Saldırı Tespiti / Saldırı Önleme Sistemleri (IDS/IPS), uç nokta ve çevre savunmalarına nüfuz eden tehditleri tespit edip engelleyerek siber güvenlikte önemli bir rol oynamaktadır.
Açık kaynaklı Suricata, topluluk tarafından işletilen, kar amacı gütmeyen bir kuruluş olan Açık Bilgi Güvenliği Vakfı (OISF) tarafından geliştirilen ve sürdürülen, en yaygın olarak kullanılan IDS/IPS’den biridir. Kuruluşlar ve kamu kuruluşları tarafından ağları korumak için, danışmanlar tarafından siber güvenlik hizmetleri sağlamak için ve Suricata’nın üzerine daha kapsamlı ticari siber güvenlik çözümleri oluşturan satıcılar tarafından kullanılır.
Bununla birlikte, Suricata birçok yanlış pozitif uyarı oluşturma eğilimindedir, sınırlı protokol ve uygulama kapsamına sahiptir ve belirli türdeki gelişmiş tehditlere karşı kördür – özellikle tespitten kaçınmak için şifreleme kullananlar. Yeni Nesil Derin Paket Denetimi (NG DPI) yazılımı bu boşlukları doldurabilir ve Suricata’nın yeteneklerini önemli ölçüde iyileştirebilir.
Bu nedenle önde gelen siber güvenlik sağlayıcıları, Bulut Güvenlik Duvarları (FWaaS), Güvenli Web Ağ Geçitleri (SWG), Yeni Nesil Güvenlik Duvarları (NGFW), Ağ Algılama ve Yanıt (NDR) ve Genişletilmiş Tehdit Algılama gibi ürünleri geliştirmek için Suricata’yı NG DPI ile birleştirmeye başladılar ve Yanıt (XDR) platformları.
Bu ürünlerde yerleşik NG DPI, Suricata’yı şu şekilde geliştirir:
- NG DPI’nin genişletilmiş protokol kapsamından yararlanan beyaz listelerin ve kara listelerin hızla geliştirilmesini sağlar (özellikle Bulut, SaaS, IoT ve OT uygulamaları ve protokolleri ile özel ve eski uygulamalar için)
- Suricata’nın anormal ve kaçamak trafiği algılama yeteneğini önemli ölçüde iyileştiriyor
- Suricata’nın tehditleri algılama yeteneğini tamamen şifrelenmiş ortamları kapsayacak şekilde genişletme
- Artan ağ görünürlüğü ve daha doğru trafik tanımlaması sayesinde Suricata tarafından oluşturulan çok sayıda yanlış pozitif uyarının önemli ölçüde azaltılması
- Yüksek değerli bağlamsal meta veriler aracılığıyla tehdit analizini ve adli bilişimi daha hızlı ve kolay hale getirme (aynı anda tam paket yakalama ihtiyacını azaltır)
- Seçilen trafiğin boşaltılmasını sağlayarak performansı artırma (ör. video akışı)
Mimariye genel bakış
NG DPI’ın Suricata Kurallarını Nasıl Geliştirebileceğini Anlamak
NG DPI ile birleştirildiğinde, Suricata kuralları ve uyarıları daha kesindir ve belirli müşteri ortamlarına göre uyarlanabilir. En basit düzeyde, NG DPI’nın büyük ölçüde genişletilmiş protokol ve uygulama kapsamı, etkili kurallar ve uyarılar üretmede büyük bir etkiye sahiptir. Aşağıda, örneğin, bu genişletilmiş protokol kapsamı olan ve olmayan iki kurala bir bakış verilmiştir.
Daha derin bir düzeyde, NG DPI’nin benzersiz güvenlik meta verileri, aşağıdakilerin tespiti dahil olmak üzere kural geliştirme için değerli bilgiler sağlar:
- MITM Durdurma
- Karmaşık Tünel Açma
- anonimleştiriciler
- Şirket Dışı VPN’ler
- DGA
- Etki Alanı Önleme
- Dosya Türü Uyuşmazlıkları
- İletişim Kanallarının Standart Dışı Kullanımı
Son yöntem, gelişmiş kalıcı tehditleri etkinleştirmek için popüler bir taktiktir, bu nedenle, entegre NG DPI’nin Suricata’nın bu yöntemi kullanarak saldırıları belirleme ve bunlara yanıt verme yeteneğini nasıl geliştirdiğine bir göz atalım.
Ortak Protokollerin Arkasına Gizlenen Komuta ve Kontrol (C2C) Saldırılarını Tespit Etme Örneği
Suricata gibi IDS/IPS sistemlerinin radarı altında kalmak için, bazı C2C saldırıları komutları standart atanmış bağlantı noktaları aracılığıyla iletişim kuran ortak protokoller içinde kapsüller. Bu şekilde normal trafiğe karışırlar. Bu, bilinen rakip tekniklerin MITRE ATT&CK çerçevesinde tanımlanan taktiklerden biridir (Teknik Kimliği T1071, Uygulama Katmanı Protokolü). Çerçeve, böyle bir gizli C2C saldırısını tespit etmenin birkaç yolunu önerir. Her durumda, NG DPI ile tamamlanan Suricata, bu tür saldırıları tespit etmede çok daha etkilidir. Spesifik olarak, Suricata’nın aşağıdaki tabloda ayrıntılı olarak açıklandığı gibi C2C saldırılarıyla ilişkili olası kötü amaçlı yazılımların üç göstergesini algılama ve bunlara yanıt verme yeteneğini geliştirir.
Özet
NG DPI, Suricata IDS/IPS’lerini yeni ağ ortamlarına ve gelişen tehdit ortamına genişletmek ve uyarlamak isteyen siber güvenlik satıcıları ve kritik ağ operatörleri için önemli bir değer katabilir. NG DPI teknolojisini Suricata ile entegre etmek, tehdit algılamayı iyileştirir, uyarıları iyileştirir ve genel performansı artırır.
