Hiep Hinh, tehdit avcılığı kariyerini özetliyor ve siber tehdit avcısı olmak isteyenler (veya sadece dinlemek isteyenler!) için ipuçları ve en iyi uygulamaları paylaşıyor.
Hiep Hinh, 7/24/365 Yönetilen Tespit ve Müdahale (MDR) çabalarını desteklediği Malwarebytes’te Baş MDR Analistidir. Hiep, istihbarat analisti olarak ABD Ordusu ve Hava Kuvvetleri Bilgisayar Acil Müdahale Ekibi (AFCERT/33NWS) dahil olmak üzere siber güvenlik ve istihbarat alanlarında 16 yıldan fazla deneyime sahiptir. Hiep, Endpoint Detection and Response (EDR) platformlarının uzman bir kullanıcısıdır ve diğer şeylerin yanı sıra olay müdahalesi, DLP (veri kaybını önleme), veri madenciliği ve tehdit avcılığı konularında oldukça yeteneklidir. Bu gönderide Hiep, tehdit avcılığı kariyerini özetliyor ve siber tehdit avcısı olmak isteyenler (veya sadece dinlemek isteyenler!) için ipuçları ve en iyi uygulamaları paylaşıyor.
“Siber tehdit avcısı” kelimesini ilk duyduğumda, yakası kıvrık bir şekilde bir masada oturan ve davetsiz misafirlerin izini sürmek için bir ağı tarayan bir tür Holmes figürü hayal ettim. Ve Malwarebytes’te Baş MDR Analisti Hiep Hinh ile konuştuğumda, tahminimde az çok haklı olduğumu öğrendim – belki trençkot hariç.
Tehdit avcılığı tamamen sinsi saldırganları (ve kötü amaçlı yazılımları) daha en başından engellemekle ilgilidir.. Bunun neden bu kadar önemli bir iş olduğu açık; sadece sistemin ele geçirilmesi ile tespit edilmesi arasındaki ortalama gün sayısının 21 olduğunu düşünün. Siber tehdit avcıları tehditleri ne kadar erken bulursa, onları düzeltme ekibine o kadar erken gönderebilirler.
Hiep bir süredir, aslında 2007’den beri tehdit avlıyor. Hiep’e göre tehdit avı, olay yanıtının, SOC çalışmasının ve genel olarak ağ izlemenin doğal bir parçasıdır.
“Uzun süredir tehdit avı yapıyorum. Siber güvenliğe, Hava Kuvvetleri ağını izleyip savunduğumuz Hava Kuvvetleri Bilgisayar Acil Durum Müdahale Ekibinde (AFCERT) 2007’de başladım” dedi. “O zamanlar birçok adli tıp çalışması yaptım, ancak yine de yalnızca ağ izleme yönüyle de çok derinden ilgileniyorduk.”
Hiep için etkili tehdit avı, ağı gerçekten anlamakla başlar.
“Etkili bir siber tehdit avcısı olmayı düşünüyorum, ‘normal’ davranışın ne olduğuna dair iyi bir anlayışa sahip olmalısınız,” diyor. “Örneğin, ‘Çevrede görülen yaygın faaliyetler nelerdir? Kullanıcılar genellikle ne kullanıyor? Genellikle ne zaman çevrimiçi oluyorlar? Genellikle nereden bağlanıyorlar?’ vb.
“Tüm bu bilgiler kemerinizin altına konur, bu bilgiyi alırsınız ve şimdi öne çıkan şeyleri ararsınız. Bu normal anlayışını kullanmak, çok geç kalan veya normalden farklı bir ülkeden giriş yapan kullanıcılar gibi belirli etkinliklerin öne çıkmasını sağlayacaktır.”
“Bir tehdit avcısı, ağı iyi tanıdığında en etkilidir.” – Hıep Hınh
Hiep’in tavsiyesi? Bir siber tehdit avcısı şirketin bir parçası değilse veya çevreyi görmeye alışık değilse, neyin normal olduğunu öğrenmek için biraz zaman ayırın. Binlerce uç nokta ve ayrı kötü niyetli ve iyi huylu etkinlik içeren bir ortama atlamak çok zor olabilir..
