Siber Tehdit Avcılığı Nedir? (Cyber Threat Hunting)

siber tehdit avcılığı

Geleneksel siber güvenlik çözümlerinin kullanıldığı bir kurum ağı içerisinde siber güvenlik amaçlı alarm değerlendirme sistemleri, sorgu tabanlı log yönetim sistemleri, ağ güvenliği için IDS/IPS (Intrusion Detection System) sistemleri, merkezi log toplama ve korelasyon işlemleri için SIEM (Security Information and Event Management) çözümleri ve bunların dışında farklı yazılım ve teknikler kullanılmaktadır. Her ne kadar bu çözümler sistem güvenliğini artırmak amacıyla kullanılsa da siber saldırılar gün geçtikçe artmaya devam etmektedir. Bu saldırıların büyük bir kısmı otomatize araçlar kullanılarak gerçekleştirilen ve risk seviyesi yüksek olmayan saldırılar olsa dahi, kurumların hassas verileri için büyük tehlike arz etmekte ve risk seviyesini yükseltmektedir. Tüm bu çözüm ve teknikler, siber tehdit avcılığının basit birer tekniğini kullanmaktadır; fakat gelişmiş saldırıları tespit etmek için bu tekniklerden çok daha karmaşık ve güçlü avlanma yaklaşımlarına ihtiyaç duyulmaktadır. M-Trends 2015 raporunda bir saldırganın sisteme sızdıktan sonra keşfedilme süresi ortalama 146 gün olarak belirtilmişken 2016 yılında bu ortalama 99 gün olarak belirlenmiştir. Bu ortalama sürenin düşürülmesi için siber tehdit avcılığı bir ihtiyaç olarak ortaya çıkmaktadır.

Cyber Threat Hunting (Siber Tehdit Avcılığı) Nedir?

Siber Tehdit Avcılığı, bir ağ (network) ya da veri seti (data set) içerisinde var olan güvenlik çözümlerinden kaçan tehditleri proaktif ve tekrarlı olarak; arama, tespit etme ve izole etme sürecidir. Siber tehdit avcılığının proaktif bir yaklaşım ile uygulanması, sisteme zarar verecek herhangi bir olay gerçekleşmeden “önlem alma süreci” haline getirmektedir.

Siber Tehdit Avcılığı Ne Değildir?

Siber Tehdit avcılığı aşağıdaki birkaç farklı kavram ile karıştırılmaktadır:

  • Siber tehdit avcılığı, siber istihbarat ve siber tehdit istihbaratı toplayarak bu istihbaratı analiz etmek değildir; fakat tehdit avcılığına başlamak için iyi bir noktadır.
  • Tehdit avcılığı, herhangi bir ürün değildir, otomatik bir sistem değildir, herhangi bir betik (script) ile halledilecek bir süreç değildir.
  • Siber tehdit avcılığı, araç (tool) kurup bir uyarı beklemek değildir.
  • Siber tehdit avcılığı, olayları ve saldırıları raporlamak değildir. Çünkü henüz ortada bilinen bir saldırı yoktur ve çoktan sistemin ele geçirildiği düşünülerek yola çıkılır.
  • Siber tehdit avcılığı, adli bilişim (digital forensics) değildir, adli bilişim geçmişte yaşanmış olay ile ilgili bir süreçtir.

Siber Tehdit Avcılığı Nasıl Yapılır?

Siber tehdit avcılığı, avlanma eyleminin siber güvenlik alanına uyarlanmış halidir. Avlanma sürecinde avcı daha iyi bir netice alabilmek için çeşitli ekipmanlar kullanarak hem kendi etkinliğini hem de avın görünürlüğünü artırmaktadır. Bu sayede avlanma sürecini kolaylaştırmaktadır. Tehdit avcılığı kural tabanlı tespit yöntemleri yerine “davranış analizleri” tarafından desteklenen hipotez tabanlı bir yaklaşım sunmaktadır.

Hipotez: Varsayım veya hipotez, bilimsel yöntemde olaylar arasında ilişkiler kurmak ve olayları bir nedene bağlamak üzere tasarlanan ve geçerli sayılan bir önermedir.

1. Hipotez Oluşturmak

Bir ava ilk önce hipotez üreterek başlanmalıdır. Bu hipotez bilişim teknolojisi ekipmanları ile ilgili herhangi bir aktiviteye bağlı bir tahmin olabilir. Örneğin, bir firma bünyesinde son zamanlarda yurt dışına gönderilen çalışanların devlet destekli siber saldırıların hedefi olabileceği tahminiyle hesaplarını ve kullandıkları ekipmanları incelemek bir başlangıç olabilir.

