CyberFlow Logo CyberFlow BLOG
Soc L1 Izleme Gorunurluk Network

Ağ Görünürlüğü Uzmanlığı: Son Değerlendirmeler ve Analiz Yöntemleri

✍️ Ahmet BİRKAN 📂 Soc L1 Izleme Gorunurluk Network

Ağ görünürlüğü ve siber güvenlik konusunda son değerlendirmeleri keşfedin. Eğitim içeriği ve analitik yöntemler hakkında derinlemesine bilgi edinin.

Ağ Görünürlüğü Uzmanlığı: Son Değerlendirmeler ve Analiz Yöntemleri

Siber güvenlikte ağ görünürlüğü kritik bir unsur. Bu yazıda, uzmanlık eğitimimizden yola çıkarak ağ görünürlüğünün önemini ve analiz yöntemlerini ele alıyoruz. Eğitimdeki temel kavramlar ve son değerlendirme sürecini inceleyin.

Giriş ve Konumlandırma

Ağ görünürlüğü, günümüzde siber güvenlik alanında kritik bir öneme sahip olan bir kavramdır. Ağ içindeki veri akışını anlamak ve bu akışı gerçek zamanlı olarak izlemek, saldırıların tespit edilmesi ve önlenmesi açısından son derece değerlidir. Ağ görünürlüğü, yarıdan fazlası teknik altyapıdan oluşan bir yapı olarak, SOC (Security Operations Center) analistleri için veri akışlarını inceleme ve yönetim araçları sunar.

Günümüzde, siber tehditler giderek daha karmaşık hale gelmekte ve tehdit aktörleri, savunma sistemlerini aşmak için yeni yöntemler geliştirmektedir. Bu bağlamda, ağ görünürlüğünün sağlanması, sadece bir gözlem aracı olmaktan öte, saldırılara karşı bir savunma mekanizması haline gelmiştir. Analistler, trafiği denetleyerek ve anomali tespit ederek olası tehditleri erken aşamalarda yakalamak durumundadırlar.

Ağ Görünürlüğünün Önemi

Ağ görünürlüğünün sağlanması, siber güvenlik süreçlerinin temel taşlarından biridir. Modern saldırılar genellikle birkaç aşamadan oluşur ve bu aşamalar arasında gizli hareketler yapılır. Bu tür hareketlerin tespit edilmesi ise ağ görünürlüğü sayesinde mümkündür. Örneğin, yetkisiz kullanıcıların ağda gezinmesi veya veri sızdırma girişimleri, trafiğin sürekli izlenmesi ile ortaya çıkarılabilir.

Ancak ağ trafiğinin detaylı şekli ile incelenmesi, sadece yapılandırılmış verilerin izlenmesiyle sınırlı değildir. Belirli protokoller ve veri akış yöntemleri kullanılarak, analistler; dağıtılmış veritabanları, komut kontrol merkezleri ve daha fazlası hakkında bilgi sahibi olabilir. Bu bağlamda, IP akış protokolleri (ör. NetFlow) gibi standartlar, analistlerin ağı tahlil edebilmesi için kritik öneme sahiptir.

Ağ Görünürlüğü ve Tehdit Analizi Bağlantısı

Siber güvenlik uzmanları, belirli ağ davranışlarını tanımlamak ve anomali tespitinde bulunmak için bir dizi teknik yöntem kullanır. Örneğin, belirli bir dış IP adresine karşı uzun süreli bir veri akışının gözlemlenmesi, veri sızıntısının en net göstergelerinden biridir. Bu tür bir durum, genellikle siber güvenlik ekipleri tarafından titizlikle izlenir ve gerekli önlemler alınır.

Gelişmiş tehdit analizi metodolojileri, ağ görünürlüğünü daha da derinleştirerek saldırganların stratejilerini anlamaya yardımcı olur. Bir saldırının iç ağı kullanarak sessizce ilerlemesi veya 'lateral movement' yani yatay hareket şeklindeki davranış biçimlerinin tespiti, analistlerin müdahale etmelerini kolaylaştırır.

