Yıllar yıllar önceydi yanılmıyorsam sene 1988 zamanlarıydı. Aksarayda bir Bilgisayar eğitim firmasında eğitime gidiyordum. Makinalar devasa boyutta SVI marka x86 temelli bilgisayarlar idi. 33Mhz civarı hızlara sahipti. Harddisk yoktu. 5.25” disket sürücüler ve sonrasında 1.44” ’lik disketlerle hayatımıza devam etmiş ve ilk virüs’lere o zaman tanışmıştım. Ilk tanıştığım virus pakistanlı iki kardeşin yazdığı “c-brain” virüsüydü. O yıllarda bu virüsler çok zararsızdı. Mesela c-brain virüsü sadece disketin label’ini c-brain olarak değiştiriyordu. Zaten ilk virüsün yazılma hikayeside ilginç. Bir üniversite öğrencisinin hocasıyla ben bu bilgisayara istediğim zamanlarda kimsenin haberi olmadan istediğim şeyleri yaptırabilirim iddasıyla ortaya çıkmış, bugünde binlerce hatta milyonlarca insanın başına bela olmuş bir idda.
Günümüze döndüğümüzde, insanlığın kötü niyetli yazılımlar konusunda ışık hızı ile yol katettiğini (keşke işe yarar bir konuda mesela tıp’ta böyle bir hızla yol kat etseydik) görmekteyiz. Tehdit türleri sadece disketin isim değişikliğinden o kadar ciddi noktalara geldi ki, insanlar ciddi paralar ödemek zorunda kalıyorlar. Eskiden insan kaçırıp fidye isteyen eşkıyalar internet ortamında bizler için kıymet arzeden verilerimizi rehin alıp bunun için para ister duruma gelmişler. Tabi bu konuda bu işin karşısında durabilecek kolluk güçlerine ihtiyaçımız var.
Ama artık iş, antivirus kavramı ile sınırlı değil. Iş o kadar büyüdüki antivirus kavramı çok yetersiz kalıyor. Yani kapıya gelen eşkıyanın üstünün aranması yetmiyor, tavır ve davranışlarından ne tip zararlar vereceğini tahmin etmek durumundayız. Tabiri caizse gelen tehdit’in “psikolojisini bilmek ve buna göre korunma tedbirler almak” gerekli.
Yıllardır sektörde bulunan bir sürü antivirus programı ile çalıştık. Sizlerde durum aynıdır kesinlikle. Şimdi günümüzün en dikkat çeken aynı zamanda en güçlü ürünü olan Trendmicro’nun yeni ürünü ile merhaba demek istiyorum. Trendmicro “OfficeScan XGen”.
Trendmicro bu işin psikolojisini çözmüş durumda. Bu da takdir edersiniz onlarca yılın verdiği tecrübe ve çok güçlü bir odak ile mümkün. Antivirüs tarihçesine şöyle bir göz attığımızda şu tablo ile karşılaşıyoruz,
Yukarıda belirttiğimiz üzere bu konudaki karanlık gelişme çok yüksek yoğunlukta. Buna karşı, Trendmicro 10 yılı aşkın süredir tecrübelerini “bulutta barındırarak” dev bir veritabanı oluşturdu. Bu bir kötü niyetli yazılımlara karşı “davranış analizi” veri tabanı. Bu veri tabanı istemci bilgisayarlarda “orantılı davranış” analizi yapabilen yeteneğidir. Bu yetenek ile iki farklı davranış analizi yapılarak zararlı tesbiti için en doğru orantıyı sağlamak. Bunlar,
PreExecution analiz
Runtime execution
Bu iki haraket ile tehdidin en düzgün şekilde anlaşılması ve doğru aksiyon alınması çok önemli. Neden mi? çünkü yapılan haraket çalışması gereken ölümcül öneme sahip iş süreçlerine dair bir dosya da olabilir. Eğer bu dosyayı durdurursanız ölümcül bir hata yapmış olma ihtimaliniz var. Dolayısı ile davranış analizi son derece doğru olmalıdır. Peki bu tesbit nasıl doğru yapılır? Tabiki çok iyi bir veritabanı ile. Bunun için çeşitli mekanizmalar geliştirmek zaruriyeti vardır, çünkü tehdit analizi yaparken çok fazla kaynak (CPU, RAM, Disk) kullanmadan yapmak gerekli, kullanıcıyı performans anlamında üzmemek durumundayız.
Doğru analiz için ne gerekli,
Yukarıda görülen resimde, bu veri tabanının oluşturulması için gerekli çalışma alanı görülmektedir. Aslında tüm dünyadaki veri ortamı görülmektedir. Tecrübe ancak çalışma ortamı ile sağlanır. Bu kadar büyük tehditleri karşılayacak zırh’ta işte bu şekilde sağlamlaştırılır. Bittimi peki, hayır!!!,
Bir katman daha çıkalım o zaman,
Işte bu aşamada “machine learning” terimini açıklamak durumuna geliyoruz. Çok kısa açıklamak gerekirse, machine learning, gelen tehdidin, davranışlarını, haraketlerini, fiiliyatı ve yapabileceklerini önceden kestirmek demektir. Machine Learning, bu iş için üretilen sandbox’lar tarafından toplanan bilginin sadeleştirilmiş, süzülmüş haline sahip olmak demektir. Biraz açalım, hani yukarıda eşkıya tabiri kullanmıştık, ve üstünü aramak yetmez psikolojisinide tahmin etmek gerekir demiştik. Işte tam anlamıyla böyle, yani gelen tehdit çalıştığında, registry değişikliğimi yapıyor, hafızada bir yere mi yerleşiyor, windows’un kendi dosyalarınımı patch’liyor, disk üzerine bir imza mı atıyor veya zamanlanmış görevler’e bir görevmi oluşturuyor? Veya çarpıcı ve en etkili yöntem şimdilik hiçbirşey yapmıyor da, daha sonra çalışmak üzere çalışma zamanı mı bekliyor?!!
Mesela şunu diyebilirsiniz,
Bizde çalışabilen tüm uygulamalar için uygulamala control yazılımları var. Bizden habersiz kuş uçmaz ortamda. Yada çalışmasına izin verdiğimiz programlar GPO vasıtası ile belirlidir. Bizim istediğimiz programlar dışında hiçbir yazılım çalışamaz, engelli. Bu durumda da açıklar var. Mesela office dosyaları içindeki macro’lar bu programlarla engellenemiyor. Engellerseniz çalışmaya engel olabilirsiniz. Bunlarda aslında bakıldığında ciddi açıklar barındırıyor. Bu aşamadan sonra artık güvenle şunu söyleyebiliriz,
OfficeScan XGen, yenisi üretilene kadar güncel tüm açıkların, tamamının kapatılmasına olanak sağlayan en gelişmiş çözümdür.
Ihtiyacınız toptan, komple, kendini kanıtlamış çözüm ise, cevabı Trendmicro XGen. Aynı zamanda yine bir ilk “Machine Learning” terimini çok daha yakından tanıyarak, hayatımızdaki önemini anlıyor olacağız.
