, türünü çıkarmak için bir dosyanın gerçek içeriğini analiz eder. Özellikle komut dosyaları veya yapılandırma dosyaları gibi gevşek yapılandırılmış metin tabanlı formatları tanımlamak için faydalıdır. Daha derin bir içgörü sağlarken, daha yüksek işlem maliyetleri getirir ve olağandışı içeriğe sahip yanlış pozitifler üretebilir. Ayrıca okunabilir karakter kalıpları olmayan ikili dosyalar için daha az etkilidir.
Bu yöntemler yapılandırılmış formatlar için iyi çalışır ancak yapılandırılmamış veya metin tabanlı dosyalara uygulandığında güvenilmez hale gelir. Örneğin, minimum komut içeren bir kabuk betiği düz bir metin dosyasına çok benzeyebilir. Bu dosyaların çoğunda güçlü başlıklar veya tutarlı işaretler bulunmadığından bayt desenlerine veya uzantılara dayalı sınıflandırma yetersiz kalır. Saldırganlar bu belirsizlikten faydalanarak kötü amaçlı komut dosyalarını zararsız belgeler veya günlükler gibi gösterebilir.
TrID ve LibMagic gibi eski araçlar bu düzeyde bir nüans için tasarlanmamıştır. Genel dosya kategorizasyonu için etkili olsalar da, güvenlik kısıtlamaları altında özel tespit için değil, genişlik ve hız için optimize edilmişlerdi.
Dosya Türü Algılama Modeli v3 Nasıl Çalışır?
Dosya Türü Tespit Modeli v3 eğitim süreci iki aşamadan oluşmaktadır. İlk aşamada, Maskeli Dil Modellemesi (MLM) kullanılarak etki alanına uyarlanabilir ön eğitim gerçekleştirilir ve modelin etki alanına özgü sözdizimi ve yapısal kalıpları öğrenmesi sağlanır. İkinci aşamada model, her dosyanın gerçek dosya türüyle açıkça eklendiği denetimli bir veri kümesi üzerinde hassas bir şekilde ayarlanır.
Veri kümesi, normal dosyalar ve tehdit örneklerinden oluşan bir karışımdır ve gerçek dünya doğruluğu ile güvenlik alaka düzeyi arasında güçlü bir denge sağlar. OPSWAT , eğitim verileri üzerinde kontrolü elinde tutarak güvenlik operasyonları için en önemli olan formatların sürekli olarak iyileştirilmesine olanak tanır.
Yapay zeka bileşeni geniş çapta değil, hassasiyetle uygulanır. Dosya Türü Algılama Modeli v3, yapının tutarsız olduğu veya hiç olmadığı komut dosyaları, günlükler ve gevşek biçimlendirilmiş metinler gibi geleneksel algılama yöntemlerinin etkili bir şekilde işleyemediği belirsiz ve yapılandırılmamış dosya türlerine odaklanır. Ortalama çıkarım süresi 50 milisaniyenin altında kaldığından, güvenli dosya yüklemeleri, uç nokta zorlaması ve otomasyon işlem hatlarında gerçek zamanlı iş akışları için verimli hale gelir.
Benchmark Sonuçları
OPSWAT Dosya Türü Algılama Motorunu, büyük ve çeşitli bir veri kümesi kullanarak önde gelen dosya türü algılama araçlarıyla karşılaştırdık. Karşılaştırma, 248.000 dosya ve yaklaşık 100 dosya türünde F1 puanlarını içeriyordu.
OPSWAT Dosya Türü Algılama Motoru, TrID, LibMagic ve OPSWAT'ın gelişmiş ayrıştırıcılar ve Dosya Türü Algılama Modeli v3 gibi kendi teknolojileri dahil olmak üzere birden fazla tekniği entegre eder. Bu birleşik yaklaşım, hem yapılandırılmış hem de yapılandırılmamış formatlarda daha güçlü ve daha güvenilir sınıflandırma sağlar.
Karşılaştırmalı testlerde, motor tek başına herhangi bir araçtan daha yüksek genel doğruluk elde etmiştir. TrID, LibMagic ve Magika v3 belirli alanlarda iyi performans gösterirken, dosya başlıkları eksik olduğunda veya içerik belirsiz olduğunda doğrulukları azalır. Geleneksel algılamayı derin içerik analiziyle katmanlandıran OPSWAT , yapının zayıf veya kasıtlı olarak yanıltıcı olduğu durumlarda bile tutarlı bir performans sergiliyor.
