Geliştirilmiş kalıcı tehditleri tespit etmek için kötü amaçlı yazılımları tespit etme amacıyla kullanılan imza tabanlı yaklaşım yani 'ne olduğu' anlayışı yerine davranışsal yaklaşım olan 'nasıl davrandığı' anlayışına ihtiyaç vardır. Bir organizasyon ağına sandbox eklemek, yeni bir güvenlik katmanı sağlayarak tehditler henüz üretim ya da canlı çevrelere bulaşmaden tespit etme imkanını artırır. Bu ek güvenlik katmanı ESET'in çözümü olan Endpoint Detection and Response - ESET Enterprise Inspector ile sunulmaktadır.

Ağ güvenlik sandbox çözümü izole bir test ortamına sahiptir. Bu ortamdaki sistem; şüpheli programları yürütür, davranışlarını gözlemler ve otomatikleştirilmiş bir şekilde analiz eder. Ağ güvenlik sandbox çözümü kötü amaçlı örnekleri, onların davranışlarını temel alarak henüz uç noktalarda çalışmadan engeller.

Ağ güvenlik sandbox çözümü ağ trafiği içerisindeki aktif kodları dinleyen çoklu sensör tiplerinden oluşur. Bu sensörler kodun statik analinizini yaparlar. Sandbox çözümü ayrıca davranış tabanlı analiz, geçmiş analizi ve öteleme modelleri gibi makine öğrenimi sayesinde örneklerin derinlemesine denetimini sanal işletim çevresinde sağlamaktadır. Bu yaklaşım dosya ile sadece imzaların karşılaştırılmasından daha etkili bir yöntemdir. Sandbox yöntemi dosyanın ne yaptığı gözlemleyerek ikili görünümün ötesine bakar ve dosyanın kötü amaçlı olup olmadığını imza tabanlı tespite oranla daha etkili şekilde bulur.

Sandbox analizi sırasında; statik ve dinamik analiz, bellek dökümü, çözme ve benzerlik eşleştirme gibi pek çok ESET dahili araçları kullanılmaktadır. Bu araçlar, veri bilinirliği ve tehdit istihbaratı sayesinde örneğin davranışını değerlendirerek tespit tutarlılığını artırmaktadır.

Tehdit Analiz Süreci

Örnek ESET Dynamic Threat Defense'e gönderildikten sonra tehdit analiz süreci başlar:

1. Derin öğrenmenin de dahil olduğu 3 farklı makine öğrenimi modeli, örneği bilinen milyonlarca kötü amaçlı numuneler ile kıyaslayarak benzerliklerini araştırır.
    
2. Sistem örneği sanal bir ortamda ya da bir sandbox üzerinde yürütür. Bu ortam, kullanıcı davranışını simüle ederek kötü amaçlı numunenin kandırılmasını ve derin öğrenme nöral ağ modellerini kullanarak numunenin davranışının bilinen diğer tüm kötü amaçlı numune ile kıyaslanmasını sağlar.
    
3. ESET'in ödüllü son versiyon tarama motoru sıradışı davranışa sahip herşeyi parçalarına ayırarak analiz eder.
    
4. Sonuç tüm tekniklerin uygunluğuna göre hesaplanarak müşterilere sağlanır.

Görsel 1-1