CyberFlow Logo CyberFlow BLOG
Soc L2 Infra Ad Cloud

Bulut Ortamında Dijital Adli Bilişim: Kanıt Toplama ve Analiz Yöntemleri

✍️ Ahmet BİRKAN 📂 Soc L2 Infra Ad Cloud

Bulut ortamında dijital adli bilişim süreçlerini keşfedin. Kanıt toplama ve analiz yöntemleri hakkında bilgi edinin.

Bulut Ortamında Dijital Adli Bilişim: Kanıt Toplama ve Analiz Yöntemleri

Dijital adli bilişim, bulut altyapılarında siber olayların ardından kanıtların toplanması ve analizini kapsar. Bu yazımızda, bulut adli bilişimin temellerini ve uygulama yöntemlerini detaylıca ele alıyoruz.

Giriş ve Konumlandırma

Bulut bilişim, günümüzde işletmelerin veri yönetimindeki en kritik unsurlardan biri haline gelmiştir. Ancak, bu ortamda gerçekleşen siber olayların ardından dijital kanıtların tespiti, toplanması ve analizi oldukça karmaşık bir süreçtir. Bu bağlamda, bulut ortamında dijital adli bilişim (Cloud Forensics) kavramı, hem siber güvenlik uzmanları hem de adli bilişim analistleri için önem arz eden bir disiplin olarak öne çıkmaktadır.

Bulut Adli Bilişimi Nedir?

Bulut adli bilişimi, bulut altyapılarında gerçekleşen siber olayların ardından meydana gelen verilerin analiz edilmesi sürecidir. Bu süreç, öncelikle dijital kanıtların güvenli bir şekilde toplanmasını, saklanmasını ve analiz edilmesini içerir. Bulut ortamları, sanal makinelerin, uygulama hizmetlerinin ve diğer bilişim kaynaklarının sanallaştırıldığı bir sistem olduğundan, dijital kanıtların toplanması ve incelenmesi klasik yöntemlere kıyasla daha fazla zorluk içerebilir.

Neden Önemlidir?

Bulut adli bilişimi, yalnızca suçların araştırılması açısından değil, aynı zamanda siber güvenlik uygulamaları ve kurumsal savunmalar için de kritik bir öneme sahiptir. Siber saldırılar sonucunda kaynakların ne şekilde etkilendiğinin anlaşılması, şirketlerin güvenlik açıklarını kapatmalarına ve gelecekteki saldırılara karşı önlemler almalarına yardımcı olur. Ayrıca, yasal açıdan tatmin edici bir kanıt toplama süreci, mahkemelerde kullanılan delillerin geçerliliğini artırır.

Siber Güvenlik, Pentest ve Savunma Açısından Bağlamlaştırma

Siber güvenlik alanında, bulut ortamında meydana gelen olayların analizi, penetrasyon testleri (pentest) ve kurumsal savunma stratejileri ile doğrudan ilişkilidir. Pentest uygulamaları, sistemlerdeki zayıf noktaların belirlenmesine ve siber saldırı senaryolarının test edilmesine olanak tanırken, ayrıca olası olaylarla ilgili önceden planlama yapmayı sağlar. Bu bağlamda, bulut adli bilişimin sağladığı kanıt toplama ve analiz yöntemleri, saldırıların etkisini anlamak ve siber güvenlik önlemlerini etkin bir biçimde planlamak için gereklidir.

Aşağıda, bulut ortamında kanıt toplama süreçlerini ve önemli noktaları açıklayan bir örnek verilmiştir:

1. Kanıt Toplama
    - Disk görüntüleme (Imaging) tekniği kullanılarak sanal makinelerin disk kopyaları alınır.
    - Uçucu veriler (volatile data), sistem aktifken kaybolabileceğinden, bunlar öncelikle toplanmalıdır.

2. Kanıt Zinciri
    - Toplanan dijital kanıtların izlenebilirliğini sağlamak için kanıt zinciri belgelenmelidir. 
    - Bu çalışma, kanıtların kim tarafından, hangi süreçler sonucunda elde edildiğinin kayıt altına alınmasını içerir.

3. Analiz Araçları
    - Disk verilerini analiz etmek için Autopsy veya Sleuth Kit gibi araçlar kullanılabilir.
    - Bellek (RAM) analizleri için Volatility gibi araçlar, aktif süreçler ve ağ bağlantılarının incelenmesini sağlar.

Sonuç olarak, bulut ortamında dijital adli bilişim, siber güvenlik, pentest ve kurumsal savunma stratejileri açısından önemli bir yer tutar. İşletmelerin, bulut çözümlerini kullanırken tüm bu süreçleri göz önünde bulundurması ve etkili analiz yöntemleri geliştirmesi gerekmektedir. Bu blog yazısında, bulut adli bilişimin kapsamı, kanıt toplama yöntemleri ve analiz süreçleri üzerinde durulacak ve okuyuculara bu konuda derinlemesine bilgi sağlanacaktır.

