İş istasyonlarını koruma: Gereğinden fazla özellik engellememek için ne yapabilirsiniz?

Nisan 5, 2019

Siber suçlular iş istasyonlarına nasıl saldırır? Genellikle sıkça kullanılan programlardaki güvenlik açıklarından veya potansiyel olarak tehlikeli özelliklerden yararlanırlar. Siber suçlular bunlarla kalmaz, farklı yollardan da faydalanır. Bunlar yalnızca kullandıkları en yaygın taktikler. Bu yüzden, bu tür yazılımların kullanımını kısıtlamak mantıklı görünebilir. Fakat bunu iş süreçlerine zarar vermeden nasıl yapabilirsiniz? Yazılımı dikkatsiz bir şekilde engellemek işinize ciddi zararlar verebilir; çalışanların rollerindeki farklılıkları göz önünde bulundurmanız gerekir. Yaklaşımımız, makine öğrenimi tekniklerini kullanarak uyarlanabilir anormallik kontrolü yoluyla saldırı yüzeyini azaltmaktı.

MS Office uzun yıllardır, güvenlik açıklarından faydalanılan yazılım olma konusunda başı çekerek oldukça kötü bir unvana sahip olmuştur. Ancak bu durum, yazılımın kendisinin kötü olduğu anlamına gelmez. Güvenlik açıkları her yerdedir. MS Office’in bu unvanı almasının temel sebebi, kendisiyle aynı kulvarda yer alan yazılımlardan çok daha yaygın olarak kullanılması ve bunun neticesinde siber suçlular tarafından çok daha fazla tercih edilmesidir. Şirketiniz alternatif bir çözüm kullanmak için çalışanlarını yeniden eğitmek adına bütçe ayırmaya istekli olsa bile farklı bir verimlilik paketi popülerlik kazanır kazanmaz Office, güvenlik açıklarından yararlanılan yazılımlar arasındaki liderliğini kaybedecektir.

Bazı ürünler açıkça tehlikeli özelliklere sahiptir. Örneğin, aynı Office yazılımındaki makrolar kötü amaçlı kod yürütmek için kullanılabilir. Ancak bunları tamamen engellemek mantıklı bir seçim olmaz; finansal analistler ve muhasebeciler bu araçlara günlük işlerinde ihtiyaç duymaktadır.

Amaç, bir şekilde bu programları çok sıkı takip etmek ve sadece anormal bir hareket tespit edildiğinde müdahale etmektir. Ancak bir sorun var.

Anormalliği nasıl tanımlarsınız?

Siber suç etkinliklerinin özü, güvenlik sistemlerine yasal görünmelerinde yatar. Bir siber güvenlik sistemi, bir çalışana gönderilen bir mesajın makro veya Truva atı içeren önemli bir belge içerip içermediğini nasıl belirleyebilir? Acaba o kişi .js dosyasını iş amaçlı mı gönderdi yoksa dosya virüs mü içeriyor?

En azından teoride, her çalışanın çalışmasını manuel olarak analiz etmek, hangi araçlara ihtiyaç duyduklarını ve hangilerine duymadıklarını tespit etmek ve bu bilgilere dayanarak bir tehdit modeli oluşturmak ve belirli program özelliklerini profesyonel bir şekilde engellemek mümkün olabilir.

Ancak burada sayısız sorun ortaya çıkıyor. Birincisi, şirket ne kadar büyükse her çalışan için doğru bir model oluşturmak da o kadar zor oluyor. İkincisi, küçük bir işletmede bile, manuel yapılandırma yöneticiler için çok fazla zaman ve çaba gerektiriyor. Üçüncüsü, kurumsal altyapı ya da araçlar her değiştirildiğinde, sürecin de tekrarlanması gerekiyor.

Bu durumlar göz önünde bulundurulduğunda, yöneticilerin ve BT güvenlik görevlilerinin akıl sağlığını korumak için tek seçenek, kısıtlamaları yapılandırma sürecini otomatikleştirmektir.

Uyarlanabilir kontrol

Otomatikleştirme işlemini şu şekilde gerçekleştirdik: İlk adımda, makine öğrenimi ilkelerine dayanan sistemler, tehdit veritabanlarımızı taradı ve potansiyel olarak zararlı hareketlerin standart modellerini oluşturdu. Daha sonra, her bir iş istasyonunda bu modellerin kesin olarak engellenmesini sağladık.

İkinci adımda, kullanıcı etkinliğini analiz etmek ve hangi kuralların uygulanabileceğini ve hangilerinin normal çalışmaya müdahale edeceğini belirlemek için otomatik bir uyarlama modu (başka bir deyişle Akıllı Mod) oluşturduk. Bu mod şu şekilde çalışır: Sistem öncelikle öğrenme modunda belirli bir süre için kontrol kurallarının tetiklenmesi ile ilgili istatistikleri toplar ve ardından kullanıcının veya grubun normal çalışmasının bir modelini oluşturur (yasal senaryo). Daha sonra, öğrenme modu devre dışı bırakılır ve yalnızca anormal eylemleri engelleyen kontrol kuralları etkinleştirilir.

Kullanıcının çalışma modelinin değiştirilmesi durumunda, sistem öğrenme moduna geri döndürülebilir ve yeni senaryoya uyarlanabilir. Buna ek olarak, istisnaların eklenmesi gerektiğinde ince ayar seçeneği de bulunmaktadır.

Bu her şeyin çözümü değildir, ancak olası saldırıların etkileyebilceği yüzeyi önemli ölçüde azaltır.

Adaptive Anomaly Control (Uyarlanabilir Anormallik Kontrolü) (AAC) modülü, yakın zamanda genel olarak kamuoyuna sunduğumuz güncellenmiş Kaspersky Endpoint Security for Business Advanced çözümünün bir parçasını oluşturmaktadır. Bu teknolojinin uygulandığı güvenlik ürününün deneme sürümünü indirmek için aşağıdaki başlığa tıklayın.