FireEye

FireEye, tüm dünyada gelişen ve geleneksel imza tabanlı korumaları kolaylıkla atlatabilen imza tabanlı korumaların yanında, yeni nesil ve sofistike siber ataklara karşı eş zamanlı tam koruma sağlamak üzere bir çözüm geliştirmiştir.

Bugünün gelişmiş siber atakları geleneksel korumaları kolayca geçebilmektedir. FireEye'ın çözümü, eş zamanlı ve dinamik tehdit korumasını imza kullanımına ihtiyaç duymadan sağlamaktadır. FireEye'ın 40'dan fazla çeşitli ülkede müşterisi bulunmaktadır. Yine Fireeye’ın müşterileri içinde Fortune 500'e dahil 100'den fazla kuruluş yer almaktadır.

FireEye'ın getirdiği yenilikçi teknoloji sayesinde, iç ve uzak noktalardaki kulanıcılarınızı hedef alan saldırıları görüp durdurabilirsiniz.

Fireye’ın çözümleri arasında; web ve e-posta üzerinden gelebilecek tehditlere özel ayrı teknolojiler bulunmaktadır.

FireEye Malware Protection System (MPS)

FireEye Malware Protection System; kurum ağına modern kötü yazılımların sızması ve veri hırsızlığı, veri değiştirme ya da veriye zarar verilmesine karşı korunmak için yeni nesil bir ağ tehdit önlemesi sunmaktadır.
Zararlı kodlar (malware), özellikle son yıllarda şan /şöhret sağlamak yerine, para kazanmak veya belli gizli hedefleri yerine getirmek amacıyla oluşturulmaya başlanmıştır. Bu değişim, gerek güvenlik firmalarını gerekse de kurum ve kuruluşları derinden etkilemektedir; çünkü artık işler 2000’li yıllarda yaşanan zararlı kod tehdidinin yönetiminden çok daha karmaşıklaşmıştır. Değişen zararlı kodların verdiği zararlara örnek olarak; RSA Secure-ID sistemine ait özel verilerin çalınması, Enerji sistemlerine yönelik NightDragon saldırısı veya SCADA sistemlerini hedefleyen Stuxnet örnek olarak gösterilebilir.

Aşağıda değişen zararlı kod tehdit vektörünün anlaşılmasını kolaylaştıran bir tablo yer almaktadır.

 

200'li yıllarda zararlı kodlar2010'lu yıllarda zararlı kodlar
Belli başlı örnekleri:
Conficker, Blaster, Slammer ve IRC bot'ları.
Belli başlı örnekleri:
ZeuS, Gozi, Koobface, Rustock, Stuxnet, Aurora.
Bulaşma Şekli:
Genellikle, Windows işletim sistemleri tarafından kullanılan servislerde (SMB, RPC vs.) tespit edilen açıkları kullanarak bulaşırlar.
Bulaşma Şekli:
Windows zafiyetleri yerine uygulama zafiyetlerini (İnternet tarayıcılar, tarayıcı uygulamaları (flash, quicktime, vb.), ofis uygulamaları, pdf okuyucular vb.) kullanarak bulaşırlar.
Özellikleri:
  • Sık güncellenmezler.
  • Tespit edilmeleri kolaydır (Ağ üzerinden yayılırken yüksek miktarda trafik oluşturdukları için).
Özellikleri:
  • Savunma mekanizmaları mevcuttur.
  • Kendilerini gizleyebilmek için sürekli yapılarını değiştirirler ve güncellenirler.
  • Ele geçirilen sistemler üzeri uzun süre kontrol altında tutmayı amaçlar.
  • Tespit edilmeleri zordur (Faaliyetleri ve iletişimleri gizli ve amaca yönelik olduğu için).

 

Zararlı kodları tespit edebilmek için antivirüs üreticileri son bir yıl içerisinde imza veritabanlarına 30 milyona yakın yeni zararlı kod tanımı eklemiştir. Bu sayı 2008 yılında sadece 100 bin’dir.

Benzer şekilde ağ geçitlerinde zararlı kodlara karşı koruma sağlayan İçerik Filtreleme Sistemleri üzerinde yer alan zararlı içerik bulunduran web sayfalarının listesi de benzer bir şekilde dramatik bir artış göstermektedir.

Ancak yukarıda bahsedilen konvansiyonel güvenlik çözümleri zararlı kodlarla mücadele için gerekli bir güvenlik katmanı olsa da, yeterli olmadığı açıktır. Bu nedenle günümüzde değişen zararlı kodlarla mücadele için bu alanda uzmanlaşmış teknolojilere ihtiyaç olduğu açıktır.
FireEye ürünleri, yeni nesil zararlı kodlara karşı farklı bir yaklaşım sergilemektedir. Fireeye sistemi içerisinde bulunan sanallaştırma teknolojisiyle, indirilen dosyaların içerdiği tehditleri gerçek zamanlı olarak (üzerinde açıklıklar bulunduran) sanal makineler üzerinde test edilerek, daha önceden bilinmeyen zararlı kodlar tespit edilerek, kurum sistemleri için koruma sağlanmaktadır.

