21 Kasım Perşembe, İstanbul – Karmaşık hedefli saldırılara karşı verilen mücadele oldukça normal bir süreç haline geldi ki artık bu saldırılardan etkilenenler sadece büyük şirketler değil. Devlet destekli bu saldırganlar artık küçük ölçekli firmaların da peşinde. Neden mi? Çünkü saldırganların asıl hedefi olan büyük şirketlerle küçük ölçekli firmalar arasında pek çok iş ilişkisi mevcut. Küçük şirketlerin büyük çaplı iş ortaklarına kıyasla daha az korunma kalkanları bulunuyor ve böylece saldırganlar için amaca ulaşmada elverişli bir ortam sağlamış oluyorlar. Peki, büyük ya da küçük, şirketler kendilerini bu karmaşık hedefli saldırılarından nasıl koruyacaklar?
Symantec’in hedefli saldırılara karşı geliştirdiği savunma kalesine eklenen iki yenilik ekledi : Symantec Messaging Gateway’deki (Symantec Mesajlaşma Ağ Geçidi) Disarm ve Symantec Endpoint Protection’daki (Symantec Uç Nokta Koruması) Network Threat Protection (Ağ Tehditleri Koruması).
Neden Önemli?
Symantec’in ileri araştırmalar bölümü olan Symantec Araştırma Laboratuvarları tarafından geliştirilmiş, Messaging Gateway 10.5’deki yeni Disarm teknolojisi, firmaları hedefli saldırılardan korumak için bir teknik kullanıyor. Hedefli saldırıların çoğu, masum görünen ama aslında kötü niyetli olan dokümanların e-posta aracılığıyla gönderilmesiyle kullanıcıya ulaşıyor. Her bir kötü amaçlı doküman, örneğin PDF, DOC veya XLS dosyası içine saklanmış bir saldırı barındırıyor ve mağdurlar sadece bu dokümanı görüntüleyerek otomatik olarak ve farkında olmadan saldırıyı kabul etmiş oluyor.
Geleneksel koruma teknolojileri, dokümanların sadece şüpheli karakterler içerip içermediğini tarayabiliyor. Sorun şu ki, bu türdeki doküman bazlı saldırılar şüpheli görünmeyecek şekilde tasarlanıyor ve taramalardan fark edilmeden geçebiliyorlar.
Disarm ise konuya yeni bir yaklaşım getiriyor. Dokümanı taramak yerine, e-postayla gelen her ekin/dokümanın zararsız bir “karbon kopya”sını alıyor ve potansiyel kötü amaçlı orijinalinin yerine bu karbon kopyayı alıcıya gönderiyor. Sonuçta alıcı, saldırganın kötü amaçlı ekiyle karşılaşmıyor. Symantec’in araştırmasına göre, Disarm teknolojisi 2013 yılında sıfır gün doküman açıklarını kullanan saldırıların %98’ini önleyebilirdi. Bu saldırılar yakın zamana kadar hiçbir şekilde bilinmiyordu ve böylece bütün geleneksel taramalardan, keşifsel yöntemlerden, emülatörlerden ve hatta VX (Virtual Execution – Sanal Yürütme) çözümlerinden bile kaçabiliyorlardı.
Uç noktalar için ise gelişmiş Network Threat Koruma teknolojisi, Symantec Endpoint Protection 12.1.4’ün Mac versiyonuna eklendi. Birçok Mac kullanıcısı saldırılardan etkilenmeyeceğini düşünüyor ve sonuç olarak güvenlik konusunu çok ciddiye almıyor. Fakat gerçekte, bu davranış biçimi Mac kullanıcılarını hedefli saldırganlar için potansiyel bir altın madeni yapıyor. Symantec’in Network Threat teknolojisi, henüz cihaz herhangi bir saldırıdan etkilemeden önce gelen ağ trafiğini kesiyor, hedefli saldırıları tespit ediyor ve otomatik olarak engelliyor. Bu teknoloji, patentli, uygulama tabanlı ve protokol farkındalığı olan Intrusion Prevention Sistemi (Saldırı Önleme Sistemi) kullanarak, saldırıları tanımak ve engellemekle kalmıyor, aynı zamanda çok fazla tanınmayan sıfır gün saldırılarını da bulup engelliyor.
Symantec Global İstihbarat Ağı Tarafından Desteklenen Hedefli Saldırı Koruması
Bu teknolojilere ek olarak, Symantec’in güvenlik çözümleri Symantec Global Intelligence Network (GIN – Global İstihbarat Ağı) ve bütün dünyadan 550 araştırmacıdan oluşan bir ekip tarafından destekleniyor. Symantec’in GIN platformu isimsiz olarak Symantec’in yüz milyonlarca kullanıcısından ve sensöründen 24 saat telemetre topluyor. Symantec bu veriyi – 2.5 trilyon güvenlik telemetresi dizisinden daha fazla – yeni saldırıları ve saldırı ağlarını keşfetmek ve izlemek için kullanıyor. Bu veriyi ayrıca, ağ geçidi, uç noktası ve veri merkezi çözümlerimiz için Symantec’s Insight itibar teknolojisi gibi tahmine yönelik, pro-aktif koruma teknolojilerini geliştirmede de kullanıyoruz.
Kaynak : 