Kriptolu trafik analizi önem kazanmaya devam ediyor

Kriptolu trafik analizi önem kazanmaya devam ediyor

Hakan TağmaçDijitalleşme çağında şirketler ve kurumlar çalışanlarına, müşterilerine daha hızlı servis ve hizmet sunmak istemekteler. Üstelik bunu yaparken maliyetlerin azaltılması baskısı ile de karşı karşıyalar. Böyle bir çağda hiçbir şeyin, ağların bile bu yarışı yavaşlatmamaları gerekmekte.

Sezgisel Ağların çıkış noktası da bu. Sürekli öğrenen, kendini adapte eden ve kendini koruyan ağ vizyonu bu çıkışın arkasındaki temel noktalardan biri. Bir diğeri devizibilite. Görüş mesafesi! Ağ içinde olan herşeyin görülmesi gerekliliği. Bizi yavaşlatan şey her ne ise, bir uygulamadaki en küçük bir detay bile olabilir bu, samanlıkta iğne aramaya dönüşmeden bulunabilmeli.

Kriptolu trafik analizi ön plana çıkıyor

Siber güvenlik dünyasında değişen iş modelleri, çok parçalı çözümler ve kompleksleşen ataklar dışında yaşanılan bir zorluk daha var. 2015 yılında web trafiğinin %21’i kriptolu idi. 2016’da bu %40’a, 2017 yılında ise %55’e çıktı. Yani bir kırılma noktası aşılmış durumda. Artık web trafiğinin yarısından fazlası kriptolu. Özellikle Google, YouTube gibi çok populer uygulamalar, siteler için kripto ön planda.

Bu elbette iyi bir aşama. Şirketler kurdukları iş modellerinde müşterilerinden gelen istekleri, işlemleri gizli tutmalılar. Ama bundan yararlanan sadece kurumlar değil, aynı zamanda hackerlar.

Kötü niyetli yazılımların %40’ı kriptolu trafik içinde hareket ediyor

Bugün itibariyle malware yani kötü niyetli yazılımların %40’ı kriptolu trafik içinde hareket ediyor. Bu oran 2019 yılında ise %70’lere çıkacak. Mayıs ayında ortaya çıkan WannaCry bunun örneklerinden.

Endüstri ortalaması, kötü niyetli bir atağın ortaya çıkarılması için 200 günlere, bu atak neticesinde verilen zararın ortadan kaldırılması 60 günlere ulaşmış durumda. Bir de bunun üstüne, malware’nin giderek daha çok kriptolu trafiğin içinde saklanması eklenince, işler inanılmaz zorlaşıyor. Bugüne kadar bütün üreticilerin bu tehlikeye karşı yaptığı şey, kriptolu trafiği çözdükten sonra gerekli kontrolleri yapmak. Tabii bu donanımlar üzerine büyük bir yük getirmenin dışında, aynı zamanda gizlilik kuralları açısından bazı soru işaretlerini de beraber getiriyor.

Cisco’nun Kriptolu Trafik Analizi (Encrypted Traffic Analysis, ETA) ile yaptığı ise buradaki oyunu tamamen hackerlar aleyhine bozacak nitelikte. Kriptoyu çözmeden malware tespiti yapmaya odaklanıyor bu çözüm. Bunu aslında bir anlamda vücut diline benzetebiliriz. Tehlikeli bir şeyler taşıyan insanın şüpheli hareketlerde bulunmasının tespit edilmesi gibi.

Kriptolu Trafik Analizi

Malware kripto içerisindeyken nasıl tespit ediliyor?

Önemli soru bu. Çok ayrıntıya girmeden cevap vermek gerekirse göstergelerden birisi paket uzunluklarının sıralanması, paketlerin görülme sıklığı ve arada geçen zamanlar. Aşağıdaki yatay eksenin üstü istemciden sunucuya olan trafiği gösteriyor, altı ise tam zıttını. Örneğin bir Google aramasında yoğun trafik istemciye doğru geliyor. Öte yandan malware’de bu çok farklı. C/C sunucularla görüşme, diske birşeyler yazma ve dışarıya doğru yoğun bilgi sızması bir nevi Malware’e özel bir parmak izi oluşturuyor.

Bunun üstüne TLS komünikasyonun clear text başlaması, cipher suite seçimlerinde malware’lerin gerçek uygulamalardan çok daha basit yöntemler seçmesi ve TLS Library ‘lerden default parametrelerin seçilmesi gelince, malware karakteristikleri ortaya çıkıyor, kriptolu olsa bile malware kendisini %99.9 oranında belli ediyor. Bu oran bilinen malwareler için geçerli elbette.

Paketlere ilişkin bilgilerin Netflow ile Cat9000’ler tarafından StealthWatch’a gönderilmesi ve bu bilginin Cognitive Analysis’de işlenmesi Cisco çözümünün ana omurgasını oluşturuyor. Tabii Machine Learning Algoritmalarının arkasında Threat Grid dinamik analiz/Sandbox ve Talos istihbarat çok önemli bir yer arz ediyor.

Cisco Dijital Ağ Mimarisi; ağları, ataklar kripto içinde saklansa bile yakalanmalarına imkan veren ve uçtan uca çalışan bir sensöre dönüştürüyor. Network dünyasında bir devir kapanıp bir devir açılıyor…