Tehdit avcılığı, bir bilgisayar sisteminde veya ağda kötü amaçlı etkinlik ve onun yapıtlarını arama sürecidir. Tehdit avcılığı, tehditlerin otomatik güvenlik çözümleri tarafından keşfedilip keşfedilmediğine bakılmaksızın bir ortamda aralıklı olarak gerçekleştirilir. Bazı tehdit aktörleri, keşfedilen zayıflıklardan yararlanmak için doğru fırsatı beklerken erişimlerini genişleterek bir kuruluşun altyapısında hareketsiz kalabilir.
Bu nedenle, bir ortamdaki kötü niyetli aktörleri tespit etmek ve nihai hedeflerine ulaşmadan onları durdurmak için tehdit avı yapmak önemlidir.
Tehdit avını etkili bir şekilde gerçekleştirmek için, tehdit avcısının olası düşman davranışlarını taklit etmeye yönelik sistematik bir yaklaşımı olmalıdır. Bu düşmanca davranış, devam eden veya geçmişteki kötü amaçlı etkinliği gösteren hangi yapıların aranabileceğini belirler.
GÖNYE ATT&CK
Yıllar geçtikçe, güvenlik topluluğu, tehdit aktörlerinin ağlara sızmak ve ağlar arasında gezinmek, ayrıcalıkları yükseltmek ve gizli verileri sızdırmak için yaygın olarak birçok taktik, teknik ve prosedür (TTP) kullandığını gözlemledi. Bu, tehdit aktörlerinin faaliyetlerini ve yöntemlerini haritalamak için çeşitli çerçevelerin geliştirilmesine yol açmıştır. Bir örnek, MITRE ATT&CK çerçevesidir.
MITRE ATT&CK, MITRE Adversarial Tactics, Techniques, and Common Knowledge (ATT&CK) anlamına gelen bir kısaltmadır. Gerçek dünyadaki tehdit aktörlerinin eylem ve davranışlarının iyi belgelenmiş bir bilgi tabanıdır. MITRE ATT&CK çerçevesi, devam eden bir saldırıyı tanımlayan veya gösteren 14 taktiğe ve birçok tekniğe sahiptir. MITRE, bir düşman tarafından kullanılan taktiğe veya tekniğe atıfta bulunmak için kimlikleri kullanır.
Wazuh birleşik XDR ve SIEM platformu
Wazuh, açık kaynaklı birleşik bir XDR ve SIEM platformudur. Wazuh çözümü, tehdit algılama ve otomatik yanıt için izlenen uç noktalara dağıtılan tek bir evrensel aracıdan oluşur. Ayrıca, Wazuh aracısı tarafından toplanan güvenlik olayları verilerini analiz eden ve görselleştiren merkezi bileşenlere (Wazuh sunucusu, dizin oluşturucu ve pano) sahiptir. Şirket içi ve bulut iş yüklerini korur.
Şekil 1: Wazuh güvenlik olay panosu |
Wazuh ile tehdit avı
Tehdit avcıları, bir ortamdaki kötü amaçlı yapıları aramak için çeşitli araçlar, işlemler ve yöntemler kullanır. Bunlar, güvenlik izleme, dosya bütünlüğü izleme ve uç nokta yapılandırma değerlendirmesi için araçların kullanımını içerir, ancak bunlarla sınırlı değildir.
Wazuh, dosya bütünlüğü izleme, güvenlik yapılandırma değerlendirmesi, tehdit algılama, tehditlere karşı otomatik yanıt ve tehdit istihbaratı beslemeleri sağlayan çözümlerle entegrasyon gibi sağlam yetenekler sunar.
Wazuh MITRE ATT&CK modülü
Wazuh, kullanıma hazır MITRE ATT&CK modülü ve karşılık gelen MITRE teknik kimliklerine göre eşlenen tehdit algılama kuralları ile birlikte gelir. Bu modülün dört bileşeni vardır:
a. Wazuh MITRE ATT&CK modülünün istihbarat bileşeni: Siber saldırılarda kullanılan tehdit grupları, hafifletme, yazılımlar, taktikler ve teknikler hakkında detaylı bilgiler içerir. Bu bileşen, tehdit avcılarının, rakiplerin kullandığı farklı TTP’leri tanımlamasına ve sınıflandırmasına yardımcı olur.
Şekil 2: Wazuh MITRE ATT&CK Intelligence |
b. Wazuh MITRE ATT&CK modülünün çerçeve bileşeni: Tehdit avcılarının tehditleri veya güvenliği ihlal edilmiş uç noktaları daraltmasına yardımcı olur. Bu bileşen, o tekniğe ilişkin tüm olayları ve bu olayların meydana geldiği bitiş noktalarını görmek için belirli teknikler kullanır.
