Aşkarlama niyə gecikir: dwell time və konteynerləşdirmə

Dwell time — təhlükə törədənin və ya zərərli kodun sistemdə görünmədən qaldığı vaxtdır. O, aşkarlama məntiqi ilə işləyən istənilən müdafiədə var: təhlükəni dayandırmaq üçün onu əvvəlcə tanımaq lazımdır — imza üzrə, davranış üzrə, anomaliya üzrə. Model təhlükəni zərərli kimi tanımayana qədər fayl yararlı sayılır və icra olunur.

Məlum təhlükələr üçün bu, sürətlə işləyir. Problem yeni və maskalanmış obyektdədir. Sahə hesabatlarına görə gizli mövcudluğun (dwell time) medianı 14 günə qalxıb (Mandiant M-Trends 2026), tam sındırma dövrü isə — nüfuzdan aşkarlama və saxlanmaya qədər — hər insident üçün orta hesabla $4,44M ziyanla 241 gün çəkir (IBM Cost of a Data Breach, 2025). Üstəlik hücumların özü kəskin sürətlənib: həmin hesabatlara görə qruplar arasında girişin ötürülməsi 2022-dəki səkkiz saatdan 22 saniyəyə düşüb. Beləliklə struktur boşluğu yaranır: müdafiə qabaqlamır, dalınca qaçır.

Maşın öyrənməsi və davranış təhlili imzalardan ciddi irəliləyişdir, lakin aşkarlamanın öz təbiətini dəyişmir: dayandırmaq üçün əvvəlcə tanımaq lazımdır. Bunun pozulduğu dörd yer:

• Zero-day. Heç bir bazada hələ olmayan və davranışı məlum olana bənzəməyən, əsl yeni nümunə həyəcan siqnalı doğurmaya bilər.
• «Sistemin hesabına» hücumlar (living-off-the-land). Təhlükə törədən yeni fayl gətirmir, artıq etibarlı sayılan sistem alətlərindən istifadə edir — və detektor üçün bu, adi iş kimi görünür. Sahə məlumatlarına görə hücumların getdikcə böyüyən payı ümumiyyətlə zərərli fayl ehtiva etmir.
• Maskalanma və yan keçmə. EDR-in müşahidə etdiyi qatı xüsusi olaraq yan keçən işlənmiş texnikalar mövcuddur (yaddaşda icra, etibarlı proseslərin əvəzlənməsi).
• İnsan amili. Həyəcan siqnalı işləsə belə, onu vaxtında görmək və təhlil etmək lazımdır — müstəqil qiymətləndirmələrdə isə siqnal olduğu, lakin heç kimin ona reaksiya vermədiyi hallar olub.

EDR lazımdır — amma bütün müdafiəni yalnız aşkarlama üzərində qurmaq olmaz: tək detektora bel bağlamaq məhz həmin dörd boşluğu qoyur. Bunu müstəqil müdafiə metodikaları da etiraf edir, çoxqatlılıq tövsiyə edir.

Konteynerləşdirmə məntiqi tərsinə çevirir. «Pisi tanıyana qədər icazə ver» əvəzinə — «yaxşı olduğu sübut olunmayan hər şeyi izolyasiya et» (Default Deny prinsipi). İcra olunan hər proses üç səbətdən birinə düşür:

• məlum-yaxşı → sərbəst işləyir;
• məlum-pis → bloklanır;
• naməlum → avtomatik olaraq kernel səviyyəsində izolyasiya edilmiş konteynerdə işə salınır.

