CyberFlow Logo CyberFlow BLOG
Soc L2 Threat Hunting Hipotez

Ağ Tehditlerini Belirlemenin Yolu: NDR ve Network Telemetry

✍️ Ahmet BİRKAN 📂 Soc L2 Threat Hunting Hipotez

NDR ve Network Telemetry nedir? Ağ trafiğinin analizi ile tehditlerin tespiti üzerine detaylı bir inceleme.

Ağ Tehditlerini Belirlemenin Yolu: NDR ve Network Telemetry

Ağ güvenliği günümüzde her zamankinden daha önemli. NDR ve Network Telemetry ile ağ trafiğini analiz ederek tehditleri nasıl tespit edebilirsiniz? Bu yazımızda bu konuları ayrıntılı bir şekilde ele alıyoruz.

Giriş ve Konumlandırma

Ağ güvenliği, günümüz dijital dünyasında kritik bir öneme sahiptir. İnternet üzerinden gerçekleştirilen çeşitli siber saldırılar karşısında, güvenlik profesyonellerinin etkin bir şekilde tehditleri tespit etmesi ve bunlara karşı önlem alması gerekmektedir. Bu bağlamda, Ağ Tehdit Avcılığı (Threat Hunting) alanında öne çıkan iki önemli kavram, Network Detection and Response (NDR) ve Network Telemetry'dir. Bu yazıda, bu kavramların nasıl çalıştığına ve siber güvenlikteki önemine yer vereceğiz.

NDR Tanımı ve Önemi

NDR, ağ trafik verilerini analiz ederek potansiyel tehditleri tespit eden bir güvenlik çözümüdür. Geleneksel güvenlik araçlarının ötesinde, NDR sistemleri ağda gerçekleşen anormallikleri belirlemek için gelişmiş analiz teknikleri kullanır. Bu sayede, saldırganların davranışlarını erkenden tespit edebilmekte ve gerekli önleyici tedbirleri almak mümkün olmaktadır. Modern siber güvenlik tehditlerinin hızla evrim geçirdiği günümüzde, NDR sistemlerinin sağladığı bu gözlem yeteneği, organizasyonların siber savunmalarını güçlendirmektedir.

Network Telemetry'nin Rolü

Ağ telemetresi, ağ üzerinde gerçekleşen veri akışlarının ve bağlantıların toplanmasıyla elde edilen bilgileri ifade eder. Bu bilgiler, ağ çağrışımlarını, veri paketlerini ve çeşitli protokoller üzerindeki iletişimleri kapsar. Network telemetry toplama işlemi, yalnızca veriyi toplamaktan öte, bu verilerin analiz edilmesini de içerir. Analiz edilen veriler, güvenlik uzmanlarına ağın durumu hakkında kapsamlı bir görünürlük sağlar ve olayların kök nedenlerini anlamalarını kolaylaştırır.

Veri Türleri

NDR sistemleri, çeşitli veri türlerini toplar ve bu verilerin analizine dayanarak anormal trafik davranışlarını tespit eder. Örneğin:

- **NetFlow**: Ağ akış verisini izleyerek, iletişimdeki anomalleri tespit etmeye yardımcı olur.
- **DNS Logları**: Alan adı sorguları üzerinden şüpheli etkinlikleri belirlemek için kullanılır.
- **PCAP**: Paket seviyesinde veri alarak, hatalı ya da şüpheli trafik detaylarını analiz etme imkanı sunar.

Bu veri türleri, güvenlik analistlerinin tehditleri tanımlamasına ve bu tehditlere karşı savunma stratejileri geliştirmesine katkı sağlamaktadır.

Görünürlük ve Analiz Süreci

NDR sistemleri, ağ seviyesinde geniş kapsamlı bir görünürlük sağlar. Bu görünürlük, siber güvenlik uzmanlarının ağ üzerinde neler olup bittiğini takip etmelerine ve gerekli müdahaleleri zamanında gerçekleştirmelerine olanak tanır. Görünürlük elde etmek, sadece veriyi toplamakla sınırlı değildir. Toplanan verilerin analiz edilmesi, tehdit avcılığının kritik bir parçasıdır.

