Antivirüs bilgisayarlarımıza bulaşabilecek virüslere karşı geliştirilmiş güvenlik yazılımları olarak tanımlanır. Antivirüslerin ilk görevi sistem bütünlüğünü bozabilecek veya verilerimizi tahrip edebilecek kötücül yazılımlara karşı koruma sağlamaktır.
Geleneksel virüsler bulaştıkları sistemdeki verilerin içerisine kendilerini enjekte ederek çoğalmayı hedeflemekteydiler. Antivirüsler ise bir verini bütünlüğünü bozan yani bir uygulamaya kötü kod eklendiğinde uygulamanın içerisindeki zararlı kodların temizlenerek (tamir etme yolu ile) dosyayı orijinal haline getirmekteydi. Bu sayede bozulan verilerimiz tekrar kullanılabilir bir hale geliyor ve sistem bütünlüğü sağlanıyordu. Ancak bazı durumlarda maalesef ki Antivirüsler bu dosyaları tamir edememekte ve sistem bütünlüğünü korumak için temizlenemeyen dosyalar karantinaya alınarak koruma sağlanırdı. Karantinaya alınan uygulama çalıştırılamayacağı için virüsün yayılması engellenir ve sistem bütünlüğü korunmuş olurdu.
Günümüz dünyasında birçok virüs tehdidi ile karşılaşıyoruz. Artık virüsler çok daha akıllı ve çok daha farklı tekniklerle karşımıza geliyor. Doğal olarak uzmanlar ve uzman destek ekipleri bir işletim sistemi kurdukları zaman ilk olarak antivirüs uygulamaları ile sistemleri korumaya almayı planlarlar.
Yakın geçmişe kadar antivirüslerin tamamı imza tabanlı veritabanları kullanarak virüsleri tespit edebiliyordu. Bu veritabanları sürekli güncellenmekteydi ve keşfedilen virüslerin hash adını verdiğimiz imzaları antivirüslerin veritabanlarına eklenerek tespiti sağlanıyordu. Antivirüsler bilgisayarda keşfettikleri anormallikleri bu veri tabanlarında karşılaştırarak bir virüs aktivitesi olup olmadığına karar vermekteydi. Bu teknik günümüz internet dünyasına kadar gelişerek gelmiş ve halen daha kullanılmaya devam etmektedir. Biz son kullanıcılar ise antivirüslerimizi sürekli olarak güncellemek ve güncel kalmak zorundayız. Bugünkü teknolojide antivirüs yazılımlarına baktığımız zaman imza tabanlı oldukları gibi heuristic yani davranış tabanlı tespit sistemleri de kulanmaktadırlar.
Virüsler enfekte olduklarında dosyaların bütünlüğünü bozmaktalar. Dolayısı ise tanınan bir virüsü hash üzerinden yani imza tabanlı olarak tespit edebiliyorsunuz. Ancak tanınmayan virüslerde bu durum büyük soru işaretlerini de beraberide getirmekteydi.
Kod değiştirilmesi sadece imza tabanlı çalışan antivirüslerin tespitini sağlar. Heuristic dediğimiz sezgisel yaklaşım (davranışsal tespit) ve hatta kendi içerisinde Sandbox özelliği bulunan antivirüsler olduğunu da söyleyebiliriz. Bu sayede imza tabanlı olarak tespit edilemeyen virüsler, sisteme bulaştıklarında yapmış oldukları kötü davranışlar ile yakalanmakta ve tespit edilmesi sağlanmaktadır.
Günümüz virüsleri çok gelişti ve özel tekniklerle karşımıza geliyorlar. Farklı davranışlar sergileyenleri hatta sistemde herhangi bir zarar vermeden aktif edilene kadar komuta sisteminden emir bekleyen zararlıları da görmekteyiz. Diğer bir yandan kullanıcıların haberi olmadan kamera kaydı, ses kaydı alan virüsleri, klavyemizden bastığımız tüm tuşları kayıt alarak sisteme zarar vermeden bu verileri saldırganlara gönderen virüsleri ve benzeri yapıdaki bilgilerimizi çalmaya yönelik tehditler ortaya çıkmıştır. Firewall cihazlarına veya yeni nesil güvenlik cihazlarına karşı özel teknikler geliştiren ve yaklanmadan sistemlerde aylarca kalabilen gelişmiş hedef odaklı zararlı yazılımlar ise büyük birer tehdit olarak karşımıza çıkabiliyor.
