Siber Tehdit Avcılığı (Cyber Threat Hunting) (1 Viewer)

Joined
Sep 1, 2018
Credits
55
Rating - 0%
(Alıntıdır)
Lütfen like atmayı unutmayın :)

View hidden content is available for registered users!
SİBER TEHDİT AVCILIĞI (CYBER THREAT HUNTING)

Merhaba değerli THT üyeleri,

Bu konumda Siber Tehdit Avcılığı’nı detaylı bir şekilde anlatacağım. Başlayalım…

Önemli Başlıklar

- Siber Tehdit Avcılığı Nedir?
- Siber Tehdit Avcılığı Hangi Amaçla Yapılır?
- Siber Tehdit Avcılığı Kimler Tarafından Yaptırılır?
- Siber Tehdit Avcılığı Hangi Amaçla Yapılır?
- Siber Tehdit Avcılığı Nasıl Yapılır? Aşamaları Nelerdir?
- Siber Tehdit Avcılığında Tercih Edilen Platformlar Ve Araçlar
- Siber Tehdit Avcılığı Ve Pentest Arasındaki Farklar

SİBER TEHDİT AVCILIĞI (Cyber Threat Hunting) NEDİR ?

Siber Tehdit Avcılığı, alınan tedbirlere karşılık olarak ağ veya verilerin üzerinde faaliyet gösteren Siber Tehditlerin kişi ya da kurum herhangi bir saldırıya maruz kalmadan, Proaktif bir şekilde davranışsal analiz ve hipotez kurma yöntemleri kullanılarak tespit edilmesi/avlanmasıdır.
Siber Tehdit Avcılığı yapılırken herhangi bir yazılım kurulup bu yazılımın Tehditi bulması veya alarm vermesi beklenmez. İşlemler çeşitli Siber Tehdit Avcılığı Araçları kullanılarak bir kişi ya da ekip tarafından gerçekleştirilir.
Siber Tehdit Avcılığı, kişilerin ya da kurumların olası bir saldırı altında olup olmadığını kontrol etmekte, çeşitli tehditleri tespit etmekte ve bunları herhangi bir saldırıya maruz kalmadan avlamaya yarar.



SİBER TEHDİT AVCILIĞI HANGİ AMAÇLA YAPILIR?

Siber Tehdit Avcılığı ile Tehdit Göstergeleri (IOC) tabanlı tespit sistemlerinin yakalayamadığı tehditler tespit edilebilir. Çeşitli kurumların güvenlik seviyesinin arttırılması, mevcut zaafiyetlerin giderilmesi ve aynı zamanda gelecekte gerçekleşebilecek siber saldırılara karşı görüşlerde bulunması amaçlanır

Siber Tehdit Avcıları, Prosesler, Binaryler, Sistem Kayıtları ve Ağ Aktivitelerini inceleyip olası bir siber saldırı öncesinde Siber Tehdit’i tespit ederler. Buradaki en önemli konu Sistem kayıtları ve logların incelenmesidir. Güncel olarak kullanılan ve alınan önlemlerin bu kayıtların incelenmesinde yeterli olmamasından dolayı bu tehditlerin tespitinde Human Driven (İnsan tabanlı) incelemelerin yapılması gerekmektedir. Bu da bizleri Siber Tehdit Avcılığına Sürükler.



SİBER TEHDİT AVCILIĞI KİMLER TARAFINDAN YAPTIRILIR?

Siber tehdit avcılığı, özellikle veritabanında hassas veri bulunduran firmalar tarafından oluşturulan tehdit avcısı bir ekiple yaptırılır. Bu firmalara Bankalar, Kişilere ait bilgileri barındıran Sigorta Şirketleri, Kargo Şirketleri, Hassas veriler bulunduran E-Ticaret siteleri, Operatörler ve diğer hassas veri bulunduran şirketler vb. örnek verilebilir.