2. İncelemek / Bağlantı Kurmak

Oluşturulan tüm hipotezler çeşitli teknikler ve araçlar ile incelenmelidir. İlgili verilerin birbiriyle olan bağlantısını tespit etmek, görselleştirmek gibi yöntemler kullanılmalıdır. Bu yöntemler seçilirken verinin hangi yöntemle daha iyi analiz edilebileceği, hangi platform üzerinde yapılması gerektiği belirlenmelidir.

İstatistiksel analiz (statistical analysis), görselleştirme teknikleri (visualization), makine öğrenmesi (machine-learning) tekniklerini kullanmak oluşturulan hipotezi destekleyecek ve aranılanı adreslemeye yardımcı olacaktır. Bu yöntemlerin sadece bir tanesi doğru yöntem değildir. Birlikte kullanım ve bağlantı kurmak çok önemlidir.

3. Teknik, Taktik ve Prosedürler Tespit Etmek

Bu süreç, araç ve teknikler kullanılarak zararlı bir davranışa ait dizaynların belirlenmesi ve saldırganların teknik, taktik ve prosedürlerini ortaya çıkartmaktır (TTPs). Bu tehdit avcılığının en önemli kısmıdır. Örneğin, bir firma içerisinde daha önce yurt dışına çıkmış kullanıcılar incelendiğinde dışarıya yönelik bir trafik artışı olduğu tespit edilsin. Kullanıcıyla ilgili veriler incelendikten ve bu verilerle ilgili bağlantılar sağlandıktan sonra kullanıcının üçüncü parti bir servis sağlayıcı ya da bir organizasyon tarafından hedef alındığı ve ele geçirildiği tespit edilebilir. Bu süreç, yeni hipotezler ve analizler geliştirilmesine, bir sonraki av için spesifik olarak yeni hedefler belirlenmesini sağlamaktadır.

4. Analizleri Geliştirmek

Son olarak bu kısımda başarılı bir avlanma sürecinin ardından elde edilen verileri geliştirmek ve otomatize etmek fayda sağlayacaktır. Aynı av için sürekli olarak aynı yolu izleyerek tekrar etmek doğru bir yaklaşım olmayacaktır. Tehdidi yakalayacak bir yöntem belirleyip otomatize ettikten sonra sonra tehdit avı takımı başka tehditlere yönelebilir. Önceki avcılıklardan kazanılmış tecrübe, var olan tespit yöntemlerini geliştirmekte kullanılır. Kendi ağınızı ne kadar iyi bilirseniz, o kadar iyi savunursunuz.

Siber Tehdit Avcılığı Hangi Soruya Cevap Verir?

Ya avla ya da avlan! Tehdit avcılığı, siber güvenliğin uzun bir süredir en temel sorularından birisi olan “Olası bir saldırı altında mıyım?” sorusuna cevap arar. Bu durum reaktif yaklaşımla çözülmeye çalışıldığında bir belirtiye ihtiyaç duyar. Bu ihtiyaç kullanılan siber güvenlik çözümlerinden gelen herhangi bir uyarı olabilir. Tehdit avcılığı yaparken bunların olmasına gerek yoktur. Sistemin saldırı altında olduğu düşünülerek yola çıkılmalı ve sisteme zarar verebilecek herhangi bir şey bulmak adına çalışmalar yapılmalıdır.

Siber Tehdit Avcılığı ile Sızma Testi (Penetration Testing) Arasındaki Fark Nedir?

Sızma Testi, “Belirlenen bilişim sistemlerine mümkün olabilecek her yolun denenerek sızılması” şeklinde tanımlanır. Sızma Testi için amaç güvenlik açıklığını bulmaktan öte bulunan açıklığı değerlendirip sistemlere yetkili erişimler elde etmektir. Kısaca dışarıdan içeriye doğru sızmaya çalışmaktır. Ağ içerisinde neyin normal gözüktüğünü bilmek, savunmanın iyi bir avantajıdır. Sisteminizin içerisinde neler olup bittiğine dair derin bir fikir sahibi olmak tehdit avcılığında çok önemli olmaktadır. Tehditler görünmez değildir, arkalarında bir davranış şekli bırakırlar.