Analiz süreci genellikle aşağıdaki adımlardan oluşur:

  1. Veri Toplama: Ağ trafiği ve bağlantılarının detaylı bir şekilde toplanması.
  2. Veri Analizi: Toplanan verilerin incelenmesi ve belirli desenlerin tespit edilmesi.
  3. Anomali Tespiti: Normal davranışlardan sapmaları belirlemek için bu verilerin incelenmesi.
  4. İhbar ve Müdahale: Tespit edilen anormalliklerin ilgili güvenlik ekibine bildirilmesi ve gerekli önlemlerin alınması.

Anomali Tespiti

Anomali tespiti, NDR sistemlerinin en kritik işlevlerinden biridir. Anormal trafik davranışlarının tespiti, potansiyel bir tehditin ilk sinyali olabilir. Bu bağlamda, sistemin doğru bir şekilde yapılandırılması ve sürekli öğrenme oranının artırılması önemlidir. Aksi takdirde, yanlış pozitifler ve yanlış negatifler güvenlik açıklarına yol açabilir.

Network telemetry verilerinin analizi, siber güvenliğin daha iyi anlaşılmasına yardımcı olurken aynı zamanda anlamlı içgörüler sunar. Bu içgörüler, organizasyonlar için proaktif bir siber güvenlik stratejisi geliştirilmesinde temel bir rol oynamaktadır.

Sonuç olarak, NDR ve Network Telemetry, günümüzün siber tehditler ile mücadele etmek için kritik öneme sahip araçlardır. Tehdit avcılığı sürecinde sağladıkları veri analizi ve görünürlük yetenekleri, organizasyonların olası siber saldırılara karşı daha dayanıklı olmasına katkıda bulunmaktadır. Böylece, daha sağlam bir siber güvenlik yapısı oluşturulması mümkün hale gelmektedir.

Teknik Analiz ve Uygulama

NDR Tanımı

NDR (Network Detection and Response), ağ trafiğini analiz ederek tehditleri tespit eden bir güvenlik çözümüdür. Günümüzün karmaşık ağ ortamlarında, NDR çözümleri, ağda meydana gelen olayları izlemeye ve potansiyel tehditleri hızlıca belirlemeye olanak tanır. Bu tür çözümler genellikle geniş bir veri yelpazesini işler ve anomali tespiti gerçekleştirmek için gelişmiş analiz tekniklerine başvurur.

Network Telemetry

Network telemetry, ağ üzerinde gerçekleşen veri akışlarının ve bağlantıların sürekli izlenmesiyle elde edilen bir bilgi koleksiyonudur. Bu veriler, ağın genel durumu, performansı ve güvenliği hakkında derinlemesine anlayış sağlar. Network telemetry, genellikle aşağıdaki veri türlerini içerir:

  • NetFlow: Ağ akış verisi, belirli bir zaman aralığında ağ üzerinden taşınan verilerin takip edilmesini sağlar.
  • DNS Logs: Alan adı sorguları, ağ üzerindeki etkileşimlerin takibi için kritik öneme sahiptir.
  • PCAP: Paket seviyesinde veri, ağda gerçekleşen tüm paketlerin kaydedilmesini içerir.

Bu veri türleri, ağın davranışsal paterni hakkında kapsamlı bilgi sunar ve potansiyel tehditlerin ortaya çıkmasında önemli rol oynar.

Veri Türleri ve Telemetry Kaynakları

NDR sistemleri, çeşitli ağ verilerini toplar. Aşağıdaki veri türleri ve kaynakları, network telemetry sürecinde sıkça kullanılır:

  • NetFlow: Belirli bir süre zarfında ağda gerçekleşen veri akışlarının kaydedilmesi.
  • DNS Logs: Alan adı çözümlerinin detayları; hangi alanların sıklıkla sorgulandığını gösterir.
  • PCAP: Ağ paketlerinin detaylı bir dökümüdür, genellikle sorun giderme ve analiz için kullanılır.