“Tehdit avı, antivirüs veya diğer savunmalarınız tarafından yakalanmayan tehditleri bulmak için kullanılır. Kelimenin tam anlamıyla bulunmamış, gelişmiş ve gizli şeyleri arıyor, değil mi? Yani bunu yapmanın tek yolu, neyin normal olduğunu bilmek ve bu garip şeyleri yakalamaya çalışmak, bu aykırı değerleri yakalamaya devam etmektir.
Ancak daha da kötüye giderse ve bir siber tehdit avcısı ağı iyi tanımıyorsa, Hiep dikkat edebileceğiniz “alçakta asılı meyveler” olduğunu söylüyor.
“Düşük asılı meyvelerin peşinden gitmek kolaydır. Hash listeleri, VPN ve RDP araçları aramak ve genellikle IP tarayıcıları gibi saldırılar sırasında kullanılan birçok ücretsiz yazılım aramak gibi bir dizi göstergenin peşinden gitmek kolaydır.” diyor Hiep. “Bunlar, çok fazla zamanınız yoksa ve bir süre ağda oturup gerçekten öğrenme yeteneğiniz yoksa, gerçekten hızlı ve kirli tehdit avlarıdır. Bu bulgular sizi potansiyel olarak daha sulu faaliyetlere yönlendirebilir.”
Elbette, tehdit avcılığı bir güvenlik ekibinin vazgeçilmez bir bileşeni olsa da, öncelikle kötü niyetli kişilerin sistemlerimize erişmesini engellemek istiyoruz. Bu amaçla, Hiep bana düşmanların bir ortama girmenin en yaygın yollarından bazılarını anlattı.
“En yaygın olanı, kimlik bilgilerinin çalınması veya bu sistemlere girmek için kullanılması, kimlik avı gibi şeylerdir.. Bunu yapmanın en hızlı yolu bu,” diyor Hiep. “Aksi takdirde, insanların ağınıza erişmek için yararlanabilecekleri güvenlik açıkları gibi başka yollar da var. Bu yüzden her şeyi güncel tutmakta fayda var.”
Hiep ile yaptığım konuşmada en ilginç bulduğum şeylerden biri, ne kadar bilim ve sanat tehdidi avcılığı olduğuydu. Tıpkı bilim adamlarının bir şeyi kanıtlamak veya çürütmek için yola çıkmadan önce bir hipotez oluşturması gibi, tehdit avcıları da öyle. Örneğin, bir siber tehdit avcısı ağ trafiğinde olağandışı bir artış fark ederse, hipotezi ağda veri hırsızlığı yapan bir saldırgan olabilir.
Hiep’in siber güvenlik “savaş istasyonu”
Arka plan. Hiep, Godzilla hayranı olabilir veya olmayabilir.
Hiep, tehdit avında hipotezlerin nasıl göründüğünü açıklıyor:
“Hipoteziniz, belirli bir sorunu hedeflemenizi sağlar, böylece emrinizdeki tüm farklı türde verilerle boğulmazsınız. Bir tehdit avcısı olarak belirli saldırı senaryoları varsayarsınız, buna bir örnek veri hırsızlığı olabilir.”
“Saldırganların fidye için verilerinizi çalmak veya üçüncü bir tarafa satmak isteyebileceğini bilmek. Daha sonra ağınızdan çıkan verilere odaklanabiliriz. Burası, ağınıza giren ve çıkan ortalama trafiğin sağlam bir şekilde anlaşılmasının son derece yararlı olduğu veya ortamdaki kullanıcıların aktif olarak dosya paylaşım sitelerini kullandığı noktadır.
Bununla birlikte, herhangi bir hipotez gibi, bunun da yanlış olma ve araştırdığınız şeyin tamamen normal olma ihtimali vardır. Tehdit avcılığının büyük bir kısmı, mutlaka bir anormalliğin kötü olduğunu kanıtlamaya çalışmak değil, sadece etkinliği doğrulamaktır.
“Tehdit avlarken her zaman bir şey bulamayacaksın. Çok fazla isabet ve ıskalama var. Bazı potansiyel kötü niyetli faaliyetlerle ilgili hipotezim meyve versin ya da vermesin, ancak bir şeyi bulma ya da bulmama eylemi çevreyi daha güvenli bırakır ya da görülen etkinliği doğrular.”
