Bilinmeyen Siber Tehditler Nelerdir?

Bilinmeyen Siber Tehditler

Çoğu geleneksel güvenlik ürünü, bilinen tehditlere göre hareket edecek şekilde tasarlanmıştır. Kötü niyetli olduğu bilinen bir şey gördükleri anda onu engellerler. Saldırganlar, bilinen tehditleri başarıyla engelleyen güvenlik ürünlerini aşmak için daha önce hiç görülmemiş bir şey yaratmaya zorlanır ve bu da bir saldırı yürütme maliyetini artırır. Bunu nasıl yapıyorlar ve hem bilinen hem de bilinmeyen siber tehditler nasıl önlenebilir?

Birkaç senaryoya bakalım:

Geri Dönüştürülmüş Tehditler

Geri dönüştürülmüş tehditler, en uygun maliyetli saldırı yöntemi olarak kabul edilir, bu nedenle saldırganlar, önceden kanıtlanmış teknikleri kullanarak genellikle mevcut tehditleri geri dönüştürür. Bu geri dönüştürülmüş tehditleri “bilinmeyen” yapan şey, güvenlik ürünlerinin sınırlı hafızasında yatmaktadır. Tüm güvenlik ürünleri sınırlı belleğe sahiptir ve güvenlik ekipleri, gelen saldırıların çoğunu engelleyeceklerini umarak korunmak için en güncel tehditleri seçer. Güvenlik ürünü tarafından izlenmeyen daha eski bir tehdit ağa girmeye çalışırsa, daha önce görülen bir şey olarak sınıflandırılmadığı için güvenlik ürününü atlayabilir.

Bu “bilinmeyen” geri dönüştürülmüş tehditlere karşı korunmak için, genellikle tehdit verilerinin hacmini ele almak için ölçeklenebilen esnek bir bulut altyapısına yerleştirilmiş bir tehdit istihbaratı bellek koruyucusuna erişim kritik önem taşır. Bir güvenlik ürününün tanımlanmış ve depolanmış belirli bir tehdidi olmaması durumunda, daha geniş tehdit istihbaratı bilgi tabanına erişim, bir şeyin kötü amaçlı olup olmadığını belirlemeye yardımcı olabilir ve güvenlik ürününün onu engellemesini sağlayabilir.

Değiştirilmiş Mevcut Kod

Bu yöntem, geri dönüşüm tehditlerinden biraz daha pahalıdır. Saldırganlar mevcut bir tehdidi alır ve tehdit ağda aktif olarak geçiş yaparken manuel veya otomatik olarak kodda küçük değişiklikler yapar. Bu, polimorfik kötü amaçlı yazılım veya polimorfik bir URL ile sonuçlanır. Bir virüs gibi, kötü amaçlı yazılım da sürekli ve otomatik olarak hızla şekil değiştirir ve değişir. Bir güvenlik ürünü, orijinal tehdidi bilinen olarak tanımlar ve yalnızca bir varyasyona dayalı olarak bunun için bir koruma oluşturursa, kodda yapılacak en ufak bir değişiklik, bu tehdidi bilinmeyene dönüştürür.

Bazı güvenlik ürünleri, iki özdeş karma elde etmeyi imkansız hale getirecek şekilde bir metin dizisine dayalı tamamen benzersiz bir sayı üreten karma teknolojisini kullanarak tehditleri eşleştirir. Bu bağlamda, hash değeri tehdidin yalnızca bir varyasyonuyla eşleşir, bu nedenle tehdidin herhangi bir yeni varyasyonu yeni ve bilinmeyen olarak kabul edilir.

Bu tehditlere karşı daha iyi korunmak için güvenlik ürünlerinin polimorfik imzalar kullanması gerekir. Polimorfik imzalar, bir karma yerine trafik ve dosyaların içerik ve kalıplarına dayalı olarak oluşturulur ve bilinen bir tehdidin birden çok varyasyonunu tanımlayabilir ve bunlara karşı koruma sağlayabilir. Sabit kodlamanın görünümünden ziyade davranışa odaklanma, değiştirilmiş kötü amaçlı yazılımlardaki kalıpların tespit edilmesini sağlar.

Yeni Oluşturulan Bilinmeyen Siber Tehditler

Daha kararlı ve parayı yatırmaya istekli olan saldırganlar, tamamen yeni bir kodla tamamen yeni bir tehdit oluşturacaktır.  Bir saldırının önceden bilinmeyen bir tehdit olarak kabul edilebilmesi için siber saldırı yaşam döngüsünün tüm yönleri  yeni olmalıdır.