Şekil 3: Wazuh MITRE ATT&CK çerçevesi |
c. MITRE ATT&CK modülünün pano bileşeni: Tehdit avcılarının bir altyapıdaki MITRE ile ilgili faaliyetlere hızlı bir şekilde göz atmasına yardımcı olmak için tüm olayları tablolar halinde özetlemeye yardımcı olur.
Şekil 4: Wazuh MITRE ATT&CK panosu |
d. Wazuh MITRE ATT&CK etkinlikleri bileşeni: Bildirilen her uyarıyı daha iyi anlamak için olayları ilgili MITRE Kimlikleriyle birlikte gerçek zamanlı olarak görüntüler.
Şekil 5: Wazuh MITRE ATT&CK olayları |
Wazuh kuralları ve kod çözücüler
Wazuh, farklı kaynaklardan oluşturulan güvenlik ve çalışma zamanı verilerini ayrıştırmak için kullanıma hazır kurallara ve kod çözücülere sahiptir. Wazuh, uygun MITRE Kimliklerine eşlenmiş farklı teknolojiler (ör. Docker, CISCO, Microsoft Exchange) için kuralları destekler. Kullanıcılar ayrıca özel kurallar ve kod çözücüler oluşturabilir ve her kuralı uygun MITRE taktiği veya tekniği ile eşleyebilir. Bu blog yazısı, bir rakibi tespit etmek için MITRE ATT&CK ve Wazuh özel kurallarından yararlanmanın bir örneğini gösterir.
Güvenlik Yapılandırma Değerlendirmesi (SCA) modülü
Wazuh SCA modülü, sistem ve uygulama yanlış yapılandırmalarını tespit etmek için uç noktalarda periyodik taramalar gerçekleştirir. Kötü amaçlı dosyalar ve kötü amaçlı yazılım tarafından oluşturulmuş klasörler gibi uzlaşma göstergelerini taramak için de kullanılabilir. Bir uç noktadaki yazılım envanterlerini, hizmetleri, yanlış yapılandırmaları ve yapılandırmadaki değişiklikleri analiz etmek, tehdit avcılarının devam etmekte olan saldırıları tespit etmesine yardımcı olabilir.
Şekil 6: Wazuh SCA panosu |
Tehdit istihbaratı çözümleriyle entegrasyon
Açık kaynak yapısı nedeniyle Wazuh, tehdit istihbaratı API’leri ve diğer güvenlik çözümleriyle entegre olma fırsatı sunar. Wazuh, birkaç isim vermek gerekirse Virustotal, URLHaus, MISP ve AbuseIPDB gibi açık kaynaklı tehdit istihbaratı platformlarıyla entegre olur. Entegrasyona bağlı olarak, Wazuh panosunda ilgili uyarılar görünür. IP adresleri, dosya karmaları ve URL’ler gibi belirli bilgiler Wazuh panosundaki filtreler kullanılarak sorgulanabilir.
Dosya bütünlüğü izleme
Dosya bütünlüğü izleme (FIM), uç noktalardaki hassas dosya ve klasörleri izlemek ve denetlemek için kullanılır. Wazuh, bir uç noktanın dosya sistemindeki belirli dizinlerdeki veya dosyalardaki değişiklikleri izleyen ve algılayan bir FIM modülü sağlar. FIM modülü, uç noktalara tanıtılan dosyaların bilinen kötü amaçlı yazılımların sağlamalarıyla eşleştiğini de algılayabilir.
Wazuh arşivleri
İzlenen uç noktalardan alınan tüm güvenlik olaylarını toplamak ve depolamak için Wazuh arşivleri etkinleştirilebilir. Bu özellik, tehdit avcılarına algılama kuralları oluşturmak ve tehdit aktörlerinin bir adım önünde olmak için kullanılabilecek veriler sağlayarak yardımcı olur. Wazuh arşivleri, denetim günlüğü geçmişinin gerekli olduğu durumlarda yasal uygunluğun karşılanmasında da yardımcı olur.
Çözüm
MITRE ATT&CK çerçevesi, keşfedilen TTP’lere göre tehditleri uygun şekilde sınıflandırmaya ve tanımlamaya yardımcı olur. Wazuh, uç noktalardan gelen güvenlik verilerinin TTP’lere nasıl karşılık geldiği hakkında bilgi görüntülemek için özel MITRE ATT&CK bileşenlerini kullanır. Wazuh’un tehdit avlama yetenekleri, siber güvenlik analistlerinin görünür siber saldırıların yanı sıra altyapıya yönelik temel ihlalleri tespit etmesine yardımcı olur.
Wazuh, bulut ve on-premise altyapıya sahip kuruluşların kullanabileceği ücretsiz ve açık kaynaklı bir platformdur. Wazuh, öğrenmenin, tartışmaların ve desteğin sıfır maliyetle sunulduğu, dünyanın en hızlı büyüyen açık kaynak topluluklarından birine sahiptir. Wazuh’u kullanmaya başlamak için bu belgelere göz atın.