Siber Güvenlikte Tehdit Avı Nedir?
Geleneksel güvenlik pratiklerini ve araçlarını kullanan kurumlar, bilişim altyapısında siber tehlikelere karşı temel bir zemin oluşturur. Bu güvenlik stratejileri, atakların çoğunluğunu durdurabilir. Fakat gelişmiş saldırı türlerinden bazıları, geleneksel güvenlik çözümleriyle tespit edilemez. Bu nedenle işletmelerin kendisini tehlikeye atan tehditleri aktif şekilde araması gerekir. Tam da bu noktada siber tehdit avcılığı devreye girer. Yazının devamında kurumların tespit edilmesi zor olan riskleri önceden belirlemesini sağlayan bu yönteme ilişkin ayrıntılardan bahsettik.
Siber Tehdit Avcılığı Nedir?
Siber tehdit avcılığı; bir kuruluşun ağındaki önceden bilinmeyen, devam eden ve düzeltilemeyen tehditleri belirlemeye yönelik proaktif güvenlik çalışmalarıdır. Riskleri tespit etmek için katmanlı bir güvenlik stratejisi izlenmesini sağlar. Özetle tehdit avcılığı, ağdaki bulunması zor olan kötü amaçlı aktiviteleri belirlemek ve bunları durdurmak için uzmanlar tarafından davranışsal analiz gibi tekniklerin kullanıldığı defansif bir siber güvenlik yöntemidir.
Verilerin Korunması için Siber Tehdit Avcılığına Neden İhtiyaç Duyulur?
Statista’nın yayımladığı verilere göre siber tehdit avcılığının pazar değeri, jeopolitik istikrarsızlıklar ve diğer nedenlerle 2033 yılına kadar 478 milyar ABD dolarını aşabilir. Zira bu proaktif yaklaşım, devlet destekli fidye yazılımı çeteleri gibi üst düzey bilgisayar korsanlarını tespit etmeye yardımcı olur. Microsoft’a göre siber saldırgan, güvenlik açığını bulduğu bir ağda ortalama 146 gün boyunca saklanabilir. IBM tarafından paylaşılan Veri İhlalinin Maliyeti Raporu ise bu tehditlerin şirketleri yaklaşık 4 milyon dolar zarara uğratabileceğini gösterir. Durum böyle olunca siber tehdit avcılığı, kurumlar için bir zorunluluk hâline gelir.
Kimler Siber Tehdit Avını Gerçekleştirir?
Tehdit avcıları, genellikle bir kuruluşun operasyonlarına ve sistemlerine hâkim olan siber güvenlik uzmanlarıdır. Bu uzmanlar; ağdaki gizli kalan yazılım saldırılarını ve kötü niyetli aktörleri araştırır. Siber tehdit avcılığı sürecini yönetenlerde olması gereken nitelikler ise şunlardır:
- Adli bilimler
- Veri ve istihbarat analizi
- Kötü amaçlı yazılımları tersine çevirme
- Ağ ve uç nokta güvenliği
Siber tehdit avcıları, bu yetenekleri sayesinde riskleri kolayca tespit eder. Ardından gelecekte benzer saldırıların olmasını önlemek için sistemlere güvenlik yamaları yapılmasına yardım eder. Böylelikle kurumların bilişim altyapıları, proaktif bir yaklaşımla koruma altına alınır.
Tehdit Avcılığında Dikkate Alınan Güvenlik Çerçeveleri Nelerdir?
Tehdit avcılığı, bilişim altyapılarını ya da sistemleri koruma sürecidir. Bu süreçte, saldırganların yöntemlerini anlamak ve savunma önlemlerini geliştirmek için çeşitli stratejiler kullanılır. Örneğin “Pyramid of Pain” ya da “Ağrı Piramidi”, bu stratejileri belirlemek için kullanılan bir güvenlik çerçevesidir. Siber tehdit avcılığı metotlarına zemin oluşturan bu piramidin yapısı şöyledir:
- Hash değerleri (Trivial seviye): Piramidin en alt seviyesinde saldırganların kullanabileceği hafif değişikliklere açık olan ve genelde imza tabanlı güvenlik sistemlerince tespit edilebilen hash değerleri* bulunur.
- IP adresleri (Easy seviye): Bu seviyede saldırganlar, gerçek IP adresleri yerine VPN, proxy veya Tor gibi araçlar kullanarak gizlenmeye çalışır.
- Alan adları (Simple seviye): İlgili düzeyde alan adı kayıtları ve whois bilgileri gibi gizlenmesi gereken unsurlar bulunur.
