EN
EN

Siber Tehdit Avcılığında Kullanılan Uygulamalar

30 Kasım 2020


Siber Tehdit Avcılığı süreci, proaktif olarak bir network içerisinde saklanan kötü amaçlı yazılımları veya saldırganları tespit edilmesini içerir. Tehdit avı, tehditleri tespit etmek için yalnızca güvenlik çözümlerine veya hizmetlerine güvenmek yerine, katmanlı bir güvenlik stratejisi için öngörücü bir unsurdur ve kuruluşlara tehdit aramaya devam etme yetkisi verir. Tehdit avı, tipik olarak, bir ağda bulunması zor olan kötü amaçlı aktiviteleri belirlemek ve bunları durdurmak için gelişmiş tool setleri kullanan yüksek vasıflı güvenlik uzmanları tarafından gerçekleştirilir.

Microsoft’a göre bir saldırgan, güvenliği ihlal edilmiş bir networkte, keşfedilmeden ortalama 146 gün boyunca içeride kalmaktadır. Bu da saldırıyı Gelişmiş Kalıcı Tehdit (APT) haline getiriyor. Bu süre zarfında sızdıkları network içerisinden önemli verileri çıkarabilir. Ayrıca network içerisinde bulunan kritik uygulamalara erişebilir, elde ettiği kimlik bilgileri ile Yanal Hareket (Literary Movement) gerçekleştirebilir.


Tehdit Avcılığı Neden Gereklidir?

Kuruluşlar Antivirüs, firewall, e-posta güvenlik uygulamarı, web güvenlik uygulama ve taramaları gibi gerekli temel güvenlik adımlarını atmaktadır.  Katmanlı bir güvenlik stratejisi, siber saldırılar için etkili bir önlem olabilir. Ancak, gelişmiş atakların küçük bir yüzdesinin, geleneksel güvenlik çözümleriyle tespit edilemeyeceği unutulmamalıdır. Potansiyel risk nedeniyle, bir kuruluşu tehdit avcılığı sürecine dahil etmeye teşvik edebilen bu küçük yüzdedeki saldırı vektörüdür. Atakları önleyen ve tespit eden bir güvenlik duruşu uygulamak, doğası gereği savunma amaçlıdır. Çünkü asıl amaç, bir saldırıyı gerçekleşmeden önce onu durdurmaya çalışmaktır. Tehdit avcılığı bir saldırganın zaten başarılı bir şekilde erişim sağladığının varsayımına dayanan tahmin edici ve saldırı taraflı bir taktiktir. Tehdit avcılığı, saldırganların network içinde dayanak noktaları oluşturduğu yerleri tespit etmek ve zararlı aktiviteleri gerçekleştirmeden önce erişimlerini ortadan kaldırmak için forensic ve tehdit istihbaratının (Threat Intelligence) bir karışımını kullanır.

Tehdit Avcılığı ve IOC (Uzlaşma Göstergesi)

Tehdit avcılığı genellikle güvenlik analistlerinin (SOC Analysts) tehdit istihbaratı, güvenliğini sağladıkları ortamı anlaması ve diğer güvenli veri kaynakları aracılığıyla potansiyel bir tehdit hakkında varsayımda bulunmaları ile başlar. Tehdit avcıları daha sonra, varsayılan tehdit aktiviteleriyle ilişki içerisinde olan altyapıyı tehdit edici faaliyeti belirlemek için adli “bulgular” (IoC’ler) ararlar. Bu bulgular, Server loglarından, Network trafiği, konfigürasyonları vb. gelen verilerdir ve şüpheli aktivitelerinin gerçekleşip gerçekleşmediğini belirlenmesine yardımcı olur. Bulgular şunları içerir:

Network Tabanlı Bulgular: İnternete açık sistemlerin dinlenebilen bağlantı noktalarını izleyen tehdit avcıları, trafiği izleyebilir, paketlerin oturum kayıtlarına bakabilir, anomali giden trafiği, olağan dışı bir iletişim sağlanmasını, özellikle dışarıya akan trafiği, düzensiz miktarlarda gelen veya giden datalar vb. Tespit edebilir.