SİBER TEHDİT AVCILIĞI NASIL YAPILIR ? SİBER TEHDİT AVCILIĞI AŞAMALARI

Siber tehdit avcılığı, davranışsal analiz ve hipotez kurmaya dayalı yöntemlerle çeşitli ekipmanlar kullanılarak gerçekleştirilmektedir. Siber Tehdit Avcılığı’nı 4 aşamada ele alalım.



1- HİPOTEZ KURMA

Avcılık yapılmaya başlanmadan önce ilk iş hipotez kurmaktır. Bu hipotez teknolojik ekipmanların herhangi bir faaliyetiyle ilgili olasılıkları düşünülerek olası sonuçları tahmin edip kurulmalı ve işe başlanmalıdır. Hipotezler, ilgili kurumun sistemleri, ağ altyapısı ve gerçekleşmesi çok olası siber saldırılar göz önünde bulundurularak seçilmeli ve bu yönde adım atılmalıdır.



2- İNCELEME AŞAMASI

Bu aşamada oluşturulan hipotezin hangi araçla daha iyi analiz edilebileceği tespit edilmeli ve İstatistiksel Analiz, Görselleştirme Teknikleri, Makine Öğrenmesi gibi çeşitli yöntemler ve araçlarla hipotez incelenmelidir. Ayrıca Bağlı Veri Analizi (Linked Data Analysis) gerekli bilgiyi anlaşılabilir bir şekilde avcıya bildirmede önemli rol oynar. Bu yöntemlerin yalnızca biri incelemede yeterli olsa bile bazı hipotezlerde birden fazla yöntem ve araç kullanılarak da inceleme yapılabilir.



3- SALDIRGANLARA AİT TEKNİK VE TAKTİKLERİN TESPİT EDİLMESİ

Bu aşama çeşitli araçlar ve yöntemler kullanılarak saldırganlara ait teknik ve taktiklerin tespit edilmesi ve karmaşık saldırıların ortaya çıkarılması için oldukça büyük bir önem taşır. Bu aşamada elde edilen bilgiler sayesinde yeni hipotez ortaya koyulabilir ve yeni taktikler geliştirilebilmektedir.



4- ANALİZLERİN GELİŞTİRİLMESİ

Bu aşama başarılı bir avlanmanın habercisidir. Bu aşamada daha önceki avlanma yöntemlerinin herhangi birinden kazanılan tecrübenin aynı avla tekrar karşılaşılması durumunda kullanılarak otomatik hale getirilmesidir. Bu sayede sürekli aynı tehditlerle zaman kaybı yaşanmadan farklı tehditlere yönelinebilir.



SİBER TEHDİT AVCILIĞINDA TERCİH EDİLEN PLATFORMLAR VE ARAÇLAR

Siber Tehdit Avcılığı yapılırken çeşitli araçlar veya platformlar kullanılmaktadır. Bu araçlar iki çeşitte ele alınabilir.



1- Network tabanlı Avcılık

Örnek olarak Security Onion aracı verilebilir.



2- Uç-Nokta (End-Point) Avcılık

Örnek olarak Sysmon Aracı verilebilir.



Siber Tehdit Avcılığında En Çok Tercih Edilen Platform Ve Araçları Tanıyalım;

1- SECURİTY ONION ARACI

Security Onion, hemen hemen bütün logları bir yerde toplayan ve bu logların Elastic Search veya Kibana gibi araçlarda analiz edilebilmesi için gerekli şartları hazırlayan bir araçtır. Bu araç Network Tabanlı Avcılık için ideal bir araç olmasıyla beraber tam paket kaydı yapmayı sağlayan diğer araçları da içerisinde bulundurur. Ücretsizdir.
Bu aracı tek bir araç olarak nitelendirmekten öte içerisinde Siber Tehdit Avcılığıyla ilgili BRO, Snort/Suricata, OSSEC, ELSA, Kibana ve Elastic Search gibi başka araçlar da kurulu gelmektedir.



