Microsoft bundan yıllar yıllar önce yani 2000′ lerde Forefront isminde güvenlik ürün ailesini tanıtmış ama büyük bir fiyasko ile sonra ortadan kaldırmıştı. Bu başarısızlığın pek çok nedeni vardı ama önemli olan buradan çok acayip bir ders çıkartmalarıydı. Görünen o ki ne kadar çok sensör olur ise o kadar çok bilgiye sahip oluyorsunuz ve ne kadar çok yaygın bir ürün olursanız anti virüs veri tabanınız o kadar iyi oluyor. Aradan zaman geçti, öncelikle artık geleneksel AV ürünleri öldü, ayrıca yapay zeka başta sofistike ataklar baş gösterdi. Özetle güvenlik sektörü çok hızlı değişmeye başladı. Microsoft ise 2010 yılında bulut teknolojilerine olan yatırımı ile en baba güvenlik şirketiyim diyen şirketlerin bile toplam sensör sayısını katlamaya başladı. Özellikle o yıllarda örneğin mail güvenlik ürünü pek çok spam vb mail kaçırırken rakip ürünler canavar gibiydi, ama office 365 başta artık Azure nedeni ile o kadar yoğun bir mail, data trafiğine sahip ki bu üstünlüğünü tüm güvenlik ürünlerine yansıttı. Özetle devran değişti diyebiliriz. En son Office 365 için backup özelliği getirdi, neden bunu yazıyorum? Artık komple bir platform haline geldiği için neredeyse bir müşteri tek bir paket ile ihtiyacı olan güvenlik ürünleri dahil her şeye sahip olabiliyor.
Peki günümüzde durum nasıl? Artık Microsoft masada güçlü bir oyunca ancak hala defender isminin kötü repütasyonu yok değil, durum böyle olunca Microsoft bu konuda show yapmaya devam ediyor ve en güncel yapay zeka destekli “otonom bir zararlı yazılım algılama ve tersine mühendislik sistemi olan Project Ire’ yi kullanıma sundu. Evet kulağa çok hoş geliyor değil mi?
Peki gelelim bu proje ve yeni özellik (Defender için) ne işe yarıyor ve nasıl çalışıyor?
Ne işe yarıyor?
Project Ire doğal dil işleme (LLM) tabanlı yapay zekâyı Ghidra ve angr gibi tersine mühendislik araçlarıyla birleştirerek yazılım dosyalarını analiz ediyor ve zararlı olup olmadığını belirleyebiliyor. Hem tanımadığı dosyalara hem de önce görülmemiş dosyalara uygulanabiliyor. Yani bir veri tabanı ve karşılaştırma ihtiyacı yok.
Nasıl çalışıyor?
Araç önce dosyanın temel yapısını inceliyor ardından control-flow grafiğini çıkarıyor, kritik fonksiyonları tespit etmek için API üzerinden özel analiz araçlarını çağırıyor. Son aşamada ise bir validator modülü ile kendi kararlarını uzman onayına dayandırarak doğruluyor. Örneğin bu bölüm ileride muhtemel tam otomasyona dönebilir veya mail karantina mantığı ile bizim onayımıza sunulabilir. Tüm süreç insan analistlerin denetleyebileceği bir “delil zinciri” (chain of evidence) oluşturuyor. Bu da aslında görünürlük anlamında çok kıymetli.
Neden proje aşamasında?
Malum henüz %100 güvenilir sonuçlar elde etmiyor ama zorluk derecesi yüksek dosya setlerinde %90 doğruluk ve yalnızca %2–4 false pozitif oranına sahip. 100 dosya için 4 dosya bence hala yüksek bir hata oranı, hele file server gibi bir yeri düşünürseniz proje olması normal.
Peki Microsoft bu proje ile neyi hedefliyor?
Microsoft Project Ire’ı “Binary Analyzer” olarak Microsoft Defender güvenlik paketine entegre etmeyi planlıyor. Böylece sistem bellek tabanlı analizler de dahil olmak üzere ilk karşılaşmada bile olası tehditleri hızla tanımlayabilecek.
Özetle endpoint tarafında Defender’ in elini çok ama çok ciddi güçlendirecek bir teknolojiden bahsediyoruz. Umarım başarılı olur malum hacking mevzularına bakınca çok can sıkıcı rakamları görüyoruz, iş kesintisi veya repütasyon kaybını saymıyorum bile. Tabi ki bu ve benzeri teknolojiler olsa bile en önemli faktör olan insan zafiyetlerini lütfen unutmayın. Güvenli günler dilerim.