Bilgi güvenliği alanında bir saldırı ile karşılaşıldığında en büyük avantaj bilgi olmaktadır. Tehdit avcılığı, karşılaşılan davranışların hangisinin şüpheli, hangisinin zararlı olduğunu süzme sürecidir. Örnek olarak ağ taramaları ele alınsın, sistem yöneticileri genellikle ağ taraması yapmazlar; çünkü sistemde nelerin kullanıldığına dair bilgileri vardır. Fakat içeriden güvenlik ekipleri dışında bir ağ taraması yapılmış ise bu oldukça şüphelidir. Sızma testinin ve tehdit avcılığının siber güvenlik alanında olgun birer yerleri vardır. Çünkü, saldırganlar her geçen gün geleneksel tespit sistemlerini aşmak adına yeni yöntemler geliştirmektedir. Sızma testi ve tehdit avcılığını aynı zamanda ve dengeli olarak uygulamak oldukça proaktif bir yaklaşım olmaktadır.

Siber Tehdit Avcılığı Otomasyon ile Sağlanabilir mi?

Bu soruyu “Her avcının bir avlanma yöntemi vardır.” ifadesiyle açıklamak mümkündür. Tehdit avcılığı sürecinde, ortaya bir hipotez koymak ya da son kararı vermek gibi noktalarda tam anlamıyla bir “avcı” gerekmektedir. Fakat tehdit avcılığı döngüsünde tamamlanmış bir av süreci için tekrar tekrar aynı işlemleri yapmanın bir anlamı yoktur. Bu durumda aynı tehditleri tespit etmek için otomatize edilmiş araçlar kullanılır.

Tamamlanmış olan avdan edinilen tecrübe yeni oluşturulacak hipotezler için kullanılır. Bu durumda “Tehdit avcılığı otomatize edilebilir.” demek tam anlamıyla doğru olmamaktadır. “Tehdit avcılığının bazı süreçleri otomatize edilebilir.” şeklinde kullanmak daha doğru olacaktır. Tehdit avcılığını insan faktöründen uzaklaştırmak yani otomatize etmek için makine öğrenmesi (machine learning) gibi yöntemler geliştiriliyor olsa da bu konuda “avcı” olarak insan faktörünün yerini tutması pek mümkün değildir.

Siber Tehdit Avcısının Sahip Olması Gereken Yetenekler Nelerdir?

Siber tehdit avcılığı yapan kişi ağ ve sistem güvenlik açıklarını test edip bunların sürekliliğini sağlayabilmelidir. Siber güvenlik istihbaratı toplayabilmeli, SIEM (Security Information and Event Management) korelasyonları uygulayabilmeli, olay müdahalesi yapıp bunu raporlayabilmelidir. NIDS (Network Intrusion Detection Systems), HIDS (Host Intrusion Detection Systems) ve dosya bütünlüğü takibi ile algılanan tehditleri yorumlayabilmelidir.

Aktif ve pasif ağ taramaları, sistemlerin envanter takipleri ile varlık keşifleri gerçekleştirebilmelidir. Ayrıca log analizi, netflow analizi, hizmet takibi ve tam paket kaydı (full packet capture) gibi işlemleri gerçekleştirerek davranışsal izleme yapabilmelidir. Nitekim bu yetkinlikler ile kısıtlı kalmayıp avlanma kabiliyetini geliştireceği becerileri arttırması her zaman faydalı olacaktır.

Siber Tehdit Avcılığı ile Avlanılan Nedir?

Tehdit avcılığı sistematik bir olaydır, tehdit avcıları sürekli olarak herhangi bir saldırının kanıtı olacak bulguları araştırmaya ihtiyaç duyar. Tehdit avcılığı bir süreçtir ve bu süreç güvenlik ekipleri tarafından planlanmış bir şekilde ilerleyebilir. Tehdit avcılığı sadece sisteminizdeki “kötü” olanı bulmak değildir. “Indicator of Compromise (IOC)” olarak nitelendirilen; örneğin bir zararlı yazılım imzası, hash değerleri, dosya isimleri, malware domain, zararlı URL, IP adresleri, phishing alan isimleri birçok yöntem ile tespit edilebilir. IOC tabanlı tespit sistemleri bu tehditleri yakalayabilirler. Tehdit avcısı ise yakalanmayanın peşindedir.

