Siber güvenlik tehditleri, günümüzün birbirine bağlı dünyasında sürekli mevcut bir tehlikedir ve en sinsi ihlal türlerinden biri, bilgisayar korsanlarının bir bilgisayar ağına erişim kazanmasını ve uzun süre tespit edilmemeyi içermektedir. Genellikle “gelişmiş kalıcı tehditler” (APT’ler), ağlara sızan, hassas verileri çalarken, kötü amaçlı yazılımlar dağıtırlar veya diğer hasar biçimlerine neden olurlar. Ağınızda oturan bilgisayar korsanlarını tanımlamak, uzun vadeli zararı azaltmak ve veri kaybını önlemek için çok önemlidir.
Peki, bu gizli saldırganları nasıl tanımlayabilirsiniz? İşte dikkate alınması gereken bazı stratejiler ve işaretler:
1. Olağandışı ağ trafiğini izleyin
Bilgisayar korsanları genellikle veri açığa çıkmasını gerektirir ve işleri radarın altında tutmaya çalışsa da, olağandışı veya açıklanamayan ağ trafiği genellikle bir anlatı işaretidir. Bir göz atın:
• Giden Trafik Çivileri: Bu, harici bir sunucuya gönderildiğini gösterebilir.
• Olağandışı faaliyet zamanları: Ağ etkinliği garip saatlerde zirve yaparsa (özellikle çoğu çalışan çalışmadığında), sessizce çalışan bir saldırgan olabilir.
• Bilinmeyen harici IP’lerle iletişim: Şirketinize ait olmayan veya meşru amacı olmayan harici IP adresleri veya alanlarla iletişim arayın.
Uç: Şüpheli trafik modellerini otomatik olarak işaretlemek için Snort veya Suricata gibi bir ağ saldırı algılama sistemi (NID’ler) kullanın.
2. Olağandışı kullanıcı davranışını arayın
Bilgisayar korsanları meşru kullanıcıları taklit ederek karışmaya çalışabilir. Bununla birlikte, her zaman anormal davranış belirtileri vardır:
• Açıklanamayan giriş süreleri: Olağandışı zamanlarda (sabahları veya hafta sonları gibi) girişler, özellikle şirketin olağan operasyonları dışındaki yerlerden kaynaklanıyorsa kırmızı bir bayrak olabilir.
• Kısıtlı dosyalara erişme: Çalışanlar veya kullanıcılar genellikle etkileşime girmedikleri dosyalara veya sistemlere erişiyorsa, bu, meşru kimlik bilgilerini kullanarak bir hacker gösterebilir.
• Birden çok başarısız giriş denemesi: Özellikle ayrıcalıklı hesaplar için tekrarlanan başarısız giriş denemeleri paterni, brute-force saldırısının girişimine işaret edebilir.
Uç: Tarihsel verilere dayalı olarak norm dışı davranışları tespit etmek için Kullanıcı ve Varlık Davranış Analizi (UEBA) sistemlerini kullanın.
3. Yeni veya yetkisiz hesapları kontrol edin
Bilgisayar korsanları, ağınıza daha derin erişim elde etmek için yeni hesaplar oluşturabilir veya ayrıcalıkları artırabilir. Bu genellikle radarın altında uçabilir, özellikle de düşük bir profil korumaya çalışıyorlarsa. İzlenecek işaretler şunları içerir:
• Yeni idari hesaplar: Bilgisayar korsanları, sistemlere uzun vadeli erişimi sağlamak için yetkisiz yönetici hesapları oluşturabilir.
• Kullanıcı izinlerinde değişiklikler: İzinler veya roller açık bir gerekçe olmadan değiştirilirse, kırmızı bir bayraktır.
• Artan ayrıcalıklı hesap etkinliği: Yüksek ayrıcalıklara sahip hesaplara (örneğin, yönetici, süper kullanıcı) beklenmedik bir şekilde erişiliyor.
Uç: Kullanıcı hesaplarını ve izinlerini, özellikle de yüksek ayrıcalıklara sahip olanları düzenli olarak denetleyin.
4. Beklenmedik yazılım kurulumlarını inceleyin
Bilgisayar korsanları genellikle kalıcı erişimi korumak için uzlaşmış sistemlere backdoors, rootkits veya uzaktan erişim araçları (sıçanlar) yükler. Bunlar her zaman antivirüs yazılımı tarafından tespit edilmeyebilir, ancak başka işaretler de vardır:
• Arka planda çalışan yeni, bilinmeyen yazılım: Herhangi bir yetkili programa ait olmayan yazılım veya süreçler kötü niyetli etkinliğin bir göstergesi olabilir.
• Açıklanamayan dosya veya kayıt defteri değişiklikleri: Backdoors, kalıcı erişim sağlamak için genellikle sistem dosyalarında veya kayıt defterinde değişiklikler yapar.
• Beklenmedik uygulamalardan gelen bağlantılar: Uzak masaüstü yazılımı veya terminal hizmetleri gibi araçlar, bilgisayar korsanları tarafından sistemi uzaktan kontrol etmek için kullanılabilir.
Uç: Yetkisiz uygulamaları takip etmek ve olağandışı sistem davranışını izlemek için uç nokta algılama ve yanıt (EDR) araçlarını kullanın.