Teknik Derinlik ve Pratik Uygulama

Ağ görünürlüğü için iki temel yöntem bulunmaktadır: TAP (Test Access Point) ve SPAN (Switched Port Analyzer). Bu iki yöntem, ağ trafiğinin analiz edilmesinde önemli rol oynar:

- **TAP (Donanım)**: Trafikte sıfır paket kaybı sağlar, switch CPU'suna yük bindirmez, ancak fiziksel maliyetlidir.
- **SPAN (Yazılım)**: Ek donanım gerektirmez ancak yoğun trafikte paketleri çöpe atabilir ve switch'i yorabilir.

Bu yöntemlerin her biri, farklı senaryolar ve ihtiyaçlar için avantajlar ve dezavantajlar sunar. Ağ görünürlüğü sağlanırken, yalnızca verilerin toplanması değil, aynı zamanda bu verilerin nasıl analiz edileceği de kritik bir konudur. Verilerin akışını ve zamanlamasını anlamak, analistlerin tehditleri hızla tespit etmelerine yardımcı olur. Özellikle 'latency' analizi, ağ üzerindeki anomali tespitinde önemli bir araç haline gelmiştir.

Ağ görünürlüğünün derinlemesine anlaşılması, yalnızca siber güvenlik ekiplerindeki uzmanlıkla değil, gerekli analitik araç ve tekniklerin doğru bir şekilde kullanımını da gerektirir. Verinin görselleştirilmesi, (örneğin, Sankey ve heatmap teknikleri) bu kapsamda analistlerin karar verme süreçlerini büyük ölçüde kolaylaştırır.

Sonuç olarak, ağ görünürlüğü uzmanlığı, siber güvenliğin temel taşlarını oluşturarak profesyonel analistlerin işlevselliğini artırır. Gelecek yazılarda bu konuda daha detaylı incelemeler yaparak, ağ görünürlüğü metotlarını ve analiz tekniklerini derinlemesine keşfetmeye devam edeceğiz.

Teknik Analiz ve Uygulama

Temel Hatırlatma

Ağ güvenliği, modern bir işletmenin en önemli yapı taşlarından biridir. Güçlü bir ağ güvenliği sağlamak için, ağın görünürlüğü büyük önem taşır. Ağ görünürlüğü, bir SOC (Security Operations Center) analisti için kritik bir rol oynamaktadır; trafiğin kimlik ve hacim bilgilerinin özetlenmesi, ağın 7/24 izlenebilir olmasını sağlar. Bu nedenle NetFlow verisi gibi akış verileri, ağın güvenliğinin sağlanmasında temel bir unsur olarak gösterilmektedir.

Protokol Hakimiyeti

Modern SOC ortamlarında, ağ görünürlüğünü sağlamak için genellikle IP Flow Information Export (IPFIX) veya NetFlow v10 kullanılmaktadır. NetFlow’un klasik versiyonu olan NetFlow v5, eski bir standart olarak kalmışken, esneklik ve standartlaşma amacıyla daha gelişmiş yapıda olan NetFlow v10 tercih edilmektedir. Bu protokollerin kullanımı, ağ mimarisinin gereksinimlerine göre değişim gösterebilir:

# NetFlow v10 yapılandırma örneği
ip flow-export version 10
ip flow-export destination 192.0.2.1 2055
interface GigabitEthernet0/0
ip flow ingress

Bu komut sayesinde NetFlow v10 üzerinde akış verilerini dışa aktarma işlemleri başlatılmış olur.

Altyapı Kontrolü

Ağ görünürlüğü açısından TAP (Test Access Point) ve SPAN (Switched Port Analyzer) yöntemlerinin kritik farklarını anlamak önemlidir. TAP, donanım bazlı bir yöntemdir ve trafikte sıfır paket kaybı sağlar, bu özellik onu kritik uygulamalar için ideal hale getirir. Öte yandan, SPAN yazılım tabanlı bir çözüm olup, özellikle yoğun trafiğin olduğu ortamlarda veri kaybı yaşanabilir:

# SPAN yapılandırma örneği
monitor session 1 source interface GigabitEthernet0/0
monitor session 1 destination interface GigabitEthernet0/1

Bu komut ile belirli bir arayüzden gelen trafiğin izlenmesi sağlanır.

