Engin Özbay
IBM Siber Güvenlik İş Birimi Ülke Lideri
Güvenlik uzmanları her an olası güvenlik açıklarının peşindedir ve ağlarını korumanın yollarını ararlar.
İlk kez, gelişmiş kalıcı tehditleri tespit etmeye çalışan devletler ve savunma yüklenicileri tarafından kullanılan “risk göstergesi” (IOC; indicator of compromise) terimi, artık tüm bilgi güvenliği uzmanlarının aşina olduğu bir terim haline geldi.
Araştırmacılar risk göstergesi verilerini genellikle, olası bir ihlalle ilgili bilgi aldıktan ya da rutin, planlanmış bir tarama sırasında şüpheli bir olay bulduktan sonra toplarlar. Yakın zamanda yayınlanan bir IBM X-Force raporunda, bir hacker ciddi hasarlar vermeden önce fark etmek amacıyla, başlıca risk göstergeleri incelenmiştir.
Bu makalede, ağınızın bir saldırgan tarafından ihlal edildiğine işaret eden başlıca risk göstergelerinden birkaçını ele alacak ve sisteminizdeki olağandışı durumları saptamak için bunlardan nasıl yararlanabileceğinizi anlatmaya çalışacağız.
Giden ağ trafiğindeki olağandışı durumlar: Hacker’ları ağınızdan uzak tutmak zor olsa da giden ağ trafiği kalıpları kolayca saptanabilir ve bunlar kötü niyetli bir faaliyetin işareti olabilir. Bu trafiği izleyerek veri kaybı ya da büyük bir hasar oluşmadan duruma hızla müdahale edebilirsiniz.
Ayrıcalıklı kullanıcı hesabı etkinliğindeki olağandışı durumlar: Saldırganlar genellikle eriştikleri bir kullanıcı hesabının ayrıcalıklarını kullanmaya çalışırlar. Ayrıcalıklı hesaplarda olağandışı faaliyetlerin izlenmesi, hem içeriden olası saldırılara ilişkin bir pencere açar, hem de yetkisiz kaynakların ele geçirdiği hesapları ortaya çıkarabilir. Erişilen sistemleri dikkatle inceleyin, erişilen verilerin türü ve hacmi, erişim faaliyetinin zamanı, olası bir ihlalin erken uyarısı olabilir.
Aynı dosya için çok sayıda istek: Bir hacker istediği dosyayı (müşteri ya da çalışan bilgileri, kredi kartı ayrıntıları gibi) bulduğunda, bu dosyayı almaya odaklanan birçok saldırı yapmayı deneyecektir. Belirli bir dosya için çok sayıda istek oluştuğunda dikkatli olun.
Coğrafi konumla ilgili olağandışı durumlar: Çok net gibi gelebilir, ancak çalışanların oturum açtıkları yerlerin izlenmesi önemlidir. Kuruluşunuzun ilgisi olmayan yerlerden oturum açıldığını saptarsanız, bu durumu araştırabilirsiniz. Çünkü bu, risk altında olduğunuz anlamına gelebilir.
Veri tabanından çekilen veriler: Hassas verilerin bulunduğu yerleri öğrenmek ve şüpheli faaliyeti, yetkisiz kullanımı ve olağandışı hesap faaliyetini saptamak için veri tabanlarınızı dikkatle izleyin ve kontrol edin. Veri tabanlarından çekilen büyük hacimlerdeki verileri yakından takip edin, bunlar hassas bilgilerin ele geçirilmeye çalışıldığının açık bir göstergesi olabilir.
Beklenmeyen sistem yamaları: Kritik sistemlerinizden birine sizin müdahaleniz dışında bir yama uygulanmışsa, bu bir risk göstergesi olabilir. Bir hacker’ın herhangi bir güvenlik açığını onarması kulağa tuhaf gelebilir, ancak bu durum verilerin onlar için ne kadar değerli olduğunu ve diğer suçluları bu verilerden uzak tutmak istediklerini gösterir. Hacker’lar sisteme girdiklerinde, sisteme erişmek için kullandıkları güvenlik açığına bir yama eklemeye çalışırlar ve böylece diğer hacker’ların aynı güvenlik açığından yararlanmalarını önlemek isterler. Planlanmamış bir yama görülürse, olası bir saldırı anlamına gelebileceğinden bu durumu araştırmanız önerilir.
