SIEM Korelasyon Karmaşasına Farklı Bir Bakış Açısı

Siem korelasyon kuralları dendiği zaman herkesin aklında bambaşka şeyler uyandığı konusuna çok kere şahit oldum. Aslında çok fazla şeyi düşünerek çok mu fazla mükemmeliyetçi bir anlayışa sahibiz ? Yoksa çok basit düşünerek çok mu hafife almış oluruz ?
Bu yazımda bu konu hakkında elimden geldiğince korelasyonun ne işe yarayacağını hatta ihtiyaç olup olmadığını hemen ardından da "ne kadar karmaşıksa o kadar iyidir" anlayışını inceleyeceğim
5651 yasası çıktığı günden beri ülkemizde herkes loglarını yönetmek hatta üzerinde belirli raporları çekerek analizler yapmak istemektedir. Elbette hangi BT yöneticisi daha okunabilir bir sistem istemez ?  
Hemen ardından teknolojik gelişmeler ile birlikte SIM ve SEM varlıkları, bunların ne olduklarını öğrenemeden bir de SIEM diye birşey varmış hengamesi ile kafalar karıştı ve birçok kurum/kuruluş ve insan için işler içinden çıkılamaz bir hale geldi. Elbette "SIEM nedir?" gibi bir konuya girerek dikkat dağıtmak istemem. Bu yazıya bir şekilde ulaştıysanız zaten artık bu cevaba sahip olduğunuzu kabul ediyorum.
Gelelim asıl konumuza. Biz bu yazıyı okuyacağız da ne olacak?
Hemen izah etmeye çalışayım. Aslında çok karmaşık bir korelasyonla mükemmel korumaya veya mükemmel analize gidilip gidilemeyeceği ve erken uyarının önemi konusunda hep birlikte düşünmeye sevk olacağız. 
SIEM analistleri, uzmanları, danışmanları vs. yazdıkları korelasyona ya da filtreye göre kalkacak bayrakları beklerler. Çok adımlı gelişmiş korelasyonların false/pozitive üretmeyeceğinden/az üreteceğinden dem vurarak kendilerine zihin aldatmacası yaparlar. Pekala saldırgan ya sizin belirlediğiniz muhteşem adımları takip etmeyip Kill Chain’in farklı bir patikasında ilerlerse? Ya da bütün adımları takip edip atağı sonlandıran adımdan sonra haberiniz olacağı gerçeğini nereye koymalıyız?
Tüm bu karmaşanın yerine erkenden haber verebilecek basit, belirli patikaları içeren kurallar yazılması, muhteşem derinlikli senaryolar yerine kurumun ihtiyacına ve davranışına göre belirlenmiş sorgular ile performans arttırılması ve bu kadar ayrıntıya harcanacak belki de hiç tetiklenmeyecek bir sorgu yerine, zamanın false/pozitive ayıklamaya harcanması tüm bu yazılanlardan sonra, size de mantıklı gelmiyor mu?
Elbette konu iki uçlu ve tartışmaya açık. Doğrusu budur bunu yapmak lazım denebilecek bir konu değil. Ancak kendi açımdan tartışmaya ve denemeye değer bulduğum bir başlığı sizlerle paylaşmaktan keyif aldım. Umarım okuması da yazması kadar keyifli olur.  
Herkese selam ve saygı...

Kaynak:

Başlık resmi : https://digitalguardian.com/blog/what-event-correlation-examples-benefits-and-more

Güvenlikte Kariyer Yapmak Üzerine Notlar...

Güvenlik dünyasına giriş yapmak isteyen herkes belli bir tutkunun esiri olmuş şekilde heyecanla ne yapacağına karar vermeye çalışır. İzlediği film ve dizilerin, belki okuduğu kitapların ya da anlatılan efsanelerin gölgesinde "hack yapacağım, hacker olacağım." gibi kendisi için büyük insanlık için küçük hayaller kurar, sonrasında para kazanıp, hayatını idare ettirebilmek için ya "pentester" olur ya da "security researcher". En azından benim oturduğum yerden böyle görünüyor.
Herkes efsane olmanın, birden inanılmaz bir yükselişe imza atmanın peşinde. Herkes linkedin profiline bir an önce başında "C" bulunan ya da en azından sonunda "researcher" yazan bir ünvan ekleme peşinde. Ama hiçbirini gerçekten hayal etmemiş, arzulamamış birisi olarak yazıyorum: Doğru yolun bu olma ihtimali tamamen şansa bağlı...