- Ağ ve host izleri (Annoying seviye): Bu seviyede saldırganların bıraktığı ağ izleri ve bilgisayar sistemlerindeki izler yer alır. Ağ ve sistem izlerine örnek olarak URI desenleri, SMTP değerleri, HTTP kullanıcı ajanı aktiviteleri verilebilir.
- Araçlar (Challenging seviye): Saldırganların kullanabileceği araçlar; parola kırma işlemlerini, uzaktan kontrol için arka kapıları, hedefli phishing saldırıları için yazılımları içerir.
- Taktik, teknik ve prosedürler (Tough seviye): Bu zorlu düzeyde saldırganların kullanabileceği taktikler, teknikler ve prosedürlerin bir kombinasyonu yer alır.
David J. Bianco’nun 2013 yılında sunduğu bu şablon, siber atakların tespitine ve giderilmesine yönelik çalışmaları daha kolay hâle getirir. Üstlere çıktıkça zorluk seviyesi de arttığı için ağrı ya da acı piramidi olarak adlandırılır. Öte yandan, Mitre ATT&CK ve atağın yaşam döngüsünü gösteren Cyber Kill Chain adında iki ayrı model daha bulunur. MITRE ATT&CK, saldırganların sisteme yapabileceği eylemleri gösteren teknik, taktik ve prosedürleri içeren bir bilgi tabanıdır. Matris, taktikler, teknikler, yazılım ve veri kaynakları gibi bölümlerden oluşur. Böylece güçlü bir savunma stratejisiyle tehditlere karşı daha proaktif şekilde hareket etmeyi sağlar.
Tehdit Avcılığında Kullanılan Araçlar Nelerdir?
Siber tehdit avcılığı araçları, saldırıların daha kolay tespit edilmesine ve önlenmesine olanak tanır. Örneğin bir SIEM çözümü, siber güvenlik uzmanının veriler arasında kolayca arama yapabilmesine ve potansiyel tehditleri belirlemesine yardımcı olur. Benzer şekilde security monitoring ve analitik araçları da bu sürece destek verir.
Security Monitoring Araçları
Güvenlik izleme araçları; potansiyel tehditlere ilişkin göstergelerin toplanmasını, analiz edilmesini ve önlenmesini sağlar. Siber tehdit avcıları tarafından kullanılan bir dizi çözümü içerir. Bu araçlar, farklı kaynaklardan gelen log kayıtlarını** kullanarak bilgisayar sistemlerindeki güvenlik durumunu izler. Örneğin XDR teknolojisi; ağ ve uç nokta cihazlarından gelen verileri toplamayı, incelemeyi ve bunlara yanıt vermeyi mümkün kılar. Temel olarak Endpoint Detection and Response (EDR), Network Detection and Response (NDR) ve SIEM (Security Information and Event Management) çözümlerinden yararlanır.
SIEM Çözümleri
SIEM (Güvenlik Bilgileri ve Olay Yönetimi) çözümleri, siber tehdit avcılarının veri güvenliğini sağlamak için kullandığı araçlardan biridir. SIEM; bir veri toplama, arama ve raporlama sistemidir. Tüm cihazlardan topladığı log kayıtlarıyla tanımlanan korelasyon kurallarına bağlı alarmlar oluşturarak tehditlerin tespit edilmesine ve yapılacak aksiyonların otomatize hâle getirilmesine yardımcı olur. Topladığı verileri birleştirerek kategorilere ayırır ve güvenlik prosedürlerini uygulamaya hazır duruma getirir. Ayrıca bu çözümler; gelişmiş tehditleri algılama, adli bilişim ve olay müdahalesi gerçekleştirme gibi işlevler de sunar.
Analitik Araçlar
Analitik araçlar, siber tehdit avcılığında rol oynayan insan zekâsını destekler. Saldırı aktivitelerini belirlemek için beşerî kural kümeleri yerine matematiksel algoritmaları kullanır. Yani istatiksel analiz, anormal veri örüntülerini ve siber tehditleri tespit etme konusunda uzmanlara yardımcı olabilir. Söz konusu analizler sayesinde istatistiksel anormallikler belirlenebilir ve potansiyel tehditleri ortadan kaldırmak için hızlıca harekete geçilebilir.
Tehdit Avcılığı Süreci Nasıldır?
