Sürekli gelişen siber güvenlik manzarasında, tehditleri tespit etmek ve yanıtlamak daha karmaşık hale gelmiştir. Çekiş kazanan daha gelişmiş tekniklerden biri, siber tehdit avı ima etmektir. Genellikle bilinen tehditlere ve imzaya dayalı tespitlere tepki vermeyi içeren geleneksel tehdit avının aksine, ima edilen tehdit avı, bağlamsal ipuçlarına, anormal davranışlara ve verilerdeki kalıplara dayanan gizli veya henüz tanımlanmamış tehditleri ortaya çıkarmaya odaklanır. Bu yaklaşım, kuruluşların aktif saldırılara girmeden önce potansiyel riskleri belirlemelerine yardımcı olur.
İşte zımni siber tehdit avı yapmak için bazı etkili taktikler:
1. Davranışsal Analytics’ten yararlanın
Zımni tehdit avının temel taşlarından biri, ağınızdaki normal davranışı anlamaktır. Avcılar, sisteminizde “normal” aktiviteyi neyin oluşturduğunun temelini oluşturarak, potansiyel bir tehdide işaret edebilecek sapmalar arayabilirler.
Anomali tespiti: Davranışsal analiz araçları, anormal kalıpları tanımlamak için ağ trafiğini, kullanıcı davranışlarını ve uygulama kullanımını izleyebilir. Örneğin, bir kullanıcı hassas verilere normal çalışma saatlerinin dışında veya olağandışı bir konumdan erişirse, kötü niyetli etkinliğin bir işareti olabilir.
Makine Öğrenme Algoritmaları: Bunlar, hemen alarmları yükseltmeyebilecek ince davranışsal anomalileri tespit etmek için büyük miktarda veri işleyebilir. Zamanla, makine öğrenimi modelleri iyi huylu ve kötü niyetli anomalileri ayırt etmede daha iyi hale gelir.
2. Uzlaşma göstergelerine (IOC’ler) ve saldırı göstergelerine (IOA’lar) odaklanın
Zımni tehdit avı henüz imzaları olmayabilecek ortaya çıkan tehditlere odaklansa da, bir saldırının devam edebileceğine dair ince göstergeleri belirlemek hala önemlidir.
IOCS: Bunlar, bir saldırının zaten meydana geldiğini veya devam ettiğini gösteren kanıt parçalarıdır. Örnekler, tanıdık olmayan IP adresleri, olağandışı dosya karmalar veya yeni oluşturulan kullanıcı hesapları sayılabilir.
Joas: Bunlar, tehdit aktörleri tarafından bir saldırı başlatmak için kullanılan eylemleri veya taktikleri gösteren daha davranış odaklı ipuçlarıdır. Örneğin, birden fazla hesapta başarısız giriş girişimlerinde önemli bir artış, kaba kuvvet saldırısına işaret edebilir.
IOC’ler ve IOAS için avlayarak, şüpheli etkinliği tam ölçekli bir ihlal haline getirmeden önce ortaya çıkarabilirsiniz.
3. Ortaya çıkan tehditleri tahmin etmek için tehdit istihbarat beslemelerini kullanın
Zımni tehdit avı, tehdit istihbaratının devreye girdiği potansiyel saldırganların önünde kalmayı gerektirir. Tehdit istihbarat beslemelerine abone olarak ve mevcut siber tehditleri sürekli olarak analiz ederek, saldırı metodolojilerindeki kalıpları tespit edebilirsiniz.
Açık kaynak zekası (OSINT): OSINT, forumlar, sosyal medya ve hatta karanlık web pazarları gibi çeşitli çevrimiçi kaynaklardan, ortaya çıkan tehditler hakkında ipuçları sunabilen değerli veriler sunar.
İşbirlikçi İstihbarat Paylaşımı: Tehdit istihbaratını, sektöre özgü bilgi paylaşımı ve analiz merkezleri (ISAC’lar) gibi güvenilir ağlarda paylaşmak, yeni saldırı biçimlerine işaret edebilecek kalıpların ve taktiklerin belirlenmesine yardımcı olabilir.
Bu kaynaklara dayalı siber tehditleri tahmin etmek, tehditlerin sistemlerinize ulaşmadan önce savunmaları proaktif olarak uyarlamanızı sağlar.
4. Tehdit istihbarat korelasyonunu uygulayın
Yalnızca çok miktarda ham tehdit verisini toplamak, zımni tehditleri tespit etmek için yeterli değildir. Tehdit istihbarat korelasyonu, farklı kaynaklar arasında analiz ederek bu verileri bağlam haline getirmeye yardımcı olur.
Çapraz referans günlükleri: Aksi takdirde kaçırılabilecek kalıpları tanımlamak için çapraz referans ağ günlükleri, uç nokta günlükleri ve e-posta güvenlik günlükleri. Örneğin, hem gelen hem de giden trafik modellerinde görünen bir dizi IP adresi tespit edebilir ve potansiyel olarak bir pesfiltrasyon girişimini gösterir.