5. Sistem yavaşlamalarını veya performans sorunlarını kontrol edin
Bilgisayar korsanları tespit edilmemeyi tercih etse de, faaliyetleri sistem performansında kesintilere neden olabilir. Dikkat edin:
• Olağandan daha yavaş sistem performansı: Sistemler aniden durgunlaşırsa, arka planda çalışan kötü amaçlı yazılımların bir işareti olabilir.
• Yüksek CPU veya bellek kullanımı: Kaynak tüketiminde beklenmedik artışlar, madencilik komut dosyalarını, botları veya uzaktan erişim araçlarını çalıştıran bir hacker’ı gösterebilir.
• Olağandışı disk etkinliği: Aşırı disk yazımı, bilgisayar korsanlarının verileri ortaya çıkardığını veya kötü amaçlı yazılımları yaydığını gösterebilir.
Uç: Sistem sağlığı ve performans metriklerini sürekli olarak izlemek için Nagios, Zabbix veya Prometheus gibi sistem izleme araçlarını kullanın.
6. Başarısız veya şüpheli güvenlik uyarılarını araştırın
Bilgisayar korsanları genellikle algılamayı önlemek için güvenlik önlemlerini atlamaya veya günlüğü devre dışı bırakmaya çalışır. Bu nedenle, şunları araştırmalısınız:
• Engelli antivirüs veya güvenlik duvarı uyarıları: Antivirüs yazılımı veya güvenlik duvarları gibi güvenlik önlemleri devre dışı bırakılırsa veya kurcalanırsa, bir bilgisayar korsanının faaliyetlerini tespit edemez hale getirme girişiminin bir uyarı işaretidir.
• Eksik veya değiştirilmiş günlükler: Saldırganlar genellikle parçalarını kapsayacak şekilde sistem günlüklerini siler veya değiştirir. Eksik günlükler veya tutarsız zaman damgaları kötü niyetli etkinlik gösterebilir.
• Değiştirilmiş yapılandırma dosyaları: Güvenlik duvarı kurallarını devre dışı bırakma veya değiştirme gibi güvenlik yapılandırmalarındaki değişiklikler yakından gözden geçirilmelidir.
Uç: Şüpheli günlük anormalliklerini tespit etmek için merkezi günlüğe kaydetme yapın ve Splunk veya Logritm gibi güvenlik bilgileri ve olay yönetimi (SIEM) araçlarını kullanın.
7. Düzenli güvenlik açığı taraması yapın
Bilgisayar korsanları genellikle bir ağa erişmek için sarılmamış sistemlerde bilinen güvenlik açıklarından yararlanır. Düzenli güvenlik açığı değerlendirmeleri, bir saldırgan yapmadan önce potansiyel giriş noktalarını belirlemenize yardımcı olabilir:
• Eski yazılım veya ürün yazılımı: Kritik sistemler bilinen güvenlik açıklarına sahip modası geçmiş sürümler çalışıyorsa, bu bilgisayar korsanları için bir ağ geçidi olabilir.
• Satılmamış güvenlik kusurları: İşletim sistemleri, uygulamalar veya cihazlar için eksik yamalar siber suçlular için açık bir kapı sağlayabilir.
• Yanlış yapılandırılmış sistemler: Açık bağlantı noktaları veya zayıf şifreler gibi zayıf konfigürasyonlar saldırganlar tarafından kullanılabilir.
Uç: Güvenlik açığı taraması için Nessus veya OpenVas gibi otomatik araçları kullanın ve sağlam bir yama yönetim sistemi uygulayın.
8. Tehdit Zekası’nı kullanın
Ağınızı izlemenin yanı sıra, en son siber tehditler ve hacker taktikleri hakkında bilgi sahibi olmak yararlıdır:
• Tehdit yemleri: Yeni güvenlik açıkları, hacker metodolojileri ve aktif saldırı kampanyaları hakkında güncel kalmak için güvenilir kaynaklardan tehdit istihbarat beslemelerini kullanın.
• Endüstri akranlarıyla işbirliği: Tehdit istihbaratını diğer kuruluşlarla paylaşmak, saldırı kalıplarını belirlemeye ve genel savunma duruşunuzu iyileştirmeye yardımcı olabilir.
Uç: TehditConnect ve Anomali gibi platformlar, kuruluşların hacker faaliyetlerini tespit etmek ve azaltmak için tehdit istihbaratından gerçek zamanlı olarak yararlanmasına yardımcı olabilir.
Çözüm
Bilgisayar ağında oturan bilgisayar korsanlarının belirlenmesi, uyanık izleme, düzenli denetimler ve proaktif güvenlik önlemlerini birleştiren çok katmanlı bir yaklaşım gerektirir. Bilgisayar korsanları gizli üzerinde gelişir, bu nedenle onları tespit etmenin anahtarı, sistem davranışını, kullanıcı etkinliğini ve anormallikler için ağ trafiğini sürekli olarak analiz etmektir. Doğru araçları ve stratejileri kullanarak, BT uzmanları önemli hasar verilmeden önce bir ihlali tespit etme olasılığını artırabilir.
Unutmayın, erken tespit kritiktir. Hackerlar bir ağda ne kadar uzun süre kalırsa, daha fazla hasar verebilirler. Proaktif ve uyanık kalın ve her zaman ilk sorun belirtisinde yanıt vermeye hazır olun.
Reklam
LinkedIn Group Bilgi Güvenlik Topluluğumuza katılın!