Tehdit tespit ve müdahale (TTM) süreçleri

Artan çeşitlilikleri ve karmaşıklıkları sebebiyle, siber saldırı aktörlerince gerçekleştirilen gelişmiş siber saldırıların tespiti her geçen gün daha da zorlaşmaktadır.

Gerek tespit & müdahale süreçlerinin olgunluğu, gerek tam ve doğru güvenlik yatırımlarının yapılması, gerekse gerçekleşen şüpheli olayları doğru yorumlayabilecek ve karşılık verebilecek yetkin insan kaynağına sahip olmak etkin bir siber dayanıklılık için üç temel esastır.

Bu yazıda, kurumsal ortamlarda siber tehditlerin tespiti ve müdahalesine dair bazı önemli kavramlar açıklanacaktır.

Siber tehdit istihbaratı (aka "hangisine odaklansak, çok fazlalar")

Tehdit istihbaratının farklı boyutları mevcut olmakla beraber, özellikle teknik siber istihbarat, TTM süreçlerinin neredeyse tüm aşamalarına dokunan bel kemiğidir. Asgari olarak "hangi saldırgan grubu, neyi amaçlamakta, bu amaçlarını ne şekilde -hangi araç ve yöntemlerle (TTP) gerçekleştirmekte" sorusuna makul cevaplar verebilecek nitelikte olmalıdır. Bu bilgilerin merkezi olarak toplanması, -çapraz olarak- doğrulanması ve işlenmesi, güncel ve zengin bağlama (context) sahip olması tespit ve müdahale süreçlerinin verimli olabilmesi için elzemdir. MISP vb. TIP çözümleri teknik istihbaratının merkezileştirilebilmesi ve otomatize edilmesi amacıyla kullanılabilir. Teknik istihbarat haricinde stratejik ve operasyonel istihbarat da yatırım ve planlamaları doğru yapabilmek ve üst yönetimle etkin bir iletişim kurabilmek adına önemlidir.

Örnek bir teknik istihbarat;

"TA505 isimli saldırgan grubu, gönderdiği macro'lu Excel dosya eki içeren zararlı mailler ile msiexec.exe isimli uygulamayı (lolbin) çalıştırmakta ve akabinde bu uygulamayı zararlı EXE'yi download etmekte kullanmaktadır. Amaçlarının yükledikleri trojan ile sistemlere erişim sağlamak ve bilgi çalmak olduğu değerlendirilmektedir. Sistemlerde kalıcılık sağlamak amacıyla HKCU\Software\Microsoft\Windows\CurrentVersion\Run\Intel Protect" isimli registry anahtarını oluşturarak "%APPDATA%\Local\Temp\pegas.dll, init" değerini yazmaktadır. C&C trafiğinde /jquery.php URI değerine doğru belirli periyotlarla POST isteği yapıyor olduğu görülmüştür"

Görünürlük ve veriye etkin erişim (aka "cehalet mutluluktur")

Gerek uç-noktalar, gerek ağ trafiği üzerinde tam, doğru ve anlık görünürlük elde edebilmek TTM süreçlerinin yine en kritik gereksinimlerinden birisidir.

Tam: Görünürlük, tüm ağı ve uçnoktaları kapsayıcı olmalıdır. Örn: Çalışan process'ler, process'lerin kurduğu ağ bağlantıları, ağ üzerindeki -yatay ağ dahil- SMB ve DNS istekleri, sistem üzerinde son çalışan EXE'lerin listesi, process'lerin birbirleriyle olan ilişkileri vb. gibi

Doğru: Sağlanan veriler doğru ve tutarlı olmalıdır

Anlık: Elde edilen veriler makul sürelerde analiz için hazır -aranabilir- halde bulunmalıdır, gecikmeler asgari düzeyde olmalıdır

