Bilgisayar korsanları, algılamayı önlemek için sürekli değişen kötü amaçlı yazılımlar üretmek için makine öğrenme teknikleri kullanıyorlar ve gelecekteki kötü amaçlı yazılım türlerini bir adım önde tutmak için bilinçli özellikler geliştirmeleri bile önerildi. Claire Apthorp, son zamanlarda maruz kaldıkları malware türleriyle ilgili daha fazla bilgi edinmek ve iletişim altyapısına yönelik tehdidin askeri hazırlığa nasıl zarar verdiğini öğrenmek için Airbus Cyber Security ile konuştu.
Hükümetler, askeri taktik kuvvetler ve kritik ulusal altyapı kuruluşları, günümüzde kullanılan en sofistike bazı siber tehditleri ele almaktadır. Bu siber tehditler, karmaşıklık ve otomasyonda büyümeye devam ediyor; saldırganlar ulus devletler de dahil olmak üzere çok yetenekli ve motive olmuş kuruluşlardan ya da çevrimiçi satın alınan hack araç setlerini ve çerçeveleri kullanan daha az yetenekli saldırganlara kadar değişiyor.
Mevcut siber tehdidi karakterize etmeye çalışmak, saldırganların, araçların ve saldırı tarzının sürekli olarak geliştiği için zor bir görevdir. Bir kere, ulus devlet ile alt düzey siber suçlular arasındaki çizgi bulanıklaşıyor - bazı durumlarda siber suçlular ulus devletlerin kullandığı araçları ve teknikleri taklit ediyorlar. Shadow Brokers'ın bu yılın başlarında NSA hack araçları sızıntısını takiben, ulus düzeyinde elektrikli el aletleri artık onları indirmek isteyen herkes tarafından kullanılabilir. Aynı zamanda, Ulusal Siber Güvenlik Merkezi 2017 Yıllık Gözden Geçirme'ye göre, alt düzey sofistike yıkıcı ve tahrip edici saldırı teknikleri ulus devletler tarafından giderek araştırılıyor.
Bu sonsuz şekli değiştirmenin sonucu, gelişmiş algılama kaçınma teknikleri ile birlikte, en iyi yaklaşımları benimseyen harmanlanmış saldırılardır. Birlikte ele alındığında, ciddi bir küresel tehdit oluşturuyorlar.
Şekil değiştirenleri
Bu arada, kötü amaçlı yazılımlar gelişmeye devam ediyor ve algılamadan kaçınma yöntemleri, kötü amaçlı yazılımın daha gelişmiş olmasına ayak uydurmuştur.
Airbus CyberSecurity İngiltere Güvenlik Operasyon Merkezi Lloyd Rush başkanı: "Polimorfik zararlı kod, algılamayı kaçırabilmek için her uygulamanın orijinal formundan dönüştürme yeteneği ile kodlanmıştır" diyor. "Eşsiz, değişen özellikleri, dosya adlarını, türlerini veya şifreleme anahtarlarını içerir ve bu da kötü amaçlı yazılım tespit edilmesini daha az belirleyebilir ve daha zor buluyor.
"Bunun gibi teknikler dolaşımdaki kötü amaçlı yazılımların hacminde patlamaya neden olmuş ve her geçen gün 390.000'den fazla yeni kötücül yazılım varyasyonu tespit edilmiştir. Bu teknikler, kötü amaçlı yazılımları çok daha başarılı kıldı ve şu anda kötü amaçlı yazılım enfeksiyonlarının yüzde 97'sinin polimorfik teknikler kullandığını düşünüyor. "
Bu tehdidin altını çizen, birçok kuruluşun ağlarında ve çalışan alışkanlıklarında iyi bir siber güvenlik hijyeni gereksinimini uygulamaması ve iletmemesi nedeniyle kronik son kullanıcı eğitimi eksikliği.
Bu zorluğun üstesinden gelmek için hizmet sağlayıcıları, yüksek riskli ağlarını yönetmek için giderek daha fazla kullanılmaktadır. Airbus CyberSecurity, Birleşik Krallık Savunma Bakanlığı federal Güvenlik İşlem Merkezleri'nden (SOC) bir yetkili servis sağlayıcısı olarak çalışan Otoriteler Bilgisayar Acil Müdahale Ekibi Koordinasyon Merkezi'ne başvuruyor. Airbus SOC, ATLAS konsorsiyumunun bir parçası olarak Savunma Bilgisi Altyapısını koruyucu bir şekilde izlemektedir. Bu pozisyon, Airbus SOC'ye en yeni nesil zararlı yazılım tehditlerinin neye benzediğini ve nelerin nasıl geliştiğini sağlam bir biçimde kavrayacaktır.
Rush, "Bellek tehdidi enjeksiyonu ve üstü sızdıran beyaz listeden çıkan araçlardan kaçan kötü amaçlı yazılım çeşitleri, ortaya çıkan en büyük tehditler veya kötü amaçlı yazılım aileleridir" diye belirtiyor Rush.
"Örneğin, Fileless saldırıları, algılamayı önlemek veya yazılım güncellemelerini etkin ve etkileşim olmadan dağıtmak için yerli otomasyonun tam olarak kullanılmasından yararlanmak için işletim sistemlerine yerleştirilen ortak yönetim araçlarını kullanarak" arazide yaşama "ya da etki yaratmamaya devam ediyor son kullanıcı deneyimi. "
 |
Airbus CyberSecurity İngiltere Güvenlik Operasyon Merkezi Başkanı Lloyd Rush. |
Burada, azaltma denetimlerini hafifletmek veya savunmasız işletim sistemlerini yükseltmek için büyük kuruluşlardaki çevikliğin olmaması, varolan kalıntı riski yeni veya mevcut seviyeye çıkarmaktadır.
