AWS’de SentinelOne’ın Gerçek Zamanlı eBPF Koruması ile Amazon EKS Güvenliğini Artırma
Amazon Esnek Kubernetes Hizmeti ( AWS EKS) Nedir?
Kubernetes’i hem AWS Bulut’ta hem de şirket içi veri merkezlerinde sorunsuz bir şekilde çalıştırmanıza olanak tanıyan, tam olarak yönetilen bir Kubernetes hizmetidir. Amazon EKS, bulutta Kubernetes kümesi altyapı yönetimini otomatikleştirir. Bu özellik; container’ları planlamak, uygulama erişilebilirliğini yönetmek, kaynakları dinamik olarak ölçeklendirmek, bilgi işlemi optimize etmek, küme verilerini depolamak ve diğer kritik işlevleri gerçekleştirmek için çok önemlidir.
SentinelOne Nedir?
SentinelOne, yapay zeka destekli güvenlik alanında lider bir bağımsız yazılım satıcısıdır. SentinelOne, aracı tabanlı ve aracısız koruma dahil olmak üzere eksiksiz bir Bulut Yerel Uygulama Koruma Platformu (CNAPP) sağlar. Daha detaylı bilgi için SentinelOne hakkında yazdığım blog post’a bakabilirsiniz.
Ajan Tabanlı(Agent) ve Ajansız(Agentless) Bulut İş Yükü Koruma Platformları
- Ajansız: Aracısız CWPP, kötü amaçlı yazılımlar için bulut işlem depolama alanının anlık görüntülerini periyodik olarak inceleyen yan tarama(Side-Scanning) adı verilen bir teknik kullanır. Bu, anlık görüntü depolamanın maliyeti nedeniyle genellikle günde bir kez yapılır. Yan tarama değer sağlasa da, gerçek zamanlı tehdit tespiti ve güvenlik iş yükü telemetery olaylarına görünürlük eksikliği birincil sınırlamalarıdır. Aracısız CWPP’nin birincil avantajı, dağıtılacak veya yönetilecek bir aracı olmamasıdır.
- Ajan tabanlı: Buna karşılık, ajan tabanlı CWPP iki temel avantaj elde eder: (1) çalışma zamanında gerçek zamanlı koruma ve (2) iş yükü telemeterysinin adli veri günlüğü. Gerçek zamanlı tespit ve müdahale önemlidir çünkü istismarlar iş yüklerini saniyeler içinde bozabilir. Ayrıca, daha sofistike tehdit aktörleri aracısız CWPP’nin tamamen gözden kaçıracağı teknikler kullanacaktır (örneğin dosyasız istismarlar). Daha iyi bir yaklaşım, ajan tabanlı CWPP’yi, genellikle ajansız taramayı içeren derinlemesine sağlam bir bulut savunma stratejisinin bir parçası olarak kullanmak olacaktır.
Aracı tabanlı yaklaşım, bir CWPP’nin etkilenen iş yüklerini izole ederek, hasarı sınırlandırarak ve temiz yedeklemelerden kurtarma sağlayarak hızlı bir şekilde yanıt vermesine olanak tanır. Bu hızlı yanıt, fidye yazılımının yayılmasını engellemek ve kuruluş üzerindeki genel etkiyi en aza indirmek için kritik öneme sahiptir. Aracısız CWPP’ler belirli bir düzeyde koruma sağlayabilirken, aracı tabanlı model genellikle fidye yazılımı tehditlerini zamanında ve kapsamlı bir şekilde belirleme ve durdurma konusunda daha etkilidir. Aracı tabanlı bir CWPP ile, güvenlik aracısı doğrudan sunucuya veya sanal makineye yüklenir ve sistem çağrılarını, dosya işlemlerini ve diğer düşük seviyeli etkinlikleri gerçek zamanlı olarak izleme olanağı sağlar.
Bu ayrıntılı görünürlük, aracının, örneğin çok sayıda dosyanın şifrelenmesi veya hassas verilere erişim girişimleri gibi bir fidye yazılımı saldırısının göstergesi olan şüpheli davranış modellerini tespit etmesine ve bunlara yanıt vermesine olanak tanır. Buna karşılık, aracısız bir CWPP tipik olarak API tabanlı entegrasyonlara dayanır, bu da aynı derinlik seviyesine sahip olmayabilir ve belirli kötü niyetli faaliyetleri gözden kaçırabilir.
Bulut İş Yükü Koruması ile Modern Uygulamaların Güvenliğini Sağlamak için eBPF
Buna geçmeden önce size ilk önce eBPF’in ne olduğunu anlatmalıyım. Bunun için sevgili dostum Enes Ergün’ün bilgilerinden faydalandım. Enes Ergün eBPF’i “Ortaya çıkış amacı aslıda küçük bir ekibin BPF’i dtrace benzeri kullanılabilirliğe eriştirebilmesi içindir. Zaten Solaris ve BSD üzerinde dinamik takip için kullanılan “dtrace’den” etkilendikleri belirtilmektedir.” Şeklinde açıklamıştır.
