Günümüzde kötü amaçlı dosyaların %92’si, kimlik avı saldırılarının da %96’sı ise e-postalar üzerinden gerçekleşiyor ve bunların bir çoğu web siteleri ile bağlantılı oluyor. BT ekipleri her adımda bu tip saldırılar için önlem alsa dahi kullanıcılar etkilenmesi oldukça yüksek ihtimal. Bu durumda kullanıcıların erişmek istedikleri URL’leri sentezlemek ve son kullanıcıya olabildiğince temiz içerik sağlamak oldukça önemli hale geliyor.
Fortilsolator, Fortinet’in Fabric Security kapsamında sunduğu bir RBI çözümü olarak sunuluyor. Temel olarak baktığımızda, kullanıcıları yasaklı olmayan ama şüpheli olarak görünen web sitelerinin kod olarak değilde, görüntü olarak kullanıcıya sunar ve zararlı içeriklere karşı koruma sağlayarak, güvenli internet erişimini sunar.
Neden Kullanılır?
Günümüzde internet dünyasında ki tehdit türleri çok sık şekilde evrim geçiriyor. Bu da karşımıza zero day açıkları ve kimlik avı olarak karşımıza çıkıyor. Bu kadar hızlı gelişen siber tehditlere karşı, IT ekiplerinin sürekli defansif yetkinliklerini hızlı bir şekilde geliştirme girişimleri de korkutucu olabiliyor. Bu durumda da son kullanıcı ve şirket verilerini korumak içinde üreticiler farklı yaklaşımlarla tehditleri en aza indirgemeyi amaçlıyorlar.
Nasıl Çalışır?
Kullanıcı, bir web sitesine erişmek istediğinde Fortinet’in Fortigate ve/ya FortiProxy ürünü bu isteği kontrol eder. Eğer erişilmek istenen adres engelli değil, fakat risk skoru yüksek ise trafik Fortilsolator’a yönlendirilir. Fortilsolator’da bu içeriği kendi üzerinde işler ve son kullanıcıya Pixel-Based Rendering veya DOM objesi olarak iletir.
Pixel-Based Rendering ile Dom Arasındaki Farklar
Pixel-Based Rendering Nedir?
Pixel-Based Rendering (PBR) işleminde, web sayfasını RBI sunucusunda açar ve oluşan görüntüyü bir Frame olarak yakalar. Bu işlem sırasında da web sayfasını pixel olarak baştan render eder. (Örnek: Bitmap)
Sonrasında bu görüntüleri fazla bant genişliği kullanmasın diye H.264 gibi codeclerle sıkıştırır. Daha sonrasında da WebSocket veya WebRTC’lerle tarayıcıya ileterek, tarayıcının bu codecleri işlemesini sağlar. Eğer kullanıcı, ilgili adresteki bir adrese veya forma tıklarsa bu istekler RBI sunucusuna gider ve RBI sunucusu bu etkileşimler doğrultusunda baştan render işlemlerini yaparak kullanıcı isteklerini işleyerek tekrardan sunar. Özetle;
Avantajları:
- Javascript, iframe ve form gibi içerikler son kullanıcıya iletilmediği için yüksek güvenlik sağlar.
- İçerikler görüntü şeklinde iletileceği için zararlı kod çalışmaz.
- Komple bir izolasyon sağlanır.
Dezavantajları:
- Form gibi içeriklerin kodları son kullanıcıya iletilmeyeceği için sınırlı etkileşim sunar.
- Yazı gibi içerikler kopyalanmadığı için kullanıcı deneyimi düşebilir.
DOM Metodolojisi
DOM metodolojisinde, içerik RBI sunucusu içerisinde analiz edilir ve zararlı kodlar ayrıştırılarak son kullanıcıya olabildiğince temiz kod sunulur.
Avantajları:
- Son kullanıcıya bir görüntü olarak değilde, kod parçacıkları iletildiği için daha doğal bir etkileşim sunar.
- Metin seçme, form işlemleri ve buton fonksiyonları çalışabilir.
- Canlı bir web sayfası deneyimi sunulur.
Dezavantajları:
- Her ne kadar filtrelenme yapılsa da zararlı içerikler son kullanıcıya iletilebilir.
- Zaro-day ataklarına karşı PBR kadar korunma sağlanamayabilir.
Örnek Senaryo
Kuruluşun BT ekibi, güvenlik politikaları gereği hassas kişileri (VIP) zararlı içeriklerden izole edilmesini sağlamak istiyor. Bu kapsamda bir RBI çözümüne ihtiyacı bulunuyor.
Burada mimarimiz Kullanıcı -> Fortigate yada FortiProxy -> Fortilsolator -> Hedef Web Sitesi şeklinde olacaktır. Hedef web sitesi eğer Fortigate veya Fortiproxy tarafından güvenli olarak işaretlenirse kullanıcı doğrudan internet sitesine erişecektir. Fakat hedef web sitesi “Newly Observed Domain” yada “Suspicious” olarak işaretlenirse Fortilsolator sayesinde BT ekipleri, VIP kişilere 5 modda koruma sağlayabilir. Bunlar;
1. Interaktif Mod (DOM Modu)
Bu modda içerikteki kodlar ayrıştırılarak kullanıcıya güvenli içerik sunulur. Düşük ve orta riskli siteler için idealdir.
2. Read-Only Mod (PBR)
Bu modda web sitesinin sadece görüntüsü iletilir. Formlar, linkler ve tıklamalar çalışmayacağı için yüksek güvenlik sağlanır. Yüksek riskli web sitelerinde tercih edilir.
3. Download Prevention Mod
Kullanıcının herhangi bir dosya indirmesi engellenir. Sayfa DOM veya PBR olarak iletilir fakat download linkleri çalışmaz.
4. Clipboard Protection
Kullanıcının metin kopyalanması engellenir ve bu sayede phishing ya da Credential harvesting saldırıları engellenir.
5. Custom Policy
URL kategorisine göre hangi modda çalışacağı belirtilir. Örneğin:
- Riskly: Pixel Based Rendering Modu
- Suspicious: DOM + Download Prevention Modu
- Unrated: Interaktif + Clipboard Protection Modu
