Güvenliğin dağıtımını ve yönetimini hızlı ve kolay hale getirir. Fiziksel, sanal ve bulut ortamlarda koruma sağlar. Mikro servis mimarileri ve Docker konteyner koruması sunarak gelişen veri merkezi teknolojilerini güvence altına alırken VMware, AWS ve Microsoft Azure gibi platformlarda entegre bir şekilde çalışmaya olanak tanır. Bu yazımda sizlere birçok farklı güvenlik modülünden oluşan Deep Security’nin Intrusion Prevention(Sanal Yama) özelleğinden bahsediyor olacağım.
Öncelikle güvenlik açığının yaşam döngüsüne değinelim. Güvenlik açıkları üretici, son kullanıcı veya güvenlik açığı aramaları gerçekleştiren kişiler tarafından tespit edilir. Bu açık ortaya çıktıntan sonra üretici desteği var ise ilgili yama için üretici bir takvim belirler. Yama yayınlandıktan sonra gerekli testleri uygulayarak yamayı canlı sistemlerimizde hayata geçiririz ve bir güvenlik açığının yaşam döngüsünü bu şekilde tamamlamış oluruz.
Üretici tarafından ilgili yama yayınlanıp sisteminize uygulanana kadar bilgisayarlar bu güvenlik açığına karşı savunmasız durumda kalır. Tam bu noktada Intrusion Prevention modülü, bilgisayarlarınızı bilinen ve sıfırıncı gün güvenlik açığı zafiyetlerinin yanı sıra SQL Injection, Cross-site Scripting Atacks ve web uygulamalarındaki güvenlik açıklarını da tespit eder ve koruma sağlar.
Deep Security, belirlenen aralıklarda sunucular üzerinde taramalar gerçekleştirir. İşletim sistemini ve üzerinde uygulamaları tanımlayarak mevcut güvenlik açıklarını belirler. Belirlenen güvenlik açıklarını kapsayan ve üretici tarafından yayınlanan yama geçilmemiş ise güvenlik açığını engelleyecek olan kural ağ kartına eklenir. Eklenen kural ile eşleşen bir imza tespit edildiğinde bağlantı ağ seviyesinde sonlandırılır. Bu işleme Sanal Yama denir. Bu sayede yamanın yayınlanmasını beklemeden veya üreticinin desteğini çekmiş olduğu herhangi bir ürünle ilgili güvenlik açığı kapatılmış olur. Bir sonraki taramada sunucu üzerinde ilgili yamanın geçildiği tespit edilirse kural otomatik olarak kaldırılır.
Güvenlik açığı barındıran bir işletim sisteminde bu açığı sömürmek için farklı yöntemler ile ataklar gerçekleştirdiğimizde, bu ataklara karşı Deep Security’nin vermiş olduğu tepkileri ve özetlerini aşağıdaki ekranda inceleyebiliriz.
Deep Security’nin, güvenlik açığı tespiti noktasında beslendiği en önemli kaynaklardan birisi Zero Day Initiative’dır. 2005 yılında oluşturulan ZDI ekibi, yazılımların güvenlik açıklarını tespit eden ve üreticilere ileten bir oluşumdur. Tespit edilen güvenlik açığı tüm detayları ile üreticisine aktarılırken, kullanıcılara ise filtrelenmiş genel bir bilgilendirme yayınlanır. Eş zamanlı olarak güvenlik açığını kapsayan ve gerekli korumayı sağlayacak olan Rule Set, üreticinin yamayı yayınlaması beklemenden Deep Security’ye eklenir. Artık sunucular bu zafiyete karşı koruma altındadır.
Analysis of the Global Public Vulnerability Research Market 2017 raporuna göre açıklanan her üç kritik güvenlik açığından ikisinin ZDI ekibi tarafından ortaya çıkarıldığı belirtilmektedir.
Aşağıdaki görselde Microsoft ile ilgili tespit edilen ve bu güvenlik açıklarını Microsoft’a iletilen üreticileri görmekteyiz.
Günümüzde artık ağları Trust-Untrust olarak tanımlayamıyoruz. Sadece dış ağlardan gelen trafiği izlemek ve ağ güvenlik duvarlarındaki IPS modülleriyle güvenliği sağlamak mümkün olmuyor. İç ağda veya DMZ’te barındırdığımız sunucularda Host Based IPS konumlandırmamız sunucu güvenliğinde son derece fayda sağlamaktadır.
-