Fireye’ın zararlı kodlarla mücadele için kullandığı belli başlı üç yöntem şöyledir:

  • Zararlı kodların iletişim kanallarının takip edilerek, zararlı kod bulaşan makinelerin dış sistemlerle iletişiminin engellenmesi,
  • Ağ geçidinde çalışarak, indirilen dosyalar üzerinde detaylı analiz yapıp, sıfır gün ataklarına karşı gerçek zamanlı koruma sağlaması,
  • Eposta üzerinden gerçekleştirilen olta saldırılarının tespit edilerek, gerçek zamanlı koruma sağlaması.
fireeye zararlı kod

 

Fireeye Teknolojisinin Kurum ve Kuruluşlara Faydaları:

FireEye, bir kurumun kullanmakta olduğu virüs koruma sistemlerinin işletim eksikliklerinin (kurulum, güncelleme, yapılandırma vs.) net bir şekilde görülmesini sağlar.

Bir kurumda mevcut güvenlik ürünlerinin ve özellikle antivirüs yazılımlarının sistem genelindeki kurulumları ve yaygınlaştırılması IT departmanlarının en büyük sorunlarından biridir. Örneğin, antivirüs yüklenmemiş,ya da anti virüs yüklü olmasına rağmen düzgün çalışmayan veya kötücül yazılım bulaşması yüzünden devre dışı kalmış istemcilerin belirlenememesinde aktif rol alır. FireEye, Malware Callback trafiğinin izlenmesi yoluyla dakikalar içerisinde zararlı kod bulaşan sistemleri algılayarak, malware trafiğini kesip raporlayabilir..

1. Tüm bunlara ek olarak, Fireeye bilinmeyen zararlı kodlara karşı sıfır gün koruması da sağlar. Bilinmeyen veya şüpheli yazılımlar, FireEye ürünü üzerinde bulunan, sanal işletim sistemlerinde çalıştırılarak anında incelenir. Bu yazılımlarin işletim sistemi üzerinde yaptığı değişikliler ve ağ hareketleri analiz edilir. (VX - Virtual Execution)

FireEye, Bilinmeyen malware yazılımlarının sanal ortamda çalıştırılması ve izlenmesi

FireEye, zararlı kodların sistem üzerinde yaptığı, dosya oluşturma, dosya değiştirme, registry değişiklikleri, tuş ve ekran hareketlerini kaydetme (key-logger ve screen-capture) faaliyetlerini ve bu zararlı kodun gerçekleştirdiği ağ hareketlerini (zararlı kodun güncel versiyonunu indirme, bilgi sızdırma girişimi vb.) inceler ve kayıt altına alır. İnceleme sonucunda oluşan bilgiler doğrultusunda anlık imza ve pattern’ler oluşturularak bilinmeyen malware engellenmeye başlanır.

2. FireEye, e-posta ve Internet üzerinde yaygın olarak kullanılan protokolleri kapsayacak şekilde koruma sağlar.

SMTP, HTTP, FTP, DNS gibi istemciler tarafından yaygın olarak kullanılan protokoller, port bağımsız olarak malware’lere karşı izlenir ve koruma sağlanır.

3. FireEye, kurum sistemlerine kolaylıkla entegre olarak, ağ yapısında değişikliklere neden olmadan çalışabilmektedir.

Dinleme moduyla ağ trafiğinin bir kopyasını üzerine alarak sistemde yapısal değişikliğe neden olmadan izleme modunda çalışabilmektedir. Ayrıca, köprü (bridge) modunda, kurum ağ yapısını değiştirmeden çalışarak, kurum sistemlerini zararlı kodlara karşı eş zamanlı olarak koruyacak şekilde konumlandırılabilmektedir.

4. Dünyanın birçok noktasında konuçlandırılmış olan Fireeye sistemlerinin tespit ettiği sıfır gün ataklarıyla ilgili güncel tehdit bilgilerinin paylaşımı sonucu, dünyanın farklı bir yerinde başlayan ataklar kurum sistemlerine gelmeden önce tespit edilip, engellenmiş olur.

FireEye bulut servisi; (FireEye Malware Protection Cloud) müşteri ortamlarında kurulu FireEye ürünlerinin karşılaştığı bilinmeyen malware analizi sonuçlarının ve FireEye güvenlik uzmanlarının tespit edilen malware’leri analiz ve sınıflandırma çalışmalarının paylaşılmasını sağlayan bir sistemdir. Zararlı kodlarla ilgili trafik pattern’ları, hash bilgileri, domain veya IP blokları bu servisin sağladığı altyapı kullanılarak güncellenir ve  FireEye müşterileriyle eş zamanlı olarak paylaşılır. Bu sayede, diğer müşteriler de uzak bir lokasyonda başlayan malware yayılmasına karşı aynı anda korunmak için gerekli veri tabanına sahip olmaktadır.

listeye geri dön