Anti-virüs sektörü büyüyor. Gartner’a göre, 22 milyar Amerikan Doları değerinde güvenlik yazılımı sadece 2015 yılında satılmış. Fakat, şirketler veya kişiler ne kadar para harcarsa harcasın, tamamen güvenlik diye bir şey söz konusu olmuyor. Özellikle, antivirüs geliştiricileri bir tip zararlı yazılımla başa çıkmakta çok zorlanıyorlar. Geçen yılın ilk üç çeyreğinde, sadece Kaspersky anti virüs yazılımı tarafından 821,865 fidye yazılım saldırısı engellendi. Ürkütücü olan bu saldırganların ne kadar başarılı olduğu: Kaspersky’e göre, her üç kurbandan biri karşı önlemlerin yokluğundan dolayı hackerlara ödeme yapmak zorunda kalmış – Fakat ödemeyi yapanların yüzde 20’si de ödemeyi yapıp verilerindeki şifreyi kaldırtmayı başaramamış. Ortalama olarak saldırgan, kurban başına yaklaşık 280 Euro kazanıyor – Bu oldukça karlı bir iş.
300,000 yeni tip zararlı yazılım her gün ortaya çıkıyor – Antivirüs yazılımı için bu resmen bir kedi fare oyunu. Bu risk alışılmış imza veri tabanları ile kolay kolay üstesinden gelinecek gibi değil Sonuçta, modern koruyucu yazılım davranışa endeksli bir yaklaşıma sahip: Program gerçek zamanlı gözetim yapıyor ve şüphelendiği programın bilgisayarda yaptıklarını takip ediyor. Eğer şüpheli işlemlere rastlarsa, bu virüs monitörü programı durduruyor ve kullanıcıyı bilgilendiriyor. Problem şurada: Saldırganlar böylesi sezgisel yaklaşımların etrafından dolanmanın yollarını buldular bile. Örneğin, fidye yazılımlarını düzgün programların içine saklıyorlar. Bu işletim modunu alt etmek için yepyeni metodlar uygulanıyor.
Bir çok inceleme metodunun kullanılmasının işe yaraması bekleniyor
Güvenlik sektöründeki en son ürünlerde fidye yazılımlara karşı koruma özelliği var, bunlar gerçek zamanlı olarak sistemi garip dosya erişimlerine karşı kontrolden geçiriyor. Aynı zamanda, yazılım sistemin değerlerini de gözetliyor; işlemcinin birden yük altına girmesini veya diske erişim işlemlerinin ciddi derecede yoğunlaşmasını kontrol ediyor – Bunlar bir saldırının ilk emareleri. Resmi açıklamalara göre, üreticiler saldırılara karşı efektif bir koruma sağlayabileceklerinden eminler. Fakat içeriden gelen kısık sesler bu tekniğin zayıf noktaları olduğunu itiraf ediyor. Bunun sebebi şu: Siber suçlular bilinen tüm AV çözümlerini bir izole bilgisayara yüklüyor. Bu onların mükemmel virüsü üretmesini sağlıyor – Bu sayede virüs gözetleyicilere yakalanmayan en modern sezgisel işlemleri bile atlayabilen bir virüs elde ediliyor.
Bu tarz titizlikle üretilmiş virüsler neredeyse her güvenlik ürününü bertaraf edebilir. Artık üreticiler virüsler bilindikten hemen sonra buna önlem alabiliyor fakat çözüm bir kaç saat içinde bile gelse, ilk etkilenenler etkilendiği ile kalıyor. Bunun sebebi tamamen insani. Özel zararlı yazılım araştırmacıları bu yazılımı parçalıyor, analiz ediyor ve çözüm buluyor. Ardından güncellemeler ile kullanıcıların sistemlerine yüklüyorlar. Eğer yazılım karmaşıksa, bu prosedür günlerce sürebiliyor. Aslında, sofistike bir siber saldırı gerecini analiz etmek aylar sürebiliyor. Sonuç olarak, bazı üreticiler gelecekte virüslerin insanlar tarafından analiz edilmeyeceğini, makinelerin bunları algılayıp çözüm bulacağına inanıyor.
Makinesel öğrenme ile analiz
Bir çok üretici – Symantec’ten Malwarebytes’a – IT sistemlerinin zararlı yazılım analizi yapacağı sistemleri geliştirmekteler. ‘Makinesel öğrenme’ durumunda, araştırmacılar bir süper bilgisayarı milyonlarca dosya ile dolduruyorlar – Bunların içinde normal dosyalar da var, virüslü dosyalar da. ‘Özellik vektörü’ denilen olgularla, bilgisayara bir virüsün nasıl bir şey olduğunu öğretiyorlar, hangi karakteristiklere sahip olduğunu ve zararlı yazılımın kurbanın bilgisayarında neler yaptığını gösteriyorlar. Araştırmacılar algoritmaya ilk başta yardım etmek zorundalar – Bu aynı bir çocuk büyütmeye benziyor. Fakat, öğrenme eğrisi gelişirken, bilgisayar daha bağımsız hale geliyor. Bu sayede virüsle normal programı daha güvenilir bir biçimde ayırt edebiliyor. Aslında hata oranı hala çok yüksek ama bu zamanla düşecek ve algoritma gittikçe daha iyi olacak.