Teknik Analiz ve Uygulama

Bulut ortamında dijital adli bilişim (cloud forensics), siber olayların meydana gelmesi sonrası dijital kanıtların etkin bir biçimde tespiti, toplanması ve analiz edilmesi sürecidir. Bu süreç, hem teknik hem de hukuki açıdan aşırı derecede titiz bir yaklaşım gerektirir. Bulut altyapıları, geleneksel sistemlere göre daha fazla çeşitlilik sunar ve bu da kanıt toplama ve analiz yöntemlerini karmaşık hale getirir. Aşağıda, bu alanda gerçekleştirilecek analizler için gerekli olan temel adımları ve teknikleri inceleyeceğiz.

Bulut Kanıt Türleri

Bulut ortamında toplanabilecek birçok farklı dijital kanıt türü bulunmaktadır. Bunlar arasında;

  • Disk Snapshot’ları: Sanal makinelerin belirli bir andaki disk içeriğinin kopyasıdır. Bu tür kanıtların toplanması, olay sonrası dönüş yönetimini kolaylaştırır.
  • Yönetim Kayıtları: Örneğin, Azure Activity Logs veya AWS CloudTrail gibi kayıtlar, kullanıcı etkinlikleri ve sistem değişiklikleri hakkında kritik bilgiler sağlar.
  • Ağ Kayıtları: NSG Flow Logs veya VPC Flow Logs, ağ trafiği hakkında bilgi sağlar ve saldırıların kaynaklarını belirlemek için önemli bir kaynaktır.

Bu tür verilerin toplanması, olayın aydınlatılmasında büyük rol oynar.

Kanıt Zinciri

Herhangi bir adli bilişim olayında, kanıt zincirinin korunması kritik öneme sahiptir. Kanıtların hangi aşamalardan geçtiği, kimler tarafından tekrar erişildiği ve hangi işlemlerin yapıldığı titizlikle belgelenmelidir. Bu, mahkemede kullanılabilecek kanıtların geçerliliğini artırır.

Bir örnekle açıklamak gerekirse, topladığınız dijital kanıtların ilk halinden analiz aşamasına kadar kimler tarafından erişildiği; örneğin:

1. Kanıt Toplama (Analist A)
2. Ön Analiz (Analist B)
3. Raporlama (Analist C)

Yukarıdaki aşamalar, kanıtın güvenliğini artırır ve hukuksal süreçlerde güvenilirliği sağlar.

Disk İmajı Alma

Bir dijital kanıtın bulunmasında ilk adım, o verinin olanak dahilinde en bozulmamış haliyle kopyalanmasıdır. Disk imajı almak, bir diskin salt okunur (read-only) modda kopyalanmasıdır. Bu, alınan verilerin üzerinde herhangi bir değişiklik olmadan analiz yapılmasına olanak tanır. Disk imajları almak için yaygın olarak kullanılan bazı araçlar şunlardır:

  • Autopsy / Sleuth Kit: Disk imajlarını analiz etmek ve silinmiş dosyaları kurtarmak için kullanılan açık kaynak bir araçtır.
$ sleuthkit img_find -i /dev/sda1

Uçucu Kanıtlar

Uçucu veriler, sistem kapatıldığında kaybolacak olan aktif süreçler ve ağ bağlantıları gibi bilgiler içerir. Bu nedenle, olay anında bu verilerin toplanması büyük bir önem taşır. Uçucu verilere erişmek için Volatility aracı kullanılabilir.

$ volatility -f memory.img imageinfo

Bu komut, bellek imajının analizini gerçekleştirir ve sistemde çalışan süreçler hakkında bilgi verir.

Bütünlük Doğrulama (Hashing)

Bir dijital kanıtın kopyalandıktan sonra değişip değişmediğini kanıtlamak için hashing yöntemleri kullanılır. Hash değerleri, dosyaların bütünlüğünü sağlamak açısından kritik öneme sahiptir. Örneğin, toplanan bir dosyanın hash değerini almak için aşağıdaki komut kullanılabilir:

$ sha256sum file.img

Bu sayede, dosyanın orijinal ve kopya versiyonları arasında karşılaştırma yapılarak değişiklik olup olmadığını kontrol edebiliriz.

Veri Koruma (Legal Hold)

Veri koruma, yasal saklama sürecinin uygulandığı aşamadır. İlgili kayıtların otomatik silinme politikalarıyla yok olmasını önlemek için bu süreç geçerlidir. Yasal olarak korunması gereken verilerin belirlenmesi ve saklanması, bulut adli bilişimin kritik bir parçasıdır.

Saldırı Zaman Çizelgesi (Timeline Analysis)

Farklı log kaynaklarından gelen verilerin kronolojik olarak sıralanması, saldırının gelişimini anlamamıza yardımcı olur. Saldırı zaman çizelgesi oluşturmak, bir olayın nasıl geliştiğini belirlemek ve saldırganın sistemde nasıl hareket ettiğini analiz etmek için önemlidir.