Davanışsal tespitler antivirüs firlalarının AR-GE çalışmalarına göre farklılık göstermektedir. Bu da virüslerin yakalanmasında büyük bir farklılık ortaya koymaktadır. Ar-GE’si güçlü olan ve gelişmiş tehditleri iyi analiz edebilen firmalar bu sayede ön plana çıkıyorlar.
Elbette ki sezgisel algoritmalar sayesinde yüzde yüz güvende olduğunuzu söylemek doğru değildir. Ancak günümüz internet teknolojilerini ve yazılım teknolojilerini düşündüğümüz zaman en iyi çözüm yollarından biri olduğunu söyleyebiliriz. Çünkü günümüz internet ve teknoloji dünyasında her dakika yeni bir virüsün ortaya çıktığını düşünürsek, imza tabanlı tespit sistemlerinin yeterli olmadığını net olarak söyleyebiliriz.
İlk virüsün karşımıza çıkmasının üzerinden yaklaşık olarak 40 yıllık bir süre geçti. Teknoloji bu süre içerisinde büyük bir hızla gelişmeye devam ettiği gibi virüsler de evrimleşerek biz kullanıcıları tehdit etmeye devam ediyor. Aynı zamanda antivirüs firmaları da gelişerek virüsleri tespit etme tekniklerini geliştirmeye devam edecektir.
Antivirüsler bir nevi antikor gibi hareket ederler. Yani enfekte edilmemiş sisteme kurulmaları tavsiye edilir. Enfekte edilmiş bir sisteme antivirüs yazılımı kurmaktansa, enfekte olmuş bir sistemi başka bir sistemde tarayarak temizlemek daha doğru bir hareket olacaktır. İşletim sistemlerimiz günümüz teknoloji çağında her saniye binlerce saldırı alabiliyor. Bu saldırıların da büyük bir kısmının virüsler, solucanlar, truva atları gibi zararlı yazılımlar olduğunu unutmamalıyız. Önceleri diskler veya disketler arası kopyalama ile çoğalan virüsler bugün sistem açıklarından faydalanarak internet üzerinden birkaç saniye içerisinde milyonlarca bilgisayara bulaşabilme potansiyeline sahipler. İlk başta kullanıcının çift tıklama ile çalıştırması gereken zararlı dosyalar, bugünkü teknolojide herhangi bir çalıştırma komutuna ihtiyaç duymadan otomatik olarak sisteminizde aktif olabiliyorlar. Sonuç olarak enfekte olmamış sistemimize Antivirüs kurmak ve sürekli olarak yeni tekniklere karşı koruma için antivirüslerimizi güncel tutmak zorundayız. Aynı zamanda da ağımızı anormal davranışların tespiti için bir firewall cihazı ile kontrol altında tutmak zorunda kalıyoruz.
Firewall cihazları veya Next Generation olarak adlandırdığımız üzerinde birçok modül bulunduran cihazlarının birçoğunda Antivirüs uygulamaları da bulunmaktadır. Şirket ağınıza internetten veya diğer ağlardan gelebilecek tehditlere karşı analiz yaparak zararlı yazılımları algılama kabiliyetlerine sahiptirler. Yani ağ trafiğiniz en küçük parçalarına kadar izlenir ve bir zararlı aktivitesi tespit edildiğinde daha client bilgisayarlarına gelmeden engelleme yapılabiliyor. Doğal olarak birçok kişi clientler üzerindeki antivirüslere gerek olup olmadığını sorabiliyorlar. Bu noktada antivürüslere neden ihtiyaç duyduğumuzu da anlatmamız gerekiyor.
Virüsler günümüz dünyasında çok geliştiler ve binlerce farklı tekniği kullanabiliyorlar. İşletim sistemlerinin açıklarını bulabildikleri gibi, internete bağlı cihazları otomatik olarak tespit edip bulaşma potansiyellerine sahipler. Zararlı trafiği şifreleyerek sisteme bulaşmak da kullanılan özel tekniklerden bir tanesidir. Firewall cihazları ne kadar iyi olursa olsun, şifrelenmiş bir trafiğin içerisini açamayacakları ve okuyamayacakları için, bir zararlı bağlantısı olup olmadığını çözemeyeceklerdir. Ancak clientlerin üzerindeki antivirüs uygulamaları client tarafındaki zararlı hareketlerini (davranışsal tespitlerle) inceleyerek (trafik cliente geldiği zaman şifreleme tamamlanır) tespit edebilirler.
