AWS, buluttaki yüksek tehditlere karşı algoritmalar kullanan grafik modelini tanıttı
AWS’in Bilgi Güvenliğinden Sorumlu Başkanı CJ Moses, AWS’in veri güvenliğini sağlamak için kullandığı yöntemlerden bahsederek, tehdit istihbaratı için algoritmalar kullanan devasa dahili sinir ağı grafik modeli AWS Mithra’yı tanıttı.
Dünyanın dört bir yanındaki kuruluşların en hassas verilerinin korunması için Amazon Web Services’e (AWS)’e güvendiğini vurgulayan AWS’in Bilgi Güvenliğinden Sorumlu Başkanı CJ Moses, doğru, zamanında, eyleme geçirilebilir ve ölçeklenebilir tehdit istihbaratı oluşturmayı çok ciddiye aldıklarını ve buna önemli kaynak ayırdıklarını belirtti. Müşterilerin tehdit istihbaratlarının nereden geldiği, ne tür tehditlerle karşılaşıldığı, bunlar karşısında AWS’in neler yaptığı ve kendilerinin neler yapması gerektiğine yönelik soruları yanıtlayan CJ Moses, aynı zamanda müşterileri tehditlerden korumaya yardımcı olmak için alan adı güvenilirliğini derecelendiren sinir ağı grafik modeli AWS Mithra’yı da tanıttı.
Yalnızca AWS’in küresel ölçeğinde elde edilebilecek, doğruluk oranı yüksek tehdit istihbaratı
AWS, altyapısı genelinde her gün siber saldırıları tespit ediyor ve engelliyor. Tüm bulut sağlayıcıları arasında en büyük ağ ayak izine sahip olan AWS, internetteki belirli faaliyetler hakkında gerçek zamanlı benzersiz içgörüye sahip. Tehdit istihbaratının güvenliği fark yaratabilecek bir şekilde etkileyebilmesi için internetten büyük miktarda ham verinin toplanması, hızlı bir şekilde analiz edilmesi ve yanlış pozitiflerin temizlenmesi gerekiyor. Örneğin, tehdit istihbaratı bulguları, bir çalışanın mesai saatlerinden sonra hassas verilere erişmesi durumunda hatalı bir şekilde içeride bir tehdit olduğunu gösterebilir, oysa gerçekte bu çalışan bir son dakika projesiyle görevlendirilmiş ve gece boyunca çalışmak zorunda kalmış olabilir. Tehdit istihbaratı üretmek çok zaman alıcı ve önemli miktarda insan ve dijital kaynak gerektiriyor. Yapay zeka (AI) ve makine öğrenimi, analistlerin büyük miktarda veriyi gözden geçirmesine ve analiz etmesine yardımcı olabilir. Ancak, internet genelinde bilgi toplama ve analiz etme yeteneği olmadan, tehdit istihbaratı pek kullanışlı olmaz. Kendi başlarına, küresel ölçekli bulut altyapısına erişim olmadan, eyleme dönüştürülebilir tehdit istihbaratı toplayabilen kuruluşlar için bile, zamana duyarlı bilgilerin toplu olarak başkalarıyla büyük ölçekte paylaşılması zor veya imkansızdır.
AWS altyapısı, çok sayıda istihbarat sinyali (güvenlik araçları tarafından oluşturulan bildirimler) gözlemleyebilmesi sayesinde tehdit istihbaratı doğruluğunu (buna “doğruluk oranı yüksek” deniyor) önemli ölçüde artırabildiği için tehdit istihbaratını radikal bir şekilde dönüştürüyor. AWS ayrıca, otomatik yanıt yeteneklerine sahip, küresel olarak dağıtılmış tehdit sensörleri (bal tuzağı) ağı olan MadPot aracılığıyla potansiyel olarak zararlı faaliyetleri tespit edip izledikçe, siber saldırganların gelişen taktiklerini, tekniklerini ve prosedürlerini (TTP’ler) gözleme ve bunlara müdahale etme yeteneğini sürekli olarak geliştiriyor.