Sunucu-Tabanlı Bulgular: Dosya sistemlerindeki ve Windows kayıt defterindeki (Windows Registry) değişiklikler, tehdit avcıularının anormal ayarları ve değerleri bulabileceği iki noktadır. Kayıt defteri değerlerini taramak ve dosya sistemlerinde yapılan değişiklikleri izlemek yaygın tehdit avcılığı eylemlerindendir.

Kimlik Doğrulama Tabanlı Bulgular: Endpointde, sunucularda ve hizmetlerde yüksek yetkilere sahip hesapların oturum açmasını (veya oturum açma girişimini) izlemek veya incelemek, tehdit avcısının bir saldırgan tarafından hangi hesapların ele geçirildiğini ve kullandığı izi takip etmesi açısından oldukça faydalıdır.

Olağan dışı olay sırasında izlenen yol, yalnızca keşfedilen ayrıntılarla tanımlanır. Örneğin, anormal giden network trafiğini tespit etmek, bir tehdit avcısının bu trafiği ileten son kullanıcıya daha yakından bakmasına imkan tanır. Bu nedenle, her olağan dışı olay için geçerli olan yerleşik bir tehdit avı süreci yoktur.

Tehdit Avcılığı Arçları

Siber tehdit avcıları, sistemlerde ve network genelinde hangi eylemlerin gerçekleştiğine ilişkin hem tarihsel hem de güncel durum ayrıntılarını incelemeleri gerekir. Araştırmalarına yardımcı olmak için birçok araç ve veri kaynağına bulunmaktadır.

Security Monitoring Araçları: Siber tehdit araştırmacıları çeşitli güvenlik izleme çözümlerinden gelen logları analiz eder. Firewall, Endpoint koruması, DLP, IDS, ITD ve diğer güvenlik araçlarından gelen loglar tehdit avcısının hala network içerisinde bulunan birsaldırgan tarafından gerçekleştirilen aktiviteleri ve nasıl bir yol izlediğinin sonuncunda büyük resmin çizilmesinde yardımcı olur. Atağın ayrıntılarının görülmesine yardımcı olunur. Amaç, çeşitli monitoring araçları sayesinde toplanan logların ilişkilendirerek mümkün olduğunca korelasyon sağlanmasıdır.

SIEM Çözümleri: SIEM çözümleri, bir network ortamındaki çok çeşitli kaynaklar tarafından yapılandırılmış logları toplayarak neredeyse gerçek zamanlı analizini sağlar ve BT’ye güvenlik alarmları üretir. SIEM çözümleri, tehdit avcılaırnın güvenlik izleme araçlarından ve diğer kaynaklardan gelen büyük miktardaki logların otomatik olarak toplamasına ve anlamlandırmasına yardımcı olarak daha önce karşılaşılmamış olan güvenlik tehditlerini belirlenmesini mümkün kılar.

Analitik Araçlar:

İstatistiksel analiz sunan araçlar, saldırı aktivitelerini gösterebilecek herhangi bir data anormalliğini belirlemek için insan tanımlı kural setleri yerine matematiksel algoritmalar kullanır. Zeka analitiği yazılımı, tehdit avcılarının etkileşimli dashboardlar kullanarak complex ilişkisel verileri görselleştirmesine olanak tanır. Bu analiz araçları, tehdit avcılarının birlikte bir saldırıya işaret edebilecek farklı data setleri arasındaki farklı türde gizli ilişkileri görmelerini mümkün kılar.

Tehdit Zekası:

Tehdit avcıları, bilinen zararlı IP adresleri, zararlı yazılımları ve hashlerini, IoC bulgularını, vb. hakkında bir veri havuzuna ihtiyaç duyar. Bu veriler, Web’deki açık kaynaklı ve abonelik tabanlı formlarda bulunabilir. IBM X-Force Exchange, Anomali ThreatStream, MISP vb.

