Virtual Patching-Sanal Yama Teknolojisi ve Trend Micro Deep Security
Yapılan araştırmaların sonucunda başarılı siber saldırıların büyük bir kısmının güvenlik açıklıklarından dolayı kaynaklandığı tespit edilmiştir.Hızlı bir şekilde digital dönüşüme ayak uydururken, yeni uygulamaların, yazılımların, web sitelerinin oluşturulma hızı, saldırganların yararlanabileceği güvenlik açıklıklarının sayısında büyük bir artışa neden oluyor.
Bu güvenlik açıklıklarının birçoğu hemen düzeltilemez. Üretici tarafından ilgili yama yayınlanıp sisteme uygulanana kadar bilgisayarlar bu güvenlik açığına karşı savunmasız kalır. Bu noktada güvenlik mimarisinin artık olmazsa olmazlarından sanal yama özelliği devreye giriyor.
Sanal Yama Nedir?
Sanal Yama, güvenlik politikalarının kısa vadeli, hızlı bir şekilde geliştirilmesi ve acil uygulanmasıdır. Saldırganların bilinen güvenlik açığından yararlanmaması için bir güvenlik katmanı uygulaması sunar. Sanal Yama, ne kaynak kodunu değiştirir ne de temeldeki güvenlik açığını düzeltir. Kötü amaçlı trafiğin zafiyetli uygulamaya ulaşmasını önlemek için işlemleri analiz eder ve geçiş halindeki saldırıları engeller. Aslında trafik ve uygulama arasında bir kalkan görevi görür ve saldırıların meydana gelmesini önler. External Patching ve Just-in-time Patching olarak da adlandırılmaktadır.
Sanal Yama’nın Faydaları Nelerdir?
-Geleneksel bir yamada olduğu gibi işlemler kesintiye uğramaz.
-Yüksek kullanılabilirlik gerektiren ve çevrimdışı duruma getirilemeyen kritik sistemleri korur.
-Üretici tarafından sağlanan bir yama yayınlanana, test edilene ve uygulanana kadar riski azaltmaya yardımcı olur.
-Düşük riskli güvenlik açıklıkları durumunda, kuruluş tarafında harcanan zamandan, paradan ve emekten tasarruf sağlar.
-Kuruluşların normal yama döngülerini sürdürmekte yardımcı olur.
Ayrıca KVKK ile alınması gereken teknik tedbirler arasında da sanal yama özellikle belirtilmiştir.Bunun ana sebebi ise sunuculardan çok olan son kullanıcıların hem veri güvenlik düzeyini artırmak hem de performansı etkilemeden, arka planda zafiyetlere karşı önlemlerin alınmasını sağlamaktır. Sanal yama sistemleri sayesinde kurumlarda alınması gereken önlemler özellikle kişisel verilerin işlendiği sunucu-client ve diğer ağ ürünlerinde yazılımsal açıklıklara karşı sağlanmış olunur.
Trend Micro Deep Security ile Sanal Yama ( Virtual Patching ) Teknolojisi
Sanal Yama sistemleri, genelde IPS( Intrusion Prevention System ) olarak anılmaktadır. WAF çözümleri, UTM ürünleri, Server-Client (Anti-Virus) üreticileri sanal yama üzerinde çalışmalar yürütmektedir. Trend Micro’nun Deep Security ve ApexOne-Central with Vulneraility Protection ürünleri sanal yama konusunda sektörde lider konumdadır.
Trend Micro Deep Security’de bulunan Intrusion Prevention modülü, sanal yama teknolojisiyle sunucu, bulut, sanal masaüstü ve uygulamalardaki güvenlik açıklıklarını otomatik olarak kapatır. Bu şekilde saldırganların ortama girmesi engellenir. Trend Micro ApexOne-Central with Vulnerability Protection modülü ise uç noktalarda sanal yama teknolojisini kullanarak güvenlik açıklıklarını kapatır.
Trend Micro Deep Security’de Host-Based IPS teknolojisi bulunmaktadır. Belirlenen aralıklarla bütün cihaz üzerindeki işletim sistemi ve uygulamaları tarayarak mevcut güvenlik açıklıklarını belirler. Belirlenen güvenlik açıklıklarını kapsayan ve üretici tarafından yayınlanan yama geçilmemiş ise güvenlik açığını engelleyecek olan kural ağ kartına eklenir.Eklenen kural ile eşleşen bir imza tespit edildiğinde bağlantı ağ seviyesinde sonlandırılır. Bu sayede yamanın yayınlanmasını beklemeden veya üreticinin desteğini çekmiş olduğu herhangi bir ürünle ilgili güvenlik açığı kapatılmış olunur. Daha sonraki taramada yamanın geçildiği tespit edilirse kural otomatik olarak kaldırılır.