Güvenlik dünyasında kariyer başlangıcı birbirinden bağımsız bir sürü şekilde yapılabilir. Üniversite, sertifika, kişisel merak, şans vs... Ama sonuç olarak gelinen yer bir bilgisayarın başında belki bir siyah ekran, belki de analizlerin yer aldığı süslü arayüzler.

Günümüz güvenlik dünyası genel hatları ile 2'ye ayrılıyor.

1. Ofansif güvenlik
2. Defansif güvenlik

Yeni mezun arkadaşlar heyecanla ofansif güvenliğe gönül verip çalışırken, ülkemizde vizyon,misyon meseleleri, konuların yeterince anlaşılıp güvenliğin hakettiği değeri görmemesi, regülasyon boşlukları sebebi ile çalışmalarının sonunda kendilerini bir içerik filtreleme ya da güvenlik duvarının başında buluyorlar. Hayaller ofansif, gerçekler defansif durumu bazı istisnalar dışında tazeleğini hala koruyor yani. 

Bu cendereden birkaç yıl içinde kurtulup kendi kariyer hedeflerine yavaş yavaş ulaşmaya başlayanlar ise ayakları yere daha sağlam basan hayaller kurup peşinden gidiyorlar. Güvenlik dünyasını işte bu insanlar kurtaracak. Benim de hikayem başı benzemese de aşağı yukarı böyle gelişen ve ayakları yere basan hayalleri yeni yeni kurduğum bir dönemde seyrediyor. 

Artık tarafımı biliyorum, çalışmalarımı belirli konulara yoğunlaştırarak uzmanlaşmaya ve daha da iyi olmak için çalışmaya devam ediyorum. 

Her yeni başlayan muhakkak birkaç kör kurşun atacaktır. Ama en sonunda biraz tecrübe ile doğru hedefi bulacağı bir atışı olacak ve kariyerini şekillendirecektir. 

Önemli olan nerede, nasıl başlandığı değil hatta sonuç bile değil, gidiş yoludur. 

Bu engebeli arazide benimle beraber bir şekilde yol alan, önden gidip bana yol açan tüm dostlara selam olsun.

SIEM Nedir ve Bileşenleri Nelerdir?

SIEM uzun adı ile; Security information and event management.

Güvenlik olay yönetimi olarak Türkçe'leştirebileceğimiz, ağ ve bilgi güvenliği alanında kurumlara kuşbakışı bir takip mekanizması sunan araçları basitçe SIEM olarak tanımlarız.

Dünya çapında birçok firma bu işi yapmakta ve yapabildiğini iddia etmektedir.

SIEM ülkemizde en çok log yönetimi ile karıştırılmakta ve 5651 no'lu yasanın bir gereği olarak düşünülmektedir. Halbuki bu olay bir yarış atını tarla işlerinde kullanmaktan farksızdır. Yeteneklerini kurumsal anlamda güvenliğe birebir dahil olacak şekilde kullanmak biz güvenlik çalışanlarına büyük kolaylık sağlayacaktır.

Bu ufak girizgahtan sonra SIEM neler yapabilir sorusunun cevabını birlikte bulalım.

SIEM Neler Yapabilir?

• Sistemlerden logları toplar ve belirtilen tarihe kadar üzerinde saklar
• Topladığı logları alanlarına ayırarak anlamlı hale getirir. 
• Anlamlı hale gelmiş logları belli bir modelde birleştirerek elindeki veriyi zenginleştirir. 
• Bu verileri korelasyon kuralları ile istatistiksel olarak takip eder ve tanımlanan anomali durumlarında bayrak kaldırarak güvenlikçileri uyarır
• Belirtilen zamanlarda raporlar sunarak ağınız ve veriniz hakkında normal sınırları(baseline) çizebilmenizde yardımcı olur. 
• Başka kaynaklardan besleme alarak dinamik bir atak vektörü oluşturur ve uyarılarını yapar. 
• İleri seviyeleri için davranışsal analizler ve makina öğrenmesi gibi araçlarla daha kapsamlı güvenlik denetim faaliyetlerini yürütebilir 
• Olay müdahelede, ilk adımı olayı tespit ederek SIEM atar. 