Bu veriler, NDR sistemleri aracılığıyla toplanarak, ağ seviyesinde geniş kapsamlı görünürlük sağlanır.

Görünürlük ve Analiz Süreci

NDR sistemlerinin temel avantajlarından biri, ağın görünürlüğünü artırmasıdır. Bu sistemler, topladıkları verileri analiz ederek ve belirli davranış kalıplarını tanıyarak, anormal trafik davranışlarını tespit eder.

Belirli bir ağ verisi akışını analiz etmek için aşağıdaki örnek analiz yapısı kullanılabilir:

tcpdump -i eth0 -w capture.pcap

Yukarıdaki komut, eth0 arayüzünde geçen tüm paketleri capture.pcap dosyasına kaydetmekte kullanılan bir araçtır. Buradan elde edilen PCAP dosyası, daha sonra çeşitli analiz araçları ile incelenebilir.

Anomali Tespiti

NDR sistemleri, anormal trafik davranışlarını tespit etmek için makine öğrenimi ve istatistiksel analiz yöntemlerini kullanır. Örneğin, normal trafik koşullarının dışındaki bir durumu belirlemek için trafik analizi yapılabilir. Bu süreç, genellikle aşağıdaki aşamalardan oluşur:

  1. Veri Toplama: Network telemetry verileri çeşitli kaynaklardan toplanır.
  2. Ön İşleme: Toplanan veriler temizlenir ve analiz için hazırlanır.
  3. Davranışsal Analiz: Normal ve anormal trafik paternleri tanımlanır.
  4. Alarm Oluşturma: Anomali tespit edildiğinde, sistem alarm oluşturur ve yöneticilere bildirir.

Kullanım Amaçları ve Zorluklar

NDR sistemleri, birçok amaç için kullanılabilir. Bunlar arasında:

  • C2 Detection: Komuta kontrol sunucularının tespiti.
  • Lateral Movement: Yanal hareketlerin analizi, saldırganların ağ içindeki hareketlerini anlamak.
  • Exfiltration: Veri sızdırma tespiti, hassas bilgilerin ağdan çıkışını belirleme.

Ancak, network telemetry analizinde bazı zorluklar da vardır. Örneğin:

  • Şifreli Trafik: Şifreli verilerin analizi, içeriği çözmeden zordur.
  • Hacim: Büyük veri hacmi ile başa çıkmak için yeterli kaynak ve depolama alanı gerekir.
  • Yanlış Pozitifler: Anlama derinliği gerektiren durumlar, yanlış alarm oluşturabilir.

SOC L2 Final Süreci

SOC (Security Operations Center) L2 analistleri, network telemetry verilerini analiz ederek ağ tabanlı tehditleri tespit eder. Bu süreç, potansiyel tehditlerin tanımlanması, ilgili olayların araştırılması ve gerektiğinde yanıt planlarının uygulanmasını içerir. Analizci, topladığı verilere dayanarak olay angajman süreçlerini optimize eder ve gerektiğinde gerekli bilgileri diğer ekiplerle paylaşır.

NDR ve network telemetry, günümüz siber tehditleri ile başa çıkmak için kritik öneme sahip araçlardır. Ağların sürekli izlenmesi, güvenlik açıklarının hızlıca tespit edilmesine yardımcı olur ve tehditlerin etkisini minimize eder.

Risk, Yorumlama ve Savunma

Risk Değerlendirme ve Savunma

Elde Edilen Bulguların Güvenlik Anlamı

Network Telemetry (NDR), ağ trafiğini analiz ederek potansiyel tehditleri tespit etme yeteneğine sahip bir güvenlik çözümüdür. Ağ üzerinde toplanan veriler, ağın güvenlik durumunu anlamak için kritik bir rol oynar. Bu veriler arasında NetFlow, DNS logları ve paket seviyesinde veri (PCAP) gibi çeşitli kaynaklar bulunmaktadır. NDR sistemleri, bu tür verileri işleyerek anomali tespiti yapabilir.

