Çoğu geleneksel güvenlik ürünü, bilinen tehditlere göre hareket edecek şekilde tasarlanmıştır. Kötü niyetli olduğu bilinen bir şey gördükleri anda onu engellerler. Saldırganlar, bilinen tehditleri başarıyla engelleyen güvenlik ürünlerini aşmak için daha önce hiç görülmemiş bir şey yaratmaya zorlanır ve bu da bir saldırı yürütme maliyetini artırır. Bunu nasıl yapıyorlar ve hem bilinen hem de bilinmeyen siber tehditler nasıl önlenebilir?
Birkaç senaryoya bakalım:
Geri Dönüştürülmüş Tehditler
Geri dönüştürülmüş tehditler, en uygun maliyetli saldırı yöntemi olarak kabul edilir, bu nedenle saldırganlar, önceden kanıtlanmış teknikleri kullanarak genellikle mevcut tehditleri geri dönüştürür. Bu geri dönüştürülmüş tehditleri “bilinmeyen” yapan şey, güvenlik ürünlerinin sınırlı hafızasında yatmaktadır. Tüm güvenlik ürünleri sınırlı belleğe sahiptir ve güvenlik ekipleri, gelen saldırıların çoğunu engelleyeceklerini umarak korunmak için en güncel tehditleri seçer. Güvenlik ürünü tarafından izlenmeyen daha eski bir tehdit ağa girmeye çalışırsa, daha önce görülen bir şey olarak sınıflandırılmadığı için güvenlik ürününü atlayabilir.
Bu “bilinmeyen” geri dönüştürülmüş tehditlere karşı korunmak için, genellikle tehdit verilerinin hacmini ele almak için ölçeklenebilen esnek bir bulut altyapısına yerleştirilmiş bir tehdit istihbaratı bellek koruyucusuna erişim kritik önem taşır. Bir güvenlik ürününün tanımlanmış ve depolanmış belirli bir tehdidi olmaması durumunda, daha geniş tehdit istihbaratı bilgi tabanına erişim, bir şeyin kötü amaçlı olup olmadığını belirlemeye yardımcı olabilir ve güvenlik ürününün onu engellemesini sağlayabilir.
Değiştirilmiş Mevcut Kod
Bu yöntem, geri dönüşüm tehditlerinden biraz daha pahalıdır. Saldırganlar mevcut bir tehdidi alır ve tehdit ağda aktif olarak geçiş yaparken manuel veya otomatik olarak kodda küçük değişiklikler yapar. Bu, polimorfik kötü amaçlı yazılım veya polimorfik bir URL ile sonuçlanır. Bir virüs gibi, kötü amaçlı yazılım da sürekli ve otomatik olarak hızla şekil değiştirir ve değişir. Bir güvenlik ürünü, orijinal tehdidi bilinen olarak tanımlar ve yalnızca bir varyasyona dayalı olarak bunun için bir koruma oluşturursa, kodda yapılacak en ufak bir değişiklik, bu tehdidi bilinmeyene dönüştürür.
Bazı güvenlik ürünleri, iki özdeş karma elde etmeyi imkansız hale getirecek şekilde bir metin dizisine dayalı tamamen benzersiz bir sayı üreten karma teknolojisini kullanarak tehditleri eşleştirir. Bu bağlamda, hash değeri tehdidin yalnızca bir varyasyonuyla eşleşir, bu nedenle tehdidin herhangi bir yeni varyasyonu yeni ve bilinmeyen olarak kabul edilir.
Bu tehditlere karşı daha iyi korunmak için güvenlik ürünlerinin polimorfik imzalar kullanması gerekir. Polimorfik imzalar, bir karma yerine trafik ve dosyaların içerik ve kalıplarına dayalı olarak oluşturulur ve bilinen bir tehdidin birden çok varyasyonunu tanımlayabilir ve bunlara karşı koruma sağlayabilir. Sabit kodlamanın görünümünden ziyade davranışa odaklanma, değiştirilmiş kötü amaçlı yazılımlardaki kalıpların tespit edilmesini sağlar.
Yeni Oluşturulan Bilinmeyen Siber Tehditler
Daha kararlı ve parayı yatırmaya istekli olan saldırganlar, tamamen yeni bir kodla tamamen yeni bir tehdit oluşturacaktır. Bir saldırının önceden bilinmeyen bir tehdit olarak kabul edilebilmesi için siber saldırı yaşam döngüsünün tüm yönleri yeni olmalıdır.
- İş Davranışına Odaklanın
Bu yeni tehditlere karşı korunmak, benzersiz iş davranışınıza ve veri akışlarınıza odaklanmayı gerektirir. Bu bilgiler daha sonra siber güvenlik en iyi uygulamalarına uygulanabilir. Örnek olarak, kullanıcı kimliği ve uygulama kimliği ile segmentasyondan yararlanmak, yeni tehditlerin kuruluşunuzun tamamına yayılmasını önlemeye ve yeni, bilinmeyen ve sınıflandırılmamış web sitelerinden indirmeleri engellemeye yardımcı olabilir. - Kolektif İstihbarattan Yararlanın
Hiçbir kuruluş hiçbir zaman tüm yeni tehditleri deneyimleyemez, bu nedenle toplu tehdit istihbaratından faydalanabilmek çok önemlidir. Bilinmeyen, daha önce hiç görülmemiş tehditlere sahip hedefli saldırılar, küresel bilgi paylaşımı ile hızla bilinir hale gelebilir. Bir kuruluşta yeni bir tehdit analiz edildiğinde ve tespit edildiğinde, yeni tanımlanan tehdit bilgileri, saldırıların yayılmasını ve etkinliğini sınırlamak için önceden konuşlandırılan azaltıcı önlemlerle birlikte topluluk genelinde dağıtılabilir.
Bilinmeyen siber tehditler, bilinen tehditlere dönüştürmek ve bunlara karşı aktif olarak önlem almak, birleşik bir ortamda gerçekleşir. İlk olarak, bir sonraki saldırı adımını ve yerini tahmin etmeniz gerekir. İkincisi, onu durdurmak için korumayı hızlı bir şekilde geliştirip uygulama noktasına teslim edebilmeniz gerekir.
Korumaları Otomatikleştirin
Kuruluşunuza gerçekten yeni bir tehdit girdiğinde, ilk savunma hattı kuruluşa özel siber güvenlik en iyi uygulamalarına sahip olmaktır. Aynı zamanda, analiz için bilinmeyen dosyalar ve URL’ler gönderiyor olmalısınız. Korumalı alan analizinin etkinliği, bilinmeyen bir tehdit hakkında doğru bir karar vermek ve kuruluş genelinde korumalar oluşturmak ve uygulamak için geçen sürenin yanı sıra korumalı alan ortamınızın kaçamak tehditleri nasıl ele aldığına bağlıdır. Tehdit ilerlemeden önce, diğer bir deyişle mümkün olan en kısa sürede, güvenlik duruşunuzun yeterince hızlı bir şekilde değiştirilmesi gerekir. Ve bu tehdidin ağı daha fazla aşmamasını sağlamak için, tüm güvenlik ürünlerinde tehdidin yayılabileceğinden daha hızlı bir şekilde önlemler oluşturulmalı ve uygulanmalıdır.