Bir diğer fark ise File System virüsleridir. Kurum ağı içerisindeki bilgisayarlarımıza virüsler yalnızca internet üzerinden bulaşmazlar. USB diskler, harici diskler, cd veya benzeri fiziksel aktivitelerle de virüs bulaşabilir. Firewall cihazları yalnızca kurum ağını denetlerler. Yani kurum içerisindeki bilgisayarların içlerinde olan aktiviteleri denetleyemezler. Doğal olarak bir kullanıcınız virüslü bir flash diski bilgisayarlara takarak zararlı yazılım bulaştırabilirler. Bu gibi durumlara karşı da kurum içerisindeki tüm bilgisayarlara birer antivirüs yazılımı kurmak zorunda kalırız. Tek başına antivirüsler de yeterli olmayacaktır. Çünkü antivirüsler kurum ağınız içerisindeki zararlı aktiviteleri yakalayamazlar. Yalnızca kuruldukları bilgisayarları denetlerler. Firewall cihazlarının da kurum ağını denetleyebildikleri için ağ üzerinden gelen saldırıları tespit edebilirler.
Evet, kullanmış olduğumuz Firewall cihazlarında ağ trafiğimizi denetleyebilmek için antivirüs modülüne ihtiyacımız olduğu gibi clientlarımızı denetleyebilmek için de bir antivirüse ihtiyacımız var. Hem firewall tarafında ağ trafiğini denetleyerek hem de client tarafında kullanıcılarımızın fiziksel erişim veya bilinçsiz kullanımlar sebebi ile oluşabilecek virüs tehditlerine karşı sistemlerimizi korumak zorundayız.
Teknoloji geliştikçe EDR ismini verdiğimiz hem kurum ağını hem de clientları denetleyen sistemler geliştirilmiştir. Ancak Firewall veya Antivirüs yazılımlarına göre çok pahalı çözümlerdir. Fidye virüsleri veri ihlallerine baktığımız zaman genel olarak kurum içerisindeki çalışanların yanlışlıkla, bilmeden veyahut bilerek bir zararlı yazılımı çalıştırması ile ortaya çıktığını unutmamamız gerekiyor. Bu da biz güvenlik uzmanları ve IT destek uzmanları için hem Firewall tarafında Antivirüs kullanmaya hem de Client tarafında birer Antivirüs kullanmaya zorunlu kılmaktadır. Örneğin kurum içine insan eliyle sokulan usb cihazları, harici hard disk vb. cihazlar; firewall cihazlarını aştıkları için buradan gelebilecek tehditlere karşı da devreye antivirüsler girer. Doğal olarak bu durumda firewall’lardan koruma beklemek doğru olmayacaktır. Mobil cihazlar aracılığıyla ya da içerik sokulan depolama cihazlarının denetlenmesi noktasında antivirüsler kritik bir görev üstlenirler. Bunu şu şekilde düşünebiliriz; restoranımız kapısında duran bodyguard’a firewall; masaların arasında gezen koruma görevlilerini de antivirüs olarak tanımlayabiliriz.
Fidye yazılımı olarak programlanan Wannacry ve türevleri geçtiğimiz yıl bir metin dosyasıyla birlikte tüm bilgisayarlara sessiz sedasız bulaşarak verileri ele geçirmeye odaklanmıştı. Virüsün kaynağı bilinmese de dünya genelinde etkileri büyük olmuştu. Güvenlik yazılımı üreticileri aralarında Türkiye’nin de bulunduğu toplamda 150 ülkede 200 binden fazla bilgisayarın etkilendiği virüs sebebi ile geçtiğimiz yıl milyarlarca dolar zarara uğranıldığını belirtiler.
Saldırının ilk büyük darbesi İngiltere’ye indi. Ulusal Sağlık Sistemi’ne bağlı bazı hastaneler MRI ve CT taramaları yapamazken, doktorlar dijital sistemleri bırakmak zorunda kaldılar. Ülke genelinde 45 sağlık kuruluşu işlemleri durdurmak ve hastaları geri çevirmek durumunda kaldı. Rusya’da operatörler ve ABD merkezli kargo şirketleri de dahil olmak üzere küçük veya büyük hedef gözetmeksizin birçok zarara mal olduğuna şahit olduk.
Teknoloji geliştikçe saldırganların teknikleri de geliyor. Özellikle de fidye virüsleri sebebi ile milyonlarca dolar zarar eden firmalar olduğunu düşünürsek, bir firewall cihazı olması gerektiği gibi kullanıcılarımızın bilgisayarlarını da korumak durumundayız