Bir uçnoktada çalışan process'in hangi dizinde, hangi parametrelerle ve komut satırıyla çalıştığından anından haberdar olabilme, ya da ağ üzerinde bir aktivitenin hangi hash değerindeki hangi process tarafından ve hangi TCP isteğine karşılık düşecek şekilde üretildiğini anlık olarak bilebilmek / bunları makul süreler ve hızlı aranabilir halde saklayabilmek gibi hususlar doğru alarm mekanizmalarını kurgulayabilmek ve yaşanan ihlal durumlarına doğru karşılık verebilmek için önemlidir. Bazı saldırgan gruplarının APT faliyetleri çok sonradan (saldırıdan aylar sonra) ifşa olabildiği için logların makul bir süre boyunca tutulması faydalı olacaktır. Bu süre, yasal sektör düzenlemelerine ve şirketin risk profiline göre değişebilse de en az 1 yıl olmalıdır.

Simülasyon/testler (aka "çalışır bence")

Yeterli görünürlük sağlandıktan ve bunları merkezi olarak aranabilir kıldıktan sonra, tespit kurallarının tam ve doğru çalıştığını test edebilmek yine önemli bir madde olarak karşımıza çıkmaktadır. Örneğin winword.exe'den türeyen bir powershell.exe'nin ilgili alarmı tetikleyip tetiklemediği farklı ortamlar için test edilmelidir. False-positive durumlar ve legit kullanımlar not edilmeli ve analistlerin elinin altında tutulmalıdır. Picus, Caldera, Metta, Atomic Red Team vb. ürünler bu amaçla kullanılabilir.

Envanter (aka "normal mi bu durum?")

Mevcut BT altyapısında iş süreçlerine bağlı olarak "normal" durumları bilmeden anormal durumların tespiti pratikte oldukça zor olacaktır. Özellikle oluşan alarmların incelenmesinde... Üstteki örneğe benzer şekilde winword.exe'den powershell.exe process'inin üremesi false-positive'e kapalı ve yüksek güvenilirlikli bir alarmsa da X sunucusunda sabahları çalışan PSEXEC uygulaması yanal yayılım (lateral movement) amaçlı olabileceği gibi, sabahları çalışan bir backup görevi de olabilir. Bu gibi "normal" durumlar her seferinde tekrar tekrar ekiplerle iletişime geçmekten ziyade tespit kurallarından asgari oranda istisna tutulursa, false-positive (hatalı tespit) durumların önüne geçilebilecek ve alarmların güvenilirliği artacaktır. Yine hassas sistemler için false-negative (vakayı tespit edememe) durumlardan kaçınmak için bazı durumlarda bu bilgilerin sadece ortak bir alanda kayıt altına alınması da yeterli olabilir.

Etkin tespit kurguları (aka "bizim kural onu yakalayamamış")

Farklı tehdit tespiti yöntemleri için doğru kurguları inşaa edebilmek TTM süreçleri için son derece önemlidir.

Tespit kurguları için farklı yaklaşımlar mevcuttur;

1) Anomali tespiti: Makine öğrenmesi, eşik-değerleme ya da benzeri yöntemlere öğrenilen "normal" durumlardan sapmayı tespitte kullanan yöntemdir (günlük ortalama outbound DNS trafiği 100 MB iken, ayın 3'ünde 10 GB olursa vb.)

2) Davranış tespiti: Saldırının tekil göstergelerinden çok total davranışına odaklanan tespit metodudur. Saldırgana ait ardışık davranışların seçenekli olarak takip edilerek alarm üretilmesi esasına dayanır. Ölçeklenebilirliği ve değişken durumlara adaptasyonu temel başarı faktörlerindendir. Geleneksel SIEM dünyasındaki "korelasyon" kavramına en yakın ifade olarak da ele alınabilir. "X kullanıcısı Z lokasyonundan VPN yaptı, ardından Y user'ını oluşturdu ve M isimli dosyayı indirerek çalıştırdı" gibi esnek ve ardışık aşamalardan oluşan senaryoları kapsar.

3) Konfigürasyon analizi: Sistem bileşenlerinin bilinenin dışında davranış göstermesiyle oluşan alarmları ifade eder. örneğin; sadece 443 ile hizmet veren X sunucusundan LISTEN modda ayağa kalkan 4444 port'u vb. durumların tespiti esasına dayanır.

