EN

SİBER TEHDİT AVCILIĞI NEDİR?

02 Kasım 2018

APT gibi kurumlarda aylarca tespit edilemeden işleyişine devam edebilen gelişmiş saldırıların saptanmasında geleneksel otomatize yöntemlerin yetersiz kalması, profesyonel bir gözle ağda gerçekleşen her türlü etkileşimi gizli tehditler açısından analiz etmeye dayanan tehdit avcılığı yönteminin gelişmesine yol açmıştır. Proaktif güvenlik denetlemesi olarak tanımlanan tehdit avcılığı, saldırı tespit platformlarını atlatan ve normal ağ trafiğinden ayırt edilmesi zor olan potansiyel tehditlerin saptanıp önlenebilmesi için davranışsal analiz ve hipotez kurma gibi teknikleri kullanır. Hipotez kurma yönteminde herhangi bir saldırı senaryosu göz önünde bulundurularak bu saldırının kurumu etkilediği kuramı oluşturulur, test için ilgili veriler ağdan toplanıp analiz edilerek hipotez ispatlanmaya başka bir deyişle tehditin mevcut olup olmadığı anlaşılmaya çalışılır. Tehditin varlığının ispatlanması durumunda tehdit avcıları saldırı kaynağının amaçları ve yöntemleri ile ilgili her türlü bilgiyi toplayıp analiz ederek siber olaylara müdahale ekiplerine bilgi sağlarlar; kurumun güvenlik seviyesinin iyileştirilmesi, mevcut zafiyetlerin kapatılması ve gelecek saldırılarla ilgili öngörüde bulunma gibi işlemler de tehdit avcılarının görevleri arasındadır. Tehdit avcılarının analiz edilecek verileri topladığı kaynaklar arasında tüm güvenlik izleme cihazları, uç noktalar ve SIEM alarmları sayılabilir.

Tehdit Avcılığı Süreç Döngüsü

Devamlı tekrarlayan bir döngü olarak tanımlanan tehdit avcılığı adımlarının verimli bir şekilde işletilmesi, sürecin otomatize edilmesi ve yeni tehditlere odaklanma için büyük önem taşır.  

Tehdit avcılığı süreç döngüsünde önemli safhalar:

- Hipotez kurma: Bu süreçte bilişim altyapısında gerçekleşme ihtimali olan bir saldırı senaryosu ile ilgili bir hipotez kurulur. Hipotez seçimi için kurumun sistemleri, servisleri, ağ altyapısı ve karşı karşıya gelebileceği gerçek siber saldırılar göz önünde bulundurulmalıdır. Hipotez seçimine örnek olarak Windows ortamında otomatize veri kaçırma hipotezi seçildiğinde araştırılması gereken şeyler ağla bağlantılı Powershell prosesleri, HTTP PUT metodunun kullanımı ve HTTP User Agent başlıklarında Powershell kullanımı gibi kritik öğeler incelemeye alınmalıdır.

- Araçlar ve teknikler kullanma: Farklı farklı veri kümelerini korelasyon ile bağlantılandıran istatiksel analiz, veri görselleştirme ve makine öğrenmesi yöntemleri hipotezlerin testi aşamasında yararlanılan önemli bileşenlerdir. Özellikle Bağlı Veri Analizi(Linked Data Analysis) hipotez için gerekli bilgiyi anlaşılabilir bir şekilde sunar, ayrıca veri görselleştirme platformlarında arama ve analiz işlemlerini daha fonksiyonel hale getirerek şüpheli paternlerin ve saldırı izlerinin elde edilmesine yardımcı olur.

- Saldırgana ait taktik, teknik ve prosedürlerin tespiti: Tehdit avcısı ikinci aşamada elde ettiği verileri yorumlayıp saldırgana ait taktik, teknik ve prosedürleri (Tactics, Techniques, and Procedures -TTPs) saptayarak karmaşık atak izlerini bu aşamada ortaya çıkarır. Bu safhada atağın bağlantılı TTP göstergelerinin saptanması, kaydedilmesi ve daha geniş atak senaryolarını araştırmak için kullanılması gerekmektedir.

- Analizleri otomatikleştirmek: Tehdit avcılığı sürecinde uygulanan bir tekniğin başarılı olması durumunda bu teknik otomatize edilerek zamanın daha verimli kullanılması ve otomatize analiz araçlarının zenginleştirilmesi sağlanabilir.

Kaynakça

 

[1] https://sqrrl.com/media/Framework-for-Threat-Hunting-Whitepaper.pdf

[2] https://sqrrl.com/media/huntpedia-web-2.pdf

Penetrasyon Testi

Sızma testlerinde siber suçluların gerçek dünyada kullandığı yöntemler kullanılarak bir kurumun bilişim altyapısına sızılmaya ve ele geçirilmeye çalışılır.

Penetrasyon Testi Paketlerimiz
Penetrasyon Testi Paketlerimiz
Dışarıdan Penetrasyon Testi Pentest RemoteShell, BeyazNet Pentest Standart Pentest Exploit One, BeyazNet Pentest Pro Pentest Injection Plus, BeyazNet Pentest Pro Plus Pentest ZeroDay Enterprise
Farklılıklarımız
Farklılıklarımız
Alanında lider lisanslı test araçları (Acunetix, NetSparker, Nexpose, BurpSuite, Nessus vb.), DB Vulnerability Scanner ürünü ile veri tabanlarının içerden taranması, DNS Firewall ile DNS trafiği izlenerek zararlı yazılım bulaşmış makinaların tespiti
BeyazNet Pentest Hizmetimiz
BeyazNet Pentest Hizmetimiz
Firmamızın uzman ve sertifikalı ekibi detaylı incelemeler yaparak ağ, sistem ve yazılım katmanındaki zayıflıkları maksimum seviyede tespit etmektedir
Penetrasyon Testi
Göç'e Hazır mısınız?

Tüm alışkanlıklarımızdan, tüm bağımlılıklarımızdan, tüm sıkıntılarımızdan, daha güvenli özgür yazılımlara göç etmek için yanınızdayız.

Planlama neden çok önemli?
Planlama neden çok önemli?
Linux sistemler, Windows'tan çok farklı olduğu için ancak sağlıklı bir planlama ile göç mümkündür.
Güncelleme ve Şifre Sunucusu
Güncelleme ve Şifre Sunucusu
Göç için kurduğumuz sunucular sayesinde işletim sistemleri güncel ve güvenli kalıyor.
Linux Göç
Geçmişe dair kuşkularınız mı var?

TaliaStamp kullanarak, geçmişte edindiğiniz belgeleri damgalayabilir, böylece varlıklarını hukuki olarak garanti altına alabilirsiniz. Damgalayarak sunduğunuz belgenin inkar edilmesi halinde, bu belgenin en azından damgalandığı zamanda var olması sebebiyle belgenin geçmiş zamanda varlığını kanıtlayabilirsiniz.

TaliaStamp
TaliaBee ile cihazlarınıza hükmedin

Kullanıcı dostu bir arayüz ve diğer uygulamalarla iletişim kurabilme desteği sağlayan TaliaBee, sizin olmadığınız ortamlarda uzaktan kontrol edilebilir çıkışları sayesinde elleriniz, sensör bağlayabileceğiniz girişleri sayesinde duyularınız olur.

TaliaBee
İnternet Kontrol Altında

TaliaLog kullanarak, internet paylaşımına dair yasanın gerektirdiği kayıtları tutabilir ve internet erişiminizi istediğiniz kişilerle rahatça paylaşabilirsiniz. İnternetinizi paylaştığınız kişiler, erişim bilgileri ile kayıt altına alınır.

TaliaLog