Bu blog yazısı, OPSWAT Academy tarafından desteklenen ve bir kritik altyapı koruma programının tasarlanması, uygulanması ve yönetilmesi için gereken teknoloji ve süreçleri inceleyen siber güvenlik eğitim serisinin beşincisidir.
Kötü amaçlı yazılım tehlikelidir, ancak açıkça öyle değildir. Kötü amaçlı yazılımları tespit etmek kolay olsaydı, her e-posta, ağ veya paylaşım sistemi tam korumaya sahip olurdu. Siber güvenlik araçları geliştikçe, her türlü kötü niyetli içeriğin durdurulması da kolaylaşmalıdır. Yine de 2020 yılında McAfee Stratejik ve Uluslararası Çalışmalar Merkezi, 1 trilyon doların biraz altında rekor bir küresel kayıp bildirdi. Peki modern siber güvenlik çağında kötü amaçlı yazılımlar neden hala bu kadar etkili?
Doğal beklentilerimize uyum sağlamak üzere tasarlanan bazı Kötü Amaçlı Yazılımlar, denetimlerden ve analiz araçlarından akıllıca kaçar. Görünüşte normal bir e-posta, web sitesi veya ücretsiz çevrimiçi araçların tümü, kötü niyetli aktörlerin hedeflerini kolaylaştırmak için kötü amaçlı kod, program veya süreçler enjekte etmeleri için kapılar sağlar.
Bireyin iyi niyetinden faydalanmak için gizlenmiş kötü niyet her zaman etkili bir strateji olmuştur. Bir benzetme yapmak gerekirse, silahlı çatışmaların yaşandığı bölgelerde masum bir yolu tehlikeli bir tuzağa dönüştürmek için kara mayınları kullanılır. Kaçamak Kötü Amaçlı Yazılımları da aynı şekilde düşünebiliriz.
Yola baktığımızda bozuk bir toprak parçası ya da bip sesi çıkaran bir metal dedektörü görürsek, ne bulduğumuzu tespit edebilir ve yolu seyahat için güvenli hale getirebiliriz. Ancak bazen bunu bilemeyiz. Kara mayınları dikkatlice gömülmüş veya metalik olmayan bileşenlerden yapılmış olabilir, bu da keşif girişimlerimizi etkili bir şekilde engeller.
En güvenli yol, yolumuzu önceden patlatmaktır.
İkinci Dünya Savaşı'nın başlarında, mayın tarlalarında güvenli bir yol açmak amacıyla yere çarpmak ve mayınları patlatmak için büyük, kalkanlı araçlara devasa döner palalar takılmıştır. Benzer şekilde tasarlanmış araçlar bugün hala kullanılmaktadır. Bu yöntem şiddetli ve pahalı olmakla birlikte kontrollü, hesaplı ve son derece etkilidir.
Sandbox analizi gibi modern siber güvenlik araçları, Kötü Amaçlı Yazılımları aynı şekilde patlatmamızı sağlar. Örnek programlar ve dosyalar, Kötü Amaçlı Yazılımın çalışabileceği ancak dışarıdaki herhangi bir sisteme zarar veremeyeceği yalıtılmış ve güvenli sanal ortamlara yüklenir. Kötü Amaçlı Yazılım örneği bizim kara mayınımız, Sandbox ise ağır zırhlı flailimizdir.
Kodun patlamasıyla, içeriğin her yönünü analiz edebilir ve amacını doğrulayabiliriz. Dosya güvenli olabilir veya doğrulanmamış harici kaynaklarla iletişim kurmaya, kayıt defteri anahtarlarını değiştirmeye veya yerel dosya sistemini taramaya çalışabilir. Davranışını analiz etmek için Kötü Amaçlı Yazılımı yalıtılmış bir ortamda çalıştırmak Dinamik Analiz olarak bilinir.
Güvenli ya da güvenli değil ikili koşuluna sahip olan yolumuzun aksine, bir dosyanın amacının karmaşıklığını göz önünde bulundurmamız gerekir. Birçok meşru program, potansiyel olarak kötü niyetli faaliyetlere giren eylemler gerçekleştirecektir. Her Sandbox eşit yaratılmamıştır ve bir ürünü iyi yapan şey, bir dosyanın etkinliğini analiz ederken mümkün olan en yüksek kesinliği sağlamak için kullanılan yöntemler ve hesaplamalardır.
Herkesin ücretsiz olarak deneyebileceği bir araç olan OPSWAT MetaDefender Cloud, yüklenen dosyaları sağlam bir ağırlıklandırma sistemine göre puanlamak için kullanılabilecek güçlü bir Sandbox seçeneği sunar. Bir dosyayı güvenli bir şekilde patlatma yeteneği, aksi takdirde geleneksel Statik Analiz tekniklerini atlayabilecek bilgiler sağlar. Sandbox'lar, dosya tanımlarının henüz AV şirketi veritabanlarına eklenmediği sıfırıncı gün saldırılarına karşı mükemmel bir savunma sunar. Aslında, birçok AV şirketi, Kötü Amaçlı Yazılım imzalarına hangi dosyaları ekleyeceklerini bilmek için Sandbox'ları temel olarak kullanır.
Ancak Sandboxing, Kötü Amaçlı Yazılımlara karşı her şeyi kapsayan bir çözüm değildir. Sonuçların bozulmaması için her dosyanın ayrı ayrı taranması gerekir. Tek bir pdf, yükleyici, çalıştırılabilir vb. dosyayı işlemek bile önemli miktarda zaman ve donanım kaynağı gerektirir, bu da büyük miktarlarda dosyayla uğraşırken güvenlik sistemlerini darboğaza sokabilir. Bir Sandbox adresinin ne zaman ve hangi koşullar altında kullanılacağını bilmek, bunu gerçekten etkili bir teknoloji haline getirmek için çok önemlidir.
Daha fazlasını öğrenmek ister misiniz? OPSWAT Academy, Sandboxing ve OPSWAT 'un sunduğu diğer güvenlik teknolojilerini daha derinlemesine inceleyecek çeşitli siber güvenlik eğitim kursları sunmaktadır.Opswatacademy.com adresine gidin ve bugün ücretsiz kaydolun!
