Trellix FX File Protect

Komtera Teknoloji Teknik Müdürü Ekrem Kolday, Trellix’in FX File Protect dosya güvenliği çözümünü anlattı.

Kolday şunları söyledi:
Günümüzde dosya paylaşım alanlarındaki “durağan dosya” diye adlandırdığımız, aktif kullanılmadığı zaman tarama işlemine tabi tutulmayan ya da kurum veya kuruluşumuz için özel olarak tasarlanmış hedef odaklı saldırıların tespiti için kullanılan çözümlerin birçoğu, normal standart antivirüs motorları ile yapılan taramalarla bu zararların tespiti için kullanılmakta. Ancak Trellix’in bize sunduğu FX File Protect ürünü, bizlere sandbox yeteneklerinden faydalanarak performanslı çalışma özellikleri sunmakta ve durağan dosya paylaşım alanlarındaki hedef odaklı zararlı verilerin tespiti için kullanılabilen bir çözüm olarak karşımıza çıkmakta.

Durağan dosyalar, hepimizin sistemlerinde file server olarak adlandırdığımız farklı konumlarda bulunabilen, örneğin NFS, SharePoint, eğer bulut kullanıyorsak OneDrive ya da Amazon S3 Bucket gibi birçok dosya paylaşım alanlarında herkesin kullanımına açık dosya türlerini barındırıyor olabilir. Ancak bu dosyaların zararlı içerip içermediği ya da bu dosyaların bizim ortamımız için tasarlanan hedef odaklı bir zararlı içerip içermediğini mevcut sistemlerimizde sadece dosyayı kullanım sırasında, okuma veya yazma işlemi sırasındaki antivirüs motorunun bu dosyayı tespit etme durumuna göre anlayabiliriz ya da algılayabiliriz.

Bu noktada hedef odaklı bir saldırı ya da bir Zero Day zararlısının antivirüs motorları tarafından tespit edilmesi çok mümkün değil. Trellix’in bize sağladığı File Protect FX diye adlandırdığımız çözümü, bu noktada durağan dosyalar üzerindeki zararlıların analizi, ileri düzey zararlı yazılım analizi anlamında oldukça değerli bir çözüm olarak karşımıza çıkıyor. Yine Trellix’in birçok ürün katmanında sunduğu gibi fiziksel appliance, sanal appliance ve bulut üzerinde çalışan çözümleri mevcut. Ortamda fiziksel appliance olarak bir File Protect çözümü tercih etmemiz durumunda, ürünün içinde kendi başına sandbox özelliği barındıran bir appliance olarak karşımıza çıkmakta. Ancak ortamda Trellix’in sandbox çözümü olması durumunda, File Protect çözümünü sanal appliance olarak alıp sistemimizde sandbox performanslı çalışması ile birlikte entegre ederek ortamımızdaki sandbox çözümünü daha verimli kullanma imkanımız olabilmekte.

Bazı örnek senaryolara bakacak olursak, özellikle dış dünyadan ya da korumalı ağ olarak adlandırdığımız intranet diye adlandırdığımız farklı ağlar arasında dosya transferi yapma işlemlerinde genelde dosyaların güvenli olup olmadığı konusunda çok fazla kontrol yapılamamakta. Ancak Trellix’in FX File Protect ürününün bize sunduğu özellikler sayesinde dosya paylaşım portalı ya da file serverlarımızın taranıp güvenli veya güvensiz klasörler halinde tutuluyor olması, bu dosyaların ileri düzey zararlı yazılım analizine tabi tutulup güvenli olarak adlandırdığımız dosyaların kurumumuzda dolaşıma sunuluyor olması ya da kullanıcıların kullanımına sunuluyor olması bize oldukça basit ancak çok önemli kritik dosyalarla ilgili ileri düzey zararlı yazılım analizi yapıldıktan sonra temiz dosyanın sistem ağımızda, kurum ağımızda kullanılabiliyor olmasını sağlayabilmek.

Bu senaryoları geliştirme ve artırma şansımız var. Yine özellikle dış dünyadan çok fazla dosya transferi olan lokasyonlarda ya da müşterilerde dosyaların sistemimize dahil edilmeden öncesinde bir tarama işlemine tabi tutulması çok fazla mümkün olmamakta. Ancak File Protect ürünü sayesinde, ürünün güvenli olarak klasörlere yüklenmesi sonrası ileri düzey zararlı yazılım analizine tabi tutulup güvenli dosyaların kurum ağımıza dahil ediliyor olması söz konusu olabilmekte. Bu anlattığım konuların hepsi File Protect ürünü sayesinde otomatik zamanlanmış tarama görevleri veya dosya türlerini belirleme şeklinde farklı senaryolarla şekillendirilebilir.