$ cat /var/log/auth.log | grep "Failed password" | awk '{print $1, $2, $3}' | sort | uniq -c

Bu komut, oturum açma deneme kayıtlarını zaman sırasına göre analiz etmenizi sağlar.

Yukarıda açıklanan yöntemler ve teknikler, bulut ortamında dijital adli bilişim süreçlerini daha etkili bir hale getirir. Bu süreçlerin uygulanması, olayların doğru bir şekilde soruşturulması ve siber tehditlerin önlenmesi için kritiktir.

Risk, Yorumlama ve Savunma

Risklerin Değerlendirilmesi ve Yorumlanması

Bulut ortamına yönelik siber saldırılar ve veri ihlalleri, organizasyonlar için büyük riskler taşımaktadır. Elde edilen bulguların güvenlik anlamını yorumlamak, sadece tehditlerin ciddiyetini anlamakla kalmayıp, aynı zamanda bu tehditlere karşı alınacak önlemleri belirlemek açısından da son derece önemlidir. Herhangi bir bulut hizmeti altında veri saklanıyorsa, bu hizmetin yanlış yapılandırılması veya zayıflıkları, veri ihlali gibi ciddi sonuçlara yol açabilir. Örneğin, yanlış erişim izinleri verilmiş bir sanal makine, saldırganların sistemi ele geçirmesine olanak tanıyabilir.

Yanlış Yapılandırmanın Etkileri

Yanlış yapılandırmalar genelde küçük hatalar olarak görünse de, potansiyel jeopolitik ya da ekonomik kayıplara yol açabilir. Örneğin, bir bulut ortamındaki güvenlik grubu izinlerinin çok geniş tanımlanması, veri sızıntısına neden olabilir. Bu tür bir yapılandırma örneği ile karşılaşıldığında, düşen verilere yönelik aşağıdaki analiz ve yöntemler devreye alınmalıdır:

# Bir güvenlik grubunun izinlerini kontrol etme
aws ec2 describe-security-groups --group-ids sg-12345678

Bu komut, spesifik bir güvenlik grubunun izinlerini kontrol ederek, potansiyel açıkların tespit edilmesine yardımcı olur.

Sızan Verilerin Analizi ve Topoloji

Sızan verilerin belirlenmesi ise ciddi bir önem taşır. Tipik olarak, sistemlerde hangi verilerin kaybolduğu, bu verilerin hangi servisler tarafından kullanıldığı ve sistemin genel topolojisi gibi bilgilere ulaşmak kritik olabilir. Bu bağlamda, log kaynaklarının analizi önemlidir:

  • Management Logs: Altyapının yönetim kayıtları, herhangi bir yapılandırma değişikliği veya ihlali hakkında bilgi sağlar.
  • Network Logs: Ağ trafiği verimleri, şüpheli IP adreslerinin izlenmesine yardımcı olabilir.

Örneğin, aşağıdaki komut, belirli bir kaynak üzerindeki logları kontrol etmenizi sağlar:

# Azure Activity Logs'u kontrol etme
az monitor activity-log list --resource-group MyResourceGroup --start-time 2023-01-01 --end-time 2023-02-01

Profesyonel Önlemler ve Hardening Önerileri

Elde edilen tüm verilerin analizi sonucunda, belirlenen risklere karşı profesyonel önlemler alınmalıdır. Bunlar arasında:

  1. Erişim Kontrolü: Erişim izinlerinin dikkatlice düzenlenmesi. Gereksiz kullanıcı erişimlerinin sınırlandırılması.
  2. Güvenlik Yaması Uygulama: Bulut hizmet sağlayıcıların sunduğu güncellemelerin hızlı bir şekilde uygulanması.
  3. Veri Şifreleme: Hem taşınan hem de durgun verilerin şifrelenmesi, veri güvenliği açısından kritik öneme sahiptir.

Ayrıca, organizasyonların belirli bir hardening sürecine tabi olması önerilmektedir. Hardening, sistemlerin ve uygulamaların güvenliğini artırarak, olası saldırları en alt seviyeye çekmeye yardımcı olur. Örneğin, işletim sistemlerinde gereksiz servislerin kapatılması ve yalnızca gerekli protokole izin verilmesi bu süreçte dikkate alınması gereken adımlardandır.

Sonuç

Bu bölümde, bulut ortamındaki risklerin değerlendirilmesi ve yorumlanması, yanlış yapılandırmaların etkileri, sızan verilerin analizi ve profesyonel önlemler üzerinde durulmuştur. Dijital adli bilişim süreçleri, bulut ortamında meydana gelen olaylara hızlı ve etkili bir şekilde yanıt vermek için kritik bir rol oynamaktadır. Güvenlik açıklarının sadece tespit edilmesi yetmez; aynı zamanda, bu açıklar karşısında sağlam bir savunma mekanizması oluşturulması gereklidir.