12 Mart 2012 Pazartesi

Yeni Nesil Antivirüs Sistemleri

Günümüzde antivirüs sistemlerinin gerekliliğini bir önceki makalemde belirtmiştim. Ama antivirüs sisteminin ;
  • Signature kontrolüneve updatelerdeki iş gücü kaybı
  • Black list mantığıyla çalışması
  • Performans etkileri
Yukarıdaki dezavantajları adminleri farklı arayışlara sürüklemektedir. Bu bağlamda piyasaya yeni yeni ürünlerde yavaş yavaş çıkmaktadır. Bunlar antivirüs yazılımlarının yerini alırmı bilinmez ama çok ses getireceği aşikardır.



Bu ürünler White List mantığı ile çalışmaktadır. İlk olarak kurulduğu makinenin hash bilgilerini alıp (yaklaşık 15 dakkikada almakta ve performans kaybı yaşanmamaktadır) bir kalıp dosyası oluşturmaktadır. Bundan sonra bu bilgisayarda bu hash bilgisinin haricinde herhangibir executable dosya çalışmamaktadır .
Bu ürünlerde aşağıdaki gibi;
  • Kullanıcı bazlı
  • IP bazlı
  • Exe bazlı
  • Certifica bazlı
  • Path bazlı
Kuralları ve bunları AND’leyerek de kural yazabılırsınız.
Örnek kural;
10.1.1.1 ip li bilgisayardan BilgiGuvenlik.org kullanıcısıu ile Putty.exe
İlk akla gelen soru kullanıcı bir program yüklemek istediğinde yada alınan kalıptaki exe lerden başka bir exeyi nasıl çalıştıracağımız gelmektedir.
Bu sorunun cevabı bu ürünlerde çok farklı şekilde yapılabilmektedir.
1. Certificate ile kurulum
Kurulum paketlerinin genelinde artık sertifika bulunmaktadır. Eğer siz sisteme bu sertifikayı gösterirseniz o certifica ile kurulabilen bütün uygulamaların kuruluma izin vermiş olursunuz. Bunu en çok Windows updatelerinde kullanabilirsiniz.
2. Update Mode
Bilgisayarı Update mode’a aldığımızda bir nevi uygulamayı disable etmiş oluruz. Bu sayede gerekli kurulumlar yapılır ve terkar update moddan çıkarırız. Update moddan çıkarıdığımızda ürün tekrar makinenin hash kalıbını alıp diğer uygulamalara karşı korumaya geçer. Ayrıca yapılan bütün değişiklikleri log kaydı olarak sisteme tekrar geri gönderir.
3. Installer tanımlama
Install edilecek paketi alıp bunun sisteme tanımlayıp bu installer’a yetki tanımlarsak eğer bu şekildede herhangibir exeyi deployment etmiş oluruz.
Bu tarz ürünlerde ayrıca kalıp kontrolüde yapabilirisiniz. Sistemi kurarken aldığınız golden image (sıfır bir makinenin kalıplaştırılmış hali) ile daha sonra alınan kalıp dosyaları arasındaki farkları da bakabilmekteyiz.
Yeni nesil antivirüsler sayesinde;
  • Performans kaybı tamamen ortadan kalkmaktadır. (Artık kimse size AV bilgisayarımı çok yavaşlatıyor diyemeyecek JJ)
  • 100 mb ve üstü signiture’lerle ve antivirüs updateleri ile uğraşamayacaksınız.
  • Zero day virüslerine karşı önlem almış olursunuz.
  • Güvenlik seviyenizi daha ileriye taşımış olacaksınz.
Sonuç olarak yeni nesi antivirüs sistemleri (Application Integrity olarak da bilinir) yakın zamanda sisteminizde bulunması gereken en önemli ürünler arasına girecektir. En kısa zamanda bu tür ürünlere yatırım yapılması kurum networku açısından çok büyük yarar sağlayacağı kanısındayım.

Hiç yorum yok:

Yorum Gönder