Konteynerdə proqram adi maşındakı kimi icra olunur — istifadəçi heç nə hiss etmir, — lakin onun fayl sisteminə, reyestrə və sistem çağırışlarına çıxışı virtuallaşdırılır: o, sistemi dəyişdiyini «düşünür», əslində isə bütün dəyişikliklər izolyasiya edilmiş sahəyə gedir və real maşına toxunmur. Paralel olaraq verdikt verilir. Yaxşı fayl konteynerdən buraxılır; pis fayl bütün öz «dəyişiklikləri» ilə birlikdə silinir. Əsas fikir: müdafiə etmək üçün faylın zərərli olduğunu sübut etmək lazım deyil. Onun təhlükəsiz olduğunun sübut olunmaması kifayətdir. Buna görə hətta naməlum şifrləyici belə maşına düşəndə izolyasiyada qalır və real verilənlərə çatmır — dwell time dizaynına görə sıfıra meyl edir. Məhz belə qurulub Xcitium platforması (ZeroDwell texnologiyası); biz onu Azərbaycanda eksklüziv distribyutor kimi tətbiq edirik: vendor modelə o qədər əmindir ki, onu maliyyə zəmanəti ilə təsdiqləyir — düzgün konfiqurasiyada / vendor zəmanətinə görə 0% uğurlu nüfuz. Bunun necə alındığı və müşayiət edildiyi — Xcitium ilə son nöqtə müdafiəsi səhifəsində.

Bənzətmə: adi antivirus — bir dəstə fotorobotla qapıdakı keşikçidir, girənləri məlum cinayətkarlarla tutuşdurur; yeni və ya geyim dəyişmiş adam keçib gedər. Konteynerləşdirmə — istənilən naməlum adamın avtomatik olaraq şüşədən «akvarium» otağa düşməsidir: gəzir, «işləyir», binanın içində olduğuna əmindir, lakin ətrafdakı divarlar virtualdır, dəyərlilərə əli çatmır.

Müdafiə seçəndə iki yanaşmanı bu bəndlər üzrə müqayisə edin:

Parametr	Əvvəlcə-izolyasiya (konteynerləşdirmə)	Əvvəlcə-aşkarlama (EDR/antivirus)
Əsas məntiq	Naməlum susmaya görə izolyasiya olunur	Naməlum, pis tanınana qədər icazəlidir
Yeni təhlükə (zero-day)	Dərhal zərərsizləşdirilir — müdafiə üçün verdikt lazım deyil	Təhlilin keyfiyyətindən asılıdır; buraxıla bilər
Zərər pəncərəsi (dwell time)	Sıfıra meyl edir	Struktur olaraq mövcuddur (günlər, dəqiqələr deyil)
Detektor səhv etsə	Fayl onsuz da izolyasiyada idi	Təhlükə sistemdə işləyir
Administratora yük	İzolyasiya edilmiş ≠ insident → daha az həyəcan	Alert axını, təhlil üçün analitik lazımdır
Zəif yer	Etibarlı alətlər və skriptlər	Yeninin və maskalanmanın buraxılması

Yanaşmanın öz hüdudları var və dürüst təhlil onları adlandırmağa borcludur. Konteynerləşdirmə naməlum icra olunan faylları əla bağlayır, lakin onu eyni «sistemin hesabına» hücumlar — artıq etibarlı alətlər və skriptlər vasitəsilə — və diskdə yeni fayl olmayan yaddaş hücumları yan keçir. Üstəlik verdikti olmayan nadir və ya öz yazısı olan proqram ilk vaxt konteynerdə işləyir və bu, qaydaların konfiqurasiyasını tələb edir, əks halda sürtünmə olar.

Buna görə düzgün cavab «EDR əvəzinə konteynerləşdirmə» yox, qatlardır: cihazlardakı izolyasiya naməlum faylları bağlayır və onlar üçün dwell time-ı sıfırlayır, üstdən monitorinq isə (EDR + SOC) etibarlı obyekt vasitəsilə işləyəni tutur. Hər qat o birinin zəif yerini örtür. Tək texnologiyanı hər şeyə cavab kimi satan — hiyləgərlik edir.

