CyberFlow Logo CyberFlow BLOG
Soc L1 Teshis Triyaj

Başarısız Giriş Alarmları ve Brute Force Ayırt Etme Yöntemleri

✍️ Ahmet BİRKAN 📂 Soc L1 Teshis Triyaj

Başarısız giriş alarmlarını anlamak ve Brute Force saldırılarını ayırt etmek için gereken bilgileri keşfedin.

Başarısız Giriş Alarmları ve Brute Force Ayırt Etme Yöntemleri

Bu blog yazısında, başarısız giriş alarmlarını yönetmenin ve Brute Force saldırılarını etkili bir şekilde ayırt etmenin yollarını öğreneceksiniz. Siber güvenlikte bilgi sahibi olmanın önemi büyüktür.

Giriş ve Konumlandırma

Siber güvenlik alanında, sistem ve verilerin korunması için birçok farklı tehdit ve saldırı türüyle başa çıkmak gereklidir. Bu bağlamda, "başarısız giriş" alarmları, bir siber güvenlik uzmanının en sık karşılaştığı durumlar arasında yer almaktadır. Bir kullanıcının tanımlayıcı bilgilerini yanlış girmesi veya yetkisi olmayan bir sisteme erişmeye çalışması sonucunda yaşanan bu olaylar, pek çok farklı senaryo tarafından tetiklenebilir. Ancak, bu durumlarla karşılaşmak her zaman bir güvenlik ihlali anlamına gelmez; bunu doğru bir şekilde değerlendirmek ve bağlamından ayırmak kritik öneme sahiptir.

Başarısız Giriş ve Kullanıcı Hatası

Birçok kullanıcı, özellikle yoğun iş temposu içinde ya da haftasonu tatilinden sonra, parolalarını unutarak veya yanlış tuşlara basarak sistemlere erişim denemeleri yapabilir. Örneğin, bir çalışanın Pazartesi sabahı ofise geldiğinde karşılaştığı birçok başarısız giriş kaydı, genellikle kullanıcı hatası olarak değerlendirilir. Bu noktada, siber güvenlik uzmanlarının, tekil başarısız giriş denemelerini ayırt edebilmesi için doğru bir çerçeveye sahip olmaları gerekmektedir.

Saldırı Türleri ve Ayırt Etme

Giriş hatalarının ne zaman bir saldırıya dönüştüğünü anlayabilmek için, belirli kriterlere göre durumları sınıflandırmak ve izlemek gereklidir. Burada devreye, bir SIEM (Security Information and Event Management) sistemi girmektedir. Örneğin, "1 dakikada 5'ten fazla hata" kuralı, ilgili sistemin belirlediği bir eşik değeridir (Threshold). Bu tür eşikler, analistlerin normale göre daha anormal olan giriş denemelerini tespit etmesine olanak sağlar.

Ayrıca, siber güvenlik konusunda önemli bir konu olan "Brute Force" (kaba kuvvet) saldırıları, belirli bir kullanıcı hesabına hızlı bir şekilde farklı parolaların denendiği senaryoları içermektedir. Örneğin, dış IP'den 500 kez yapılan başarısız giriş denemeleri, muhtemel bir kaba kuvvet saldırısını işaret edebilir. Bu durum, analist için kritik bir alarm durumu olarak değerlendirilmektedir çünkü saldırgan, başarılı bir giriş yapmaya çalışmaktadır.

Hesap Kilitleme

Brute Force saldırılarını engellemek ve bu tür durumlarla başa çıkabilmek için kurumlar, Aktif Dizin (AD) üzerinde çeşitli kurallar uygulamaktadır. Eşik değerinin aşılması durumunda, hesap otomatik olarak kilitlenmektedir. Bu mekanizma, "Hesap Kilitleme" (Account Lockout) olarak adlandırılmaktadır. Analistler, bu tür durumlarda hızlı bir yanıt vermek ve yanlış pozitif (False Positive) ile gerçek pozitif (True Positive) durumlarını ayırt edebilmek için belirli kontroller yapmalıdır.