AWS, küresel ağı ve MadPot gibi dahili araçlarıyla, binlerce farklı türde faaliyet sinyalini gerçek zamanlı olarak alıyor ve analiz ediyor. Örneğin, MadPot dünya çapında her gün 100 milyondan fazla potansiyel tehdidi gözlemliyor ve gözlemlenen bu faaliyetlerin yaklaşık 500.000’i kötü amaçlı olarak sınıflandırılıyor. Bu, doğruluğu yüksek bulguların, dünyanın dört bir yanındaki müşterileri zararlı ve kötü amaçlı çevrimiçi faaliyetlerden korumak için hızlı bir şekilde harekete geçilebilecek, değerli tehdit istihbaratı ürettiği anlamına geliyor. Doğruluğu yüksek istihbarat, milyonlarca AWS hesabı için tehditleri otomatik olarak algılayan akıllı tehdit algılama güvenlik servisi Amazon GuardDuty için de gerçek zamanlı bulgular üretiyor.
AWS Mithra, müşterileri tehditlerden korumaya yardımcı olmak için alan adı güvenilirliğini derecelendiriyor
Kötü amaçlı alan adlarının (internetteki fiziksel IP adresleri) belirlenmesi, etkili tehdit istihbaratı için büyük önem taşıyor. AWS müşterileri alan adlarıyla etkileşime girdiğinde, GuardDuty çeşitli bulgular (anormal davranışlar gibi olası güvenlik sorunları) oluşturuyor ve her alan adına güvenilirliği derecelendiren çeşitli ölçümlerden türetilen bir itibar puanı atıyor. Kötü amaçlı alan adlarının kaliteli bir listesinin tutulması, siber suçluların davranışlarının izlenerek müşterilerin korunması açısından önem taşıyor.
AWS, bunun için adını mitolojideki yükselen güneşten alan Mithra’yı geliştirdi. Mithra, tehdit istihbaratı için algoritmalar kullanan devasa bir dahili sinir ağı grafik modeli. 3,5 milyar düğümü ve 48 milyar ucu olan Mithra’nın itibar puanlama sistemi, müşterilerin karşılaştığı kötü amaçlı alan adlarını belirleyecek ve bu doğrultuda alan adlarını puanlayacak şekilde tasarlandı. Tek bir AWS Bölgesinde günde 200 trilyona kadar DNS isteği görülebiliyor ve Mithra günde ortalama 182.000 yeni kötü amaçlı alan adı tespit ediyor. Mithra’nın algoritmaları, AWS’te sorgulanan her alan adını sıralayan bir itibar puanı atayarak AWS’in ortaya çıkan tehditleri tespit etmek için üçüncü taraflara daha az güvenmesine yardımcı oluyor ve üçüncü bir taraf kullanıldığında üretilebilecek bilgiden daha hızlı bir şekilde daha iyi bilgi üretilmesini sağlıyor.
Mithra, kötü amaçlı alan adlarını olağanüstü bir doğrulukla ve daha az yanlış pozitifle tespit etmekle kalmıyor, aynı zamanda bu süper grafik, kötü amaçlı alan adlarını üçüncü taraflardan gelen tehdit istihbaratı akışlarında görünmeden günler, haftalar ve hatta bazen aylar önce tahmin edebiliyor. Bu derece bir yetenek, AWS’in her gün milyonlarca güvenlik olayını ve potansiyel tehdidi görebileceği ve bunlara karşı harekete geçebileceği anlamına geliyor.
Alan adlarını puanlayan Mithra’nın kullanılabileceği alanlar şöyle:
- Müşterileri korumaya yardımcı olmak için GuardDuty gibi güvenlik servislerinde daha önce bilinmeyen kötü amaçlı alan adlarının doğruluk oranı yüksek bir listesi kullanılabilir. GuardDuty ayrıca müşterilerin kötü amaçlı alan adlarını engellemesine ve olası tehditler için uyarılar almasına olanak tanır.
- Üçüncü taraf tehdit akışlarını kullanan hizmetler, yanlış pozitifleri önemli ölçüde azaltmak için Mithra’nın puanlarını kullanabilir.
- AWS güvenlik analistleri, güvenlik araştırmalarının bir parçası olarak Mithra’nın puanlarından faydalanabilir.
Müşterilerin kendilerini koruyabilmeleri için doğruluk oranı yüksek tehdit istihbaratı onlarla paylaşılıyor
AWS, tehdit istihbaratını hem kendi hem de müşterilerinin güvendiği güvenlik hizmetlerini sorunsuz bir şekilde zenginleştirmek için kullanılmakla kalmıyor, kötü niyetli kişiler tarafından hedef alınabileceğini veya potansiyel olarak tehlikeye atılabileceğini düşündüğü müşteriler ve diğer kuruluşlarla kritik bilgileri paylaşmak için proaktif olarak iletişime geçiyor. Tehdit istihbaratının paylaşılması, kuruluşların sağlanan bilgileri değerlendirmesine, risklerini azaltmak için adımlar atmasına olanak tanıyor ve işlerinin kesintiye uğramasını önlemeye yardımcı oluyor.
