Fileless Attacks (Dosya İçermeyen Saldırılar) Nedir? Nasıl Gerçekleşir?
Fileless attacks (Dosya içermeyen saldırılar) işletim sistemi ve işletim sisteminde yüklü diğer uygulamaları kullanarak yapılan saldırılardır.
Fileless Attacks Nasıl Gerçekleşir?
Bu saldırı tipinde kötü niyetli kişi genelde işletim sisteminin kaynaklarını kullanır. Bu kaynaklar itibar olarak güvenilirlerdir. Zaten itibar olarak güvenli olmayan bir uygulama ile bir saldırı gerçekleştirmek çok mantıklı değildir. Kötü niyetli kişi bunu bildiği için sistem’e eriştikten sonra itibarı kötü olan bir uygulama çalıştırmak yerine, itibarı iyi olan (cmd.exe, powershell.exe, psexec.exe) uygulamalar ile komut çalıştırarak bir arka kapı bırakmak, zafiyet sömürmek, bilgi, belge şifrelemek veya kaçırmak gibi kötü niyetli eylemlerde bulunmaktadır. Bu uygulamalar belirtilen şekilde kullanıldığında ortaya çıkan kötü amaçlı yazılım, fileless malware (Dosya içermeyen kötü amaçlı yazılım) olarak adlandırılmaktadır. Peki bu durumdan nasıl korunabiliriz? İşletim sistemi ile birlikte legal olarak gelen uygulamaları yasaklamak çözüm olabilir mi? Çözüm olmaz ise nasıl bir yol izlenebilir? Legal uygulamaları yasaklamak bir çözüm gibi görünse de aslında pratikte çok fazla uygulanmayan, uygulanması zor bir yöntemdir. Endpoint Detection and Response (Uç nokta tespit ve yanıt) çözümleri ile kullanıcının yaptığı girdiler takip edilerek kötü niyetli olup olmadığı tespit edilebilmektedir.
Endpoint Detection and Response Nedir?
Uç nokta tespit ve yanıt çözümleri, bir uygulamanın itibarı ile ilgilenmekten daha çok, bu uygulamanın işletim sistemi üzerinde yaptığı değişiklikleri, ağ hareketlerini, kullanıcının girdilerini vb. gibi hareketleri takip ederek bu uygulamanın zararlı bir eylemde bulunup bulunmadığını, bulunabileceğini gibi kararlar verir. Bu kararları verirken üst tarafta bahsettiğimiz parametreler dışında 10’larca farklı parametreyi de beraberinde kontrol eder.
Kaspersky Endpoint Detectin and Response ile Güvenlik Bakıç Açısı
Kaspersky Endpoint Detection and Response (EDR), Kaspersky Endpoint Protection veya başka bir üreticinin uç nokta güvenliği uygulaması ile tam entegre çalışabilen, işletim sisteminde gerçekleşen telemetri verisini (Dosya oluşturma, değiştirme, kayıt defterine eklenen, değiştirilen kayıt, ağ hareketleri vb.) analiz edip bu analiz sonrasında tespit, tespit sonrasında yanıt sunan güvenlik çözümüdür. KEDR’ın amaçlarından biri de fileless attacks saldırı tipine karşı koruma sağlamaktadır. Tespit sonrasında 15’ten fazla yanıt seçeneği ile (Cihaz’ı ağdan izole et, adli analiz için gerçek zamanlı işlem analizi, dosyayı karantinaya al, diskin bir kopyasını al vb. pro aktif koruma sağlar. Gelişmiş Sandbox, Intrusion Detection Systems, Targeted Attack Analyzer, Machine Learning vb. teknolojileriyle hedefli ve sophistike saldırılar için gelişmiş tespit sunar.
Kaspersky EDR için Demo Talebinde Bulunun
Kaspersky Endpoint Detection and Response’u 30 gün boyunca ücretsiz denemek için demo talebinde bulunabilirsiniz.
