Hedefli saldırılara karşı gelişmiş savunmalar: KATA Platformu

İşletmeler kendilerini APT'lere karşı nasıl korur?

Gelişmiş Kalıcı Tehditler (APT); sofistike, hedefli, uzun vadeli ve genelde oldukça iyi hazırlanmış, tek katmanlı korumayı geçmek için profesyonel bir şekilde tasarlanmış saldırı kampanyalarıdır.

Bir APT'ye karşı koruma/Hedefli saldırıdan koruma çözümünün asıl amacı, saldırı başlatmanın maliyetini, saldırı artık uygulanabilir veya ekonomik açıdan mümkün olmayacak derecede artırmaktır. Bu çözümler, çeşitli tekniklerin uygulanmasına dayanır: Birçok farklı algılama katmanının uygulanması ve birçok potansiyel saldırı giriş noktasının denetlenmesi, saldırgan ne kadar süre ve para harcarsa harcasın saldırının ortaya çıkarılma ihtimalini yükseltir.

Kaspersky Anti Targeted Attack ve Kaspersky EDR'yi bir araya getiren KATA Platformu, bu tür kurumsal çözümlere bir örnektir. Platformun gelişmiş teknoloji katmanları arasında şunlar bulunur:

Ağ trafiği analizi. Bu modül, davranış algılama kabiliyetlerine sahiptir ve IDS teknolojisi ile URL tanınırlık bilgilerini kullanarak trafiği ve nesneleri analiz eder:

• İzinsiz Giriş Algılama teknolojisi, geleneksel ve gelişmiş tehdit algılamayı bir araya getirir ve trafik analizi için hedefli saldırılara yönelik benzersiz bir IDS kuralları kümesiyle desteklenir. IDS kural kümeleri otomatik olarak ve zamanında güncellenir.
• URL tanınırlık analizi. Bulut tabanlı küresel Kaspersky Security Network'ten (KSN) alınan tanınırlık verileri kullanılarak şüpheli veya istenmeyen URL'ler algılanır. Bu veriler, hedefli saldırılarla bağlantılı URL'ler ve etki alanları hakkındaki bilgileri de içerir.

Sandbox. Korumalı alan (Sandbox), kötü amaçlı yazılım etkinliğini algılamak için şüpheli nesneleri kendi sanal makinelerinde çalıştırır.  Korumalı alan, değerlendirilen nesnenin kaynağına bağlı olarak sanallaştırma parametrelerini ve değerlendirmenin amacını (ör. işletim sisteminin tipi, işletim sistemi yapılandırması, ortam, örnek çalıştırmanın parametreleri, yürütme süresi) içeren örnek yürütme görevleri alır.

Korumalı alan, örnek yürütme sırasında aşağıdakileri toplar:

• örnek davranışına ilişkin günlükler (sistem işlev çağrıları, diğer işlemler ve dosyalarla yineleme, ağ etkinlikleri, URL'ler vb.)
• yığınlar
• bırakılan nesneler
• örnek tarafından oluşturulan trafik

Yürütme tamamlandığında, elde edilen yapay öğeler kaydedilir ve ardından özel bir tarayıcıyla işlenir. Örneğin kötü amaçlı olduğu sonucuna ulaşılırsa bir karar verilir ve sonuçlar, MITRE ATT&CK bilgi tabanıyla eşlenir. Gelecekte ek korumalı alan isteklerine gerek kalmadan düşmanın taktiklerinin ve yöntemlerinin analiz edilmesi için toplanan tüm veriler dahili olarak kaydedilir ve bu sayede sunucu kaynaklarından tasarruf edilir.

İşletim sistemi ortamını rastgele seçme, sanal makinelerde zaman hızlandırma, atlatma karşıtı teknikler, kullanıcı etkinliği simülasyonu gibi birçok özellik, son derece verimli davranış tabanlı algılamaya katkıda bulunur. Korumalı alan, çeşitli patentli teknolojiler kullanır ve hem otomatik hem manuel modlarda kullanılabilir.

Kaspersky Security Network (KSN), KATA Platformu tarafından işlenen nesneler (dosyalar, etki alanları, URL'ler, IP adresleri ve daha fazlası) hakkındaki tanınırlık kararlarını ve diğer bilgileri barındıran küresel bir bulut altyapısıdır. KSN, Cloud ML for Android gibi bulut ML modellerini kullanarak algılama sağlar: Yerel APK dosyası meta verileri, Platform tarafından toplanır ve KSN'ye iletilir. KSN, ML tabanlı model ile oluşturulan kararla yanıt verir. Verilerini küresel KSN bulutuna gönderemeyen ancak Kaspersky'nin küresel tanınırlık veritabanından faydalanmak isteyen şirketler için özel bir bulut tabanlı çözüm olan Kaspersky Private Security Network (KPSN) çözümü mevcuttur. Küresel tehdit istihbaratı veritabanımıza özel erişimin yanı sıra, KATA Platformu tarafından verilen kararlar yerel bir KPSN veritabanında saklanır ve otomatik müdahale için kurumsal altyapıda dağıtılmış diğer Kaspersky ürünleriyle otomatik olarak paylaşılır. KPSN çözümünün dağıtıldığı şirketler, ek bir adım gerekmeksizin bir API aracılığıyla harici üçüncü taraf sistemler tarafından sağlanan tanınırlık bilgilerinden faydalanabilir.

