Kaspersky Sandbox, Kaspersky’nin geliştirmiş olduğu bir simülasyon bileşenidir. Ya pakete dahil ya da sonradan alımı gerçekleşebilir. Buluta ya da on-premise yani şirket kaynaklarına kurulabilecek bir üründür. Bu ürün, Kaspersky’nin çoğu ve üçüncü parti ürünler ile de entegre olabilmekte. Özellikle kurumlardaki zero day dediğimiz yani sıfırıncı gün saldırıları analiz ve tespit etmede kullanılmaktadır. Kaspersky Sandbox, herhangi bir tepkime ya da bertaraf işlemini yapmaz. Sadece tespit, analiz ve raporlama kısmında işlemler yapar. Bu işlemleri şu şekilde yapar;
- Tespit: Kaspersky Sandbox, kendi içerisinde müşterinin kaynaklarına ve belirttiği ayarlara göre farklı işletim sistemlerine sahip sanal makineler oluşturur. Gelen ekleri ve dosyaları kendi içerisinde tarar. Yaptığı tarama sonucunda dosyanın itibar puanına göre bu dosyanın veya ekin sisteme girmesini ya da çıkarılmasını sağlar. Eğer bahsi geçen dosya veya ekin herhangi bir itibar puanı yoksa yani bilinmeyen bir dosya ise Kaspersky Sandbox kendi içerisinde analizlerde bulunur. Yaptığı analiz neticesinde dosyaya bir itibar puanı atar. Atadığı itibar puanını ve dosyayı Kaspersky Security Center (KSC) ve Threat Intelligence Portal’a gönderir. İtibar puanına göre bu dosya veya ek zararlı ya da zararsız olarak damgalanır ve Kaspersky sistemine tanıtılmış olur.
- Analiz: Yukarıda bahsetmiş olduğumuz gibi Kaspersky Sandbox, dosyaların ve eklerin itibar puanlaması ve aktivitelerine bakar. Bu verileri Kaspersky Security Network ve Threat Intelligence Portal’dan çeker. Dosya veya ek hakkında herhangi bir puanlama ya da aktivite analizi yoksa kendi içerisinde yaptığı kontroller neticesinde yargıya varır. Aldığı yargıları KSN ve TIP ile de paylaşır.
- Raporlama: Yaptığı analizlerin sonucuna göre dosya veya ek hakkında raporlama sunar. Yaptığı bu raporlama Kaspersky Security Center’a gider, Kaspersky Security Center’dan SIEM’e .CEF Formatında gider. Bu çalışma mantığı aşağıdaki başlığımızda daha detaylı inceleyeceğiz.
Çalışma Mantığı
Çalışma mantığı olarak ya bulut ya da müşteri kaynaklarını kullanacak şekilde çalışmaktadır. Aşağıdaki görsellerde bu çalışma mantıklarını inceleyeceğiz.
Resim 1: Müşteri alt yapısı (Bulut ortamında)
Bulut yapısında müşteriye ve Kaspersky’e düşen alt yapı şeması yukarıdaki gibidir. Cloud Sandbox kurulduktan sonra müşteriye bir Web arayüz verilir. Müşteri, Cloud Sandbox ile bu ara yüz sayesinde iletişime geçer. Ara yüz üzerinden farklı formattaki (exe, .js, .zip, .pdf ve benzerleri gibi.) dosyaları Cloud Sandbox’a gönderir. Gönderdiği dosya için Cloud Sandbox’tan bir geri bildirim alır.
Müşteri, kendi Restful API’sinden yani veriye erişim için kullanılan web protokollerini ve isteklerini inceleyen sistemden Cloud Sandbox’a sanallaştırma ve sezgisel raporlama için veri gönderebilir. Aynı şekilde geri bildirim alır.
Kaspersky tarafına gelirsek Cloud Sandbox, Kaspersky’nin Threat Intelligence Portal’ından veri alır ve veri gönderir. Buna göre gelen dosyanın var olan bir suiistimalin göstergeleri ile uyuşup uyuşmadığını kontrol eder. Eğer bilinmeyen bir dosya ise kendi analizleri ile bir suiistimal göstergesi atayıp Threat Intelligence Portal’a kendi analiz çıkarımını gönderir. Ayrıca Cloud Sandbox çıkarım yapmak için Threat Intelligence Portal’dan URL, alan adı, ip adresi, dosya kodlarına, tehdit adlarına, statiksel/davranışsal veri ve WHOIS/DNS sorgusunu çeker.
Cloud Sandbox, KSN’den ise statik ve davranışsal tespit verilerini alır. Sonrasında kendi içerisinde gelişmiş kaçınma önleme ve insan davranış simülasyon teknikleri gibi kendisine has teknikler ile analizler yapar. Yaptığı analizler sonucunda gerekli sistemleri bilgilendirir.
Resim 2: Çalışma mantığı (müşteri kaynakları ile) New Kaspersky Sandbox automates protection from advanced threats. Türkçeleştirme: Mihail Frolov
Müşteri kaynaklarında çalıştığında ise uç noktalardan ve sunuculardan senkronize modda obje itibar isteğini kabul eder. Gelen istek sayısına göre bir yük dengelemesi yapar. Kendi içerisinde bir karara varır. Aldığı kararın paylaşılan önbelleklerini kendi içinde tutar. Geri bildirim olarak ilgili uç noktalara ve sunuculara yanıtlamada bulunur. Asenkron modda ise şüpheli obje analiz isteğini de kabul eder. Yukarıdaki işlemleri de asenkron modda gelen istekler için de uygular ve yanıtlar. Sandbox’ın ayrıca internet ile de bağlantısı vardır. İnternet bağlantısını kullanarak KSN ve TIP ile veri etkileşiminde bulunur. Genel olarak tüm bunları bir yapı altında toplayarak kullanılabilirliği yüksek bir küme yapısı sağlar. Alınan verileri ve kararları KSC’ye gönderir. Gönderilen veriler ve kararları .CEF formatında SIEM ortamına aktarır.
Hazırlayan: Mihail Frolov
Kapak Tasarımı: Mutfak Yapım