# Başarısız Giriş Kontrolü
Kriter: 
1. 1 dakika içinde 5 başarısız giriş
2. Hemen ardından başarılı giriş kontrolü.

Bu sayede, sistemlerindeki güvenlik açıklarını tespit etme şansı artacaktır.

Sonuç

Başarısız giriş alarmları ve brute force saldırılarını ayırt etme yeteneği, siber güvenlik uzmanları için hayati bir beceridir. Her ne kadar kullanıcı hataları bu alanda yaygın olsa da, kritik tehditleri hızlı bir şekilde tanımlamak ve yanıtlamak, potansiyel veri ihlallerini önlemek için önem taşımaktadır. Bu yazıda ele alınan temel kavramlar, siber güvenlik alanında çalışan uzmanların bilgi ve deneyimlerini geliştirmeye yardımcı olacak bir temel oluşturmaktadır. Bu bilgilerin doğru bir şekilde uygulanması, etkili bir siber güvenlik stratejisi oluşturmada önemli rol oynayacaktır.

Teknik Analiz ve Uygulama

Erişim Reddedildi

Bilgi güvenliğinde, "başarısız giriş" (Failed Login) olarak adlandırılan durumlar, kullanıcıların bir sistemde kimlik doğrulamasının reddedilmesi olarak tanımlanır. Genellikle, parolanın yanlış girilmesi veya yetkisiz bir sistem erişim denemesi bu duruma yol açar. Özellikle kurumsal ağlar üzerinde, izinsiz erişimlerin engellenmesi için bu tür hataların hızlı bir şekilde tespit edilmesi ve analizin yapılması kritik öneme sahiptir.

Başarısız giriş kayıtları genellikle yüksek hacimli log dosyalarında yer alır ve bu kayıtların analiz edilmesi, güvenlik ekiplerinin potansiyel tehditleri tespit etmesine olanak tanır. Örneğin, bir kullanıcının kimlik bilgilerini 3 kez yanlış girmesi normal bir hata olarak değerlendirilirken, çok sayıda tekrarlayan başarısız giriş, bir siber saldırı için bir ön belirti oluşturabilir.

# Sistemin log dosyasında başarısız girişleri listelemek için örnek bir komut
grep "Failed Login" /var/log/auth.log

İnsanlık Hali

Kurumsal ortamda, özellikle tatil sonrası çalışmalara dönüldüğünde, çalışanların parolalarını unutması gibi durumlar oldukça yaygındır. Bu tür hatalar genellikle "tekil başarısız giriş denemeleri" olarak adlandırılır ve güvenlik açığı oluşturmaz. Ancak, bu tür hataların sayısının artması, dikkat edilmesi gereken bir noktadır. Dolayısıyla, analiz süreçlerinde bu tür durumların ayırt edilmesi önemlidir.

Saldırı Türleri

Başarısız giriş durumlarını sadece insan hatası olarak değil, ayrıca çeşitli siber saldırı türleri olarak da değerlendirmek gerekir. Brute Force saldırıları, belirli bir kullanıcı hesabına karşı kısa süre içerisinde çok sayıda farklı parolanın denenmesi anlamına gelir. Bu tür bir girişim, sistemin aşırı yüklenmesine ve daha ciddi güvenlik ihlallerine neden olabilir.

Yine, "Parola Spreyleme" (Password Spraying) gibi bir saldırı türü, belirli hesaplara karşı yaygın parolaların denendiği bir tekniktir. Bu saldırı, çok sayıda hesabı hedef alarak her birine karşı yalnızca bir kez giriş yapmaya çalışır ve kullanıcı hesaplarının kilitlenmesini engelleyebilir.