2- ELASTIC STACK GRUBU

İçerisinde Elastic Search, Kibana, Beats, Logstash gibi araçları bulunduran Siber Tehdit Avcılığı grubudur. Oldukça fazla sayıda log kayıtlarını elle incelemek yerine görselleştirerek analiz etmeye yarar. Elastic Stack grubu herhangi bir kaynaktan bir verinin alınması, Bu verinin ayrışırılması ve kaydedilmesini sağlayan bir ortamdır. Sistemde bulunan bir web serverinin logları Loghtash aracı ile ayrıştırılır, ayrıştırılan loglar Elasticsearch veritabanına kaydedilir. Ardından kibana aracı yardımı ile de Bu veriler görselleştirilerek analiz edilebilir.



3- SELKS ARACI

Suricata tabanlı IDS/IPS dağıtımıdır. Bu araç içerisinde Elastic Stack Grubunu barındırmaktadır. Yine içerisinde barındırdığı Evebox yazılımı ile Suricata kurallarının web üzerinden güncellenmesini sağlamaktadır. İsmi içerisinde barındırdığı araçların baş harflerinden meydana gelmektedir.



4- SYSMON ARACI

Sysmon, Microsoft Sysinternals ailesinin içinde bulunan bir araçtır. Windows üzerinde gerçekleşen faaliyetleri oldukça detaylı bir şekilde loglayabilir. Şimdi bu aracın kullanımını öğrenerek neler yapabildiğine bir göz atalım.



SYSMON ARACI KULLANIMI

İlk olarak aşağıdaki bağlantıdan aracımızı indirelim;

Kod:
View hidden content is available for registered users!

https://docs.microsoft.com/en-us/sysinternals/downloads/sysmon


VT
Kod:


Aracımızı indirerek .zip dosyasından çıkartalım ardından cmd üzerinde kolay bulabileceğimiz bir konuma atalım. Ben masaüstüne attım.

Bu işlemleri yaptıktan sonra aracımızı kullanabilmemiz için komut istemini "Yönetici Olarak" çalıştırmamız gerekli. Komut istemimizi de çalıştırdıktan sonra işlemlere başlayabiliriz.



İlk olarak aşağıdaki komutu komut satırımıza giriyoruz; (Bilgisayarınız x64 bit değilse Sysmon.exe üzerinden yapın.)

Kod:
Sysmon64.exe -i -h MD5,IMPHASH -n
2UEv7Q.png




Kurulum sonrasında cmd'den çıkıp aşağıdaki yolu takip ederek "Olay Görüntüleyicisi"ni açalım;

Kod:
C:\Windows\System32\winevt\Logs\Microsoft-Windows-Sysmon%4Operational.evtx


Aşağıda Gördüğünüz gibi Sysmon aracımızın yaptığı detaylı loglamaları görebiliyoruz.

8vhgT6.png




SİBER TEHDİT AVCILIĞI VE PENTEST ARASINDAKİ FARKLAR NELERDİR ?

- Pentestte amaç, herhangi bir sistemde bulunan güvenlik açığının tespit edilmesi ve bu açıkların istismar edilmesini önlemektir.
- Siber Tehdit Avcılığında ise amaç sistemde bulunan ve geleneksel çözüm yöntemleri ile tespit edilemeyen tehditlerin tespit edilmesi ve siber saldırı gerçekleşmeden avlanmasıdır.
- Siber tehdit avcılığı, davranışsal analiz ve hipotez kurmaya dayalı yöntemlerle çeşitli ekipmanlar kullanılarak gerçekleştirilmektedir.
- Siber Tehdit Avcılığında herhangi bir açık kapatılmaz. Dışarıdan gelen Tehditler Tehdit Avcıları tarafından tespit edilip avlanılır.
- pentestte ise pentesterlar tarafından bulunan güvenlik zaafiyetleri kapatılır.
- Siber Tehdit Avcıları, Sistem hakkında oldukça derin bilgiye sahip kişilerdir.
- Pentesterlar ise sistem hakkında bilgiyi yaptıkları taramalar ile elde edebilmektedir.
 

Users who are viewing this thread

Top