Trend Micro’nun en büyük gücü Zero Day Initiative adlı bir hacker grubuna hakim olmasıdır. ZDI ekibi, 2005 yılında kurulan, yazılımların güvenlik açıklıklarını tespit eden ve üreticilere ileten bir oluşumdur. Güvenlik açıklıkları detaylı bir şekilde üreticiye aktarılırken, kullanıcılara ise genel bir bilgilendirme yayınlanır.Trend Micro dinamik olarak sundukları yapı ve ZDI desteğiyle sıfırıncı gün açıklıklarının kapatılmasına ve mevcut açıklıklara sunulan yamaların, sistemler üzerinde geçilmesini sağlar. ZDI ekibi sıfırıncı gün açıklıklarının raporlanmasında piyasanın %70’ini oluşturur. Bu da Trend Micro’ya büyük bir istihbarat sağlar. Diğer güvenlik çözümü üreticilerinin çoğu da istihbaratı Trend Micro’dan almaktadır. Sonuç olarak, sanal yama etkili bir güvenlik için kesinlikle kullanılması gereken bir çözümdür.Ve bunu en iyi sağlayan Trend Micro’dur.
Trend Micro Deep Security’de Intrusion Prevention modulü dışında 6 adet daha modül bulunmaktadır.
Firewall : Deep Security’de bulunan yazılımsal Firewall çoğunlukla Mikro-segmantasyon için kullanılıyor. Sunucular arasında sanal katman oluşturabiliyorsunuz. Birbiriyle iletişim halinde olan sunucular gruplandırılıp belli portlar arasında iletişim kurmaları sağlanıyor. Normal Firewall çoğu ortamda sunucuların arasına giremez. Ama Deep Security de bulunan Firewall yazılımsal olduğu için sunucuların arasına girebilir. Ve sunucular arasındaki trafiği düzenler. Böylece sunucular arasında sızma engellenir.
Anti-Malware: Malware, virus, trojan, casus yazılım gibi kötü amaçlı yazılımlara karşı koruma sağlar. Trend Micro 30 yıllık bir geçmişi vardır. Dolasıyla elinde çok fazla virus verisi bulunmaktadır. Bu modülde bulunan Predictive Machine Learning özelliği de bu veritabanını kullanarak, şüpheli gördüğü kod parçaçığını eski virüslerle karşılaştırıp benzerliğini kontrol ediyor.Eğer benziyorsa hangi tarihteki hangi virüse benzediğini haber verip engelliyor.Behavior Monitoring sayesinde de ransomware ataklarına karşı tespit ve önleme sağlanır.
Application Control: Uygulama denetimi etkinleştirildikten sonra, tüm yazılım değişiklikleri günlüğe kaydedilir ve dosya sistemindeki yeni veya değiştirilmiş yazılımı algılar.Bu değişiklik algılandığında, uygulamaya izin verilebilir, engellenebilir veya isteğe bağlı olarak bilgisayar kilitlenebilir.
Integrity Monitoring: Dosyaların hash’lerini takip eder. Takip edilmesi istenen dosya belirtilir.Bu dosyada bir değişiklik olduğunda uyarı verir.Yetkisiz değişiklikleri algılama yeteneği vardır.
Log Inspection:Sunucular üzerindeki bütün loglara bakar. Loglar ayrıntılı ve derecelendirilmiş olarak gözükür.Log üzerindeki anormallikleri tespit edip raporlayabiliyor. Kritik seviyede olursa mail atarak uyarı verebiliyor. Burda toplanan bütün loglar syslog olarak SIEM çözümüne gönderilebilir.
Web Reputation: Kötü amaçlı URL’lere erişimi engelleyerek web tehditlerine karşı koruma sağlar.Deep Security, kullanıcıların erişmeye çalıştığı web sitelerini kontrol etmek için Trend Micro’nun Smart Protection Network kaynaklarından gelen Web güvenlik veritabanlarını kullanır.