Risk göstergelerini arama…
Yukarıda dikkat etmeniz gereken risk göstergelerinden yalnızca birkaçına yer verdik. Peki bu göstergeleri gerçek anlamda aramak için neler yapılmalı? Belgeleme, Arama, İnceleme, Düzeltme ve Yineleme adımlarından oluşan ayrıntılı bir savunma döngüsünün uygulanması temel kuraldır.
Saldırı araçlarının ve yöntemlerinin belgelenmesi: Olağan davranışları anlamak için ağ trafiğinizdeki kalıpların profilini çıkarın. Özellikle DNS ve HTTPS gibi, saldırganların kullandığı, önemli protokollere odaklanın. Günlük dosyası girişlerini toplayın ve inceleyin; şüpheli faaliyeti saptamak için bu veri kalıplarını otomatikleştirmeye ve görselleştirmeye yardımcı olabilecek günlük yönetimi ve SIEM sistemleri gibi araçlardan yararlanın. Olası olayların araştırılmasına ve eyleme geçme sürecinin hızlandırılmasına yardımcı olması için, raporlanan risk göstergelerinin paylaşıldığı IBM X-Force Exchange gibi risk göstergesi veri akışlarına abone olun.
Şüpheli faaliyetleri aramak için istihbaratın kullanılması: Birinci adımda belgelendirdiğiniz verilerden yararlanarak, güvenlik sistemlerinizi şüpheli faaliyetleri izleyecek ve arayacak şekilde yapılandırabilirsiniz. Savunmalarınız, şüpheli bir BT adresinden ya da coğrafi konumdan bir faaliyet saptanması, bir saldırganın bilinen araçları kullanmaya veya bilinen bir güvenlik açığını kötüye kullanmaya çalışması durumunda faaliyetleri engelleyecek veya uyarılar verecek şekilde yapılandırılabilir. Yerel olarak oluşturulan yeni kullanıcı adlarına da dikkat etmelisiniz.
Güvenlik olaylarının incelenmesi ve risk düzeylerinin değerlendirilmesi: Bir güvenlik olayı meydana gelirse, bir sonraki mantıklı adım etkilenen uygulama ve sistem sayısının araştırılması ve değerlendirilmesi olmalıdır. Öncelikle ihlalin büyüklüğünü ve saldırganın sistemin ne derece içine girdiğini anlamak için sistem IP adresi, DNS, kullanıcı ve zaman damgalarını inceleyerek işe başlayın. Daha sonra başka olaylar olup olmadığını saptamak için bir zaman çizelgesi oluşturun. Zaman damgası olan tüm dosyaları (günlükler, dosyalar, kayıt defteri), e-posta yazışmaları ve iletilerin içeriğini, sistemde oturum açma/kapatma olayları hakkındaki bilgileri, bazı İnternet belgelerine veya sitelerine erişim göstergelerini, sohbet odalarında veya diğer iş birliği araçlarında bilinen kişilerle yapılan sohbetin içeriğini inceleyin. Belgelerde hasar belirtileri olup olmadığına bakın ve çalışılan dizinlerde belirli kalıpların görülmesi veya belirli anasistemlerin ve hesapların kullanılması da dahil olmak üzere olayla ilgili risk göstergelerini arayın.
Saptama, düzeltme ve yineleme: Risk altındaki tüm anasistemleri, kullanıcı hesaplarını, sızma noktalarını ve diğer erişim noktalarını belirleyin. Daha sonra parolaları sıfırlayın, sızma noktalarını kaldırın, erişim için kullanılan güvenlik açığı olan sistemlere yama uygulayın, olaya müdahale ekibinizi etkinleştirin ve saldırganın geri dönmesi durumunda uyarı verecek tetikleyici noktalar oluşturun. Bu adımdan sonra iyileştirme taktiklerinin başarılı olmasını sağlamak için risk göstergelerinin aranmaya devam edilmesi ve gerektiğinde sürecin yinelenmesi önemlidir.
Bu modeli hayata geçirerek, saldırganların güvenlik savunmalarını tehlikeye sokarken arkalarında bıraktıkları izleri takip edebilir; böylece kısa sürede ve verimli bir biçimde güvenlik olaylarına müdahale edebilirsiniz.