HaberlerIBM, bulut tehditleriyle başa çıkmak için SysFlow’u duyurdu

IBM, bulut ve konteyner ortamlarında av ihlallerine yönelik açık kaynaklı bir güvenlik araç takımı olan SysFlow'u piyasaya sürdü.
25 January 2020249

SysFlow, ağ korumasında sık karşılaşılan bir sorunu çözmek için tasarlandı. Yeni araç kiti modern güvenlik izleme araçları, sistem etkinliğini, genellikle dosya değişiklikleri gibi bireysel olaylara bağlı olarak, yüksek düzeyde ayrıntı düzeyiyle yakalıyor.

IBM, bulut tehditleriyle başa çıkmak için SysFlow’u duyurdu

SysFlow, güvenlik ekiplerinin elemek zorunda olduğu bilgi miktarını azaltıyor. Araç seti, belirli bir sistemden operasyonel veriler toplayarak ve bu verileri HTTP istekleri gibi tek tek olaylardan ziyade sistemin üst düzey davranışlarını gösteren bir modele sıkıştırarak çalışıyor. Bu tür yerelleştirilmiş olaylar da görüntüleniyor ancak SysFlow, ayrıntılı bir analiz için gerekli bağlamı sağlamak için bunları ilgili davranış kalıplarına da bağlıyor.

IBM, araç setinin kullanışlı olabileceği örnek bir ihlal senaryosunun ana hatlarını çizdi. Varsayımsal ihlal, bir bilgisayar korsanının bir şirketin ağında savunmasız bir Node.js sunucusu bulduğunu, o sunucuya kötü amaçlı bir komut dosyası indirdiğini ve ardından hassas bir müşteri veritabanının güvenliğini ihlal ettiğini gördü.

Araştırmacılar, “Son teknoloji ürünü izleme araçları yalnızca bağlantısı kesilen olayların akışlarını yakalasa da SysFlow sistemdeki her saldırı adımının varlıklarını birbirine bağlayabilir.” şeklinde açıklama yaptı. Örneğin, vurgulanan SysFlow izleme, saldırı öldürme zincirinin adımlarını tam olarak eşliyor. Node.js işlemi ele geçiriliyor ve ardından kötü amaçlı bir komut dosyasını indirmek ve yürütmek için 2345 numaralı bağlantı noktasındaki uzak bir kötü amaçlı yazılım sunucusuyla iletişim kuruyor.

SysFlow sadece güvenlik ekiplerinin tehditleri tespit etmesine yardımcı olmakla kalmıyor aynı zamanda süreçteki donanım kaynaklarını da koruyor. IBM’e göre bu araç seti, geleneksel araçlara kıyasla güvenlik veri toplama oranlarını “büyüklük sıralarıyla” azaltıyor.

SysFlow, otomatik olarak şüpheli olaylara göre özelleştirilebilen yerleşik bir kural motoruna sahip. Araç kiti, ihlallerin yanı sıra finansal kayıtların gerekmediği bir yerde depolanması gibi yasal uyumluluk ihlallerini tespit etmeye de katkıda bulunuyor. Daha hassas bir algılama gerektiğinde, güvenlik ekipleri kendi özel tehdit tanımlama algoritmalarını SysFlow’a programlayabiliyor.

IBM, platformun diğer açık kaynaklı araçlarla birlikte kullanıldığını da ekliyor. SysFlow’un açık serileştirme formatı ve kütüphaneleri açık kaynaklı çerçevelerle (Spark, scikit-learn) ve özel analitik mikro hizmetlerle entegrasyona olanak sağlıyor.

Related Posts