SIEM Bileşenleri

1. Veri Toplama

Siem ürünleri logları toplar ve üzerinde belirtilen tarihe kadar kayıtlı olarak tutar. Log toplama işi ajanlıve ajansız(ajansız toplama için syslog ve wmi gibi araçlarla) olarak yapılmaktadır.

2. İşleme ve Normalizasyon

Toplanan loglar alanlarına göre ayrılır (genelde parse etmek olarak günlük hayatta kullanılır.). Parse etme işlemi tamamlandıktan sonra bir hareket için gelen bir sürü logu sadeleştirme/birleştirme işlemi yapılır(Aggregation dedikleri). Bu şekilde işlenmiş loglar kategorilerine göre ayırılıp birlikte analiz edilebilsin diye SIEM ürünümüz bunlar üzerinde normalizasyon işlemi yapar. 

Normalizasyon işlemi ile ilgili daha sonra kapsamlı makaleler yazmayı planlıyorum. Ancak her SIEM ürününün kullandığı bir normalizasyon metodu var. Ve bu metoda göre işlem yapılır. 

Normalizasyon işlemi için basit bir örnek vermek gerekirse;

Güvenlik duvarından kullanıcı adı için user_name alanı geliyor 

Active Directory'den kullanıcı adı için sAMAccountName alanı geliyor. 

Bu iki alanı usr_name adı altında yeni bir takma alan adı ile karşılıyor ve usr_name araması yapıldığında o kullanıcının sistem üzerindeki tüm hareketlerine erişebiliyoruz.

3. Korelasyon

SIEM'i SIEM yapan belki de en önemli özellik. Dinamik arama yapabilme özelliği de diyebiliriz. Yani bir sürü kaynaktan gelen loglar üzerinde analiz işlemi yapıp herhangi bir tanımlı olay örgüsüne(use case) göre arama yapma işlemidir korelasyon. 

Bir olay örgüsü örneği;

"Bir kullanıcı birbirinden farklı makinelere 1 dakika içinde 5 kez bağlantı isteği gönderdiyse alarm üret."

4. Alarm Üretme

Yukarıda anlatmaya çalıştığım senaryolara göre yazılan sorgular sonucunda 1 değeri dönerse sistem alarm üretecek ve olay bulgusu raporu çıkartacaktır. Buna incident detection da deniyor. 

Alarm üretme yalnızca korelasyon kuralının çıktısı değildir her arama için alarm üretilebilir. Üretilen alarmları önceliklendirmek de (prioritization) yine bu aşamada yapılabilir. Bu işlem varlıklarınızın risk değerlendirmesine göre sizin tarafınızdan ya da SIEM'in öğrenmesi gibi yöntemlerle yapılabilir.

5. Görselleştirme ve Sunum

Sürecin sonunda bir soruşturma olacaktır. Bu soruşturmanın daha rahat anlaşılabilmesi ve okunabilir çıktılar verebilmesi için bu aşamada işlemlere tabi tutulur. Bu başlık altında akla gelecek terim dashboard'dur.

Öğrendiklerim ve tecrübe edindiklerimin ışığında parmaklarım el verdiğince SIEM'i anlatmaya çalıştım. Umarım yararlı olur. 

KAYNAKLAR:

https://www.linkedin.com/pulse/1-siem-nedir-2-neden-al%C4%B1n%C4%B1r-episode-1-evren-pazoglu/

Dr. Ertuğrul AKBAŞ muhtelif yayınlar

SIEM'i Adam Akıllı Devreye Alamadık" Diyenler İçin Yol Haritası

Arama motorloarından bir şekilde bu yazıya ulaştıysanız şunu söyleyeyim ben de sizden biriyim. Her işe başlamadan önce, yapılacak işlerin ve atılacak adımların yol haritasının olduğu bir kaynak ararım. Bulamayınca da kendi yöntemlerimle çözmeye çalışırım.