Metin ve Kod Dosyaları
Metin ve komut dosyası tabanlı formatlar genellikle dosya kaynaklı tehditlere ve yanal hareketlere karışır. Aşağıdakiler gibi formatlarda 169.000 dosya üzerinde odaklanmış bir test gerçekleştirdik .sh, .py, .ps1, ve .conf.
TrID ve LibMagic bu yapılandırılmamış dosyaları tespit etmede sınırlamalar göstermiştir. Dosya içeriği beklenen bayt kalıplarından saptığında performansları hızla düşmüştür.
Dosya Türü Algılama Modeli v3 vs Magika v3
OPSWAT Dosya Türü Algılama Modeli v3'ü, Google'ın açık kaynaklı yapay zeka sınıflandırıcısı Magika v3'e karşı, aynı 500.000 dosya veri kümesini kullanarak 30 metin ve komut dosyası dosya türünde değerlendirdik.
Önemli gözlemler:
- Dosya Türü Algılama Modeli v3, neredeyse tüm formatlarda Magika ile eşleşti veya daha iyi performans gösterdi.
- En güçlü kazanımlar, aşağıdaki gibi gevşek tanımlı formatlarda görüldü
.bat, .perl, .html,ve .xml. - Genel amaçlı tanımlama için tasarlanmış olan Magika'nın aksine, Dosya Türü Algılama Modeli v3, yanlış sınıflandırmanın ciddi güvenlik etkileri olduğu yüksek riskli formatlar için optimize edilmiştir.
En İyi Kullanım Örnekleri
Secure Dosya Yüklemeleri, İndirmeleri ve Aktarımları
Gizlenmiş veya kötü amaçlı dosyaların web portalları, e-posta ekleri veya dosya aktarım sistemleri aracılığıyla ortamınıza girmesini önleyin. Yapay zeka ile geliştirilmiş algılama, yeniden adlandırılmış dosyaların içindeki komut dosyalarını, makroları veya gömülü yürütülebilir dosyaları tanımlamak için uzantıların ve MIME başlıklarının ötesine geçer.
DevSecOps Pipelines
Güvenli olmayan artifaktları yazılım derleme veya dağıtım ortamlarınıza bulaşmadan önce durdurun. Gerçek içeriğe dayalı olarak gerçek dosya türünü doğrulayan MetaDefender Core , yalnızca onaylı biçimlerin CI/CD işlem hatlarından geçmesini sağlayarak tedarik zinciri saldırıları riskini azaltır ve güvenli geliştirme uygulamalarıyla uyumluluğu sürdürür.
Uyumluluk Uygulaması
Doğru dosya türü tespiti, veri bütünlüğü ve sistem güvenliği üzerinde sıkı kontrol gerektiren HIPAA, PCI DSS, GDPR ve NIST 800-53 gibi yasal zorunlulukları karşılamak için gereklidir. Sahte veya yetkisiz dosya türlerinin tespit edilmesi ve engellenmesi, hassas verilerin açığa çıkmasını önleyen politikaların uygulanmasına, denetim hazırlığının sürdürülmesine ve maliyetli cezalardan kaçınılmasına yardımcı olur.
Son Düşünceler
Magika gibi genel amaçlı dosya sınıflandırıcıları, geniş içerik kategorizasyonu için kullanışlıdır. Ancak siber güvenlikte hassasiyet, kapsamdan daha önemlidir. Tek bir yanlış sınıflandırılmış komut dosyası veya yanlış etiketlenmiş makro, kontrol altına alma ile tehlikeye atma arasındaki fark olabilir.
OPSWAT Dosya Türü Algılama motoru bu hassasiyeti sağlar. Yapay zeka ile geliştirilmiş dosya türü analizini kanıtlanmış tespit yöntemleriyle birleştirerek, özellikle belirsiz veya yapılandırılmamış formatlarda geleneksel araçların başarısız olduğu durumlarda güvenilir bir sınıflandırma katmanı sağlar. Mesele her şeyi değiştirmek değil; güvenlik yığınınızdaki kritik zayıf noktaları gerçek zamanlı, bağlama duyarlı algılama ile güçlendirmektir.