Bağlamsallaştırma: Tehdit zekasını, son organizasyonel değişiklikler veya çalışan davranışı gibi bağlamsal bilgilerle ilişkilendirmek, kırılganlık alanlarını belirlemeye yardımcı olabilir. Örneğin, yakın tarihli bir birleşme veya satın alma, özellikle entegrasyon güvenli değilse, saldırganlar için yeni giriş noktaları oluşturabilir.
Noktaları çeşitli veri kaynakları arasındaki bağlayarak, henüz net uzlaşma göstergeleri olmayan ortaya çıkan tehditleri tespit edebilirsiniz.
5. Dış saldırı yüzey risklerini araştırın
Zımni siber tehdit avında sıklıkla göz ardı edilen bir taktik, dış saldırı yüzeyini araştırmaktır – siber tehditlere maruz kalabilecek bir kuruluşun tüm dijital çevresi. Bulut hizmetlerinin, uzaktan işgücü ve üçüncü taraf satıcıların yükselişi ile kuruluşların bilinmeyen güvenlik açıkları olabilir.
Sürekli Tarama: Maruz kalan varlıkları, açık bağlantı noktalarını, yanlış yapılandırılmış bulut hizmetlerini ve kullanılabilecek kullanılmayan hesapları taramak için harici saldırı yüzey yönetimi araçlarını kullanın.
Üçüncü taraf risk yönetimi: Harici satıcıların, servis sağlayıcıların veya ortakların siber güvenlik duruşunu izleyin ve değerlendirin.
Siber suçlular genellikle “Yumuşak göbek” daha az güvenlikli ortakların daha büyük, daha yoğun güçlendirilmiş kuruluşlara sızması için.
Dış saldırı yüzeyinde zayıf bağlantılar avlayarak, tehdit aktörlerinin gözden kaçan giriş noktaları aracılığıyla yetkisiz erişim kazanmasını engelleyebilirsiniz.
6. Kırmızı Takım ve Mor Takım İşbirliği
Kırmızı ve mor ekipler tarafından yapılan simüle edilmiş saldırılar, ima edilen tehdit avı için proaktif bir yöntem sunar.
Kırmızı Takımlar: Bu etik bilgisayar korsanları, savunmalarınızda boşluklar bulmak için simüle edilmiş saldırılar gerçekleştirir. Gerçek dünya saldırganlarını taklit etmeye çalışırlar ve geleneksel güvenlik açığı taraması sırasında belirgin olmayan güvenlik açıklarını belirleyebilirler.
Mor Takımlar: Mavi takımlar (savunucular) ve kırmızı takımlar arasındaki işbirliği siber güvenlik için daha entegre bir yaklaşım yaratır. Mor ekip etkinlikleri, geleneksel imza tabanlı araçlardan kaçan ortaya çıkan tehditleri tespit etme ve yanıtlama yeteneğini artırabilir.
Bu işbirlikçi egzersizler, tehditleri simüle etme ve kuruluşunuzun henüz karşılaşılmamış yeni taktiklere veya saldırı yöntemlerine nasıl tepki verebileceğini keşfetme fırsatı sunar.
7. Kullanıcı ve Varlık Davranış Analitiğine Odaklanın (UEBA)
Kullanıcı ve Varlık Davranış Analizi (UEBA) iSA, özellikle içeriden gelen tehditleri tespit etmek söz konusu olduğunda, zımni tehdit avı için güçlü bir araç. UEBA, bir kuruluş içindeki kullanıcıların ve diğer kuruluşların (cihazlar, uygulamalar veya sistemler gibi) davranışlarının izlenmesine ve analiz edilmesine odaklanır.
Şüpheli Kullanıcıları Tanımlama: UEBA, ayrıcalık artışı, veri erişim anomalileri veya olağandışı giriş süreleri gibi anormal davranışları işaretleyebilir, bunların hepsi içeriden bir tehdit veya tehlikeye atılmış kullanıcı kimlik bilgilerini gösterebilir.
Yanal hareketin tespiti: UEBA ayrıca, genellikle bir sistemin tam olarak sömürülmesinin öncüsü olan ağ boyunca yanal hareket modellerinin belirlenmesine yardımcı olur.
UEBA araçlarından yararlanarak, güvenlik ekipleri, önemli hasar vermeden önce kötü niyetli içeriden veya tehlikeye atılan hesapları proaktif olarak avlayabilir.
Çözüm
Zımni siber tehdit avı, aktif tehditlere dönüşmeden önce gizli risklerin tanımlanmasını vurgulayan ileri görüşlü bir yaklaşımdır. Davranışsal analitik, tehdit istihbaratı, dış saldırı yüzey yönetimi ve UEBA ve anomali tespiti gibi ileri algılama tekniklerini entegre ederek, güvenlik ekipleri siber suçluların bir adım önünde kalabilir. Tehdit manzarası daha karmaşık hale geldikçe, bu proaktif stratejileri benimsemek, bir kuruluşun ortaya çıkan siber tehditlere karşı savunmasını önemli ölçüde artırabilir.
Reklam
LinkedIn grubumuz “Bilgi Güvenliği Topluluğu” nda 500.000’den fazla siber güvenlik uzmanına katılın!