SIEM konusu da işte bu işlerden birisi. Hakkında çok fazla döküman var ve bu fazlalık aslında bir belirsizliğe kapı aralıyor. Hatta döküman okumaktan iş yapmaya fırsat kalmayabiliyor. O kadar çok yani. Herkesin(artık benim de) konu ile ilgili ucundan kıyısından ya da tam ortasından kaleme aldığı birşeyler var.

Ben de uzunca bir süre SIEM ile ilgili döküman okuma işlerine daldım. Okuduk, okuduk ama sonuca varamadık. SIEM ürününü log yönetimi olarak kullanmayı da kendimize yediremedik açıkçası. Ama bir yerlerden başlanmalıydı ve öyle de oldu.

Yazının geri kalan kısmının %80+'sı tecrübeyle sabit, gerisi ise hayal gücümün ürünüdür. Yazının içinde çok fazla teknik detaylarla ve kavram kargaşaları ile kafa karıştırmamak için olabildiğince yalın ve yüzeysel değinmeye çalıştım.

Make SIEM Great again!

İşe Yarar Bir SIEM Kurmanın Adımları

FAZ 1: En Azından Bir Log Management Sistemi Olsun

Bu faz ürünü temel bileşenleri ile kurup devreye alma işlerini kapsıyor.

Log Toplama: Log alacağımız kaynaklardan logları toplamak elbette en önemli ve hammaliye iş. Nelerdir bu loglar;

• Kimliklendirme Logları (Authentication)
• Windows, MacOS, Linux/UNIX yönetimsel işletim sistemi logları (OS Logs)
• Firewall
• VPN
• Antimalware
• Dosya ve Klasör işlemlerinin logları (audit)
• Kurumsal uygulamaların logları(hem servis hem de uygulama yazanların tavsiyeleri ile alınan loglar. IIS, apache vb. burada işlenmeli)
• Veritabanı işlemlerinin logları(audit)... (Veritabanı yöneticiniz yeterince gıcık biri değilse)
• Network cihazlarının logları
• Eğer iyi konumlandırıldı ve aktif kullanılıyorsa IPS (Eğer IPS iyi ayarlanamadı ise tam bir log üretecine döndüğünü ve işimizi zorlaştıracağını bilmeliyiz.)
• Ağ akışları(Netflow/sflow)
• Zaafiyet Tarama Logları (Aynı zamanda basit düzeyde asset management için de kullanılabilir.)
• Bir çırpıda aklıma gelen ve siem'inize dahil etmenizi tavsiye edeceğim kaynaklar bunlar.

Sadeleştirme: Tüm bu kaynaklardan logları toplayabildiğimiz anda elimizde artık bir log yönetimi sistemi var demektir. Ancak işimiz henüz bitmedi. Gelen logların yoğunluğu ne olacak peki? İşte burada SIEM'in kritik süreçlerinden birisi olan parse etme ve sadeleştirme kısımları var. İşte burada herşeyden emin değilsek okumalara tekrar başlamalı ve hangi logların işimize yarayıp hangilerinin yaramayacağını öğrenmeli, bu logları belli bir formata göre parse etmeli ve SIEM için okunabilir, işlenebilir kılmalıyız. Burası detaylı ve yorucu bir kısım olduğu için size kolay gelsin. Eğer bu yol haritasını kullanıyorsanız bu aşamayı geçtikten sonra yazının devamını okuyunuz :)

Kullanılan Ürün'ün Kendi Korelasyon Kurallarını Devreye Alma: Bu adım hem çalışmaların meyvelerini ilk defa toplamak için hem de motivasyon açısından çok güzel bir adımdır. Artık biz de korelasyon yapıyoruz diye ortalarda gezinebilirsiniz, hayırlı olsun :)

Ürünün kendi içinde size sunduğu korelasyon kurallarını aktif hale getirip false-pozitif'leri elemeye burada başlamalıyız. Bu adımda kazancımız sadece korelasyon değil, aynı zamanda sorgu yazma, false pozitif eleme, veriyi zenginleştirme vs. gibi teknik detaylar konusunda da tecrübe kazanmaya başlamak olacaktır.

FAZ-2: SIEM'in fantastik dünyasına hoşgeldiniz.