  • Prosesler: Avcılar özellikle belirledikleri bazı proseslerin peşine düşerler. Proses isimlerini, dosya adreslerini, özetleri ve ağ aktivitesini incelerler. Örneğin, Sistem Kayıt Defteri’ni (System Registry) değiştirecek prosesleri takip eder ve onlara ait alt prosesleri incelerler. Bu proseslere ait özetleri elde edip, gerekirse bazı düzenlemeler yapıp daha fazla bilgiye ulaşabilirler.
  • Binaryler: Binary dosyalar avcıların dikkatle inceledikleri dosyalardır. Özetler, dosya isimleri, dosya yolları, metadata, özel sistem kayıtları, tersine kod analizi, modifikasyonlar, çalıştırılabilir dosyaların bağlantı kurdukları kütüphaneler, sistem çağrıları ve diğer birçok karakteristik.
  • Ağ Aktiviteleri: Tehdit avcıları, ağ aktivitelerini incelerler. Herhangi spesifik bir domain ya da IP adresine ait bazı bilgiler edinirler.
  • Sistem Kayıtları ve Loglar: Tehdit avcılığında en önemli konulardan bir tanesi sistem kayıtları ve loglardır. Geleneksel güvenlik çözümleri bu logları analiz etmede bir noktaya kadar yeterli olsa da tehdidin arkasında en temel faktörün insan olduğu unutulmamalıdır. Tehdit bir zararlı yazılım olsa da yazarının bir insan olduğunu düşünerek yine bu tehditlerin tespit edilmesi için insan tabanlı (human-driven) bir çalışma yapmak gerekmektedir.

Siber Tehdit Avcılığı Önemli Midir?

Evet. Çünkü geleneksel güvenlik çözümleri belli bir seviyeye kadar koruma sağlasa da gelişen saldırı vektörleri göz önüne alındığında bu çözümler yeterli olmamaktadır. Bunun yanında hedef odaklı gerçekleştirilen gelişmiş siber saldırılar da düşünüldüğünde, saldırının başarılı olduğunun tespitini yapmakta yetersiz kaldığı görülmektedir. Bu durumda tehdit avcısı, tehdit avını gerçekleştireceği yapıya zaten başarılı olarak gerçekleştirilmiş bir saldırı olduğunu varsayarak tespit etmeye çalışır.

Bunun için de eldeki bulguları kullanarak ortaya koyacağı bir hipotez üzerinden ilerler. Bu durumun sebebi ise gerçekleştirilen siber saldırıların farkına varılmasının çok uzun zamanlara ulaşmasıdır. Bu süre M-Trends 2015 raporunda ortalama 146 gün iken 2016 raporunda ortalama 99 gün olarak belirlenmiştir. Siber tehdit avcılığı bu süreyi daha da düşürmeyi sağlamaktadır.

Siber Tehdit Avcılığı Neden Gereklidir?

Gerçekleştirilen siber saldırıların fark edilme sürelerinin uzunluğundan ve bu durumun sebebi olarak yapılan saldırıların gelişmişliği ile geleneksel güvenlik çözümlerinin kısıtlı kalmasından yukarıdaki başlıklarda bahsedilmişti.

Bu durumda hedef odaklı gelişmiş bir siber saldırı göz önüne alındığında saldırının gizlenmesi, sistemlerdeki anormal davranış oluşturacak bulguların minimize edilmesi, örnek bir saldırı amacı olarak veri sızdırılması gibi durumların tespitinin olay sonrasında, tabir yerindeyse iş işten geçtikten sonra farkına varılmasını önlemek ya da en aza indirmek amacıyla tehdit avcılığı yapmak gerekir.

Bu sayede saldırıların daha çabuk farkına varılarak olay müdahalesi gerçekleştirilebilir. Bu durumda, gerçekleştirilen siber saldırıların etkisini önlemek ya da en aza indirmek için siber tehdit avcılığı gereklilik göstermektedir.

Tehdit Avcılığında Kullanılan Platform ve Araçlar Nelerdir?

Bir Tehdit Avcılığı Platformu: Security Onion!

Tehdit avcılığında başarılı olabilmek için tıpkı bir silah ya da yay gibi birçok araca ihtiyaç duyulmaktadır. Bu araçlar çoğunlukla durum farkındalığı (situational awareness) ve ağ güvenlik izleme (Network Security Monitoring – NSM) araçlarından oluşmaktadır. Tehdit avcılığı perspektifinden bakıldığında Security Onion, içerisinde bu amaçla hazır halde kurulu birçok araçla birlikte gelmektedir. BRO, Snort/Suricata gibi Network-IDS yazılımları, OSSEC gibi Host-IDS yazılımı, log yönetimi için ELSA, Elasticsearch, Kibana gibi platformları bulunduran bir dağıtımdır.

