OzzTech - Bilinmeyen Siber Tehditler Nelerdir?

Bilinmeyen Siber Tehditler Nelerdir?

Bilinmeyen Siber Tehditler

Çoğu geleneksel güvenlik ürünü, bilinen tehditlere göre hareket edecek şekilde tasarlanmıştır. Kötü niyetli olduğu bilinen bir şey gördükleri anda onu engellerler. Saldırganlar, bilinen tehditleri başarıyla engelleyen güvenlik ürünlerini aşmak için daha önce hiç görülmemiş bir şey yaratmaya zorlanır ve bu da bir saldırı yürütme maliyetini artırır. Bunu nasıl yapıyorlar ve hem bilinen hem de bilinmeyen siber tehditler nasıl önlenebilir?

Birkaç senaryoya bakalım:

Geri Dönüştürülmüş Tehditler

Geri dönüştürülmüş tehditler, en uygun maliyetli saldırı yöntemi olarak kabul edilir, bu nedenle saldırganlar, önceden kanıtlanmış teknikleri kullanarak genellikle mevcut tehditleri geri dönüştürür. Bu geri dönüştürülmüş tehditleri “bilinmeyen” yapan şey, güvenlik ürünlerinin sınırlı hafızasında yatmaktadır. Tüm güvenlik ürünleri sınırlı belleğe sahiptir ve güvenlik ekipleri, gelen saldırıların çoğunu engelleyeceklerini umarak korunmak için en güncel tehditleri seçer. Güvenlik ürünü tarafından izlenmeyen daha eski bir tehdit ağa girmeye çalışırsa, daha önce görülen bir şey olarak sınıflandırılmadığı için güvenlik ürününü atlayabilir.

Bu "bilinmeyen" geri dönüştürülmüş tehditlere karşı korunmak için, genellikle tehdit verilerinin hacmini ele almak için ölçeklenebilen esnek bir bulut altyapısına yerleştirilmiş bir tehdit istihbaratı bellek koruyucusuna erişim kritik önem taşır. Bir güvenlik ürününün tanımlanmış ve depolanmış belirli bir tehdidi olmaması durumunda, daha geniş tehdit istihbaratı bilgi tabanına erişim, bir şeyin kötü amaçlı olup olmadığını belirlemeye yardımcı olabilir ve güvenlik ürününün onu engellemesini sağlayabilir.

Değiştirilmiş Mevcut Kod

Bu yöntem, geri dönüşüm tehditlerinden biraz daha pahalıdır. Saldırganlar mevcut bir tehdidi alır ve tehdit ağda aktif olarak geçiş yaparken manuel veya otomatik olarak kodda küçük değişiklikler yapar. Bu, polimorfik kötü amaçlı yazılım veya polimorfik bir URL ile sonuçlanır. Bir virüs gibi, kötü amaçlı yazılım da sürekli ve otomatik olarak hızla şekil değiştirir ve değişir. Bir güvenlik ürünü, orijinal tehdidi bilinen olarak tanımlar ve yalnızca bir varyasyona dayalı olarak bunun için bir koruma oluşturursa, kodda yapılacak en ufak bir değişiklik, bu tehdidi bilinmeyene dönüştürür.

Bazı güvenlik ürünleri, iki özdeş karma elde etmeyi imkansız hale getirecek şekilde bir metin dizisine dayalı tamamen benzersiz bir sayı üreten karma teknolojisini kullanarak tehditleri eşleştirir. Bu bağlamda, hash değeri tehdidin yalnızca bir varyasyonuyla eşleşir, bu nedenle tehdidin herhangi bir yeni varyasyonu yeni ve bilinmeyen olarak kabul edilir.

Bu tehditlere karşı daha iyi korunmak için güvenlik ürünlerinin polimorfik imzalar kullanması gerekir. Polimorfik imzalar, bir karma yerine trafik ve dosyaların içerik ve kalıplarına dayalı olarak oluşturulur ve bilinen bir tehdidin birden çok varyasyonunu tanımlayabilir ve bunlara karşı koruma sağlayabilir. Sabit kodlamanın görünümünden ziyade davranışa odaklanma, değiştirilmiş kötü amaçlı yazılımlardaki kalıpların tespit edilmesini sağlar.

Yeni Oluşturulan Bilinmeyen Siber Tehditler

Daha kararlı ve parayı yatırmaya istekli olan saldırganlar, tamamen yeni bir kodla tamamen yeni bir tehdit oluşturacaktır.  Bir saldırının önceden bilinmeyen bir tehdit olarak kabul edilebilmesi için siber saldırı yaşam döngüsünün tüm yönleri  yeni olmalıdır.

  • İş Davranışına Odaklanın
    Bu yeni tehditlere karşı korunmak, benzersiz iş davranışınıza ve veri akışlarınıza odaklanmayı gerektirir. Bu bilgiler daha sonra siber güvenlik en iyi uygulamalarına uygulanabilir. Örnek olarak, kullanıcı kimliği ve uygulama kimliği ile segmentasyondan yararlanmak, yeni tehditlerin kuruluşunuzun tamamına yayılmasını önlemeye ve yeni, bilinmeyen ve sınıflandırılmamış web sitelerinden indirmeleri engellemeye yardımcı olabilir.
  • Kolektif İstihbarattan Yararlanın
    Hiçbir kuruluş hiçbir zaman tüm yeni tehditleri deneyimleyemez, bu nedenle toplu tehdit istihbaratından faydalanabilmek çok önemlidir. Bilinmeyen, daha önce hiç görülmemiş tehditlere sahip hedefli saldırılar, küresel bilgi paylaşımı ile hızla bilinir hale gelebilir. Bir kuruluşta yeni bir tehdit analiz edildiğinde ve tespit edildiğinde, yeni tanımlanan tehdit bilgileri, saldırıların yayılmasını ve etkinliğini sınırlamak için önceden konuşlandırılan azaltıcı önlemlerle birlikte topluluk genelinde dağıtılabilir.