Artık burada hiçbir konuda sınır tanımama hatta paranoya ataklarına hazır olmalıyız. Elbette bu aşamada artık daha fazla oku daha fazla öğren mottosu takip edilmeli. Çünkü büyük SIEM evrenin bir toz zerreceği ile iş yapmak olanaksız.

Önce use case nasıl tanımlanır. Bu konuda nerelerden beslenmeliyim sorusunu sorup cevabını araştırmaya başlamalıyız.

Tanımladığımız use case'ler için sorgu yazabilme yeteneğine sahip olmalı, gelen sonuçları anlamlandırabilmeliyiz.

Farklı kaynaklardan beslemeler alarak atak vektörlerini takip eden hareketleri farkedebilir hale gelmeliyiz(threat intelligence dedikleri)

Buraya kadar geldiysek artık bundan sonrası hayal gücünüze bağlı; davranışsal analizler mi dersiniz, kişi ve varlık risk puanlamaları mı dersiniz, artık Allah ne verdiyse....

Umarım keyifli ve faydalı bir yazı olmuştur.

İLERİ DÜZEY KALICI TEHDİT SALDIRILARI -BİLİNEN ADIYLA "APT(ADVANCED PERSISTENT THREATS)"

Sektöre yakınsanız mutlaka duymuşsunuzdur bu terimi ya da işin içindeyseniz, başınıza gelmese bile büyük ihtimalle rüyalarınıza girip uykularınızı kaçırmıştır.

Birçok Türkçe karşılık mevcut APT terimi için. Herkes kendisine göre en iyi ifade eden terimi bulup/oluşturup kullanmış. Konu ile ilgili yazıyı hazırlarken benim bir yerlerde görüp en beğendiğim terim ise başlıkta da yazdığım gibi İLERİ DÜZEY KALICI TEHDİT.

İyi de nedir bu ileri düzey kalıcı tehdit denen yaygın olarak da apt olarak kullanılan terim, bize neyi anlatır? -El cevap: çaresizliği…  :)

Bir siber tehdit nasıl olur da hem ileri düzey hem de kalıcı olabilir?

-işte şöyle:

Önce çok özlediğimiz wikipedia anlaşılabilirliği ile başlayalım;

Advanced: Gelişmiş, ileri düzey anlamına gelmekte.

Persistent: Tekrar eden, yineleyen

Threat: Zaten tehdit. Bunu biliyoruz.

Biraz daha dibe…

İleri Düzey Olma Durumu:

Bir tehditin ileri düzey olabilmesi için ya da bu şekilde tanımlanabilmesi için bilinen habis yazılım(bu terimi sanıyorum Engür Pişirici’nin kullandığına şahit olmuştum, bana göre de doğru çeviri) yani bilinen adıyla malware’lardan herhangi birini kullanmamış olması gerekmekte. Bunu nasıl yapar diye düşünürsek de sıfırıncı gün açıkları (yani diyor ki zero-day vulns.) kullanıyor olması gerekir. Okuduğum kaynaklarda yine tartışmalı ifadeler mevcut ama, adını kaynaklar kısmında yazacağım kaynaklar, genelde böyle nitlendiriyor. Zaten dışarıdan bir gözle bakıldığında da mantığınız size bilinen bir açıklığın elbette yaması olması gerektiğini ve ne kadar gelişmiş olabileceğini sorgulatacaktır.

Kalıcı Olma Durumu:

Bir tehditin kalıcı olabilmesi için yine yaygın kullanılarn APT çevirilerinden biri olan Hedef Odaklı Saldırı başlığını biraz incelemek gerekir ki bu çevirinin temeli tehditin kalıcılığına vurgu yapmaktadır. Yani tehdit belli bir hedefe yöneliktir ve o hedefe ulaşana kadar sistemde çalışacaktır. Bu bir ticari casusluk olabilir veya finansal bir sızdırma olabilir. Amaçladığı her neyse bütüne ulaşmadan çalışması sonlanmayacaktır. Hatta ulaşsa bile sonlanacağı düşünülmemelidir. Bu saldırı, bilinen işletim sistemi bileşenlerini(svchost.exe vs.) veya bilinen uygulamaları(flash, chrome vs.) hatta bilinen tcp/ip portlarını(443 mesela), bunun yanında kullanabileceği bütün bilinen zımbırtıları maske olarak kullanıp kendini gizleyecektir. Dolayısıyla kullanıcı şüpheye düşse bile farketmek için oldukça derine, en derine inmesi gerekecek en sonunda boğulmayı göze alamayıp boşverecektir.  