Diğer Araçlar:

Tehdit avcılığı süreçlerinde diğer birçok işleve özel ara süreç için ihtiyaç dahilinde önemlidir. Örneğin, PDF davranışının incelenmesi, PowerShell eylemleri ve JavaScript çalıştırma, gibi eylemlerin izlenmesi ve incelenmesi ek çözümler gerektirebilmektedir.

 

BT Olgunluk Analizi

Kurumların BT yönetim süreçlerinin önem ve etkinliği, BT mimarisinin (yazılım, donanım, güvenlik ve altyapı) ilişkili strateji ve süreçlerle uyumu ve sürekliliği BT Olgunluğunu ortaya koyar. Her kurumun BT olgunluğu farklı seviyelerde olabilir. BT Olgunluk Analizi ile mevcut olgunluğun ölçülmesi ve değerlendirilmesi, uluslararası benzer başka kurumlarla kıyaslanması hedeflenir.

BT Olgunluk Analizi
Penetrasyon Testi

Sızma testlerinde siber suçluların gerçek dünyada kullandığı yöntemler kullanılarak bir kurumun bilişim altyapısına sızılmaya ve ele geçirilmeye çalışılır.

Penetrasyon Testi Paketlerimiz
Penetrasyon Testi Paketlerimiz
Dışarıdan Penetrasyon Testi Pentest RemoteShell, BeyazNet Pentest Standart Pentest Exploit One, BeyazNet Pentest Pro Pentest Injection Plus, BeyazNet Pentest Pro Plus Pentest ZeroDay Enterprise
Farklılıklarımız
Farklılıklarımız
Alanında lider lisanslı test araçları (Acunetix, NetSparker, Nexpose, BurpSuite, Nessus vb.), DB Vulnerability Scanner ürünü ile veri tabanlarının içerden taranması, DNS Firewall ile DNS trafiği izlenerek zararlı yazılım bulaşmış makinaların tespiti
BeyazNet Pentest Hizmetimiz
BeyazNet Pentest Hizmetimiz
Firmamızın uzman ve sertifikalı ekibi detaylı incelemeler yaparak ağ, sistem ve yazılım katmanındaki zayıflıkları maksimum seviyede tespit etmektedir
Penetrasyon Testi
Göç'e Hazır mısınız?

Tüm alışkanlıklarımızdan, tüm bağımlılıklarımızdan, tüm sıkıntılarımızdan, daha güvenli özgür yazılımlara göç etmek için yanınızdayız.

Planlama neden çok önemli?
Planlama neden çok önemli?
Linux sistemler, Windows'tan çok farklı olduğu için ancak sağlıklı bir planlama ile göç mümkündür.
Güncelleme ve Şifre Sunucusu
Güncelleme ve Şifre Sunucusu
Göç için kurduğumuz sunucular sayesinde işletim sistemleri güncel ve güvenli kalıyor.
Linux Göç
Geçmişe dair kuşkularınız mı var?

TaliaStamp kullanarak, geçmişte edindiğiniz belgeleri damgalayabilir, böylece varlıklarını hukuki olarak garanti altına alabilirsiniz. Damgalayarak sunduğunuz belgenin inkar edilmesi halinde, bu belgenin en azından damgalandığı zamanda var olması sebebiyle belgenin geçmiş zamanda varlığını kanıtlayabilirsiniz.

TaliaStamp
TaliaBee ile cihazlarınıza hükmedin

Kullanıcı dostu bir arayüz ve diğer uygulamalarla iletişim kurabilme desteği sağlayan TaliaBee, sizin olmadığınız ortamlarda uzaktan kontrol edilebilir çıkışları sayesinde elleriniz, sensör bağlayabileceğiniz girişleri sayesinde duyularınız olur.

TaliaBee
İnternet Kontrol Altında

TaliaLog kullanarak, internet paylaşımına dair yasanın gerektirdiği kayıtları tutabilir ve internet erişiminizi istediğiniz kişilerle rahatça paylaşabilirsiniz. İnternetinizi paylaştığınız kişiler, erişim bilgileri ile kayıt altına alınır.

TaliaLog