Sonicwall Sandbox Capture ATP Servisine Genel Bakış


Bu makalemde sizlere Capture APT servisinden bahsedeceğim , Bu servis ile ileri seviye ısrarcı dediğimiz atakların nasıl önüne geçeceğinizi göstermeye çalışacağım. Günümüzün popüler tehditlerin başında bildiğiniz üzere, ransomware ‘ ler geliyor. Bu tehdit her geçen gün gelişen ve daha da yaygınlaşan zararlı yazılımlardır. Temel amacı dosyalarınızı şifreleyerek ve para karşılığında kullanıcının dosyalara erişimini sağlamaktır. Bu durumdan maruz kalmış kurumlar, Gerçekten dosyalarını kurtarmak istiyorsa parayı ödemekten başka çaresi bulunmuyor ve raporlardan da görünüyor ki ciddi şekilde bu tehdite maruz kalmış kurumlar bulunmaktadır.
Tabi sadece bu tarz tehditler yok. kuruma özgü yazılmış, bilinmeyen zero day ataklar’ da bulunur. Ransomware dışında biz bu tarz tehditlere karşı da savunma yapabilir , çözüm üretebiliriz.
Bu teknolojinin diğer bir adı ise Sandbox ‘ dır. SANDBOX’ lar dosya davranışlarını analiz etmek ve kötü amaçlı yazılımları tespit etmek için kullanılan ortamlardır. Sonicwall bu analizi 3 farklı Database sorgu yaparak, rakiplere göre ciddi bir farklılık sağlıyor. Birazdan arayüze bağlanıp daha net görüyor olacağız. Bu servis sonicwall’ a 2016 Ağustos başında geldi ve Cloud üzerinden bu analizleri yaparak karar vermeye çalışıyor.
Capture servisi sonicwall cihazlarında SOHO harici tüm modellerde olan bir servistir. Özellikle 6.2 ve sonrası tüm versiyonlarda kullanılabilir , Lisanslama modelinde cgss ve agss dediğimiz 2 modelleme bulunuyor. Arasındaki tek fark AGSS dediğimiz lisanslama içerisinde Sandbox servisi bundle geliyor. CGSS almış yada kullanan müşterilerimiz daha sonra Capture lisansını ayrıca alarak kullanım sağlayabilir.
Evet bu bilgilerden sonra isterseniz arayüze bağlanıp , sandbox teknolojisinin sonicwall’ daki yapılandırmasına bir göz atalım.

SonicWall ATP Capture, ağ geçidinde Zero-day tehditlerini belirlemek ve engellemek için bir bulut sandbox servisidir.
SonicWall ATP Capture servisi bize aşağıdaki özellikleri sunar
  • Daha iyi tehdit algılama için çoklu tehdit motorları
  • Yaygın dosya türü analizleri ve işletim sistemi (OS) desteği
  • Tüm GAV protokolleri desteklenmektedir
  • HTTPS desteklenmektedir (DPI-SSL gerektirmektedir
  • Ağ geçidindeki Verdict seçeneğine kadar engelleme
  • İyileştirme imzalarının hızlı dağıtımı
  • Kapsamlı raporlama ve uyarılar
NOT: ATP Capture servisini kullanmak için, en küçük versiyon olarak SonicOS Firmware versiyonu 6.2.6.1’i çalıştırıyor olmalısınız. Bu Firmware, yalnızca 6. Kuşak Cihazlarda mevcuttur.
Capture ATP Servisine Genel Bakış :
SonicWall ATP Capture çözümü SonicOS 6.2.6.x versiyonu ve üstünde mevcuttur.
ATP Capture servisi dosyayı buluta transfer ederek, dosyanın bir virüs olup olmadığını analiz eder ve ardından sonucu SonicWall güvenlik duvarına göndererek SonicWall güvenlik duvarına bir dosyanın bir virüs olup olmadığını belirlemeye yardım eder. Bu işlem, dosya SonicWall güvenlik duvarı tarafından işlenirken gerçek zamanlı olarak yapılır. Capture ATP, dosyayı transfer etmek için UFTP protokolünü kullanır. UFTP, User Datagram Protocol (UDP) File Tranfer Protocol (FTP) anlamına gelmektedir.
SonicWall güvenlik duvarının, Capture ATP servisi ile yaptığı dosya analizleri altı majör adımla gerçekleşir
  1. The SonicWall güvenlik duvarı dosyayı SonicWall ATP Capture bulut servislerine gönderir.
  2. SonicWall ATP Capture bulut servisleri dosyayı kendi depolarının içine kaydeder.
  3. SonicWall ATP Capture bulut servisleri dosyayı okur ve analiz eder.
  4. SonicWall ATP Capture bulut servisleri sonuçlarını SonicWall ATP Capture bulut servisleri veri tabanına kaydeder.
  5. SonicWall ATP Capture bulut servisleri SonicWall ATP Capture bulut servisleri veri tabanına erişir.
  6. SonicWall ATP Capture bulut servisleri sonuçları SonicWall güvenlik duvarına gönderir.
Güvenlik duvarı müşteri lokasyonunda konumlanmıştır. SonicWall ATP Capture bulut servisleri ve veritabanı SonicWall tesisinde bulunmaktadırlar.
SonicWall ATP Capture bulut servislerinin FQDN’leri periyodik olarak SonicWall güvenlik duvarı tarafından çözümlenmektedir. Aynı zamanda bu FQDN herhangi bir zamanda değiştirildiğinde Lisans Yöneticisi tarafından çözümlenmektedir.
ATP Capture servisi ile aşağıdaki dosya türlerini güvenli bir şekilde inceleyebilir, sınıflandırabilir ve yönetebilirsiniz.
  • Executables (PE, Mach-O, and DMG)
  • PDF
  • Office 97-2003 file types (.doc , .xls ,…)
  • Office (.docs , .xlsx ,…)
  • Archives ( .jar, .apk, .rar, .gz, and .zip)