Bilinmeyen siber tehditler, bilinen tehditlere dönüştürmek ve bunlara karşı aktif olarak önlem almak, birleşik bir ortamda gerçekleşir. İlk olarak, bir sonraki saldırı adımını ve yerini tahmin etmeniz gerekir. İkincisi, onu durdurmak için korumayı hızlı bir şekilde geliştirip uygulama noktasına teslim edebilmeniz gerekir.

Korumaları Otomatikleştirin

Kuruluşunuza gerçekten yeni bir tehdit girdiğinde, ilk savunma hattı kuruluşa özel siber güvenlik en iyi uygulamalarına sahip olmaktır. Aynı zamanda, analiz için bilinmeyen dosyalar ve URL'ler gönderiyor olmalısınız. Korumalı alan analizinin etkinliği, bilinmeyen bir tehdit hakkında doğru bir karar vermek ve kuruluş genelinde korumalar oluşturmak ve uygulamak için geçen sürenin yanı sıra korumalı alan ortamınızın kaçamak tehditleri nasıl ele aldığına bağlıdır. Tehdit ilerlemeden önce, diğer bir deyişle mümkün olan en kısa sürede, güvenlik duruşunuzun yeterince hızlı bir şekilde değiştirilmesi gerekir. Ve bu tehdidin ağı daha fazla aşmamasını sağlamak için, tüm güvenlik ürünlerinde tehdidin yayılabileceğinden daha hızlı bir şekilde önlemler oluşturulmalı ve uygulanmalıdır.


İlginizi Çekebilecek Makaleler
FortiGate ACME Sertifika Desteği
Siber Güvenlik

FortiGate ACME Sertifika Desteği

Ocak 24, 2022 1:22

Otomatik Sertifika Yönetim Ortamı (ACME), RFC 8555’te tanımlandığı üzere, ücretsiz SSL sunucu sertifikaları sağlamak için genel Let’s...

Android Reverse Mühendisliği Araçları Örnek Vakalar
Siber Güvenlik

Android Reverse Mühendisliği Araçları Örnek Vakalar

Ocak 24, 2022 12:39

Bir önceki yazıda yeni çıkan android reverse mühendisliği araçları hakkında bilgi vermiştim. Bu yazımda...

Emotet Artık Alışılmadık IP Adreslerini Kullanıyor
Siber Güvenlik

Emotet Artık Alışılmadık IP Adreslerini Kullanıyor

Ocak 24, 2022 9:44

Emotet kötü amaçlı yazılım botnetinin dağıtımını içeren sosyal mühendislik kampanyaları, güvenlik çözümlerinin tespitinden kaçınmak...

FortiWeb Kurulumu 5-Operation Modu
Siber Güvenlik

FortiWeb Kurulumu 5-Operation Modu

Ocak 24, 2022 7:49

FortiWeb kurulumunu anlattığımız beşinci yazımızda operation modu ve FortiWeb cihazı açıldıktan sonra, FortiWeb cihazını...

FortiWeb Kurulumu 4- Admin Şifresi Değiştirme
Siber Güvenlik

FortiWeb Kurulumu 4- Admin Şifresi Değiştirme

Ocak 23, 2022 10:21

FortiWeb kurulumunu anlattığımız serinin dördüncü yazısında Admin şifresi nasıl değiştirceğinizi, saat ve günü nasıl...

Metasploittable 2
Siber Güvenlik

Metasploittable 2

Ocak 22, 2022 11:57

Metasploittable 2 Nedir? Neden Kullanılır? Nasıl Kurulur? Metasploittable 2 Metasploit firması tarafından bizlerin güvenli...

FortiWeb Kurulumu 3- Firmware Güncellenmesi
Siber Güvenlik

FortiWeb Kurulumu 3- Firmware Güncellenmesi

Ocak 22, 2022 11:56

FortiWeb kurulumunu anlattığımız serinin üçüncü yazısında Firmware güncellemesini anlatacağız. FortiWeb cihazınız gönderildiğinde en son...

FortiWeb Kurulumu 2- Web UI ve CLI Bağlama
Siber Güvenlik

FortiWeb Kurulumu 2- Web UI ve CLI Bağlama

Ocak 21, 2022 7:50

FortiWeb kurulumu yazımızın ikinci serisinde Web UI veya CLI bağlamanın nasıl yapılacağını anlatacağız. Eğer...

Yapay Zeka Nedir?
Yazılım Geliştirme

Yapay Zeka Nedir?

Ocak 20, 2022 10:57

Sürekli olarak değişen, gelişen ve oldukça hızlı bir şekilde boyut atlayan, günümüze kadar gelen...

İletişim
OZZTECH Bilgi Teknolojileri olarak siber güvenlik danışmanlığı ve bilgi güvenliği eğitimleri alanlarında 10 yılı aşkın bir süredir ülkemizin önde gelen kurumlarına hizmet vermeye devam etmektedir. Detaylı bilgi ve danışmanlık hizmetlerimiz için aşağıdaki formu kullanarak veya [email protected] adresimiz üzerinden bizlerle iletişime geçebilirsiniz.