NDR kullanarak ağınızdaki karanlık web tehditlerini nasıl tespit edebilirsiniz?

Siber güvenlik uzmanları, kurumsal ağların fidye yazılımı, yetkisiz şirket içi faaliyetler ve veri sızıntısı gibi karanlık web risklerinin ana hedefleri olduğunun bilincindedir. Daha az aşikar olan şey ise, bu etkinliğin kanıtlarının çoğu zaman göz önünde saklandığı ve günlük ağ trafiğinin içine gömüldüğüdür.

Ağ Algılama ve Yanıt (NDR) kullanan güvenlik liderleri için bu gizli sinyaller savunma için fırsatlara dönüşür.

Ağınızdaki karanlık web tehditlerini nasıl tespit edeceğinizi merak mı ediyorsunuz?

Tespit ve soruşturma amacıyla NDR’den yararlanmak için bu dört temel adımla başlayın:

1. Adım: Karanlık ağa açılan geçitleri öğrenin

Genel webden farklı olarak karanlık web, Tor tarayıcısı, Görünmez İnternet Projesi (I2P) ve Freenet eşler arası (P2P) ağları gibi kullanıcı kökenlerini gizleyen, trafiği şifreleyen ve tespitten kaçan anonimleştirme araçlarına dayanır.

Faaliyetleri gizleme yeteneklerine rağmen, karanlık ağ hareketinin işaretleri hâlâ ağ verilerinde yakalanıyor.

Açıklayıcı belirtiler arasında alışılmadık bağlantı noktası kullanımı, şifrelenmiş trafik modelleri ve Tor giriş veya çıkış düğümleriyle iletişim yer alır (4. adımda daha ayrıntılı olarak incelenmiştir).

2. Adım: NDR’yi anlayın

NDR sistemleri, şüpheli veya kötü amaçlı etkinlikleri tanımlamak için yapay zeka, makine öğrenimi ve davranışsal analizlerden yararlanarak ağ trafiğini gerçek zamanlı olarak izler. NDR aynı zamanda ağ etkinliğinin kapsamlı kayıtlarını da tutarak temel geçmişi ve bağlamı sağlar.

Ekipler, bu öngörülerle NDR’yi SOC altyapılarına ve süreçlerine entegre ederek karanlık ağdan kaynaklananlar da dahil olmak üzere siber tehditleri tespit etme (MTTD) ve bunlara yanıt verme (MTTR) ortalama süresini kısaltabilir.

3. Adım: Kapsamlı karanlık web görünürlüğü için NDR’yi dağıtın

Çekirdek ağınız, uç ortamlarınız ve dahili segmentleriniz genelinde trafiği izleyin. Temel öneriler şunları içerir:

• NDR sensörlerini stratejik konumlara konumlandırın:

  Komuta ve kontrol (C2) etkinliğini ve veri sızdırma girişimlerini yakalamak için yüksek değerli varlıkları barındıran ağ bölümlerine odaklanın.

• Kuzey-güney trafiğini analiz edin: Olası karanlık web etkileşimlerini tespit etmek amacıyla dahili-harici iletişimleri incelemek için NDR’yi kullanın.

• Yanal hareketi takip edin: Karanlık weble ilgili tehditleri gösterebilecek işaretler için cihazlar arasındaki dahili trafiği izleyin.

4. Adım: NDR ile tespit edin ve avlayın

Ağ temellendirmeyle başlayın

NDR dağıtımları genellikle platformun kuruluşunuzun normal trafiğini öğrenmesine olanak tanıyan 30 günlük bir ağ temel oluşturma dönemiyle başlar. Tamamlandıktan sonra NDR, aşağıdakiler de dahil olmak üzere karanlık web etkinliği göstergelerini otomatik olarak işaretleyebilir:

• Daha önce bilinmeyen harici IP’lerle yeni iletişimler

• Aşırı eş bağlantıları

• Şüpheli dosya aktarım protokolleri veya olağandışı alanlara yönelik trafik

• Normalmiş gibi görünen olağandışı giden trafik, karanlık web pazarlarına olası veri sızıntısının sinyalini veriyor

Temel oluşturulduktan sonra artık hedeflenen dark web göstergelerinin tespitini otomatikleştirmek için NDR ayarlarını hassaslaştırabilirsiniz.