Gücün qiyməti var. Son nöqtə müdafiəsi əməliyyat sisteminin kernel səviyyəsində işləyir — bu, ona güc verir, lakin sistem riski də yaradır. Açıq nümunə: 2024-cü ilin iyulunda CrowdStrike-ın qüsurlu avtomatik yeniləməsi bütün dünyada milyonlarla Windows maşınının eyni vaxtda sıradan çıxmasına gətirdi. Bu, hücum yox, keyfiyyət nəzarəti səhvi idi, lakin dərs ümumidir: agent sistemə nə qədər dərin oturursa, onun nasazlığının nəticələri də bir o qədər ciddidir. Biznes üçün praktik nəticə «müdafiə qoymamaq» yox, istənilən həlqənin nasazlığına qarşı sığorta kimi yoxlanılmış ehtiyat nüsxələmə və bərpa planını saxlamaqdır. Bu, istənilən kernel agentinə aiddir, o cümlədən bizim tətbiq etdiyimiz həllə də — buna görə yoxlanılmış ehtiyat nüsxəni opsiya yox, məcburi qat sayırıq və bunu birbaşa deyirik.

Ştat analitikləri olmayan təşkilat üçün fərq prinsipialdır. Əvvəlcə-aşkarlama həyəcan siqnalları axını yaradır, onları isə kimsə təhlil etməlidir — bir yanlış işləməni təhlil etməyə isə olmayan ixtisaslı vaxtın dəqiqələri gedir. Əvvəlcə-izolyasiya bu yükün xeyli hissəsini götürür: konteynerə düşən, insident deyil və həyəcan azdır. Xidmət kimi SOC ilə birlikdə bu, «bəs kim reaksiya verəcək» sualını bağlayır: təhlükələrin əksəriyyəti avtomatik söndürülür, qalanını növbəçi komanda öz üzərinə götürür. Korporativ səviyyəli müdafiə almaq üçün öz təhlükəsizlik şöbənizi işə götürməyə ehtiyac yoxdur.

• Dwell time sadə dillə nədir? Bu, təhlükənin sistemdə görünmədən qaldığı vaxtdır — yoluxmadan aşkarlanmaya qədər. Aşkarlamaya əsaslanan müdafiədə o, təbiətinə görə sıfırdan böyükdür; sahə hesabatlarına görə — adətən günlər.
• EDR niyə təhlükəni buraxa bilər? Çünki onu əvvəlcə tanımalıdır. Əsl yeni nümunə (zero-day), etibarlı sistem alətləri vasitəsilə hücum və ya yaddaşda icra həyəcan siqnalı doğurmaya bilər.
• Konteynerləşdirmə (əvvəlcə-izolyasiya) nədir? Təhlükəsiz olduğu sübut olunmayan istənilən faylın avtomatik olaraq izolyasiya edilmiş konteynerdə işə salındığı və ona verdikt verilənə qədər sistemə zərər verə bilmədiyi yanaşma. Zərər pəncərəsi bu zaman sıfıra meyl edir.
• Konteynerləşdirmə antivirusu və EDR-i əvəz edirmi? Xeyr — bu, üstdən bir qatdır. O, naməlum faylları bağlayır, lakin etibarlı alətlər vasitəsilə hücumları yox; buna görə etibarlı müdafiə konteynerləşdirmə ilə monitorinqin birliyidir.
• Bu, təhlükəsizlik şöbəsi olmayan şirkətə uyğundurmu? Bəli, xüsusən də ona: izolyasiya həyəcan təhlili olmadan təhlükələrin əksəriyyətini söndürür, reaksiyanı isə xidmət kimi götürmək olar. Ətraflı — son nöqtə müdafiəsi.
• Bu, hələ bazalarda olmayan şifrləyicidən qoruyacaqmı? Bəli — hətta naməlum şifrləyici belə izolyasiyada işə salınır və real fayllara çatmır. Lakin yoxlanılmış ehtiyat nüsxə yenə də son sədd kimi lazımdır.
• Konteynerləşdirmə bu qədər yaxşıdırsa, niyə Gartner Magic Quadrant-da yoxdur? Gartner kateqoriyaları aşkarlama ətrafında qurulub (AV/EDR/XDR); aşkarlamadan asılılığı aradan qaldıran yanaşma hələ hazır kateqoriyaya sığmır — o, texnologiya özünü sübut etdikdən sonra yaranır. Bu yanaşmaya əsaslanan Xcitium platforması maliyyə zəmanəti ilə 0% nüfuz verir.