APT gibi kurumlarda aylarca tespit edilemeden işleyişine devam edebilen gelişmiş saldırıların saptanmasında geleneksel otomatize yöntemlerin yetersiz kalması, profesyonel bir gözle ağda gerçekleşen her türlü etkileşimi gizli tehditler açısından analiz etmeye dayanan tehdit avcılığı yönteminin gelişmesine yol açmıştır. Proaktif güvenlik denetlemesi olarak tanımlanan tehdit avcılığı, saldırı tespit platformlarını atlatan ve normal ağ trafiğinden ayırt edilmesi zor olan potansiyel tehditlerin saptanıp önlenebilmesi için davranışsal analiz ve hipotez kurma gibi teknikleri kullanır. Hipotez kurma yönteminde herhangi bir saldırı senaryosu göz önünde bulundurularak bu saldırının kurumu etkilediği kuramı oluşturulur, test için ilgili veriler ağdan toplanıp analiz edilerek hipotez ispatlanmaya başka bir deyişle tehditin mevcut olup olmadığı anlaşılmaya çalışılır. Tehditin varlığının ispatlanması durumunda tehdit avcıları saldırı kaynağının amaçları ve yöntemleri ile ilgili her türlü bilgiyi toplayıp analiz ederek siber olaylara müdahale ekiplerine bilgi sağlarlar; kurumun güvenlik seviyesinin iyileştirilmesi, mevcut zafiyetlerin kapatılması ve gelecek saldırılarla ilgili öngörüde bulunma gibi işlemler de tehdit avcılarının görevleri arasındadır. Tehdit avcılarının analiz edilecek verileri topladığı kaynaklar arasında tüm güvenlik izleme cihazları, uç noktalar ve SIEM alarmları sayılabilir.
Tehdit Avcılığı Süreç Döngüsü
Devamlı tekrarlayan bir döngü olarak tanımlanan tehdit avcılığı adımlarının verimli bir şekilde işletilmesi, sürecin otomatize edilmesi ve yeni tehditlere odaklanma için büyük önem taşır.
Tehdit avcılığı süreç döngüsünde önemli safhalar:
– Hipotez kurma: Bu süreçte bilişim altyapısında gerçekleşme ihtimali olan bir saldırı senaryosu ile ilgili bir hipotez kurulur. Hipotez seçimi için kurumun sistemleri, servisleri, ağ altyapısı ve karşı karşıya gelebileceği gerçek siber saldırılar göz önünde bulundurulmalıdır. Hipotez seçimine örnek olarak Windows ortamında otomatize veri kaçırma hipotezi seçildiğinde araştırılması gereken şeyler ağla bağlantılı Powershell prosesleri, HTTP PUT metodunun kullanımı ve HTTP User Agent başlıklarında Powershell kullanımı gibi kritik öğeler incelemeye alınmalıdır.
– Araçlar ve teknikler kullanma: Farklı farklı veri kümelerini korelasyon ile bağlantılandıran istatiksel analiz, veri görselleştirme ve makine öğrenmesi yöntemleri hipotezlerin testi aşamasında yararlanılan önemli bileşenlerdir. Özellikle Bağlı Veri Analizi(Linked Data Analysis) hipotez için gerekli bilgiyi anlaşılabilir bir şekilde sunar, ayrıca veri görselleştirme platformlarında arama ve analiz işlemlerini daha fonksiyonel hale getirerek şüpheli paternlerin ve saldırı izlerinin elde edilmesine yardımcı olur.
– Saldırgana ait taktik, teknik ve prosedürlerin tespiti: Tehdit avcısı ikinci aşamada elde ettiği verileri yorumlayıp saldırgana ait taktik, teknik ve prosedürleri (Tactics, Techniques, and Procedures -TTPs) saptayarak karmaşık atak izlerini bu aşamada ortaya çıkarır. Bu safhada atağın bağlantılı TTP göstergelerinin saptanması, kaydedilmesi ve daha geniş atak senaryolarını araştırmak için kullanılması gerekmektedir.
– Analizleri otomatikleştirmek: Tehdit avcılığı sürecinde uygulanan bir tekniğin başarılı olması durumunda bu teknik otomatize edilerek zamanın daha verimli kullanılması ve otomatize analiz araçlarının zenginleştirilmesi sağlanabilir.
Kaynakça
[1] https://sqrrl.com/media/Framework-for-Threat-Hunting-Whitepaper.pdf