NOT: Varsayılan olarak sadece Executables (Çalıştırılabilen dosyalar ) için olan onay kutusu seçilidir, diğer dosya türleri manuel olarak seçilmelidir. 
 
SonicWall güvenlik duvarı dosyaları şifrelenmiş UDP File Transfer Protocol (UFTP)’ü kullanarak gönderir.
UFTP Protocol Avantajları:
  • UDP trafiğinin veri şifrelemesi
  • Paket kaybı algılama, düzeltme ve yeniden iletimler
  • Veri kopyalarını ve kurtarılamayan hataları yönetebilir
SonicWall ATP Capture servisi tüm Gateway Anti-Virus (GAV) protokollerini destekler
  • HTTP
  • HTTPS (DPI-SSL gerektirir)
  • FTP
  • SMTP
  • POP
  • IMAP
  • CIFS/Netbios
  • TCP
SonicWall ATP Capture servisinin Dosya Engelleme Davranışı
İki seçeneğe izin verir:
  • Tüm dosyalara izin ver (Bu varsayılan seçeneklerdir)
Tüm dosyalara izin ver seçenekleri daha az güvenlidir. Dosyalara ağınızda izin verildikten sonra eğer kötü niyetli dosyalar olarak belirlenirlerse bir uyarı alacaksınız.
  • Bir karar dönene kadar tüm dosyaları engelle
Bu seçenek daha güvenlidir, ancak bazı meşru dosyaların indirilmesini yavaşlatabilir. Bu seçenek kullanıcıların indirmeyi yeniden denemelerini gerektirebilir
  • Bu seçenek sadece HTTP ve HTTPS dosya indirmeleri için geçerlidir
Ayrıca siz dosyaları doğrudan SonicWall Capture Bulut Servislerine de yükleyebilirsiniz
Dosyalar SonicWall Capture Bulut Servislerine SonicWall Kullanıcı Arayüzü üzerinden yüklenebilir
Capture ATP | Status sayfasına gidin ve Upload a file to be scanned iletişim kutusu için Upload kutusuna tıklayın
Gözat ve bir dosya seç, göndermek için Upload butonuna tıklayın
ATP Capture Raporları ve Alarmları
Capture ATP | Status’e gidin
Son 30 günde taranan dosyaları izler

Taranmış dosyaların detaylı listesi
Aşağıdaki taranmış dosyaların bir örnek listesini göstermektedir.
Taranan dosya Kötü Amaçlı olarak rapor edilirse, KIRMIZI renkte vurgulanır

Detaylar için taranmış bir dosyaya tıklayın:
Örneğin, Kötü amaçlı olarak raporlanmış bir dosyaya tıklanınca:
Bir sonraki örnek tehlikesiz olarak rapor edilmiş bir dosya içindir

Yorumlar