Tehdit Olma Durumu:

İleri düzey bir siber tehditin en belirgin özelliği nedir diye sorunca, saldırıyı gerçekleştiren ekibin bilgili, finanse edilmiş(her zaman değil), belli bir motivasyona sahip olması beklenir. Yeteneklerini ve kaynaklarını sabırlı bir şekilde kullanır ve hedeflediği bilgiyi elde etmek için uğraşıp, didinir. Neden mi? El cevap: Çünkü bilgi güçtür ve bilgiye sahip olan ve kontrol eden güçlüdür(Anonim, Çağdaş Amerikan Edebiyatı :) )

Klasik bir APT saldırısının Adımları:

1. Hedefleme(Targeting): Saldırganlar hedefleri ile ilgili açık veya kapalı bütün kaynaklardan bilgi toplar ve erişim sağlamaya yarayacak metodları test eder. Bu bilgi toplama zaafiyet taraması, sosyal mühendislik ve oltalama gibi tekniklerle gerçekleşir.
2. Erişim(Access): Saldırganlar bu fazda ilk gediği bulur ve sistemleri sömürmek için en verimli ve uygun metodları tanımlarlar. Hedefe giderken kullanılacak en uygun hesaplar veya konak bilgileri bu fazda belirlenir.
3. Keşif (Reconnaisance): Bir şekilde açılan gedikten içeri giren saldırganlar ağ paylaşımları, ağ mimarisi, domain bilgileri ve diğer sistemleri veya uygulamaları ve bağlı hesapları ele geçirmek için çalışmaya başlar. Saldırganlar bu aşamada kendilerini gizlemek için kayıtları kapatma veya antivirus durdurma gibi işlemlere girişebilir. Bu da IoC olarak bilinen atak izlerini toplamak için kullanılabilir.
4. Yatay Hareket/Yayılma(Lateral Movement): Muhtemelen elde edilen hesaplar hedefe gitmek için yeterli olmayacak ve saldırganlar ağın her bölgesine erişim sağlayabilmek için gereken çalışmaları bu aşamada yapacaktır. Saldırganlar bu adımda kullandıkları birçok habis yazılımın dışında, komut satırı, Windows Terminal Services, VNC ve benzeri birçok bilinen uygulamayı da kullanırlar. Aynı zamanda kurdukları habis yazılımlarla açılan gediklerden birisi kapansa bile bir diğeri ile komuta kontrol merkeziyle bağlantıda kalmayı hedeflemektedirler.
5. Bilgi Toplama ve Dışarı Sızdırma(Data Collection and Exfiltration): Saldırganlar artık hedefledikleri bilgilere ulaştı. Şimdi bunları dışarı çıkartma zamanı. Bilgiyi sızdırırken yapılan işlemleri karartma adına VPN, proxy, özelleştirilmiş şifreleme gibi teknikler kullanılmakta bu da sonuç hesaplama kısmında işleri biraz daha zorlaştırmaktadır. Saldırgan veriyi hızlı ya da yavaş bir şekilde dışarı aktarabilir bu tamamen saldırganın insiyatifinde olan bir durumdur. Saldırdığı kurbanın kendisini farketme yeteneğini değerlendirir ve ona göre hareket eder.
6. Yönetim ve Bakım(Administration and maintenance): Hadi canım saldırının da bakımı mı olurmuş demeyin. Adamlar bir sürü gedik açtı, hesap elde etti. APT’nin en belirgin özelliklerinden birisi sistemde devamlılığını sürdürmektir. Burada hedef sistem içindeki en ufak değişiklikte kendilerine haber verecek habis yazılımlarla haberdar olur ve mevcudiyetlerini devam ettirmek için gerekli düzeltmeleri yaparlar. Ve sömürü devam eder.

Çözümü Var mı?