Hedefli Saldırı Analiz Aracı (TAA), anormallikler için gelişmiş buluşsal yöntemleri temel alarak şüpheli eylemleri keşfedebilir ve gerçek zamanlı tehdit avlama kabiliyeti sağlar. Olayların otomatik olarak analiz edilmesini ve Kaspersky'nin Tehdit Avcıları tarafından oluşturulan benzersiz bir Saldırı Göstergeleri (IoA) kümesiyle ilişkilendirilmesini destekler. TAA, önemli bir anormallik algıladığında BT güvenliği uzmanı yazılı bir açıklama, öneriler (ör. keşfedilen olayın tekrar ortaya çıkması riskini azaltmaya ilişkin), karara duyulan güvene ilişkin bir gösterge ve derecelendirmeye yardımcı olması için olayın önem derecesini alır. Tüm IoA'lar; kullanılan ATT&CK tanımlı teknikler, açıklama ve etki hafifletme stratejileri gibi ayrıntılı bilgiler sağlamak üzere MITRE ATT&CK ile eşlenir. Bu sayede kurumunuzdaki becerikli uzmanlara çok iş yüklemeden üst düzey tehdit araştırmalarından otomatik olarak faydalanabilir ve uzmanların vakitlerini derin olay araştırması ve tehdit avlama gibi diğer karmaşık görevlere ayırmalarını sağlayabilirsiniz. Bununla birlikte, kullandığınız belirli altyapıya veya faaliyet gösterdiğiniz sektöre uygun özel IoA'ları içeren kendi veritabanınızı da oluşturabilirsiniz.

Gelişmiş kötü amaçlı yazılımdan koruma motoru. Uç nokta yapılandırmasında etkinleştirilen ayarlardan daha agresif ayarlar kullanarak merkezi düğüm üzerinde çalışan motor, nesneleri kötü amaçlı veya potansiyel olarak tehlikeli kodlar için tarar ve aynı zamanda potansiyel olarak kötü amaçlı içeriğe sahip nesneleri korumalı alana gönderir. Bunun sonucunda, olay araştırması aşamasında çok değerli olabilecek son derece hassas algılama elde edilir.

IoC taraması. KATA Platformu, tehdit veri kaynaklarından merkezi IoC yüklemesine izin vererek ve otomatik planlı IoC taramasını destekleyerek analistlerin işini kolaylaştırır. Geri dönük veritabanı taramaları, önceden işaretlenen güvenlik olayları hakkındaki bilgilerin kalitesini artırmak için kullanılabilir.

Sertifika doğrulaması. Certcheck modülü, imzalanan sertifikaların doğruluğunu ve şüpheli sertifikaların mevcut olup olmadığını kontrol eder.

BT güvenliği uzmanlarına yönelik diğer KATA Platformu hizmetleri:

YARA kurallarıyla algılama. YARA, yeni kötü amaçlı yazılım çeşitlerini avlamak için en sık kullanılan araçlardan biridir. Spesifik özelliklere ve meta verilere sahip dosyaları (ör. belirli bir kodlayıcının stilini temsil eden dizeler) aramaya yönelik karmaşık eşleştirme kurallarını destekler. Şirketinize özgü tehditlere yönelik nesneleri analiz etmek için özelleştirilmiş YARA kuralları oluşturmak ve yüklemek mümkündür.

Geriye dönük analiz. Veri, nesne ve kararların toplanmasını otomatikleştirmek ve bunları merkezi olarak depolamak, çok aşamalı saldırıları araştırırken ele geçirilmiş uç noktaların erişilemez olduğu ya da verilerin siber suçlular tarafından şifrelenmiş olduğu durumlarda bile geriye dönük analiz gerçekleştirilmesine olanak tanır. Ek olarak, e-posta ve web trafiğinden kaydedilen dosyalar, en güncel algılama kuralları uygulanarak düzenli ve otomatik olarak tekrar taranabilir.

Proaktif tehdit avlama için güçlü, esnek sorgu oluşturucu. Analistler, siber suç etkinliklerinin erken aşamalarda algılanmasını iyileştirmek için altyapınıza özgü anormal davranışları, şüpheli olayları ve tehditleri aramaya yönelik karmaşık sorgular oluşturabilir.