Sinsiliği Yakalamak

Bir saldırganın ağ içine sızdıktan sonra sessiz bir şekilde ilerlemesini (lateral movement) yakalamak için analistin ‘east-west’ trafiği çok dikkatli bir şekilde izlemesi gerekmektedir. Bu tür trafik, genellikle iç ağdaki sunucular arasında gerçekleşmektedir. Bu nedenle 5-tuple parametrelerin dikkatlice değerlendirilmesi, saldırının tespiti açısından önem taşır.

# 5-tuple örneği
# Kaynak IP, Hedef IP, Kaynak Port, Hedef Port, Protokol
host 192.168.1.1 and host 192.168.1.2 and (port 80 or port 443)

Bu tür sorgular ile trafiğin analizi yapılabilir.

Gelişmiş Tehdit Analizi

Beaconing tespiti, akış verisinin zamanlaması ve hacmine odaklanan bir süreçtir. Periyodik ve küçük paketli akışlar, genellikle bir komut ve kontrol merkeziyle haberleşen zararlı yazılımların izlerini taşır. Bu tür durumları tespit etmek için jitter analizi gerçekleştirilmelidir.

# Jitter hesaplama
jitter = mean( samples ) - median( samples )

Bu tür hesaplamalar, ağın normal davranışından sapmaları anlamak için kullanılabilir.

Büyük Resmi Görmek

Ağ trafiğinde görülen anormal aktiviteleri belirlemek için, outbound trafiğinde daha önce hiç görülmemiş bir dış IP adresine doğru uzun süreli ve yüksek hacimli veri akışı izlenmelidir. Bu tür bir trafik, veri sızıntısının en net delili olarak değerlendirilebilir. Analistlerin bir olay sonrasında nereden nereye veri akışı olduğu analiz edilmelidir.

# Outbound veri akışı kontrolü
ip access-list extended OUTBOUND_TRAFFIC
 permit ip any any

Bu tür bir erişim listesi ile, dışa çıkan tüm veri akışları izlenebilir hale gelir.

Sonuç

Ağ görünürlüğü, bir analistin iş süreçlerinde kritik bir rol oynamaktadır. Akış analizi, siber güvenlik uygulamalarındaki büyük resmi görmek için önemlidir. İyi yapılandırılmış bir IPFIX veya NetFlow uygulaması, potansiyel tehditleri belirlemek ve gerekli önlemleri almak için hayati öneme sahiptir. SUAL olabileceği gibi, analistin gözleri ile akış analizinin elde ettiği veriler arasında güçlü bir ilişki bulunmaktadır. Bu bağlamda, eğitimle desteklenmiş bir ağ görünürlüğü stratejisi geliştirmek son derece faydalı olacaktır.

Risk, Yorumlama ve Savunma

Ağ görünürlüğü, siber güvenlik alanında kritik öneme sahiptir. Modern örgütler, ağlarındaki tüm etkinlikleri sürekli olarak izlemeli ve analiz etmelidir. Bu süreç, yalnızca tehditleri tespit etmekle kalmaz, aynı zamanda potansiyel riskleri tanımlamak ve gerekli savunma önlemlerini almak için de esastır. Aşağıda ağ görünürlüğü ile elde edilen bulguların güvenlik anlamı, yanlış yapılandırmaların etkileri, veri sızıntıları, servis tespiti ve savunma önerileri detaylı bir şekilde ele alınacaktır.

Elde Edilen Bulguların Güvenlik Anlamı

Ağ trafiğinden elde edilen verilerin yorumlanması, güvenlik durumunun net bir resmini sunar. Örneğin, 5-Tuple analiz ederek hangi IP adresinin hangi port üzerinden ne tür bir trafik gönderdiği belirlenebilir. Burada elde edilen bilgiler, ağdaki normal işleyişin dışında geçen iletişimlerin tespit edilmesine olanak sağlar.

