Siber Tehditleri Nasıl Tespit Edelim?

Siber güvenlik önemli bir konu. Her şirket, her kuruluş potansiyel bir hedef. Siber tehdit ve saldırıların giderek arttığı bilinen bir gerçek. Siber tehditleri tespit için farklı yaklaşımları birlikte kullanmak en iyi sonucu üretecektir. Bu yaklaşımlar:

1. Anomali tespiti:

Makine öğrenmesi: Öğrenilen “normal” durumlardan sapmayı tespitte kullanan yöntemdir. Örnek olarak “İşin gereğinden fazla adette sorgulama yapıldığında uyar ” [1,2,3].

Eşik değerlemesi: Korelasyon kuralı olarak yazılan ve eşik değerleri statik olarak belirlenen yöntemlerle tespit için kullanılan yöntemdir. Örnek: Günlük ortalama outbound DNS trafiği 150 MB iken, 5 GB olursa uyar [4].

2) Davranış tespiti: Saldırının bağımsız adımları yerine toplam saldırı davranışına odaklanan tespit metodudur. Saldırıya ait ardışık davranışların analizi sonucu alarm üretilmesi esasına dayanır. Örnek:

1. Bir kullanıcı arka arkaya 5 dakika içerisinde 2 defa başarısız oturum yapıyor (Neden 3 olmadığı malum!),
2. Sonra aynı kullanıcı ile 3–5 dakika içerisinde başarılı oturum gerçekleştiriliyor.
3. 1–2 dakika içerisinde bu kullanıcıya özel yetkiler (Special privileges ) veriliyor,
4. 5–10 dakika içinde yeni bir kullanıcı oluşturuluyor,
5. 2–3 dakika sonra Security-disabled özelliği aktif yeni bir global grup oluşturuluyor,
6. 2–3 dakika içinde Explorer gibi, psexec gibi gözlenmesi gereken bir process başlıyor,
7. 1–2 dakika içinde “4905: An attempt was made to unregister a security event source” olayı gerçekleşiyor,
8. Hemen sonra 4. adımda oluşturulan kullanıcı aktif ediliyor (Enabled),
9. 2–3 dakika içinde event kategorisi “Object Access ” olan bir olay gerçekleşiyor,
10. Ve kullanıcı oturumu kapatıyor(4679,4634 ,4779).

görüldüğü üzere birbiri ardına adım adım oluşan bir senaryo silsilesi ile bir analiz yapabilir. Bu tür tespitler esnek ve ardışık aşamalardan oluşan senaryoları kapsar [5,6,7,8,9].

3) Referans liste analizi: Sistem bileşenlerinin bilinenin dışında davranış göstermesini tespit eden analiz yöntemidir. Örnek: Sadece 443 portunu kullanan bir hizmetin başka bir portta ayağa kalkması gibi durumların tespiti esasına dayanır [6,7,8].

4) Tehdit istihbaratı: Tehdit istihbaratı kaynaklarından gelen IP, domain, hash, URL’ler ile sistemde izlenen logların eşleşmesiyle oluşan tespit yöntemidir [10].

Referanslar

1. https://medium.com/@eakbas/kvkk-siem-a739fab47e71
2. http://anet-canada.ca/2019/06/21/surelog-siem-and-advanced-threat-analytics-with-machine-learning-ml/
3. https://medium.com/@eakbas/surelog-siem-senaryolar-70023337160e
4. https://medium.com/@eakbas/kvkk-siem-senaryo-ve-kurallar%C4%B1-5fd8f3fe8077
5. https://medium.com/@eakbas/siem-ile-sald%C4%B1r%C4%B1-tespitinin-anatomisi-b44f3a8f4f0d
6. https://www.linkedin.com/pulse/temel-siem-kural-%C3%B6rnekleri-ertugrul-akbas/
7. https://www.linkedin.com/pulse/siem-kural-%C3%B6rnekleri-2-ertugrul-akbas/
8. https://www.linkedin.com/pulse/siem-kural-%C3%B6rnekleri-3-ertugrul-akbas/
9. https://www.slideshare.net/anetertugrul/log-correlation-siem-rule-examples-and-correlation-engine-performance-data
10. https://www.slideshare.net/anetertugrul/threat-intelligence-ve-siem