Ağınızın güvenliği zaten ihlal edilmişse, NDR’nin tehdit etkinliğini “normal” olarak algılamasına izin vermemeye dikkat etmeniz gerektiğini unutmayın.

Bu nedenle ağın temelinin belirlenmesi, aktif analiz ve ortamınızın anlaşılmasını gerektirir.

Tor etkinliğinin algılanmasını otomatikleştirin

• Varsayılan Tor bağlantı noktaları (9001, 9030, 9050) üzerinden iletişim kuran cihazlar için dinamik uyarılar ayarlayın.

• Sıkıştırılmış Aktarım Katmanı Güvenliği (TLS) başlıkları, benzersiz anlaşma davranışları, alışılmadık derecede uzun oturumlar ve yüksek bant genişliği kullanımı gibi düzensiz kalıplar için tünel günlüklerini izleyin.

• Ayırt edici paket uzunlukları ve el sıkışmaları da dahil olmak üzere Tor trafik imzalarını tarayın.

• Bilinen Tor giriş düğümlerine, rölelere, köprülere ve Obfourscator veya “obfs4” düğümlerine olan bağlantıları izleyin. Sık sık birden fazla harici IP arasında geçiş yapan veya anonimleştirme hizmetleriyle etkileşime giren trafiği işaretleyin.

• Corelight’ın Araştırmacılı Açık NDR Platformu, ağ meta verileri (bağlantı, protokol ve TLS bağlantıları ve sertifikaları dahil), Suricata imzaları ve makine öğrenimi algoritması algılamaları aracılığıyla Tor bağlantılarına ilişkin görünürlük sağlayabilir.

I2P ve P2P Bağlantılarını İzleme

• I2P bağlantı noktalarındaki (7650–7659) ve BitTorrent/P2P bağlantı noktalarındaki (6881–6889) trafik için dinamik uyarılar ayarlayın.

• I2P tünellerine sinyal göndererek rastgele veya harici IP’lere giden yüksek UDP trafiğini izleyin.

• I2P eş keşfinde yaygın olan, bilinmeyen veya çözülmemiş IP’lere ve belirsiz UDP bağlantı noktalarına yönelik periyodik ani artışları izleyin.

• Freenet etkinliğini gösteren, dağıtılmış IP’ler genelinde kalıcı, uzun süreli P2P oturumlarını tespit edin.

• Freenet ve diğer anonimleştirme araçlarına özgü kendinden imzalı sertifikaları arayın.

• Anonimleştirme hizmetlerinin yaygın bir işareti olan, yüksek entropili veya rastgele alan adlarına kalıcı bağlantılar gösteren iş istasyonlarını ve cihazları (IoT dahil) işaretleyin.

• Corelight Şifreli Trafik Toplama, olağandışı sertifikaların, beklenmeyen şifrelemenin ve şifreli I2P ve P2P bağlantılarının kullanımını gösterebilecek diğer TLS anormalliklerinin belirlenmesine yardımcı olabilir.

Şüpheli DNS etkinliğini izleme

• .onion adreslerine yapılan sorgular, yaygın olmayan alt alan adları ve anonimleştirme araçlarıyla ilişkili alan adlarına erişim denemeleri için DNS günlüklerini izleyin.

• Sorguları düşük itibarlı, nadiren kullanılan veya kötü amaçlı alanlara, özellikle de VPN’lere veya proxy’lere bağlı olanlara işaretleyin. Örneğin, eski Sovyetler Birliği’ne ayrılmış .su alan adını içeren DNS talepleri neredeyse hiçbir zaman meşru değildir.

• Dahili DNS’den kaçınan ve bunun yerine harici DNS sunucularını kullanan cihazları tespit edin. Bu, anonimleştirme araçlarının kullanıldığını gösterebilir ancak aynı zamanda kuruluşun ağ güvenliği politikalarının ve tercihlerinin de ihlali anlamına gelebilir.

VPN bağlantılarını izleyin

• Tanınmış tüketici VPN sağlayıcılarına (örn. NordVPN, ExpressVPN, ProtonVPN) olan bağlantıları tespit edin.

• Standart olmayan VPN bağlantı noktalarına ilişkin uyarı (OpenVPN: 1194, İkinci Katman Aktarım Protokolü veya L2TP: 1701).