  • Bro, Security Onion içerisinde bulunan bir IDS yazılımıdır. Ağ trafiğini belirli protokollere göre ayırıp farklı log dosyalarında toplar.
  • Suricata/Snort, BRO ile benzer çalışan IDS yazılımlarıdır.
  • OSSEC, HIDS (Host-based Intrusion Detection System) olarak adlandırılan bir saldırı (sızma) tespit sistemidir.
  • Log analizi, dosya bütünlük kontrolü, sistem kontrolü, rootkit tespiti yapar. Gerçek zamanlı ve yapılandırılabilir alarmlar üretir. Aktif cevap (Active Response) özelliği ile otomatik aksiyonlar alabilir.
  • Security Onion üzerinde tam paket kaydı (full packet capture) için netsniff-ng aracı kullanılır, PF_RING aracılığıyla ağ paketlerini kaydeder.
  • ELSA & Elastic Stack, Security Onion ilk çıktığında log yönetimi için ELSA ortamını kullansa da son sürümünde Elastic Stack’e geçmiştir.

Security Onion, hemen hemen log üreten her şeyi merkezi olarak bir yerde toplamak ve bunu Elasticsearch ve Kibana gibi yazılımlarla analiz etmek için ideal bir ortam sağlamaktadır. Bunun yanı sıra, ağ paketlerini daha iyi inceleyebilmek için tam paket kaydı (full packet capture) yapma imkanı sağlayan, Tcpdump, Wireshark, NetworkMiner gibi araçları da içerisinde bulundurur. Ayrıca açık kaynak kodlu bir dağıtımdır ve ücretsizdir.

Elasticsearch & Logstash & Kibana

Elastic Stack, günde 500.000’den daha fazla indirildiği söylenen Elasticsearch, Logstash, Kibana ve Beats gibi açık kaynak kodlu yazılımların bulunduğu bir gruptur. Herhangi bir kaynaktan herhangi bir formatta veri alınması, bu verinin ayrıştırma (parsing) işleminden geçirilerek kırılması ve daha sonra bu veriyi kaydedebilmesi gibi işlemleri yapmayı sağlayan bir ortamdır. Tehdit avcılığı perspektifinden bakıldığında, sistemde bulunan bir web sunucusu logları, Logstash yazılımı yardımıyla ayrıştırılabilir, bu loglar Elasticsearch veritabanına kaydedilebilir ve oradan da Kibana yazılımı aracılığıyla görselleştirilerek analiz edilebilir. Bu durum milyonlarca satırın bulunduğu log dosyalarını elle incelemekten çok daha etkili bir yöntem olmaktadır.

Windows Platformu için Sysmon!

Sysmon (System Monitor), Microsoft Sysinternals araçları içerisinde bulunan bir araçtır. Windows işletim sistemi üzerinde gerçekleşen aktiviteleri hali hazırda kullanılan loglara göre daha detaylı loglayabilmektedir. Hangi uygulamanın hangi proseste çalıştığı, özetleri, alt prosesleri, bir prosesin ne zaman oluştuğu, ağ bağlantıları, hataları görebilmek ve daha birçok detayı analiz etmek için kullanılabilir. Sysmon, Elastic Stack ile birlikte kullanılabilir.

SELKS

SELKS, Stamus Networks tarafından geliştirilen Debian tabanlı bir dağıtımdır. Suricata tabanlı IDS/IPS dağıtımı olarak bilinmektedir. İsminin açılımı şu şekildedir:

  • S – Suricata IDPS – https://suricata-ids.org/
  • E – Elasticsearch –
  • L – Logstash –
  • K – Kibana –
  • S – Scirius – https://github.com/StamusNetworks/scirius
  • EveBox – https://evebox.org/

Security Onion benzeri olan bu dağıtım içerisinde Elastic Stack bulundurmaktadır. Aynı zamanda Evebox adlı yazılım ile Suricata alarmlarının yönetilebilmesini, Suricata kurallarının web arayüzü üzerinden güncellenebilmesini sağladığından tehdit avcıları için kullanışlı olmaktadır.

1 Yorum

  1. Acemi 23 Şubat 2018 14:20

    Oldukça bilgilendirici bir yazı olmuş. Teşekkürler.

Yorum Yaz

E-posta adresiniz yayınlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir

*
*

Mail listemize üye olarak eğitim fırsatlarını kaçırmayın!
Eğitim ve ücretsiz etkinliklerizden haberdar olmak için e-posta listesimize üye olun!.