Elde edilen verilerin analiz edilmesi, yanlış yapılandırmaların veya güvenlik zafiyetlerinin etkilerini belirlemek için gereklidir. Örneğin, bir ağda şüpheli bir DNS sorgusu tespit edildiğinde, bu durum bir kötü niyetli yazılımın varlığını gösterebilir. Bu tür olaylar, sızan verilerin, ağ topolojisinin ve sunduğu servislerin belirlenmesinde önemli rol oynar.

Yanlış Yapılandırma veya Zafiyetlerin Etkisi

Yanlış yapılandırmalar, ağ güvenliğinde ciddi riskler oluşturabilir. Örneğin, güvenlik duvarı kurallarının hatalı bir şekilde yapılandırılması, dışarıdan gelen tehditlerin iç ağa girişine izin verebilir. Ayrıca, zafiyetlere sahip bir sistemin keşfi, siber saldırganların bu zafiyetleri istismar etmesine olanak tanır.

Aşağıda bazı örnek durumlar ve onların etkileri verilmiştir:

# Yanlış yapılandırma örneği: 
iptables -A INPUT -s 0.0.0.0/0 -j ACCEPT

Yukarıdaki komut, tüm IP adreslerine ağ girişine izin verir ve dış tehditler için büyük bir açık oluşturur. Bu tür yapılandırmaların düzeltilmesi, ağın güvenliğini büyük ölçüde artırabilir.

Sızan Veri, Topoloji ve Servis Tespiti

NDR, ağınızı sürekli olarak izleyerek, sızan verilerin tespiti ve analizini mümkün kılar. Ağ üzerinde gerçekleştirilen veri akışlarının analizi, yalnızca dış tehditleri değil, aynı zamanda iç tehditlerin de farkına varılmasını sağlar. Örneğin, yetkisiz bir kullanıcının kritik verilere erişme girişimi, bir veri sızıntısının potansiyel bir göstergesidir.

Ağ topolojisi ve servislerin durumu da bu analizlerin bir parçasıdır. NDR sistemleri, ağdaki cihazların birbirleriyle nasıl etkileşimde bulunduğunu ve hangi servislerin açık olduğunu belirlemek için kullanılabilir. Bu bilgiler, zafiyetlerin ve ihlallerin tespitinde kritik öneme sahiptir.

Profesyonel Önlemler ve Hardening Önerileri

Ağ güvenliğini artırmak için bir dizi önlem almak gerekmektedir:

  1. Güvenlik Duvarı ve İzinler: Ağınızdaki tüm trafiği denetlemek için güvenlik duvarı yapılandırmalarını gözden geçirin. İzinleri en aza indirgeyerek yalnızca ihtiyaç duyulan hizmetlere erişime izin verin.

  2. Ağ Segmentasyonu: Ağınızı mantıksal gruplara ayırarak, zararlı etkinliklerin yayılmasını sınırlayın. Bu, bir alanın ele geçirilmesi durumunda diğer alanların korunmasına yardımcı olur.

  3. Düzenli Güncellemeler: Kullandığınız yazılımları ve donanımları düzenli olarak güncelleyerek, bilinen zafiyetlerden korunmaya çalışın.

  4. Eğitim ve Farkındalık: Kullanıcılarınızı sosyal mühendislik saldırıları ve diğer tehditler hakkında bilgilendirin. İnsan faktörü, çoğu güvenlik ihlalinin temel sebebidir.

  5. Log Yönetimi ve İzleme: Ağ aktivitelerini sürekli izleyin ve anormal durumları belirlemek için düzenli raporlar oluşturun.

Sonuç

NDR ve network telemetry, ağ tehditlerini belirlemede çarpan bir rol oynamaktadır. Güvenlik bulgularını doğru yorumlamak, yanlış yapılandırmaların ve zafiyetlerin etkilerini anlamak, sızan verileri ve ağın genel topolojik yapısını tespit etmek, etkin savunma stratejileri geliştirmenin temelini oluşturur. Ağ güvenliğinizi artırmak için profesyonel önlemleri ve hardening uygulamalarını hayata geçirerek, olası tehditlere karşı daha dayanıklı bir yapı oluşturabilirsiniz.