Fakat böylesi bir gelişim çok zamana ve kaynağa ihtiyaç duyuyor. Symantec kendi makinesel öğrenme merkezini açtı – Bu merkez algoritmayı geliştirmeye odaklanmış durumda. Modern AV ürünleri söz konusu olunca, bu algoritma tespit stratejisinin bir parçası. Fakat, insan araştırmacılar hala arka planda aktifler, zira yeni teknoloji halen bebek adımları ile ilerleyebiliyor.
Sihirli kurşunla ilgili sorunlar
Makinesel öğrenme fikri ne kadar iyi bir fikir olsa da, bunun da kendi içinde ciddi dezavantajları var. İlki ve en önemlisi bu bir para meselesi. Sadece büyük AV şirketleri bu sistem için gereken altyapının altından kalkabilir. Daha da ötesinde, düzenleme makinesel öğrenme şekline dönse bile, bir uzman ekibine kesinlikle ihtiyaç var. Bu ekip algoritmayı denetliyor.
Şüphe halinde, bunun bir programın virüs olup olmadığına karar vermesi ve gerekli ayarlamaları yapması gerekecek. Şirketler personel maliyetini azaltmak ve tamamen algoritmaya dayanmak isterse, algoritmanın öğrenme sürecinde hatalı sonuçların buradan çıkması riskini göze almış olacaklar. Bu da algoritmanın güvenilirliğinde ciddi bir düşüşe sebep oluyor.
Kaspersky’de virüs analisti olan Alexey Malanov’a göre, makinesel öğrenmenin birincil problemi dil. Eğer biri ana dili İngilizce bir saldırgan yazılım hayal ederse, algoritma da sadece İngilizce dilindeki zararlı yazılımlara karşı başarılı olacaktır. Fakat, sürekli dil çeşitliliği de arttığı için(örneğin bir çok dilde ilk zararlı yazılımlara rastlanmaya başlandı), algoritma ile başa çıkmak gittikçe zorlaşıyor ve onu sürekli değiştirmek gerekiyor. Bu gerçekten ağır bir görev. Örneğin, Ransom.Win32.Shade trojanının yaklaşık 30,000 alt tipi var. Hiç bir algoritma bu kadar alt tipi tanımlayamaz ve buna karşı koruma sağlayamaz. Bu her bir zararlı yazılım tipi için yüzlerce örnek gerektirir – Ancak bu halde algoritma kendi kendine öğrenecektir. Bu nedenle makinesel öğrenme gereçleri özelleştirilmiş saldırılara karşı sizi koruyamaz.
Bay Malanov’a göre makinesel öğrenme kendine yetmiyor. Bu karmaşık bir AV makinesinde ancak bir dişli olabilir. Fakat, makinesel öğrenme ve tüm diğer tekniklerle bile, antivirüs sistemi yazanlar anlık olarak zararlı yazılım yazanlara karşı kritik bir zaafa sahipler.
Tüm antivirüs gereçleri hata yapar
AV yazılımı güvenli kutular, karantinalar, sezgisel gereçler ve makinesel öğrenmeyi kullansa bile, saldırganlar görece basit gereçlerle sistemi kandırabiliyorlar. Daha önce de bahsedildiği gibi, tek yapmaları gereken bu AV ürününü izole bir bilgisayarda sürüm öncesi betalar üzerindeki açıklarını bulmak için incelemek.
AV ürünleri bir başka risk daha gösterirler. Diğer yazılımda olduğu gibi, saldırganlar programlama hatalarını bunları ele geçirip kontrol etmek için kullanabilirler. Bu Haziran 2016’da Symantec’in başına geldi. Araştırmacılar neredeyse her Symantec AV ürününün 7 kritik açığı olduğunu buldu. Sonuç olarak, saldırganlar tüm bir bilgisayarı veya bir şirket ağının tamamını kolayca ele geçirebiliyor. Saldırganların kurbanlarının tek yapması gereken yönlendirilmiş bir web sitesine girmeleri. AV ürünleri PC’lerde en yüksek izinlere sahip olduğundan, bu açıkların etkileri ölümcül olabiliyor.
Sonuçta, saldırganlar ve korunanlar arasındaki bu kedi fare oyunu devam edecek. Fakat, makinesel öğrenme az da olsa saldırganların hayatını zorlaştıracak gibi.