Örneğin, tehdit istihbaratını kullanarak, sistemlerinin siber saldırganlar tarafından potansiyel olarak tehlikeye atıldığını veya istismara ve kötüye kullanıma açık bir şekilde yanlış yapılandırılmış sistemler çalıştırdığını (açık veri tabanları gibi) tespit ettiği kuruluşlar bilgilendiriliyor. Siber suçlular, açık veri tabanları gibi güvenlik açıkları bulmak için sürekli olarak interneti tarıyor ve bir veri tabanı ne kadar uzun süre açıkta kalırsa, kötü niyetli kişilerin onu keşfetme ve istismar etme riski o kadar yüksek oluyor. Belirli durumlarda, üçüncü taraf (AWS müşterisi olmayan) bir kuruluşun güvenliğinin ihlal edilmiş olabileceğini gösteren sinyaller alındığında, AWS müşterisi olmamalarına rağmen onlar bilgilendiriliyor çünkü bunu yapmak daha fazla istismarın önüne geçilmesini sağlayarak, internetin genel olarak daha güvenli bir yer haline gelmesine yardımcı oluyor.
Çoğu zaman, AWS müşterileri ve diğer kuruluşlar bu tür sorunlar konusunda uyarıldıklarında potansiyel olarak tehlikeye girdiklerinin ilk kez farkına varıyorlar. Kuruluşlar bu durumu öğrendikten sonra kendilerini korumak için atmaları gereken adımları araştırıp belirleyebilir ve işlerinde aksamalara neden olabilecek veya daha fazla istismara yol açabilecek olayları önlemeye yardımcı olabilirler. AWS’in yaptığı bilgilendirmeler genellikle, güvenlik günlüklerini inceleyerek belirli alan adlarını engelleme, risk azaltma önlemleri uygulama, yapılandırmaları değiştirme, adli soruşturma yürütme, en son yamaları yükleme veya altyapıyı bir ağ güvenlik duvarının arkasına taşıma gibi kuruluşların gerçekleştirebileceği eylemlere ilişkin öneriler de içeriyor. Bu proaktif eylemler, kuruluşların yalnızca bir olay meydana geldikten sonra tepki vermeleri yerine potansiyel tehditlerin önüne geçmelerine yardımcı oluyor.
Bazen, AWS’in bilgilendirdiği müşteriler ve diğer kuruluşlar da başkalarına yardımcı olunmasına katkıda bulunacak bilgiler sağlayabiliyor. Bir soruşturmadan sonra, güvenlik ihlaline uğraşmış bir kuruluş AWS’e ilgili güvenlik ihlali göstergelerini (IOC’ler) sağlarsa, bu bilgiler bir tehlikenin nasıl meydana gelebileceğini anlama yeteneğinin geliştirilmesi için kullanılabiliyor. Bu yetenek, kuruluşlarla, güvenlik duruşlarını iyileştirmelerine yardımcı olmak amacıyla paylaşılabilecek kritik içgörülerin elde edilmesini sağlayabiliyor; böylece güvenliği artırmayı amaçlayan iş birliklerini teşvik eden erdemli bir döngü ortaya çıkıyor. Örneğin, alınan bilgiler, bir kuruluşun güvenliğini tehlikeye atarak sistemlerine kötü amaçlı yazılım yüklemek için sosyal mühendislik veya kimlik avı saldırılarının nasıl kullanıldığının öğrenilmesine yardımcı olabiliyor. Ya da izinsiz bir giriş gerçekleştirmek için kullanılan bir sıfır gün güvenlik açığı hakkında bilgi alınabiliyor veya bir uzaktan kod yürütme saldırısının (RCE) bir kuruluşun verilerini ele geçirmek amacıyla kötü amaçlı kod ve diğer kötü amaçlı yazılımları çalıştırmak için nasıl kullanıldığı öğrenilebiliyor. Daha sonra bu istihbarat, müşterileri ve diğer üçüncü tarafları korumak için kullanılıp paylaşılabiliyor. Bu tür iş birlikleri ve koordineli müdahale, kuruluşlar birlikte çalışarak kaynakları, zekayı ve uzmanlığı paylaştıklarında daha etkili oluyor.