Mart 2021

27 Mart 2021 Cumartesi

APT (Advanced Persistent Threat) Nedir?


 




Adcanced Presistent Threat (Geliştirilmiş Kalıcı Tehditler), Saldırganların sistemlere yetkisiz erişim sağlayarak orada uzun süre kalması olarak tanımlayabiliriz. APT

kavramını ABD Hava Kuvvetleri analistleri tarafından oluşturulmuştur.

APT saldırıları, teknik becerileri gelişmiş saldırganları belli bir kuruluşu, sektörü,

uygulamayı hedef alarak düzenledikleri saldırılar olarak da tanımlanabilir. APT saldırı

çeşitleri genel olarak kurumsal firmaları ve politik hedefler seçilir. Saldırganların hedefi

diğer siber saldırılardan farklı olarak sisteme hızlı bir şekilde girmek ya da sistemi

tamamen etkisiz hale getirmek yerine yavaş ve fark edilmeden sızarak sistemde

olabildiğince uzun süre kalıp, maksimum miktarda değerli veri toplamaktır. Hedef sistem

ne kadar güçlü olursa olsun APT’lerin bir çok saldırı vektörlerinden faydalanarak sistemi

ele geçirebileceği söylenebilir. APT saldırıları genel olarak ticari ve politik amaç güden

maddi sponsorluğu ile yapılan saldırılar olmaktadır.

Genel anlamda APT’ler sistemlere sızmak için 3 ana yöntem kullanırlar;

  1. İnternet üzerinde zararlı yazılım bulaştırma
  2. Fiziksel yol ile zararlı yazılım bulaştırma
  3. Dış çevreden sisteme sızma


APT Saldırılarından Korunmak İçin;

  • Ağ trafiği kontrol edilebilir
  • Komut kontrol trafiği kontrol edilebilir.
  • Log analizi gerçekleştirilebilir

Gibi yöntemlerle algılanabilir ve gerektiğinde müdahalede bulunabilir.


APT Saldırı Aşamaları

  • Initial Access: Saldırganların hedef ilk erişim sırasında kullandıkları teknik ve taktikler.
  • Execution: Hedefte zararlı faaliyetlerini gerçekleştiren teknik ve taktikler.
  • Persistence: Saldırganın hedef sistemde kalıcılık sağlaması için kullanılan taktik ve teknikler.
  • Privilege Escaliton: Saldırgan yetki yükseltme aşamasındaki taktik ve teknikler
  • Defense Evasion: Savunma cihazlarını bypass ederken kullanılan taktik ve teknikler.
  • Credential Access: Hedef sistemde ki kullanıcıların kullanıcı adı ve parola bilgilerine erişim sırasındaki kullanılan teknik ve taktikler.
  • Discovery: Hedef sistemin network üzerinde bilgi edinmesini sağlayan takitik ve teknikler.
  • Lateral Movement: Yanal hareket olarakta bilinmektedir. Saldırganın bulunduğu network içerisinde diğer sistemlere atlamasını sağlayan teknikleri içermektedir.
  • Colleciton: Saldırganın sızdığı sistemdeki önemli bilgileri tespit edip toplaması sırasında kullndığı teknik ve takitkler.
  • Exfiltration: Dosyalara erişim sırasında kullanılan taktik ve teknik bilgileri içerir.
  • Command and Control: Komuta kontrol için kullanılan taktik ve teknikler.






23 Mart 2021 Salı

Wazuh


  

WAZUH



Tehdit algılama, bütünlük izleme, olay müdahale ve uyumluluk için ücretsiz, açık kaynaklı ve kurumsal kullanıma hazır bir güvenlik izleme çözümüdür. Wazuh agent’ları ağdaki endpointlere kurulduğunda bu endpointlerde (host) neler olup bittiğine dair görünürlük elde edilmektedir. Linux, Windows ve MacOS işletim sistemlerinde çalışabilmektedir.

Wazuh, Elastic Stack ve OpenSCAP ile entegre edilerek daha kapsamlı bir çözüm haline getirilebilmektedir. Entegre edilerek kullanıldığında daha kapsamlı kurumsal kullanıma uygun güvenlik izleme çözümü haline gelmektedir. Wazuh sahip olduğu yetenekler ile sisteminiz üzerinde oluşabilecek zayıflıkları, yetkisiz erişimleri, log analizi, tehdit algılama, bütünlük izleme, olay müdahale, uyumluluk takibi, dosya bütünlüğü kontrolü, policy monitoring, rootkit tespiti, Windows kayıt defteri izleme, gerçek zamanlı uyarı ve active response gibi birçok denetimi gerçekleştirebilirsiniz.

 

Wazuh’ un Sahip Olduğu Özellikler;

 

 

-         Security Analtics (Güvenlik Analitiği);

Wazuh, güvenlik verilerini toplamak, index ve analiz etmek için kullanılır ve kuruluşların izinsiz girişleri, tehditleri ve davranışsal anormallikleri tespit etmesine yardımcı olur. Karmaşıklaşan siber tehditlere daha hızlı bir şekilde algılama ve gelmeden tehdidi savurulabilmesi için gerçek zamanlı izleme ve güvenlik analizine ihtiyaç vardır bu nedenle gerekli izlemeyi ve yanıt yetenekleri ve güvenlik istihbaratı sağlanabilmektedir.

 

-         Intrusion Detection (İzinsiz giriş tespiti)

Wazuh ajanları, kötü amaçlı yazılım, rootkit ve şüpheli anormallikleri arayan izlenen sistemleri tarar. Gizlenmiş dosyaları, gizlenmiş işlemleri veya kayıtsız ağ dinleyicilerini ayrıca sistem çağrısı yanıtlarındaki tutarsızlıkları tespit edebilirler

 

-         Log Data Analysis (Günlük Veri Analizi)

Wazuh, işletim sistemi ve uygulama günlüklerini okur ve bunları kural tabanlı analiz ve depolama için güvenli bir şekilde merkezi bir yöneticiye iletir.

 

-         File Integrity Monitoring (Dosya Bütünlüğü İzleme)

Wazuh dosya sistemini izler ve göz önünde bulundurmanız gereken dosyaların içerik, izinler, sahiplik ve özniteliklerindeki değişikliklerini tanımlar. Ek olarak dosyaları oluşturmak veya değiştirmek için kullanılan kullanıcıları ve uygulamaları yerel olarak tanımlar.

 

-         Vulnerability Detection  (Güvenlik Açığı Tespiti)

Wazuh, yazılım envanter verilerini çeker be bu bilgileri, iyi bilinen savunmasız yazılımları belirlemek için sürekli güncellenen CVE veri tabanları ile ilişkilendirildiği sunucuya gönderir.

 

-         Configuration Assessment (Yapılandırma Değerlendirmesi)

Wazuh, güvenlik politikalarını, standartlarını güçlendirme kılavuzlarınızla uyumlu olduklarından emin olmak için sistem ve uygulama yapılandırma ayarlarını izler. Aracılar, savunmasız olduğu, yamalanmadığı veya güvenliği olmayan şekilde yapılandırıldığı bilinen uygulamaları tespit etmek için periyodik taramalar gerçekleştirir.

 

-         Incident Response (Olay Yanıtı)

Wazuh, belirli kriterler karşılandığında bir sisteme erişimin engellenmesi gibi aktif tehditleri ele almak için çeşitli karşı önlemler gerçekleştirmek için kullanıma hazır aktif tehditleri ele almak için çeşitli önlemler gerçekleştirmek için kullanıma hazır aktif yanıtlar sağlar.

 

-         Regulatory Compliance (Mevzuata uygunluk)

Endüstri standartlarına ve yönetmeliklerine uymak için gerekli kontrolleri sağlar.  PCI, GDPR, KVKK uyumluluğunu kontrol edip oluşturulan logları etiketleyebilmektedir. Ölçeklenebilirliği ve çoklu platform desteğiyle birlikte bu özellikler, kuruluşların teknik uyumluluk gereksinimlerini karşılamasına yardımcı olur.

 

 

 

 

 

-         Cloud Security (Bulut Güvenliği)

Bulut sağlayıcılardan güvenlik verilerini çekebilen entegrasyon modüllerini kullanarak bulut altyapısının API düzeyinde izlenmesine yardımcı olur. Aynı zamanda kullanılan bulut ortamının konfigürasyonunu değerlendirmek için kurallar sağlar ve zayıflıkları tespit edebilmektedir.

 

-         Containers Security (Konteyner Güvenliği)

Docker ana bilgisayar ve konteyner için güvenlik görünürlüğü sağlar, davranışlarını izler ve tehditleri ve güvenlik açıklıklarını da tespit edebilmektedir.

 

 

Wazuh’un Sunmuş Olduğu Çözümler;

 

Endpoint Detection and Response (EDR) - Uç Nokta Tespiti ve Yanıtı

Wazuh, sürekli izleme ve gelişmiş tehditlere yanıt verme ihtiyacını karşılar. Güvenlik analistlerinin birden çok uç noktada tehditleri ve saldırı kampanyalarını keşfetmesine, araştırmasına ve bunlara yanıt vermesine yardımcı olmayı, doğru görünürlüğü sağlamaya odaklanmıştır. Wazuh, temel imza modelini yani gelenekselleşmiş olan koruma sağlayan antivirüslerden farklı olarak, daha karmaşık saldırıları, gizli istismar süreçlerinin tespit edilmesine yardımcı olur. Ayrıca Wazuh aracısı, bir ağ saldırısını engellemek, kötü amaçlı bir işlemi durdurmak veya kötü amaçlı yazılım bulaşmış bir dosyayı karantinaya almak için kullanılabilecek etkin yanıt yetenekleri sağlar.

Host-based Intrusion Detection System (HIDS) - Ana Bilgisayar Tabanlı Saldırı Tespit Sistemi

Wazuh, Host Intrusion Detection System (HIDS) yani Host tabanlı saldırı tespiti olarak da kullanır. Wazuh aracısı, izinsiz girişleri veya yazılımın kötüye kullanımını tespit etmek için anormallik ve imza tabanlı teknolojileri birleştiren bir ana bilgisayar düzeyinde çalışır. Ayrıca, kullanıcı etkinliklerini izlemek, sistem yapılandırmasını değerlendirmek ve güvenlik açıklarını tespit etmek için de kullanılabilir.

 

Compliance & Security Management - Uyumluluk ve Güvenlik Yönetimi

Wazuh, PCI DSS, HIPAA, GDPR ve diğerleri gibi standartların gerektirdiği gerekli güvenlik kontrollerini sağlar. Çözüm, birden çok sistemden gelen verileri toplar ve analiz eder, güvenlik uyarılarını uyumluluk gereksinimleriyle eşleştirir.

 

A Comprehensive SIEM Solution - Kapsamlı bir SIEM çözümü

Wazuh, tehdit algılama, uyum yönetimi ve olay müdahale yetenekleri sunma becerisiyle verileri toplamak, analiz etmek ve ilişkilendirmek için kullanılır. Şirket içinde veya hibrit ve bulut ortamlarında devreye alınabilir

 

 

 

Wazuh Nasıl Çalışır?

Wazuh, altyapınızı izleme, tehditleri, saldırı girişimlerini, sistem anormalliklerini, kötü yapılandırılmış uygulamaları ve yetkisiz kullanıcı eylemlerini tespit edebilen bir güvenlik çözümü sunar. Ayrıca, olay müdahalesi ve mevzuata uygunluk için bir çerçeve sağlar.

Agent – Manager yönetimiyle çalışmaktadır yani wazuh bir hosta yani endpointe birde server’a kurulmaktadır. Wazuh agent (host) almış olduğu logları server’a göndermektedir ve bunlarla ilgili alarmlar oluşturmaktadır aynı zamanda malware rootkit detection, veya file intent,on monitöring, regürasyonlar yani PCI, GDPR, KVKK uyumluluğunu kontrol edip oluşturulan logları etiketleyebilmektedir.
Wazuh ekibi tarafında geliştirilen, Wazuh Bulut tabanlı korumada sağlamaktadır. Saldırıları gerçek zamanlı olarak önler, tespit eder ve yanıtlamayı sağlar. Wazuh Cloud, hepsi tek bir platformda olmak üzere, Güvenlik Bilgileri ve Olay Yönetimi (SIEM) ve Uç Nokta Tespit ve Yanıt (EDR) için bir çözüm sunar.

 

Agent – Manager Yönetimiyle Koruma

 

Wazuh Ajanı

Endponit (agent) tarafına kurulmaktadır. Wazuh ajanı, tehditleri tespit etmek ve gerektiğinde otomatik yanıtları tetiklemek amacıyla bir dizi görevi gerçekleştirmek için tasarlanmıştır. Wazuh ajanı; Windows, Linux, Mac OS X gibi farklı platformda çalışır. Wazuh sunucusundan yapılandırılabilir ve yönetilebilirler. Aracı temel yetenekleri şunlardır:

-         Günlük ve olay verileri toplama

-         Dosya ve kayıt defteri anahtarlarının bütünlüğünü izleme

-         Çalışan işlemlerin ve yüklü uygulamaların envanteri

-         Açık bağlantı noktalarının ve ağ yapılandırmasının izlenmesi

-         Malware tespiti

-         Yapılandırma değerlendirmesi ve politika izleme

-         Aktif yanıtların yürütülmesi

 



 

 

Wazuh Sunucusu

Eazuh yönetilecek sunucuya kurulur (Manager). Wazuh sunucusu, aracılardan alınan verileri analiz etmekten, olayları kod çözücüler ve kurallar aracılığıyla işlemek ve iyi bilinen IOC'leri (Indicators Of Compromise) aramak için tehdit istihbaratını kullanmaktan sorumludur. Tek bir Wazuh sunucusu, yüzlerce veya binlerce aracıdan gelen verileri analiz edebilir ve küme modunda kurulduğunda yatay olarak ölçeklenebilir. Sunucu ayrıca aracıları yönetmek, gerektiğinde onları uzaktan yapılandırmak ve yükseltmek için kullanılır. Ek olarak, sunucu aracılara, örneğin bir tehdit algılandığında bir yanıtı tetiklemek için emirler gönderebilir.

 



 

Elastik Yığın

Wazuh tarafından oluşturulan uyarılar, indekslendikleri ve saklandıkları Elastic Stack'e gönderilir. Wazuh ve Kibana (Elastik Yığının bileşenlerinden biri) arasındaki benzersiz entegrasyon, aracıların yapılandırmasını ve durumunu yönetmek ve izlemek için de kullanılabilen, veri görselleştirme ve analiz için güçlü bir kullanıcı ara yüzü sağlar.

Wazuh web kullanıcı ara yüzü, yasal uyumluluk (örneğin PCI DSS, GDPR, CIS), tespit edilen savunmasız uygulamalar, dosya bütünlüğü izleme, yapılandırma değerlendirmesi, güvenlik olayları, bulut altyapısı izleme ve diğerleri için kullanıma hazır gösterge panolarını içerir.

 

WAZUH NEDİR?

WAZUH Nasıl Kullanılır?

Wazuh nasıl kurulur

 

 

 


 

Indicator Of Compromise (IoC ) Nedir?




 Indicator Of Compromise Nedir?

IoC, herhangi bir siber saldırı sonucu zarar gelemden önce güvenlik tehditlerini, veri

ihlallerini, içeriden gelen tehditleri ve daha fazlasını belirlemeye yardımcı olan, kurmun

ağındaki tutarsızlıkları veya olağan dışı faaliyetlerin gösteren, güvenlik ihlaline işaret

eden kanıt olarak ifade edebiliriz. IoC’ler yalnızca yaklaşan saldırılar için bir uyarı işareti

olarak hareket etmekle kalmaz, aynı zamanda olanları analiz etmeye de yardımcı olur.

IoC verileri, şüpheli bir olayı veya network üzerindeki paket akışından sonra toplanır.

IoC’lar uzmanlar tarafından, kötü niyetli faaliyetleri tespit etmesine yardımcı olmaktadır.

Network içerisinde zararlı faaliyetleri erken fark edip müdahale kısa bir süre içerisinde

gerçekleştirilebilir.

IoC olabilecek veriler;

  • Ayrıcalıklı kullanıcıların anormal halleri
  • Deviant DNS istekleri
  • Web trafiğinin çok fazla artış olması
  • Veritabanı okumanın artmış olması
  • HTML yanıt boyutlarının büyümesi
  • Aynı dosya üzerinde normalden fazla istek
  • Registry’de olağan dışı değişiklikler.
  • Sistemde bilinmeyen dosyalar, uygulamalar ve işlemler.
  • Brute Force saldırılarını gösteren ağ trafiği
  • ip adreslerinin farklı coğrafyalardan gelmesi


IoC’leri takip etmek, kurumun güvenlik olaylarını tespit etme ve bunlara yanıt verme

konusunda daha iyi performans göstermesine olanak tanır. IoC’ler sağladığı verilerle,

uzmanlar tarafından bilgiye dayalı kararları daha hızlı ve daha doğru bir şeklide verebilir.

Sonuç olarak müdahale olarak daha hızlı hareket edebilirler.


Açık Kaynak IoC Araçları

  • InQuest / ThreatIngestor - Tehdit istihbaratını tüketmek için esnek çerçeve.
  • InQuest / iocextract - Gelişmiş Uzlaşma Göstergesi (IOC) çıkarıcı.
  • Neo23x0 / yarGen - yarGen, YARA kuralları için bir jeneratördür.
  • mandiant / ioc_writer - OpenIOC nesnelerinin temel oluşturulmasına ve düzenlenmesine izin veren bir python kitaplığı sağlar.
  • yahoo / PyIOCe - Python IOC Düzenleyicisi.
  • ninoseki / mitaka - Birçok kaynakta IoC'leri / gözlemlenebilirleri aramak için tarayıcı uzantısı.


IOC Biçimleri

MISP Malware Information Sharing Platform & Threat Sharing format- MISP

çekirdek formatı dahil MISP projesinde kullanılan özellikler.

Mitre Cyber Observable eXpression (CybOX™) - Bu site arşivlenmiş CybOX

belgelerini içerir.

Mitre Malware Attribute Enumeration and Characterization (MAEC™) - Kötü

amaçlı yazılımları anlamak için bir şema.

Mitre Structured Threat Information eXpression (STIX™) - Siber tehdit istihbaratı

için yapılandırılmış bir dil.

Yara - Kötü amaçlı yazılım araştırmacıları (ve diğer herkes) için kalıp eşleştirme

İsviçre bıçağı.

mandiant/OpenIOC_1.1- Bu depo, revize edilmiş bir şema, iocterms dosyası ve

OpenIOC 1.1 adını verdiğimiz revize edilmiş OpenIOC sürümünün taslağının

temelini oluşturan diğer destekleyici belgeleri içerir.




IoC Nedir

20 Mart 2021 Cumartesi

CTI Nedir?


CTI Nedir



Siber Tehdit İstihbaratı (Cyber Threat Intelligence), birden fazla kaynak aracılığıyla dijital envanterlere yönelik tehditler hakkında kesin bulguların paylaşıldığı, aksiyon alınabilir bilgilerdir. Bir kuruluşun güvenliğini tehdit eden mevcut ve potansiyel saldırılar hakkında bilgilerin toplanması analiz edilmesi, değerlendirilmesi, saldırgan motivasyonları, saldırganların amaçlarını, saldırının kaynağı, gibi kritik sorulara ait verileri toparlayıp anlamlandırması ve saldırı gelmeden savunma operasyonlarını harekete geçirilmesi gibi işleyişini de gerçekleştirir.

Cyber Tjreat Intelligence sayesinde olası saldırıları erken tespit edilebilmesi ve önlenebilmesi için elde edilen bilgilerin doğru analiz süreçlerinden geçirilerek kurumun güvenlik politikalarına entegre edilebilir. CTI, amacı potansiyel saldırılara karşı önlem alabilmek, hızlı ve net aksiyon imkanı sağlamak ve daha önce bilinen zararlı faaliyetlerin paylaşımıdır.

CTI sonucunda elde edilen bulgulara örnek olarak; banka çalışanlarının bilgilerinin ifşa eden web sitesi tespiti, çalıntı kredi kartlarının bilgisi, kurumsal e-posta adresleri, zararlı yazılım bildirimleri, zararlı url bildirimleri örnek verilebilir.

Bilgi istihbarat demek değildir farkları vardır. Bu farklar;

 

Bilgi

İstihbarat

Ham, filtrelenmemiş veri

Filtrelenen veri

Analiz yapılmadan iletilir

Analiz edilir ve yorumlanır

Doğru, yanlış, yanıltıcı, eksik, alakalı veya alakasız olabilir

Kesin, güncel, bütün ilişkili olmalıdır

Aksiyon alınmaz

Aksiyon alınabilir

 

 

 Etkin Tehdit İstihbaratının Temel Özellikleri

 

·         Kanıta dayalı olması

·         Kuruluş için fayda sağlaması

·         Uygulanabilir olması

 

İstihbarat sürekli devam eden faaliyet olmasında sonucu işlemler bir döngü şeklinde uygulanır. Döngüde gerçekleşen adımlar uygulanılarak istihbaratın sürekli olarak planlanması, elde edilen tüm verileri işlenmesi ve yönetilmesi amaçlanmaktadır. Döngünün adımları;

1.    Planlama ve yönlendirme (Gereksinimler ve önceliklerin belirlendiği ilk adımdır. 5N 1K metodolojisini kullanılarak gerekli yönlendirmeleri sağlar. Aynı zamanda bu adım, hangi alanlarda istihbarat üretileceğinin belirlendiği adımdır.

Siber tehdit istihbaratı gerçekleştirilirken belli başlı sorulara cevap verebiliyor olmalıdır bu sorular;

Kim saldırıyor ? ( Bilinen grupların saldırı davranışları var mı yok mu )

Neden saldırıyor ? ( Saldırının arkasındakilerin motivasyonu yani hedef odaklı mı rastgele bir saldırı mı )

Neyi amaçlıyorlar ? (saldırganların öncelikleri ne)

Nereden saldırıyorlar ? (saldırganların jeopolitik durumları)

Nasıl savunabilirim ? ( IP adresi, hash, url, email adres bilgisi gibi bilgilerden yola çıkarak tanımlama ve aksiyon alma)

2.    Toplama ( Siber tehdit istihbaratı bilgi toplamak için, OSINT (Açık Kaynak İstihbaratı), SOCMINT (Sosyal medya istihbaratı), HUMINT (İnsan istibaratı), MASINT (ölçü ve imza istihbaratı), SIGINT (sinyal istihbaratı) ve birçok yolla istihbarat yöntemi kullanılarak bilgi toplama adımıdır.)

3.    İşleme ve değerlendirme (Toplanan veriler işlenir yorumlanır ve anlaşılacak bir forma dönüştürülür. Verilerin işlenerek bilgiye dönüştüğü adımdır.)  

4.    Analiz etme ve üretme ( Farklı istihbarat yöntemleriyle elde edilmiş farklı istihbaratları kaynaştırma aşamasıdır. Analiz, çalışma unsurunu tanımlayan, olayların ve sonuçların tahminine izin veren gerçekler ve bulgulardan oluşur.)

5.    Dağıtım ve entegrasyon  

 

Tehdit istihbartının kapsadığı yöntemler;

Taktiksel Yöntemler:   

Tehdit aktörlerinin tanımlanmasına yardımcı olmak için Kullanılabilecek teknik istihbaratıdır. IP adresleri, dosya adları, hash bilgileri, IoC, Saldırgan profili, malware’e ait indikatörler  dosya türü ne  exe mi word mü gibi soruları cevap aramaktadır.  

Operasyonel Yöntemler: 

Tehdit aktörlerinin motivasyonlarını, yeteneklerinin, kullandığı araçları, teknikleri ve prosedürleri dahil olmak üzere ayrıntıları bilgileri elde eder. Savunanlar, saldırı hakkında detaylı bilgi, erken saldırı uyarısı, sosyal medya, Kim, Ne, Ne zaman yapmış gibi sorulara cevap aramaktadır.

Stratejik Yöntemler

Üst düzey kurumsal stratejiyi yönlendirmek için kullanılabilecek siber tehditlerle ilişkili genel riskler hakkında istihbarat sağlar. Kurumun gelecekte karşısına çıkabilecek fırsatları değerlendirmek, tehditleri önceden tespit edebilmek ve bu anlamda doğru karar alabilmek açısından önem arz etmektedir. istihbarat ile ilgili raporlar kim ve niçin yapmış  yeterli güvenlik önlemleri alınmıyor mu, gözden kaçan risk faktörleri neler, Karar vericiler kim, jeopolitik konumları nerede, riskleri neler gibi sorulara cevap aramaktadır.  

 

Tehdit istihbarat kaynakları

Kurum içi tehdit istihbaratı ve kurum dışı tehdit istihbaratı olarak iki kısma ayrılabilir.

Kurum içi tehdit istihbaratı Kuruluşun kendisinden toplanan veri noktaları ve bilgiler kurum içi tehdit istihbaratını oluşturur. Örnek olarak;

·         LOG dosyaları

·         Olay müdahale raporları

·         Güvenlik duvarı logları

·         DNS Logları

·         Gerçekleşmiş güvenlik denetim raporları

 

Kurum Dışı Tehdit İstihbaratı Kurum dışındaki çeşitli kaynaklardan tehdit istihbaratının temin edilmesini gerektirir. Örnek olarak;

·         Bloglar

·         Haber kaynakları

·         Zafiyet haberleri

·         APT gruplarının bilinen yöntemleri

·         Sosyal medya

·         Darkweb forum siteleri

 

 Siber Tehdit İstihbaratı Nasıl Toplanır ?

Veri ve enformasyon istihbarat değildir fakat analiz edilerek istihbaratın üretilmesi için gerekmektedir. Kuruluşların veri tabanlarında ve loglarından binlerce siber tehdit istihbaratı verisine erişebilmektedir. Kuruluşlar için organize edilen ve devam eden tehsit aktörleri yalnızca geride bıraktıkları dijital izlerle görülmektedir. Bu nedenlerden dolayı işletmelerin ağ sınırlarının ötesinde, özellikle kuruluşların ve alt yapılarını hedef alan gelişmiş tehditlere karşı görünürlüğe ihtiyaç vardır burada tehdit istihbaratın önemi ortaya çıkmaktadır.

 

Seviye 1 : Tehdit Aktörleri

Bir IOC (Indicator of Compromise) ya da tehdit aktörü tehlikeye atılmış sistemleri araştırmak ve tanımlamak için kullanılabilen bilgi parçalarıdır. Bu bilgi parçaları, IT sektöründe uzun süredir var olmaktadır ancak bilgi güvenliği sektörü bu verileri daha yapısal ve tutarlı bir şekilde kullanmaktadır.

Dosya Hashlerine ve Reputation Değerleri - Taktik istihbarat paylaşımında ilk olarak buraya bakılır yani siber tehdit istihbaratı toplama işlemi buradan başlamaktadır. Bir Malware ait dosyanın MD5 ve SHA1 algoritmaları kullanılarak hash bilgisi alınmaktadır. Bu alınan hash bilgisi aratılarak dosya daha önceden zararlı ise tespit edilebilmektedir. Hash bilgileri dışında bir zararlıya ait itibar verileri de kullanılmaktadır. Bu veriler IP adresi ve URL gibi internet ağı üzerinde web sayfalarının risk dereceleridir.

Phishing adresleri ve diğer dolandırıcılık sayfaları
- Botnet komuta ve kontrol merkezleri
- Takip edilemeyen ıp adresleri (TOR)
- Anonoimlik oluşturulan proxy hizmetleri
- Honeypot ağları, web sunucuları, e-posta sunucuları ve diğer sistemlerde faaliyetlerini taklit edeen bilgisayarlar ve webte gezinen bilgisayarlar kullanıcıları oluşturarak gerçekleştirirler.

 


Seviye 2 - Tehdit Aktörleri

Buradakiler veriler daha çok analiz edilmeye ihtiyacı vardır. Analiz ekipleri saldırılara ilişkin teknik, taktik ve prosedürleri tespit etmelerinde yardımcı olmaktadır. Bu rapor ve istatiksel, zararlı yazılım analizleri ve davranışlarını daha iyi anlamamıza yardımcı olmaktadır.

Siber tehdit istatiksel, raporları ve anketlerine bakılarak da bu tarz veriler elde edilmektedir. Raporlar en yaygın saldırıları ve bunları ortaya çıkan tehditler konusunda uyarılar, zararlı yazılım, spam, botnetler ve siber tehditleri öğeleri hakkında bilgiler sağlıyor.

Zararlı yazılım analizi ile örneklerinin davranışlarına ve bunların arkasındaki saldırganları  niyetlerine ait değerli bilgileri sağlamaktadır. En ayrıntılı otomatik zararlı yazılım analizi, dinamik analiz veya sanal alan oluşturma (sandboxing) teknolojisi ile sağlanmaktadır. Sandboxing ile şüpheli bir dosyanın, kurumsal ağdan izole edilmiş bir sanal yürütme ortamında çalıştırılmasına izin verilir. Korumalı alan olan sandbox, dosyanın aldığı ve aşağıdaki gibi kötü amaçlı faaliyetleri de dahil olmak üzere tüm eylemleri gözlemleyip belgelendirmektedir.

·         Registry keyleri eklemek

·         Antivirüs devre dışı bırakmak

·         Ağda aramalar yapması

·         web sunucularını kumanda etmek ve kontrol etmek için göstergeler.

·         Sunuclar ile bağlantı sağlama


 Seviye 3 : Stratejik Siber tehdit istihbaratı

Stratejik siber tehdit istihbaratı kuruluşları hedefleyen spesifik düşmanlar ve yakın gelecekte getireceği tehlike hakkında bilgi vermektedir.

Dark Web'i gözlemlemek - Siber saldırganlar faaliyetlerini gerçekleştirmeden önce bazen birbirlerinden fikir alma alışverişine bulunmaktadırlar siber istihbarat analizcisi ise burada neyi hedeflediklerini yorumlayıp gerekli önlemleri almasını sağlamaktadır. Zararlı yazılımlar, özel saldırılar oluşturma, phishing kampanyaları oluşturmak, DDoS saldırıları oluşturma ve kullanma konusunda uzmanlıklarını paylaşmaktadır. Kredi kartı, sosyal güvenlik  numaraları, kişisel bilgileri içeren dijital verileri almak satmak , Exploit kitleri, siber silahlar edinmek, zararlı yazılım koruma araçlarını satmak almak gibi işlemleri dark web üzerinde gerçekleştirmektedirler.

Motivasyonlar ve niyetler - Analist ekibi, saldırganların motivasyon ve niyetlerini bilmeleri çok fazla iş yarar bilgi edinebilirler yani saldırganın motivasyonuna bakarak hangi endüstriyi kuruluşu varlıklarının hangilerini en çok hedef alma olasılığı bulunduğuna dair kanıt sağlamaktadır.

Teknik, taktik ve prosedürler- Saldırganların TTP (Taktik, teknik, prosedür)'ler hakkında bilgileri edinmek değerlidir çünkü saldırganları tespit etmek için ne aramaları gerektiğini öğrenmelerine yardımcı olmakla kalmaz, güvenlik teknolojilerini nerede güçlendireceği konusunda da bilgi verebilmektedir. Araştırmacılar, çoğu zaman saldırganların web üzerindeki faaliyetlerini izleyerek düşmanların TTP'leri hakkında çoğu şeyi öğrenebilirler. Kanıtlar olarak şunları içerir; Forumlarda ve sosyal medya sitelerinde plan ve taktik tartışmaları, geliştirilen yeni exploitler ve araçlarla ilgili bilgi alışverişi, kredi kartı numaraları, kişisel bilgiler ve diğer dijital varlıkların satışı leak edilmiş veriler ve detayları.

 

Any.run ile Siber Tehdit İstihbaratı

 

Any.run bizlere online bir sandbox ortamı sunmaktadır.

 


Any.run çalıştırıldıktan sonra yeni bir task oluşturulabilir ya da public bir task incelenebilir.


Daha fazla verileri toplayabilmek için public bir task seçerek devam ediyorum.

 



 

Burada http requstler gösteriliyor bu bize zararlı aktivite çalıştıktan sonra hangi sunucuya bağlandığı göstermektedir bunun sayesinde lokasyon tespiti yapabiliriz. GET/POST isteklerine bakabiliriz bağlantı sağladıktan sonra ne tür aktivitelerde bulunduğunu görebiliriz.

Text report sayesinde çalışan prosesleri tamamını rapor halinde any.run bize sunmaktadır.  

 


 

Processes graph sayesinde zararlı aktivite çalıştıktan sonra ne tür prosesleri çalıştırdığına dair bir ağaç haritası sunmaktadır

 


 

MITRE ATT&CK™ MATRIX any run bize burada mitre att&ck matrisi üzerindeki framewrokü sunmaktadır. Saldırganların taktik teknik ve prosedürlerine ulaşabilmekteyiz. Buradaki bilgileri kullanarak saldırganların hangi APT gruplarında olduğuna ulaşabiliriz.


CTI'ın Kurumlar Açısından Önemi ?

 

·         Tehdit İstihbaratı, kuruluşların genel güvenlik önlemlerini korumasında önemli bir rol oynar. Tehdit istihbaratı doğrudan kurumun güvenlik önlemlerinde yararlanarak güvenlik operasyonlarını daha etkin yapılandırmamız için yol gösterici olmaktadır. Kuruluşlara proaktif bir siber güvenlik duruşu geliştirmeleri ve genel risk yönetimi politikalarını desteklemeleri için güç verir. Sadece tepkisel değil öngörücü bir siber güvenlik duruşuna doğru ivme kazandırır

·         Günümüz teknoloji dünyası siber saldırılarla karşı karşıya kalmaktadır. Giderek daha tehlikeli ve karmaşık bir yapıya dönüşmektedir. CTI ise artan saldırılar hakkında daha önceden bilgileri toplayarak siber atakları azaltmaya ve önlemeye yardımcı olur. Tehdit istihbaratı sayesinde kimin saldırdığı, saldırganın motivasyonlarını araştırıp rapor halinde sunar. Güvenlik alanında önemli kararlar alınmasına yardımcı olmaktadır.

·         Gelişmiş tehdit tespitini sağlar.

·         Bir siber saldırı tespiti sırasında ve sonrasında daha iyi karar vermeyi sağlar

·         Siber savunma alanında yaşanılan doğrulanmış bulguların oluşturduğu alarmları incelenmesi, ihlallerin tespit edilmesi, gerekli yamaların önceliklendirmesi ve bunlara bağlı olarak yapılması gereken aksiyonları belirlemek amacıyla gereklilik sağlar.

·         Kurum içi istenmeyen olaylar gerçekleşmeden önce müdahale edilmesini sağlar.

·         Bir siber tehdit istihbarati sistemi kötü niyetli IP’ler ve domainler ile iletişim girişimlerini izleyebilir, çalışanlara yapılabilecek olası phishing saldırılarını algılayabilir.

·         Gerçekleşmiş bir veri sızıntısının hemen farkına varmayı sağlar. Bu da zararın etkisini en aza indirir.

·         Veri kaybı yaşandığı anda hangi cihaz üzerinde gerçekleştiği olduğu bilgisni belirlemeye yardımcı olur

·         Daha önceden gerçekleşen saldırılar üzerinde analiz yapılarak gerekli alınması önlemler hakkında fikir verir.

·         Bir kurum gerçekleşen saldırıyı tespit ederek bu saldırıya ait teknik, taktikleri İstihbarat paylaşımı sağlayarak diğer organizasyonları aynı yöntemle gelebilecek saldırıya gerekli önlemleri almasına yardımcı olur.

 

 

 

 

 

 

 

 

 Sonuç

 

Ponemon Enstitüsü tarafından 2015 yılının yapılan bir ankete göre; Şirketlerin %40’ında son 24 ayda maddi bir güvenlik ihlali yaşanmıştır ve ihlallerin %80’ninin, tehdit istihbaratı ile engellenebileceği ya da hasarı en aza indirebileceği tespit edilmiştir. Katılımcıların sadece %36’sı şirketlerinin savunmasını güçlü olarak değerlendirmiştir. Katılımcıların neredeyse yarısı bir saldırının sonuçlarını önlemek veya azaltmak için aldıkları istihbarat verilerini artırmaktadır. Bu kurumlar ortalama olarak haftada 16937 alarm almaktadır. Alarmların sadece 3218’i (%19) güvenilir olarak değerlendirilmiştir. Alarmların sadece 705’i (%4) araştırılabilmiştir. Yanlış uyarılara karşılık yılda 1.27 milyon dolar harcadığı belirlenmiştir. Bu bahsedilen problemler doğru siber tehdit istihbaratı yöntemleri ile minimuma indirgenebilir. Siber tehdit istihbaratı, olası tehditler hakkında farkındalık kazandırılması amacı taşımaktadır. Kurum içi istenmeyen olaylara gerçekleşmeden önce müdahale edilmesi için gerekli bir alandır. Bu şekilde güvenlik çözümleri en üst seviyeye çıkarılmış ve gerekli önlemler alınmış olur. Siber tehdit istihbaratının faydaları arasında; veri kaybını önleme, veri ihlallerini tespit etme, olay yanıtı, tehdit analizi, veri analizi, tehdit istihbarat paylaşımı sayılabilir.

Veri kaybını önleme - Bir siber tehdit istihbaratı ile, kötü niyetli IP’ler ve domain alanları ile ieltişim girişimlerini izleyebilir, çalışanlara yapılabilecek olası phishing saldırılarını algılayabilir. Bu verilerin toplanıp analiz edilmesiyle de olası benzer durumlar için önlem niteliği oluşturulabilmektedir.

Veri ihallerini tespit etme- Gerçekleşmiş veya gerçekleşebilir bir veri ihlali ne kadar erken tespit edili ve engellenirse, kurum üzerindeki etkisi de o kadar az olur. Bu noktada veri ihlalleri ve sızıntıarı tespiti hem maddi açıdan yaşanacak kayıplara hem de kurumun sayfınlık kaybetmesine bir önlem niteliği taşımaktadır.

Siber Olay Müdahalesi - Bahsetmiş olduğumuz veri sızıntısının hangi cihazlar üzerinde gerçekleştiği ya da gerçekleşmekte olduğu bilgisi tehlikeye giren sistemleri belirlemeye yardımcı olmaktadır. Böylelikle aynı ihlallerin gerçekleşmemesi adına alınacak önlemler daha bilinçli yapılabilmektedir.

Tehdit Analizi – Gerçekleştirilen tehdit analizi, gerekli savunma sistemlerini devreye almasını sağlar. Bu analiz daha önce sisteme yapılmış saldırılar veya gerçekleşmeden önce tespit edilmiş saldırılar üzerinden gerçekleşmektedir. Buradaki amaç saldırganların teknik, taktik ve prosedürlerini anlamak.

Veri analizi- toplanan verilerin analiz edilmesi saldırgaların oluşturdukları tehditlere karşı ek bilgiler elde edilmesine yardımcı olur. Verilerin analiz sonucunda istihbarat elde edilmelidir.

Tehdit istihbarat paylaşımı – Analizvilerin elde etmiş olduğu istihbaratları public alanda paylaşarak diğer analizcilerin haberdar olmasını sağlamak.

 

Sonuç olarak hedeflenen saldırılara karşı kullanılan önlemlerin gerçekleştirilmesine yardımcı olmaktadır. Gerçekleşmekte olan tehditlerle bireysel olarak savaşmak neredeyse imkansız olduğu için topluluklar arası bilgi paylaşımı siber tehditler ile mücadele edilmesinde önem arz etmektedir.

 

 

 

 

 

 

Kaynak

 

https://en.wikipedia.org/wiki/Cyber_threat_intelligence
https://www.slideshare.net/OuzcanPamuk/siber-tehdit-stihbarat-threatintelligence
https://www.slideshare.net/bgasecurity/her-yonuyle-siber-tehditistihbarat?
https://www.crowdstrike.com/cybersecurity-101/threat-intelligence/
https://research.aimultiple.com/cti/