4) Gösterge eşleşmesi: Tehdit istihbaratı kaynaklarından gelen IP, domain, hash, URL'ler ile sistemde izlenen logların eşleşmesiyle oluşan tespit kurallarıdır. Pyramid of Pain modelinde bahsedildiği üzere bazı veri tipleri için hassasiyet yüksekken bazıları için daha az değişkendir ve dolayısıyla daha doğru tespitlere imkan tanır. Örneğin bir saldırgan grubunun bir zararlı implantına ait hash'i değiştirmesi kolayken, C&C için kullandığı domain bilgisini değiştirmesi daha zor olacaktır. "Pyramid of Pain" modelinde yukarı basamaklara çıkıldıkça bu anlamda daha doğru tespitler mümkündür.

Süreçler ve otomasyon (aka "bu iş sürekli yapılmaz")

Alarmın üretilmesi kadar gelen alarmın zenginleştirilerek analize hazır hale getirilmesi TTM süreçlerinde kritik başarı faktörlerinden birisidir. Gerek false-positive azaltma gerek incelemelerin bütünlüğünü ve doğruluğunu arttırma amaçlı yapılabilecek otomasyon çalışmaları ekiplere oldukça fazla vakit kazandırabilmektedir.

Örnek olarak aşağıdaki senaryoyu ele alalım;

Tehdit istihbaratından elde edilen ve takibi yapılan -zararlı olduğu bilgisi güncel ve riski 9/10- bir domain ile -periyodik olarak- iletişim kuran bir istemcide, kanıt toplama işi, alarm gelir gelmez, analistten bağımsız olarak başlayıp case'e ek yapılarak, case inceleme kuyruğuna alınabilir. Bu sayede müdahale süreçleri başladığında kanıt toplama için ekstra zaman harcanmaz.

Burada temel gereksinim ekip içinde yer alması beklenen temel programlama/scripting kültürüdür. Zira bu çalışmalar tek seferlik değil, ihtiyaç çıktıkça süreklilik gerektiren (günlük) işlerdir.

Ortak bir dil (aka "bu TTP'ler farklı gibi?")

Özellikle tespit kuralları yazılırken hangi saldırgan grubunun hangi teknik & taktikleri (TTP) ve hangi zararlı yazılımları kullandığı bilgisi doğru müdahale kurguları için faydalı olacaktır. Amerika merkezli MITRE kuruluşu bu amaçla saldırgan gruplarını açık istihbarat raporlarından okuyup & analiz ederek ATT&CK çatısını oluşturmuştur. Ekipler, tespit kurallarının kapsayıcılığını puanlarken & iyileştirirken bu çatıdan faydalanabilir.

Örneğin

APT1 grubunun sızdığı sistemlerde yatay yayılım taktiği için Pass The Hash tekniğini kullandığı bu sayfadan öğrenilebilir; https://attack.mitre.org/techniques/T1075/

Eğer APT1'in hedeflediği sektörler arasındaysanız bu faaliyetlerin tespiti için doğru loglama ve alarm kurgularını oluşturmanız beklenir.

Eğitim ve Personel (aka "Eğitim mi? İnternete bak, vardır o")

Şahsi görüşüm, siber saldırılarla mücadele için ne yapacağını bilen, doğru iyileştirme önerilerini öne çıkaran ve bunların yapılmasını sağlayan -bütçe yoksa bunları ücretsiz alternatifleriyle kurgulayabilecek- ve en az -bir scripting dili -Ruby, Perl, Python, bash- bilen yetkin insan kaynağı hem teknoloji hem de süreçlerden daha önemlidir. Bu sebeple TTM'nin belki de en önemli maddesi eğitimli ve adanmış personeldir.

Referanslar

The Four Types of Threat Detection, Dragos Inc. http://www.dragos.com

MITRE ATT&CK, https://attack.mitre.org/

The Practice of Network Security Monitoring, Nostarch Press

The Pyramid of Pain, David Bianco, http://detect-respond.blogspot.com

Furkan ÇALIŞKAN

Read more posts by this author.