Kaspersky Threat Intelligence Portal erişimi. Tehdit İstihbaratı bilgi tabanımızdaki manuel tehdit sorguları, BT güvenliği analistlerine tehdit avlama ve etkili araştırma için ek bağlamlar sunar.

KATA Platformu, analiz için farklı kaynaklardan veriler toplar:

Bir ağ sensörü, tüm trafik verilerinin kopyalarını alır; ek analizler için bu kopyalardan nesne ve ağ meta verilerini elde eder. Ağ sensörleri, BT ortamının birçok alanındaki etkinlikleri algılayarak proxy, web ve e-posta ortamlarındaki karmaşık tehditlere yönelik "neredeyse gerçek zamanlı" algılama sağlar:

• Ağ sensörü; ağ trafiğinin kaynağı, hedefi, veri hacmi ve dönemselliği ile ilgili bilgileri ayıklayabilir (dosya şifrelenmiş olduğunda bile). Bu bilgiler, uygulanacak şüphe seviyesi hakkında bir karara varmak ve potansiyel saldırıları algılamak için genellikle yeterlidir. SMTP, POP3, POP3S, HTTP, HTTPS, ICAP, FTP ve DNS protokolleri desteklenir.
• Ağ sensörü, ICAP protokolü üzerinden proxy sunucu ile entegrasyon yoluyla web trafiğine müdahale edebilir ve HTTPS tarafından iletilen nesneleri yönetebilir.
• E-posta sensörü, belirlenen posta kutusuna POP3 ve SMTP bağlantısı üzerinden posta sunucularıyla entegrasyonu destekler. Sensör, herhangi bir posta kutusu kümesini izlemek üzere yapılandırılabilir.

Eksiksiz ağ trafiği analizine ek olarak platform, Kaspersky Secure Mail Gateway ve Kaspersky Web Traffic Security'yi KATA Platformuna hizmet veren tam özellikli ağ sensörleri olarak kullanarak karmaşık tehditlere ağ geçidi düzeyinde otomatik müdahale sağlayabilir.

Uç nokta sensörleri (Kaspersky EDR) altyapınızın genelindeki uç noktalardan tüm gerekli verileri toplar. Uç noktalara dağıtılan aracı, sürekli olarak işlemleri, etkileşimleri, açık ağ bağlantılarını, işletim sistemi durumunu, dosyalar üzerindeki değişiklikleri vb. izler. Ardından, şüpheli olayların algılanmasına ilişkin toplanan verileri ve bilgileri, ek araştırma ve analizin yanı sıra diğer bilgi akışlarında algılanan olaylarla karşılaştırma için KATA Platformuna gönderir.

Pratikte KATA Platformu

Yukarıda listelenen teknolojileri birleştirilmiş sunucu mimarisi altında, merkezi yönetim ile uygulayan KATA Platformu, ağ ve uç nokta düzeylerindeki (web ve e-posta sunucuları, PC'ler, dizüstü bilgisayarlar, sunucular ve sanal makineler dahil) potansiyel tehdit giriş noktalarını güvence altına alarak şirketinizin BT altyapısında neler olup bittiğine dair ayrıntılı bir bakış açısı sunar. KATA, BT Güvenliği Uzmanlarınız için çok boyutlu tehdit belirleme, derinlemesine soruşturma, proaktif tehdit avlama ve karmaşık olaylara merkezileştirilmiş müdahale gibi olanaklar sunan kapsamlı bir araç seti sağlar.

KATA Platformu, Kaspersky Endpoint Security for Business entegrasyonuyla, otomatik tehdit engelleme ve karmaşık olaylara müdahale sağlayan uç nokta koruması sunar. Bunun yanı sıra e-posta ve web tabanlı tehditleri engellemek ve daha karmaşık tehditlere otomatik müdahale sağlamak için Kaspersky Security Mail Gateway ve Kaspersky Web Traffic Security ile tam entegrasyona sahiptir. Bu hepsi bir arada çözüm, hem ağ hem de uç nokta seviyelerinde, Tehdit İstihbaratı ile geliştirilen ve tek bir web konsolu aracılığıyla yönetilen optimum savunma eylemi otomasyonu sayesinde BT güvenliği ekiplerinizin gelişmiş tehdit koruması üzerinde harcadığı süre ve çabayı önemli ölçüde azaltır.

KATA Platformu, ek kaynak gerektirmeden kurumsal altyapıyı karmaşık tehditlere ve hedefli saldırılara karşı korur. Mevcut stratejinize entegre edilen Platform, karmaşık tehditlere ve hedefli saldırılara güvenilir ve etkili bir şekilde karşılık vermek için BT Güvenlik Ekibiniz veya SOC ile birlikte çalışır ve mevcut üçüncü taraf koruma teknolojilerini tamamlarken SIEM'iniz ile etkileşimi destekler.