Rush, "Tipik olarak bu tehditlere karşı savunma yaklaşımı, Uzlaşma Yemlerinin Göstergesini ve daha genel tetikleyicileri alarak bir dizi algılama aleti içerecektir" dedi. "Bu araç, sınırdan bitiş noktalarına kadar bilinen tetikleyicilere hizalanacak herhangi bir etkinliği tanımlamak için kuruluşun farklı katmanlarında veya bölümlerinde sunulmaktadır."
Ancak, orijinal zararlı yazılım kodunu bozulmadan muhafaza ederken kötü niyetli kodları mutasyona uğratmak için saldırganlar tarafından polimorfik motorların kullanılması, zararlı yazılımın algılamayı geleneksel güvenlik yazılımı ile kaçmasına izin verir.
Rush, "Saldırganlar genellikle kampanyaların etkinliğini değerlendirmek ve böylece saldırı stratejisini ayarlamak için kaçakçılığı veya sosyal mühendislik tekniklerini ve potansiyel başarı oranlarını değerlendiren makine öğrenimini kullanıyor" dedi. "Saldırgana yapılan her başarısızlık, daha fazla gelişme pahasına gelir ve savunmacının uzlaşma göstergelerine (IoC) ve tehdit istihbarat veri setlerine katkıda bulunur.
"Genellikle kötü amaçlı yazılım oluşturmak için kullanılan makine öğrenimi, yük kodunu değiştirmek için kod üreticisi etkileşimlerini çoğunlukla gerektiren kaynak kodlayıcı tarafından öngörülen parametreleri ve değişkenleri zorladı. Otomatik olarak kötü amaçlı yazılım oluşturulmasında makine öğreniminin şu anda sınırlı olduğu ileri sürülebilir, ancak yüksek değerli bir malware kampanyasının tahmini modellemesini değerlendirirken önemli bir uygulama olduğunu varsaymak mantıklı olur "dedi.
Buradaki zorluk, malware koruması konusundaki geleneksel bilgelik, antivirüs, güvenlik duvarları ve kodun belirli ve tanınabilir öğelerini arayarak çalışan İzinsiz Giriş Önleme Sistemleri gibi önleyici çözümlere yatırım yapmak olmuştur. Sonuç olarak, konvansiyonel koruyucu takım oynamak zorundadır.
"Otomatik savunmalar, bu kötü amaçlı yazılım tehditlerine yaratılan hıza ayak uydurmak açısından cevap verebilir , ancak gerçek başarı, yanıt hızı kadar, stratejik bakış açısına da bağlıdır; bu nedenle en etkili savunma, hem makine tarafından öğrenilen programlar gerektirir hem de insan uzmanlığı kadar "dedi. "Burada, son kullanıcıdan ağ telemetrisine kadar değişen davranış analizi ve normalizasyon, etkili önleyici veya tespit yöntemleri oluşturan harekete geçirici istihbarat sağlamak için, IoC ve siber tehdit istihbaratından kaynaklanan diğer tanımlayıcılarla kombine edilebilir."
Gelecek akıllı
Gelecekte tehdidin nasıl gelişeceğine ilişkin olarak, mevcut belirteçler yapay zekaya (AI) işaret ediyor. AI destekli siber saldırılar, ağa giren saldırıların, kişisel veri hırsızlığının patlamasına ve akıllı bilgisayar virüslerinin önemli bir yayılmasına neden olma potansiyeline sahiptir. Rush'ın tavsiyesi burada, güvenlik ekipleri, iş dünyası liderleri ve politikacılar için potansiyel etkiyi anlamak için AI güvenlik ve güvenlik araştırmasının en ileri aşamalarını öğrenmek içindir.
"Bu alanda zaten iyi bir güvenlik araştırması yapıldı" dedi. "Algoritmalar, daha önce görülmeyen, büyük" eğitim "veri setlerine maruz kalma üzerine kötü niyetli kodları karakterize etme, model bulma ve grupla ilgili örnekleri birlikte kullanma - vasıtasıyla tahminler yapabilir ve tahminler yapabilir ve her yeni örnek, algılama oranlarını geliştirir; saldırgana maliyet. "
Hiç şüphe yok ki, İnternetin ve siber alanın geleceğin savaş alanında güçlü bir şekilde yer alacağı pek çok hükümet zaten burada bir avantaj elde etmeye ve güçlü bir güvenlik mevzuatı geliştirmeye çalışmaktadır. Ancak altyapı ve strateji söz konusu olduğunda Rush, askeri makinenin ötesine bakmamız ve toplumun ve ekonominin her fonksiyonu içinde siber bir güvenli ortam oluşturmaya odaklanmamız gerektiğini savunuyor.
"Bunun nedeni yarının siber savaşı, kritik ulusal altyapımızı, bankalarımızı veya endüstrilerimizi bozmaya çalışan saldırılarla sadece askeri altyapıyı değil daha geniş toplumumuzu da hedef alabilir" dedi. "İnsanları bozmaya ve İnternet ihtiyaçlarına göre eğmeye çalışan insanlar daima olacak. Fakat tüm sektörlerde, askeri ve ticarette, insanlar hayati bir ilk adım olan tehditler hakkında daha fazla haberdar oluyorlar.
Yorum Yaz:
0 Yorumlar: