Tehdit Avcılığı Yazı Dizisi: Giriş - 1

Tanım

Tehdit avcılığı kabaca 'siber istihbarat temelli olay müdahale' olarak özetlenebilir. Normalde 'siber olay müdahale' bir siber vaka yaşandıktan sonra işletilen süreçlerken, tehdit avcılığı ile bunu henüz olay gerçekleşmeden (proaktif) olarak yaparız.

Nasıl

Peki bu proaktif süreç nasıl işletilir? Aslında bu sorunun pek çok farklı cevabı var; bu kimi zaman sadece bir siber istihbarat raporunda yer alan atak göstergelerini sistemlerde aratmak ile yapılabilirken (kill-chain'in ilk aşamalarında saldırıyı yakalamak amacımız) kimi zaman da sistemin 'normal' davranışından sapmaları temel analiz/analitik teknikleriyle yakalamaya çalışırız. Tabii burada en önemli şeyin 'sistemi/ağı' çok iyi tanımaktan geçtiğini söylemeye bile gerek yok sanırım. Normal'i bilmeden anormali nasıl tespit edebiliriz ki?

Amaç

Buraya kadarki açıklamalardan esasında tehdit avcılığının zaten senelerdir pek çoğumuzun kendi sistemlerinde yaptığı şeyden bir farkının olmadığını anlaşılmıştır. Windows Audit Log Cleared (EventID: 1102) event'inin bir muhasebe PC'sinden DC'ye yatay hareketle gidilerek başlatılmasını tabii ki beklemiyor ve tabii ki bunu SIEM ile loglardan takip ediyorsunuzdur fakat gerçekte tehdit avcılığının asıl verimli olduğu yer 'gelişmiş' siber tehditler. Yani kendini bir şekilde sürekli gizlemek isteyenler. Örneğin en son ne zaman sistemlerinizin MFT tablosundaki anormalliklerini analiz ettiniz? Sistemlerinizdeki svchost.exe process'lerinin tamamının C:\Windows\System32'de ve -k parametresiyle çalıştığına emin misiniz? Yada en son ne zaman ağınızdan dışarıya doğru belirli bir frekansla çıkan DNS trafiğiniz var mı yok mu baktınız? Sistemlerinizde sizden habersiz çalışan PSEXESVC servisi yok hakikaten hiç değil mi? Ben de öyle düşünmüştüm....

Yazımızın ikinci bölümünde tehdit avcılığı altyapısını ağınıza nasıl kurabilirsiniz bundan bahsedeceğiz. Şimdiden iyi okumalar.

Furkan ÇALIŞKAN

Read more posts by this author.