  • İş Davranışına Odaklanın
    Bu yeni tehditlere karşı korunmak, benzersiz iş davranışınıza ve veri akışlarınıza odaklanmayı gerektirir. Bu bilgiler daha sonra siber güvenlik en iyi uygulamalarına uygulanabilir. Örnek olarak, kullanıcı kimliği ve uygulama kimliği ile segmentasyondan yararlanmak, yeni tehditlerin kuruluşunuzun tamamına yayılmasını önlemeye ve yeni, bilinmeyen ve sınıflandırılmamış web sitelerinden indirmeleri engellemeye yardımcı olabilir.
  • Kolektif İstihbarattan Yararlanın
    Hiçbir kuruluş hiçbir zaman tüm yeni tehditleri deneyimleyemez, bu nedenle toplu tehdit istihbaratından faydalanabilmek çok önemlidir. Bilinmeyen, daha önce hiç görülmemiş tehditlere sahip hedefli saldırılar, küresel bilgi paylaşımı ile hızla bilinir hale gelebilir. Bir kuruluşta yeni bir tehdit analiz edildiğinde ve tespit edildiğinde, yeni tanımlanan tehdit bilgileri, saldırıların yayılmasını ve etkinliğini sınırlamak için önceden konuşlandırılan azaltıcı önlemlerle birlikte topluluk genelinde dağıtılabilir.

Bilinmeyen siber tehditler, bilinen tehditlere dönüştürmek ve bunlara karşı aktif olarak önlem almak, birleşik bir ortamda gerçekleşir. İlk olarak, bir sonraki saldırı adımını ve yerini tahmin etmeniz gerekir. İkincisi, onu durdurmak için korumayı hızlı bir şekilde geliştirip uygulama noktasına teslim edebilmeniz gerekir.

Korumaları Otomatikleştirin

Kuruluşunuza gerçekten yeni bir tehdit girdiğinde, ilk savunma hattı kuruluşa özel siber güvenlik en iyi uygulamalarına sahip olmaktır. Aynı zamanda, analiz için bilinmeyen dosyalar ve URL’ler gönderiyor olmalısınız. Korumalı alan analizinin etkinliği, bilinmeyen bir tehdit hakkında doğru bir karar vermek ve kuruluş genelinde korumalar oluşturmak ve uygulamak için geçen sürenin yanı sıra korumalı alan ortamınızın kaçamak tehditleri nasıl ele aldığına bağlıdır. Tehdit ilerlemeden önce, diğer bir deyişle mümkün olan en kısa sürede, güvenlik duruşunuzun yeterince hızlı bir şekilde değiştirilmesi gerekir. Ve bu tehdidin ağı daha fazla aşmamasını sağlamak için, tüm güvenlik ürünlerinde tehdidin yayılabileceğinden daha hızlı bir şekilde önlemler oluşturulmalı ve uygulanmalıdır.

İlginizi Çekebilecek Makaleler​

LLM (Large Language Models) Nedir?

Günümüzde yapay zeka ve makine öğrenmesi, teknolojinin birçok alanında devrim niteliğinde ilerlemeler kaydetmiştir. Bu ilerlemelerin merkezinde yer alan büyük dil modelleri (LLM – Large Language

Devamı »
Message Broker Nedir?

Message broker, birçok farklı uygulama veya sistem arasında iletişim kurmak için kullanılan bir yazılım aracıdır. Bu araç, bir uygulama tarafından gönderilen mesajları bir veya daha

Devamı »
Loglama Nedir?

Loglama, bilgisayar sistemlerindeki olayları, hataları ve diğer önemli durumları kaydetme işlemidir. Bu kayıtlar, sistem yöneticileri ve geliştiriciler tarafından, sistemlerin işleyişini anlamak, hataları tespit etmek ve

Devamı »
Vcenter Üzerinden ESXI Upgrade’i Nasıl Yapılır?

Öncelikle herkese merhaba arkadaşlar, sizlere Vcenter üzerinde ESXI hostunuzu nasıl upgrade edeceğinizi anlatacağım. Öncelikle hangi versiyona yükselteceksek o versiyonun ISO dosyasını indiriyoruz. Ardından Vcenter’ımızı açıyoruz.

Devamı »