Yapay Zeka Destekli Algılama, Güvenlik Süreçlerinizdeki Sıfırıncı Gün ve Gecikme Açığını Kapatır

Her kurumsal dosya aktarım süreci, gizli bir verimsizlik barındırır. MFT Managed File Transfer) işleri, ICAP İnternet İçerik Uyarlama Protokolü) proxy’leri, e-posta ekleri, müşteri yükleme portalları ve etki alanları arası veri aktarımları, istatistiksel olarak tek bir gerçeği paylaşır: Bunlar üzerinden aktarılan dosyaların yaklaşık %99,9’u zararsız iş verileridir. Kötü amaçlı olan %0,1’lik kısım ise bu aktarım sürecinin var olmasının tek nedenidir. Her dosya, risk düzeyine bakılmaksızın aynı güvenlik bedelini ödemektedir ve bu tekdüzelik, verimsizliğin kaynağıdır.

İlk sorun gecikmedir. Sabah yoğun saatlerinde düzinelerce dosyanın arkasına sıraya giren bir dosya, ister rutin bir hesap tablosu ister bilinmeyen bir yürütülebilir dosya olsun, tam çoklu tarama sürecini tamamlayana kadar sırasını bekler. Bankacılık ve finans hizmetlerinde bu gecikme, doğrudan işlemlerin askıya alınmasına, işleme hızının düşmesine ve tarayıcıda bekleyen havalelere yol açar. SANS 2025 Algılama ve Müdahale Anketi’ne göre, müdahale süresi güvenlik ekiplerinin %53’ü için en büyük zorluk haline gelmiştir; bu oran bir önceki yıl %45 idi.

İkinci sorun ise yanlış pozitiflerdir. Çoğu makine öğrenimi tabanlı güvenlik motoru, geri çağırma oranına göre ayarlanmıştır: her şeyi yakalayın, gürültüyü kabul edin. Bu dengeleme, uç noktalarda işe yarar. Ancak bir dosya iş akışında, yanlış pozitifler meşru bir iş dosyasını engeller, gereksiz bir SOC (Güvenlik Operasyon Merkezi) uyarısını tetikler ve otomasyonu mümkün kılan analistlerin güvenini sarsar. Aynı SANS anketi, yanlış pozitiflerin artık ankete katılanların %73’ü için en büyük tespit zorluğu olduğunu ortaya koymuştur.

Predictive Alin AI, OPSWAT yürütme öncesi sıfırıncı gün tespitine yönelik yapay zeka destekli kötü amaçlı yazılım tespit motorudur. Bu motor, dosya yapısı ve davranış özelliklerinin makine öğrenimi analizini kullanarak kötü amaçlı dosyaları yürütülmeden önce tespit etmek üzere tasarlanmıştır. Motor, bir karar vermek için imzaya, belirli bir tehdit hakkında önceden sahip olunan bilgiye veya sanal ortamda çalıştırmaya dayanmaz. Predictive Alin AI, tek bir komut bile çalıştırılmadan önce kötü niyeti ortaya çıkaran yapısal göstergeleri okur.

Geleneksel antivirüs motorları bir listeye dayalı olarak çalışır. Bir imza, bilinen bir tehditle eşleştiğinde dosya işaretlenir. AV-TEST.org’a göre her gün 450.000 yeni kötü amaçlı yazılım örneği ortaya çıktığı için bu liste her zaman bir adım geride kalmaktadır. Predictive Alin AI ise farklı bir yaklaşım benimsemekte; kötü amaçlı dosyaların daha önce görülüp görülmediğine bakılmaksızın geride bıraktıkları yapısal özellikleri ayıklayıp analiz etmektedir.

Motor, aşağıdakiler dahil olmak üzere çeşitli özellikleri değerlendirir:

• Dosya başlıkları, bölümler ve genel düzen

• Entropi kalıpları ve sıkıştırılmış kod göstergeleri

• Giriş noktaları ve kontrol akışı özellikleri

• Meta veriler ve içe aktarma tabloları

Bunlar, bir tehdidin dosya yapısına yerleştirdiği göstergelerdir ve söz konusu tehdidin daha önce görülüp görülmediğine bakılmaksızın mevcuttur. Tespitten kaçmak amacıyla oluşturulan bir dosya yine de oluşturulmak zorundadır ve bu oluşturma süreci, eğitilmiş bir modelin okuyabileceği kalıplar içerir.

Çoğu makine öğrenimi tabanlı güvenlik motoru, geri çağırma oranını optimize eder: mümkün olduğunca fazla uyarı verir ve yanlış pozitifleri kapsama alanının bir bedeli olarak kabul eder. OPSWAT ise Predictive Alin AI ile tam tersi bir mühendislik kararı OPSWAT . Bu motor öncelikle doğruluk oranına odaklanarak ayarlanmış olup, %0,01’lik bir yanlış pozitif oranı hedeflemektedir. Predictive Alin AI bir karar verdiğinde, bu karar insan müdahalesi olmaksızın güvenilir ve eyleme geçirilebilir olacak şekilde tasarlanmıştır.