“Sistemin bir ton veri indirip yüklediğini belirlemem, bunun mutlaka kötü olduğu anlamına gelmez. Belki bir kullanıcı son on yıldaki yılbaşı resimlerini gönderiyordur. Fena değil, sadece göze çarpıyor.”
“Tehdit avcıları ile şirketin BT ve güvenlik departmanları arasında çok sağlam bir iletişim olması gerekir, böylece tüm bu doğrulamaları hızlı bir şekilde gözden geçirebilir ve devam edebilirsiniz. Aksi takdirde, bir şekilde dönmeye başlayacaksınız.” – Hıep Hınh
Bir taviz göstergesinin (IOC) gerçek bir tehdit olup olmadığı konusundaki belirsizlik, özellikle tehdit avcılarının tüm uç noktalarından almak zorunda oldukları çok büyük miktarda veriyi düşündüğünüzde, tehdit avcılığını bu kadar zorlaştıran şeyin bir parçasıdır. Bu nedenle, tehdit avcılarının IOC’leri araştırmaya yardımcı olmak için becerilerinden daha fazlasına güvenmeleri gerekir; ayrıca doğru Uç Nokta Tespiti ve Yanıtı (EDR) platformuna da ihtiyaçları vardır.
“Bir alacaksın ezici miktarda verive onu bölümlere ayırması, ayırması, anlaması ve ardından potansiyel olarak öne çıkan bir şey bulması gerekecek. Bu yüzden zor. Bu verileri hızlı, etkili bir şekilde inceleyebilen ve tehdit avcısına çok net ve kullanımı kolay bir araçla sunabilen bir şeye ihtiyacınız var, bu şekilde kötüleri bulmak için daha fazla zaman harcarsınız ve veri hazırlığında takılıp kalmazsınız..”
Birçok siber güvenlik uzmanı gibi, Hiep’in kariyeri de iniş çıkışlarla dolu; muhtemelen siber güvenliğin bir yandan güvenebileceğinizden daha fazla yanını görmüştür. Buna SOC çalışması, adli tıp, kötü amaçlı yazılım analizi ve Hiep’in yıllar içinde kendisine tehdit avcılığı dünyasında bir adım önde olduğunu düşündüğü daha fazlası dahildir.
“Yıllar boyunca bir sürü farklı pozisyonda çalışmak faydalı çünkü tehdit avlamak neyin normal olduğunu bilmekle ilgili, değil mi?” Hiep diyor. “Ve kariyerinizin bir noktasında, gamı gözden geçirdiniz ve tonlarca şeye baktınız. Bu deneyim, gürültüyü aşmanıza ve gerçek kötü amaçlı etkinlik hakkında belirlemeler yapmanıza yardımcı olur.”
Gelecek vadeden bir tehdit avcısıysanız, ağ izleme rollerinde çalışarak olabildiğince çok deneyim kazanmaya çalışın. Deneyimli bir siber profesyonel, bir uyarı duvarına bakıp ‘Bunu birçok kez gördüm’ diyebilir. Bu aktivite normaldir. Bu sadece XY&Z’ yapan biri. Daha sonra diğerine bakıp ‘Bu garip’ diyebilirler. Ancak Hiep’e göre, bunun neden garip olduğunu size kolayca söyleyemezler.
Hiep, “Size bunu gerçekten öğreten hiçbir şey yok” diyor. “Bence diğer işler gibi uzun süre çalışmaktan geliyor.”
Kendini işine adamış uzmanlar, hassas teknoloji
Hiep, Malwarebytes MDR ekibindeki birçok deneyimli siber tehdit avcısından yalnızca biridir. Kaynakları kısıtlı ekipler için amaca yönelik olarak oluşturulmuş Malwarebytes MDR, mantıklı bir maliyet karşılığında esnek iyileştirme seçenekleriyle uyarı izleme ve tehdit önceliklendirme sağlar. Son derece etkili, kurulumu kolay EDR teknolojimiz, güvenlik uzmanlarından oluşan ekibimizle birleştiğinde, siber suçlarla savaşmak için mükemmel bir ikili kombinasyonu oluşturur.