• Mevcut politikalar ve uygulamalar tarafından izin verilip verilmediğini belirlemek için, bu hizmetlere bağlı özel SSL/TLS sertifikalarının kullanımı da dahil olmak üzere OpenVPN, IPSec veya WireGuard aracılığıyla yönlendirilen trafiği işaretleyin.

• Corelight’ın VPN Insights paketi, 400’den fazla benzersiz VPN protokolünü, sağlayıcısını ve türünü tanımlar ve bunları, araştırma için kritik meta verilerle (menşe ülkesi gibi) birlikte günlüğe kaydeder.

“İmkansız seyahat”, coğrafi konum ve benzeri anormallikleri izleyin

• Kullanıcılardan veya cihazlardan alınan IP coğrafi konum verilerini kullanarak “imkansız seyahat” örneklerini belirleyin (örneğin, kullanıcılar ofisinizdeyken uzak ülkelerden yapılan girişler).

• Kuruluşunuzun normal operasyonel kapsamı dışındaki şüpheli bölgelerden veya ülkelerden gelen bağlantıları tespit edin.

• Tanımlanabilir meşru iş uygulaması olmayan trafiği arayın

Olası sızıntıyı işaret eden yanal hareketi işaretleyin

• Harici uç noktalara ulaşmadan önce birden fazla sistem arasında geçiş yapan dahili trafiği işaretleyin.

• Özellikle SOCKS proxy’leri/tünelleri gibi beklenmeyen protokolleri kullanarak dahili cihazlar arasındaki olağandışı etkinlikleri izleyin.

• Corelight’ın Şifreli Trafik Toplama özelliği, şifreli bağlantılarda bile olağandışı uzaktan yönetim trafiğini de tanımlayarak, saldırganlar bir ağ içinde yanal olarak hareket ederken SSH ve RDP’nin potansiyel olarak kötü niyetli kullanımını görmeye yardımcı olur.

Kötü amaçlı yazılımları ve komuta ve kontrol (C2) işaretlerini tespit edin

• Ağ trafiğinden çıkarılan dosyaları analiz etmek için Yara’yı kullanın. Kötü amaçlı yazılım veya şüpheli ikili dosyaları arayın.

• “Giriş yapma” etkinliği kalıpları için günlükleri kontrol edin. Bunlar düzenli aralıklarla, örneğin 5 dakikada bir veya saatte bir meydana gelebilir.

• Corelight’ın C2 Koleksiyonu, saldırıları düzenlemek, C2 oluşturmak ve saldırı genişletme için ek araçlar indirmek için sıklıkla kullanılan düzinelerce saldırı çerçevesini, RAT’ı ve kötü amaçlı yazılımı tanımlar.

Tehdit istihbaratı ekleyin

• Tehdit istihbaratı akışlarını ekleyerek bilinen karanlık web etkinliğini ilişkilendirin. Karma değerler, IP’ler ve C2 alanları gibi Tehlike Göstergelerini (IOC’ler) işaretlemek için akışları entegre edin.

• Kuruluşunuzla ilgili dedikoduları veya ortamınızdan veri sızıntılarını tespit etmek amacıyla karanlık web’i izlemek için bir üçüncü taraf tehdit istihbarat hizmeti kiralamayı düşünün.

• Harici kimlik bilgileri izlemeyle şüpheli veya güvenliği ihlal edilmiş konumlardan gelen oturum açma girişimlerini izleyin.

• Corelight’ın Intel Çerçevesi, milyonlarca göstergeyi hat hızında eşleştirerek, nokta tespiti ve inceleme için uyarılar ve günlükler oluşturur.

İyi ayarlanmış bir NDR çözümü, kuruluşunuzun karanlık web etkinliğini tespit etme yeteneğini önemli ölçüde artırır ve genel siber güvenlik duruşunu güçlendirir.

Corelight’ın Açık NDR Platformu, entegre çok katmanlı algılama, dosya analizi, gelişmiş protokol izleme ve kapsamlı uzun vadeli ağ meta veri toplama özelliklerine sahiptir.

Corelight NDR hakkında daha fazla bilgi edinmek veya bu karanlık web algılama yeteneklerini kendi ağınızda nasıl etkinleştireceğinizi tartışmak için corelight.com adresini ziyaret edin.

Corelight tarafından desteklenmiş ve yazılmıştır.