Siber tehdit avcılığı teknikleri, belirli bir sıralamaya göre gerçekleştirilir. Bu sürece potansiyel ataklara ilişkin tahminlerin yürütüldüğü hipotez aşamasıyla başlanır. Daha sonra siber avlanma işleminin teknik kısmına geçilir. Saldırgana ait detayların belirlenmesinin ardından analiz geliştirme ve otomatikleştirme adımlarıyla süreç tamamlanır.
Hipotez Oluşturma
Tehdit avcılığında organizasyonu veya sistemleri hedef alacak olası riskleri tespit etmek için bir hipotez üretme aşaması yürütülür. Örneğin; bir şirketteki çalışanların siber güvenlik bilgisiyle organizasyonun bilişim altyapısı zafiyetleri arasındaki bağlantı ele alınabilir. Siber tehdit avcıları, bu hipotezi incelemek için çalışanların eğitim düzeylerini ve siber güvenlik ihlalleri arasındaki ilişkiyi analiz edebilir. Bu analizler, firmanın belirli bir grup personel için ek güvenlik önlemleri almasını sağlar.
Araçlar ve Teknikler ile İnceleme
Siber tehdit avcılığına hipotez aşamasıyla başlamalı ve ardından çeşitli analiz yöntemlerine geçilmelidir. İstatistiksel analiz, görselleştirme teknikleri ve makine öğrenimi gibi yardımcı araçlar, hipotezleri desteklemek ya da çürütmek için kullanılır. Bu kapsamda incelenen verilerin doğasına uygun yöntemler seçilmeli ve platformlar kullanılmalıdır. Mesela veri setlerinin görselleştirilmesi, anormalliklerin daha kolay belirlenmesine yardımcı olur. İstatiksel analiz sayısal verileri; makine öğrenimi araçları ise tehditleri sınıflandırmayı sağlar.
Saldırgana Ait Teknik, Taktik ve Prosedürlerin (TTP) Belirlenmesi
Saldırgana yönelik siber tehdit avcılığı TTP süreci; tekniklerin, taktiklerin ve prosedürlerin belirlenmesini mümkün hâle getirir. Bu adımda saldırganların kullandığı kötü amaçlı yazılımlar ve TTP’ler ortaya çıkarılır. Taktikler, siber suçluların izlediği stratejilerdir. Örneğin; hassas bilgilere ulaşma ya da bir web sitesine erişim sağlama gibi hedefler içerebilir. Her taktik, genel anlamda birkaç teknikten oluşur. Teknikler, saldırganların başvurduğu yöntemlerdir. Mesela kişisel verilere ulaşmak için çoğunlukla phishing (oltalama) yöntemi kullanılır. Prosedürler ise bir plana göre izlenen kötü amaçlı yazılım dosyasının kurulumu ve gönderimi gibi adımlardır.
Analiz Geliştirme ve Otomatikleştirme
Başarılı bir tehdit avlama yöntemi, keşfedilen riskleri otomatik olarak analiz ederek bunlarla ilgili daha fazla bilgi toplamayı ve zenginleştirmeyi içerir. Bu yaklaşım, siber güvenlik ekibine daha kapsamlı bir tehdit görünümü sunar. Geliştirilen tehdit tespit etme yöntemleri, otomatikleştirilerek sürecin hızlanmasına ve insan hatası riskinin azaltılmasına olanak tanır. Böylece riskleri hızlıca tespit etmek, incelemek, iyileştirmek ve önlemek için kapsamlı bir tehdit avı döngüsü oluşturulur.
Siber Tehdit Avcılığı ile Neler Elde Edilebilir?
Siber tehdit avcılığının önemini kavramak, veri güvenliği açısından son derece kritiktir. Proaktif bir yaklaşımla gerçekleştirilen tehdit avcılığı, bilgi sızıntılarını ve veri kayıplarını önlemeye yardımcı olur. Ayrıca organizasyonların güvenlik altyapısını sürekli olarak iyileştirmesine, savunma stratejilerini güncellemesine ve gelecekteki risklere karşı daha hazırlıklı olmasına imkân tanır. Kurumunuzun bilişim altyapısını güçlendirerek veri ve itibar kaybı riskini önlemek için TSE onaylı sızma testi firması inventiv’in Securvent hizmetinden destek alabilirsiniz.
Notlar:
*herhangi bir boyuttaki veriyi, sabit boyutta ve eşsiz bir sayı dizisine dönüştüren matematiksel algoritma
*ağ ya da bilgisayar sistemine yönelik giriş, çıkış, kullanıcılar ve işlemler hakkında bilgiler
- Geri Dön
- 18 dk okuma
-
Securvent