Bu hassasiyet her iki yönde de geçerlidir. Kötü amaçlı bir dosyanın yapısal belirteçlerini tanıyan aynı analiz, temiz bir dosyanın yapısal belirteçlerini de tanır. Bu çift yönlü güvenilirlik, bir sonraki bölümde ayrıntılı olarak ele alınacak olan “Deflection” kullanım senaryosunu mümkün kılan unsurdur.

Predictive Alin AI, PE dosyaları için P50 değerinde 15 milisaniyenin altında sonuçlar verir; farklı dosya türlerinde P90 performansı 10 ile 22 milisaniye arasında seyrederken, PDF’ler dahil karmaşık formatlarda P99 değerinde 100 milisaniyenin altında sonuçlar elde edilir. Şu anda PE, PDF, Mach-O ve ELF olmak üzere dört format desteklenmektedir; yol haritasında format desteğinin genişletilmesi planlanmaktadır. Sonuç, kullanıcı dosyanın yüklendiğini fark etmeden önce elde edilir; bu sayede, işlem akışında bir darboğaz oluşturmadan anlık koruma sağlanır.

Tespit işlemi, sistemin işlevselliğini kanıtlar. Doğru bir şekilde işaretlenen her sıfırıncı gün saldırısı, ters yönde harekete geçmek için gerekli olan geçmiş performans kaydını oluşturan bir veri noktasıdır. Bu güven bir kez tesis edildiğinde, zararlı dosyaları işaretleyen aynı hassasiyet eşiği, temiz dosyaları da aynı güvenle onaylamak için uygulanabilir.

Predictive Alin AI, yüksek güvenilirlikli bir “temiz” karar verdiğinde, dosya doğrulanmış bir kısayol izler. Metascan™ Multiscanning atlayarak Multiscanning teslimattan önce temizlik işlemi için doğrudan Deep CDR™ Teknolojisine yönlendirilir. Predictive Alin AI’nın kesin bir karar veremediği durumlarda ise dosya tam süreci izler: 30 adede kadar tarama motorunda çoklu tarama, Deep CDR™ Teknolojisi ve teslimattan önce tam bir karar. Her dosya bir değerlendirme sonucuyla son bulur. Yönlendirme yalnızca yolu değiştirir, sonucu değiştirmez.

Bu durum, özellikle yükün en yoğun olduğu zamanlarda büyük önem taşır. Sabahları e-posta trafiğindeki ani artışlar, gün sonu toplu aktarımları ve duyuruların ardından yaşanan yükleme yoğunlukları, kuyrukların uzadığı ve yanıt sürelerinin uzadığı anlardır. Yönlendirme, giriş aşamasında sorunsuz olduğu bilinen trafiği ayırarak, iş akışının geri kalan kısmının bu dalgayı asla üstlenmemesini sağlar.

Yönlendirme, incelemeyi azaltmaz. MetaDefender®’ın temelini oluşturan “Hiçbir dosyaya güvenme. Hiçbir cihaza güvenme.™” felsefesi değişmeden kalır. Hiçbir dosya temiz kabul edilmez. Yönlendirme, ihtiyatlı bir işlemdir: motor kesin olarak emin olduğunda harekete geçer; herhangi bir şüphe varsa, dosya daha uzun yolu izler. Belirsizlikler hiçbir zaman yönlendirme katmanında çözülmez.

SANS 2025 Tespit ve Müdahale Anketi’ne göre, yanlış pozitifler güvenlik ekiplerinin %73’ü için en büyük tespit zorluğunu oluşturuyor; bu sorunla çok yüksek oranlarda karşılaşanların oranı ise bir önceki yılın %13’ünden %20’ye yükseldi. Her yanlış pozitif, bir analistin gerçek bir tehditten uzaklaştırılması, meşru bir iş akışından temiz bir dosyanın engellenmesi ve tespit sistemine duyulan güvenin giderek azalması anlamına gelir.

Yüksek hacimli dosya akışlarını yöneten SOC (Güvenlik Operasyon Merkezi) ekipleri, giderek artan bir sorunla karşı karşıyadır: Akıştan geçen dosya sayısı arttıkça, algılama yığını daha fazla uyarı üretir ve sinyali gürültüden ayırt etmek giderek zorlaşır. Analistler vardiyalarını yanlış pozitifleri temizlemekle geçirdikçe, gerçek tehditlerin yayılmak için daha fazla zamanı olur. SOC’deki darboğaz, algılama sürecindeki darboğazdır.

Daha akıllı analizlerin bu döngüyü nasıl kırdığına dair daha ayrıntılı bilgi için bkz.: SOC'de Darboğaz: Daha Akıllı Sandboxing ile Uyarı Yorgunluğu Döngüsünü Kırmak.

Algılama açığı ve gecikme açığı, tek bir sektöre özgü değildir. İmalat, enerji ve kamu sektörlerinde algılama ve gecikme açıkları, farklı operasyonel bağlamlarda ortaya çıkmaktadır. Aşağıdaki tablo, her sektörün Predictive Alin AI’nın ele aldığı yetkinliklere karşı maruz kaldığı özel riskleri göstermektedir.

