Kaspersky KATA (Kaspersky Anti Targeted Attack Platform) Nedir?
Günümüzde gelişmiş kalıcı tehditler (APT – Advanced Persistent Threats) ve hedefli saldırılar, geleneksel güvenlik çözümlerinin ötesine geçerek daha sofistike yöntemlerle kurumları hedef almaktadır. Bu saldırılara karşı klasik antivirüs çözümleri yetersiz kalabilir. Tam da bu noktada Kaspersky Anti Targeted Attack Platform (KATA) devreye girer.
Nedir?
KATA, kurumsal ağları gelişmiş tehditlere karşı korumak için tasarlanmış bir gelişmiş tehdit algılama ve müdahale (Advanced Threat Detection and Response) platformudur. APT saldırıları, sıfır gün zafiyetleri ve hedef odaklı saldırılar gibi tehditleri erken aşamada tespit ederek, organizasyonların olaylara daha hızlı ve etkili müdahale etmesini sağlar.
KATA'nın Temel Bileşenleri
1. Sensor Bileşenleri
-Network Sensor: Ağ trafiğini analiz eder, şüpheli HTTP, SMTP, FTP vb. trafiği tespit eder.
-Mail Sensor: E-posta trafiğini inceleyerek zararlı ekleri ve oltalama (phishing) saldırılarını tespit eder.
-Endpoint Sensor: İstemcilerde gerçekleşen aktiviteleri takip eder, davranışsal analiz sağlar.
-Web Sensor: Web tabanlı saldırıların tespiti için proxy trafiğini analiz eder.
2. Kaspersky Sandbox
Zararlı olabileceği düşünülen dosyaları izole bir ortamda çalıştırarak davranışlarını analiz eder. Bu sayede imza tabanlı algılamanın ötesine geçilerek bilinmeyen tehditler tespit edilir.
3. Kaspersky EDR Integration
KATA, Kaspersky Endpoint Detection and Response ürünüyle entegre çalışarak şüpheli aktiviteleri daha geniş bir perspektifte analiz edebilir, gerektiğinde otomatik müdahale gerçekleştirebilir.
4. Correlation Engine
Tüm sensorlerden gelen verileri birleştirir, olaylar arasında ilişki kurar ve saldırı zincirini (kill-chain) analiz eder. Bu sayede normalde bağımsız olarak önemsiz görülebilecek olaylar, birlikte analiz edildiğinde gerçek bir saldırının parçası olarak tanımlanabilir.
KATA'nın Avantajları
Gelişmiş Tehdit Algılama: Geleneksel AV ürünlerinin kaçırdığı tehditleri davranışsal ve korelasyon temelli analizle yakalar.
APT Tespit Yeteneği: Özellikle devlet destekli veya profesyonel saldırgan grupların düzenlediği gelişmiş saldırılara karşı etkili koruma sağlar.
Merkezi Görünürlük: Tüm güvenlik olaylarının merkezi bir platformdan izlenmesini ve yönetilmesini sağlar.
SIEM ve SOAR Entegrasyonu: Kurumsal güvenlik altyapısıyla entegre çalışabilir.
Olay Müdahale ve Tehdit Avcılığı: Güçlü EDR entegrasyonu ile olaylara hızlı müdahale imkânı sunar.
Kullanım Senaryosu: Kurum İçin Uçtan Uca Tehdit Görünürlüğü
-Örneğin bir kullanıcıya gelen e-postada bulunan PDF dosyası, Mail Sensor tarafından alınır. Dosya otomatik olarak sandbox'a yönlendirilir. Sandbox ortamında zararlı davranışlar tespit edilirse, KATA bu durumu korelasyon motoru ile değerlendirir. Aynı anda Endpoint Sensor, kullanıcının cihazındaki anormal aktiviteleri izleyerek tehdidi onaylayabilir. Kaspersky EDR ile entegre çalışan sistem, tehdidin yayılmasını engellemek için otomatik karantina alabilir veya yöneticiyi uyararak manuel aksiyon alınmasını sağlayabilir.
KATA, klasik güvenlik çözümlerinin ötesine geçerek kurumlara proaktif tehdit avcılığı, davranışsal analiz ve saldırı zinciri görünürlüğü gibi ileri düzey güvenlik yetkinlikleri kazandırır. Özellikle kritik altyapılara, finans kurumlarına ve devlet organizasyonlarına yönelik saldırıların arttığı günümüzde, KATA gibi gelişmiş bir platformun ağ güvenliğine entegre edilmesi büyük önem taşımaktadır.
yazar: Asrın Haktan Şahin