Sınır Çizgisi

Brute Force ve tesadüfi hataların ayırt edilmesi için belirli bir eşik belirlemek gerekir. Bu eşik, SIEM (Security Information and Event Management) kurallarında kullanılır. Örneğin, "1 dakikada 5'ten fazla hata" kuralındaki "5" sayısı, sistem yöneticileri tarafından belirlenen bir eşik değeridir.

Eşik değerinin aşılması durumunda, analiz süreci devreye girer ve hata kayıtlarının ayrıntılı incelenmesi gerekir.

# Belirli bir eşik değerini aşan başarısız girişleri bulmak için bir komut örneği
awk '$9 ~ /Failed/ && $10 > 5' /var/log/auth.log

Hasar Tespiti

Brute Force alarmları incelenirken, analistin en kritik soru sorması gereken nokta saldırganın parolayı kırıp içeri giremediğidir. Bu, sıklıkla "True Positive" (TP) veya "False Positive" (FP) değerlendirmeleri ile analiz edilir. Örneğin, dış bir IP adresinden 500 kez başarısız giriş denemesi, "True Positive" yani gerçek bir saldırı olarak değerlendirilecektir.

Öte yandan, kullanıcı bir kaç kez yanlış girip sonrasında doğru giriyorsa bu bir "False Positive" yani yanlış alarmdır.

Otomatik Savunma

Kuruluşlar, Brute Force saldırılarını önlemek amacıyla Aktif Dizin (Active Directory) üzerinde çeşitli kurallar uygular. Eşik değeri aşıldığında, kullanıcı hesabı geçici olarak dondurulur ki bu duruma "Hesap Kilitleme" (Account Lockout) denir. Bu mekanizma, kullanıcı hesaplarının kötü niyetli saldırılara karşı güvence altına alınmasına büyük katkı sağlar.

Bu tür bir sistem, potansiyel bir tehdit algılandığında otomatik olarak devreye girebilir ve böylece herhangi bir insan müdahalesine ihtiyaç kalmadan anında bir koruma sağlar.

# Windows PowerShell ile Aktif Dizin üzerindeki hesapları dondurmak için kullanılabilecek bir temel komut
Lock-ADAccount -Identity "KullaniciAdi"

Bu analiz ve koruma mekanizmaları, siber güvenlik ekiplerinin karşılaştıkları senaryoları etkin bir şekilde yönetmelerine ve potansiyel saldırıları hızla bertaraf etmelerine olanak tanır. Durumları değerlendirirken, analistlerin vermeleri gereken triyaj kararlarının doğru bir şekilde mühürlenmesi, sistem güvenliği için kritik bir öneme sahiptir.

Risk, Yorumlama ve Savunma

Siber güvenlik alanında, başarısız giriş alarmları (Failed Login) ve brute force saldırılarının ayırt edilmesi kritik bir öneme sahiptir. Başarısız girişler, genellikle kullanıcı hatası veya unutulan parolalar sebebiyle gerçekleşirken, brute force saldırıları daha sistematik ve kötü niyetli bir yaklaşımı temsil eder. Bu bölümde, bu iki durumun yönetimi açısından risk değerlendirmesi, yorumlama süreci ve savunma mekanizmaları üzerinde durulacaktır.

Erişim Reddedildi

Bir kullanıcının yetkisiz olarak bir sisteme erişmeye çalışması veya parolasını yanlış girmesi sonucu oluşan durumlara "başarısız giriş" denir. Özellikle tatil sonrası, kullanıcıların parolalarını unutması gibi durumlarda sıklıkla karşılaşılan bu alarmlar, sıklıkla "normal" bir hata olarak değerlendirilir. Ancak, analiz sürecinde bu tür girişimleri dikkatli değerlendirmek gerekmektedir.

Hedef, bir sürecin sadece başarısız olmadığını, aynı zamanda ileride potansiyel bir saldırıya dönüşebileceğini belirlemektir.