Sektörlere Göre Predictive Alin AI’nın Kullanımı

Finansal hizmet kuruluşları, tüm sektörler arasında en yüksek hacimli dosya akışlarından bazılarını yönetmektedir. Müşteri yükleme portalları, belge alım iş akışları ve etki alanları arası aktarımlar, sürekli dosya trafiği oluşturur ve her gereksiz uyarı, bir analistin gerçek bir tehditten dikkatini başka yöne çekmesine neden olur. SANS anketine göre, yanlış pozitifler güvenlik ekiplerinin %73’ü için en büyük tespit zorluğudur; bu sorunla çok yüksek oranlarda karşılaşanların oranı, önceki yılki %13’ten %20’ye yükselmiştir.

Predictive Alin AI, geri çağırma oranı yerine doğruluk oranını ön planda tutarak uyarı sayısını kaynağında azaltır. SOC’nin güvenebileceği bir karar, SOC’nin otomatikleştirebileceği bir karardır; bu sayede analistler, gerçekten soruşturma gerektiren dosyalara odaklanabilirler.

Üretim ortamları, kendine özgü bir giriş sorunuyla karşı karşıyadır. Üçüncü taraf tedarikçiler tarafından sağlanan donanım yazılımı güncellemeleri, derleme çıktıları ve yazılım paketleri, tehdit olarak ortaya çıkmadan önce dosya biçiminde gelir. Kötü amaçlı bir paket OT sistemine ulaştığında, hasar çoktan güvenlik sınırının içine girmiş durumdadır. Predictive Alin AI, bu dosyaları güvenlik sınırında durdurur ve üretim ortamlarına girmeden önce yürütme öncesi bir değerlendirme sunar. OPSWATgelişmiş tehdit algılama ve önleme platformu olan MetaDefender üzerinden çalışan bu motor, mimari değişikliklere gerek kalmadan mevcut alım iş akışlarına öngörücü bir zeka katmanı ekler.

Enerji ve kamu hizmetleri operatörleri, kritik altyapı içinde bağlantı açısından en kısıtlı ortamlardan bazılarını yönetmektedir. Birçok algılama yöntemi, bulut sorgularına veya harici telemetri verilerine dayandığı için, bu tür bağlantısız ortamlarda performans kaybına uğrar; zira bu kaynaklar bu ortamlarda mevcut değildir. Predictive Alin AI, bulut dağıtımlarıyla aynı %99,99 hassasiyetle tamamen çevrimdışı çalışır ve bu performansı sürdürmek için harici bağlantıya veya bulut sorgularına ihtiyaç duymaz. Saha güncelleme paketleri ve tedarikçi tarafından sağlanan yazılımlar, şebeke veya tesis operasyonlarına ulaşmadan önce güvenlik sınırında incelenebilir; ağ izolasyonundan bağımsız olarak kararlar milisaniyeler içinde alınır.

Kamu ve savunma ortamları, iki eşzamanlı kısıtlama altında çalışır: hiçbir şeyin incelenmeden geçmemesini gerektiren katı uyum zorunlulukları ve dış bağlantıyı engelleyen ağ mimarileri. Bu kısıtlamalar, geçmişte kapsamlı tarama ile operasyonel hız arasında bir seçim yapılmasını zorunlu kılmıştır. Predictive Alin AI, yürütme öncesinde sıfırıncı gün tespitini sağlayarak her iki sorunu da çözer; bu tespit:

• Hava boşluklu ve etki alanları arası ortamlarda tamamen çevrimdışı olarak çalışır

• Sandbox ortamında çalıştırma gerektirmeden yüksek güvenilirlikli algılama gereksinimlerini karşılar

• Mevcut MetaDefender , MetaDefender File Transfer™ ve MetaDefender kurulumlarıyla entegre olur

• MetaDefender tarafından desteklenen bir “sıfırıncı gün” yeniden eğitim döngüsü aracılığıyla, canlı bağlantı gerektirmeden sürekli olarak kendini geliştirir

Predictive Alin AI’yi İş Başında Görün

"Scan What Matters" adlı web semineri, Predictive Alin AI'nın hem sıfırıncı gün tespit açığını hem de iş akışı gecikme açığını nasıl kapattığını ayrıntılı olarak ele alıyor ve üretim ortamındaki saptırma kullanım örneği ile hassasiyet ölçütlerinin canlı bir sunumunu içeriyor. İsteğe bağlı kaydı kendi temponuzda izleyebilirsiniz.

Tespit Programınızı Karşılaştırın

OPSWAT sponsorluğunda gerçekleştirilen SANS 2025 Tespit ve Müdahale Anketi, bankacılık, kamu, sağlık ve imalat sektörlerinden 300’den fazla güvenlik uzmanının, yanlış pozitif sayılarındaki artış, uyarı yorgunluğu ve sıfırıncı gün güvenlik açıkları karşısında tespit süreçlerini nasıl yeniden değerlendirdiğini ortaya koyuyor. Programınızın durumunu görmek için raporun tamamını indirin.