Bu bilgilere istinaden devam edebiliriz. Şöyle ki, bir ajanın bulut bilişim üzerinde çalıştırılmasıyla ilgili başlıca endişeler arasında kaynak kullanımı, yönetim ek yükü ve çekirdek paniği potansiyeli yer almaktadır. Bu endişeler genellikle büyük ölçüde çekirdek modüllerinin kullanımına dayanan eski CWPP aracı mimarileriyle ilgili deneyimlerden kaynaklanmaktadır. EBPF yaklaşımını özellikle cazip kılan da budur.
Birkaç yıl önce SentinelOne, ajan tabanlı CWPP’si Singularity Cloud Workload Security’yi eBPF çerçevesini kullanacak şekilde yeniden tasarladı. Bunu yapmak sadece çekirdek modüllerini ve bunların potansiyel çekirdek paniklerini ortadan kaldırmakla kalmadı, aynı zamanda kaynak verimliliğini de optimize etti.
Artan CPU ve bellek kullanımı sayesinde uygulama performansı için daha fazla kaynak kullanılabilir hale geldi. Bağımsız testler SentinelOne’ın CWPP aracısının sürekli olarak yüksek güvenlik etkinliği, adli görünürlük, gerçek zamanlı tespit ve sıfır gecikme sağladığını göstermektedir.
Tespit, Korelasyon ve Müdahale için Davranışsal Yapay Zeka
SentinelOne’ın CWPP aracısı, telemetri toplamak ve gerçek zamanlı yanıt sağlamak için beş algılama motoru kullanır: statik AI, davranışsal AI, uygulama kontrolü, bulut zekası ve STAR kuralları.
SentinelOne’ın Davranışsal Yapay Zekası, fidye yazılımları (polimorfik fidye yazılımları dahil), sıfırıncı günler, kimlik bilgisi hırsızlığı, ayrıcalık yükseltme, dosyasız tehditler ve kötü amaçlı komut dosyaları gibi önceden bilinmeyen tehditleri tespit etmek ve azaltmak için özel olarak tasarlanmıştır. İmza tabanlı tespit araçları genellikle bu yeni ve/veya sofistike tehditlere karşı işe yaramaz.
Davranışsal Yapay Zeka Motoru otonomdur, yani (1) SaaS yönetim konsoluna İnternet bağlantısı olsun ya da olmasın tam olarak çalışır ve (2) zeka ajanın içine yerleştirilmiştir. Bu, analiz için veri aktarım gecikmesi olmamasını sağlar. EBPF mimarisi sayesinde bu motor, çekirdek düzeyindeki süreçleri gerçek zamanlı olarak başlatıldıkları anda gözlemleyebilir, değerlendirebilir ve bunlara yanıt verebilir.
Davranışsal Yapay Zeka Motoru ile SentinelOne’ın tescilli Storyline® teknolojisi, olay müdahalesini kolaylaştırır ve uyarı yorgunluğunu azaltır. Storyline, tüm sistem çağrılarını gözlemleyerek tanımlayarak güvenlik analistleri için eyleme geçirilebilir bağlam sağlar ve ilgili çekirdek süreçleri arasındaki ilişkileri otomatik olarak görselleştirir.
Davranışsal Yapay Zeka Motoru, herhangi bir işlem dizisini izler ve bunu normallik eşiklerine göre ölçer; bu eşikler aşıldığında, makine hızında meydana gelen saldırılara karşı anlık korumayı tetikler. Yapay zeka tarafından şüpheli veya kötü niyetli olduğu düşünülen hikayeler, politika yapılandırmasına dayalı olarak çözüm tarafından otomatik olarak düzeltilecektir.
Her Storyline, müşterinin seçtiği veri saklama süresine göre SentinelOne Singularity Data Lake’te saklanır. SentinelOne, verileri standartlaştırmak için OCSF (Open Cybersecurity Schema Framework) kullanır ve Amazon Security Lake ile entegre olur, böylece müşteriler gelişmiş tehdit avcılığı ve analitiği için iş yükü telemetrisini sorgulayabilir, inceleyebilir ve ek bağlam sağlayabilir.
Davranışsal Yapay Zeka Motoru, binlerce eş zamanlı çekirdek işlem dizisini izleyerek, bir dizi ilgili olayın iyi huylu etkinlikten şüpheli/zararlı etkinliğe dönüştüğünü anlayabilir ve eBPF çerçevesini kullanarak hızla harekete geçebilir.
Kaynakça:
- Amazon Esnek Kubernetes Hizmeti, Retrieved from: https://aws.amazon.com/tr/eks/ , Access Date: 02.02.2025
- eBPF Diye Bir Şey Varmış, https://enesergun.net/ebpf-diye-bir-sey-varmis.html
- Enhancing Amazon EKS Security with SentinelOne’s Real-Time eBPF Protection on AWS, https://aws.amazon.com/tr/blogs/apn/enhancing-amazon-eks-security-with-sentinelones-real-time-ebpf-protection-on-aws/