İnsanlık Hali

Tekil başarısız giriş denemeleri genellikle insan hatası olarak sınıflandırılır ve bu durum güvenlik ihlali olarak değerlendirilmez. Ancak, birkaç yanlış giriş sonrasında başarılı bir giriş olup olmadığını kontrol etmek önemlidir. Örneğin, başarılı girişlerin hemen ardından başarısız denemelerin gelmesi, kullanıcıların hata yapmasının ötesinde bir durumun varlığına işaret edebilir.

Aşağıdaki örnek, bu durumu netleştirebilir:

Kullanıcı "admin" hesabıyla 3 kez yanlış giriş denedi ve ardından doğru şifreyi girdi. Bu durum, bir False Positive (FP) olarak değerlendirilir. Aksiyona gerek yoktur.

Saldırı Türleri

Brute force saldırıları, tek bir hesabı hedef alarak çok sayıda parolanın hızlı bir şekilde denenmesi esasına dayanır. Kullanıcı hesabına yönelik sürekli artan bir sayıdaki başarısız girişler, bu tür saldırılara dair ipuçları taşıyabilir. Bir saldırının ne zaman başlamış olabileceğini değerlendirirken, sistemdeki olağandışı giriş denemeleri dikkat çekici bir veri olarak öne çıkar.

Brute force saldırıları ile normal giriş hatalarını ayırma noktasında SIEM (Güvenlik Bilgileri ve Olay Yönetimi) kurallarına dayanan bir eşik belirleyerek, örneğin bir dakikada beşten fazla hata kaydını analiz etmeye başlayabiliriz. Bu türden durumlar için aşağıdaki gibi bir kural tanımlanabilir:

1 dakika içinde 5'ten fazla başarısız giriş yapılırsa, anında alarma geç.

Sınır Çizgisi

Brute force alarmlarının genel işleyişini anlamak için "eşik" kavramı kritik bir rol oynar. Eşik aşıldığında, acil durum planını devreye sokmak için kullanıcının hesabını geçici olarak dondurmak gibi önlemler alınmalıdır. Bu, "Hesap Kilitleme (Account Lockout)" mekanizması adı verilen otomatik bir savunmadır. 

Eğer bir kullanıcı belirlenen eşik değerini (örn: 5 başarısız giriş) aşarsa, hesabı otomatik olarak kilitlenmeli ve bir bildirim gönderilmelidir.

Hasar Tespiti

Bir siber güvenlik olayını değerlendirmek için, doğru bir hasar tespiti yapmak son derece önemlidir. Dış IP adresinden gelen çok sayıda başarısız giriş kaydı, bunu kabaca aktarıp, riskin boyutunu netleştirmek amacıyla analiz edilmelidir. Örneğin, eğer bir kullanıcı hesabına 500 kez başarısız erişim girişiminde bulunulursa ve bu girişimlerden sonra başarılı bir giriş gerçekleşmezse, dış tehditlerin varlığına dair "True Positive (TP)" olarak değerlendirilmelidir.

Otomatik Savunma

Kurumlar, böyle durumları yönetebilmek için çeşitli otomatik savunma mekanizmaları geliştirmelidir. Bu mekanizmalar, sürekli izlemeleri sağlamakla birlikte, oluşan şüpheli etkinlikleri hızlı bir şekilde tespit etme kabiliyetine de sahip olmalıdır. Loglama işlemleri, geçmişteki tüm olumsuz girişimleri kaydederek olası saldırı yöntemlerini de analiz etmeye yardımcı olur.

Sonuç

Başarısız giriş alarmlarının doğru bir şekilde değerlendirilmesi, siber güvenlik stratejisinin etkili olmasını sağlamaktadır. Kullanıcı hatalarını, potansiyel tehditleri ayrı ayrı ele almak ve uygun otomatik önlemler almak, bir kurumu büyük risklerden koruma potansiyeline sahiptir. Brute force saldırıları ve benzeri durumlar için sürekli izleme ve güvenlik ayarlarının güçlendirilmesi, siber alanın güvenliğini sağlamak için kritik öneme sahiptir.