Ağda yüksek hacimli bir veri akışı gözlemlendiğinde, bu durum veri sızıntısının bir göstergesi olabilir. Özellikle, önceki ziyaret edilmemiş bir dış IP'ye doğru yoğun bir veri akışı bu durumu daha da kanıtlar. Bu tür vakalar, exfiltration olarak adlandırılan hassas verilerin dışarıya kaçırılması eyleminin bir örneği oluşturur ve müdahale edilmediği takdirde ciddi sonuçlar doğurabilir.

Yanlış Yapılandırmalar ve Zafiyetler

Yanlış yapılandırmalar, siber güvenlikte genellikle göz ardı edilen ancak büyük riskler taşıyan unsurlardır. Bir ağ cihazında uygun güvenlik duvarı kuralları uygulanmadığında veya açıklıklar bırakıldığında, bu durum saldırganlar için bir kapı açar. Örneğin, SPAN yapılandırmalarında hata yapılması, ağ trafiğinin kritik bilgilerini kaybetmeye yol açabilir. Bunun sonucunda da ağın güvenliğini tehdit eden verilerin tespiti güçleşir.

Ayrıca, yanlış yapılandırılmış bir TAP cihazı, trafiğin tam olarak analiz edilememesine ve zamanında bilgi alınamamasına neden olabilir. Saldırganlar, böyle zafiyetleri kullanarak iç ağda lateral movement gerçekleştirebilir ve hedeflerine ulaşabilirler.

Veri Sızıntıları ve Servis Tespiti

Ağda gerçekleşen veri sızıntılarının tespit edilebilmesi için, trafik analizi yapmak önemlidir. Beaconing tespiti, kötü niyetli yazılımların komuta kontrol sunucularıyla iletişim kurma biçimidir. Bu tür iletişimlerin sürekliliği, jitter analizi ile izlenebilir. Analistin, anormal trafiği tespit etmesi için bu tür analizleri sürekli yapması gerekir. Örneğin:

# Yüksek hacimli outbound trafiği örneği
src_ip: 192.168.1.100
dst_ip: 203.0.113.50
protocol: TCP
port: 80
bytes: 1,000,000
duration: 3600

Yukarıdaki gibi bir durumda, 192.168.1.100 IP adresinden 203.0.113.50 IP adresine doğru gönderilen yüksek hacimli veri akışı, dikkatlice incelenmelidir.

Profesyonel Önlemler ve Hardening Önerileri

Siber güvenlik alanında etkili olmak için sürekli ve proaktif önlemler almak gereklidir. Aşağıda bazı temel hardening önerileri sıralanmıştır:

  1. Güvenlik Duvarı ve IDS/IPS Konfigürasyonu: Ağ güvenlik duvarları, belirli IP adreslerine gelen istekleri sınırlandırmalı ve anormal davranışları tespit edebilen IDS/IPS sistemleriyle desteklenmelidir.

  2. Eğitim ve Farkındalık: Personel, siber güvenlik konusunda eğitim almalı ve olası tehditler hakkında bilgilendirilmelidir.

  3. Sistem Güncellemeleri: Yazılımlar düzenli olarak güncellenmeli ve zafiyetler kapatılmalıdır.

  4. Ağ Segmantasyonu: İş kritikliğine göre ağ bölgeleri oluşturulmalı ve kritik veriler izole edilmelidir.

  5. İzleme ve Raporlama: Ağ trafiği sürekli izlenmeli, anormal durumlar için uyarılar oluşturulmalıdır.

Sonuç

Ağ görünürlüğü uzmanlığı, siber güvenlikte kritik bir rol oynamaktadır. Elde edilen bulguların yorumlanması, yanlış yapılandırmaların risklerinin anlaşılması ve veri sızıntılarının tespit edilmesi, saldırılara karşı etkili bir savunma oluşturulmasını sağlar. Profesyonel önlemler ve iyi bir hardening stratejisi ile zafiyetlerin en aza indirilmesi mümkündür. Uygun güvenlik pratikleriyle, siber saldırılara karşı daha sağlam ve güvenilir bir ağ altyapısı sağlanabilir.