İleri düzey kalıcı tehditlerin geçtiğimiz yıllarda birçok özel veya devlet kurumundan bilgi sızdırdığı artık bilinen bir gerçek. Mücadele etmenin yolları var ama önüne geçmek mümkün mü? Bana sorarsanız -YYYaaaaaniiiii- diye belli belirsiz ve çekingen bir cevap veririm, en azından ticari bir kaygı taşımıyorken :)

Bütün bunların yanı sıra her siber güvenlik etkinliğinde duyduğumuz, uzmanların mottosu olan “güvenliğin en zayıf halkası insandır” gerçeğine çıkıyor bütün yollar. Dolayısı ile en zayıf halkaları güçlendirmek bu tip ileri düzey saldırılara karşı alınması gereken en büyük önlem oluyor bir anda. İnsan gerçekten hayret ediyor, bu yazı nasıl buraya geldi diye…

Her neyse çözümsüz değiliz. Alınabilecek bütün önlemlerin yanı sıra proaktif olmak zorundayız. Çalışmaya ilk başladığım şirkette “proaktif yaklaşım” moda bir tabirdi. O günden beri proaktif deyince aklıma SIEM gelir ki; SIEM, UEBA, Threat Intelligence gibi araçlar anormal durumları tespit etmek ve erkenden müdahele için hayati önem taşıyor. Ne derler bilirsiniz, “erken müdahele hayat kurtarır”. Umarım herşey olup bittikten sonra saldırının derinliklerini araştırmak için SIEM’e gönderilen loglar üzerinde çalışmak zorunda kalmayız. 

MASAL TADINDA BİR İNCELEME

Aurora Operasyonu:

Aurora operasyonu 2009 yılında Amerikan savunma ve teknoloji sektörlerini hedef almış. Google, Juniper, Adobe ve bir sürü tanınmış şirket bu saldırıya kurban gitmiş. Saldırı başladıktan yaklaşık 6 ay sonra farkedilebilmiş.

Saldırganlar kurbanlarının kullanıcılarına yemleme e-postaları atarak işe başlamışlar. Bu e-postalardaki bağlantıya tıklandığı zaman Tayvan üzerinden yayın yapan ve şüpheli JavaScript’ler bulunan bir siteye gidiyormuş. Gel zaman git zaman kullanıcılar bu bağlantıdaki adrese tıklamış durmuşlar. Daha sonra kötü niyetli saldırganlar Internet Explorer’ın bir açıklığından bu JavaScript ile yararlanmışlar. Ne hikmetse! bu JavaScript hiçbir antivirus imzasına takılmamış ve kötü niyetli saldırganlara bir gedik açarak onlara uzak yönetim aracı (RAT) sunmuş. Onlar da en güvenli protokol olan! SSL üzerinden haberleşmeye başlamış.

Böylelikle kötü niyetli kullanıcılar hedefledikleri ağlarda yayılmışlar, Aktif dizin hesapları mı dersiniz, ticari sırlar ve fikri mülkler barındıran dosyalar barındıran ağ paylaşımları mı dersiniz atlarını sistemler üzerinde bir o yana, bir bu yana koşturmuşlar. Bu arada da boş durmayıp gördükleri değerli bilgileri birkaç ay boyunca dışarı sızdırmışlar. Bu saldırı da elbette uzmanlar farkedilince son bulmuş ama giden gitmiş ne çare….

Saldırganlar ermiş muradına biz çıkalım kerevetine…  

Su yüzeyi...

Yazıyı yazdığım için okuması keyifli mi değil mi bilemedim. Ben yazarken çok keyif aldım. İleri Düzey Kalıcı Tehdit (APT) konusunda biraz araştırma ve öğrenme fırsatı da buldum. Hazır yazmışken belki içinde bulunduğum sektöre de bir faydam bulunur diye paylaşayım dedim.

Umarım okuması keyifli ve yararlı bir yazı olmuştur.

Ayrıca bu yazı linkedin profilimde de yayınlanmıştır

Kaynaklar:

https://www.amazon.com/Reverse-Deception-Organized-Threat-Counter-Exploitation/dp/0071772499

https://www.amazon.com/Hacking-Exposed-Network-Security-Solutions/dp/0071780289

http://www.thesecurityadvocate.com/2013/10/21/advanced-persistent-threats-what-are-they-how-do-they-work/