CyberFlow Logo CyberFlow BLOG
Soc L1 Kaynak Istihbarat Osint Tehdit Istihbarati

Dark Web Monitoring ile Veri Sızıntılarını Takip Etmek

✍️ Ahmet BİRKAN 📂 Soc L1 Kaynak Istihbarat Osint Tehdit Istihbarati

Dark Web Monitoring eğitimi ile veri sızıntılarının nasıl takip edileceğini ve risklerin nasıl yönetileceğini öğrenin.

Dark Web Monitoring ile Veri Sızıntılarını Takip Etmek

Gizli ağlar, forumlar ve yeraltı platformlarında veri sızıntılarını takip etmek, siber güvenlik stratejinizin kritik bir parçasıdır. Dark Web Monitoring, bu süreçte sağladığı erken uyarı sistemleri ile büyük avantaj sunmaktadır.

Giriş ve Konumlandırma

Siber güvenlik alanında, etkili bir savunma mekanizması oluşturmak için sürekli olarak gelişen tehditleri anlamak ve takip etmek kritik öneme sahiptir. Bu bağlamda "dark web monitoring" yani kara ağ izleme, veri sızıntılarını takip etmenin ve saldırı vektörlerini önceden tespit etmenin en etkili yollarından biri olarak öne çıkmaktadır. Dark web, gizli ağlar, forumlar ve yasa dışı faaliyetlerin yürütüldüğü platformları içerir ve bu alanlarda tehdit aktörleri tarafından gerçekleştiren faaliyetler, siber güvenlik uzmanları için önemli bir bilgi kaynağı oluşturmaktadır.

Dark Web Monitoring Nedir?

Dark web monitoring, gizli ağlarda gerçekleştirilen tehdit faaliyetlerinin izlenmesi ve veri sızıntılarının tespit edilmesi sürecidir. Bu süreç, çeşitli dark web veri kaynaklarından, siber suçlarla ilişkili bilgilerin toplanmasını içerir. Örneğin, bu alanda yapılan izleme işlemleri, çalıntı kimlik bilgileri, erişim verileri ve diğer kurumsal varlıkların ticarete konu olduğu yeraltı platformlarındaki verileri gözlemlemeyi amaçlar.

Dark Web Monitoring = Tehdit aktörleri + Veri sızıntıları + Yasa dışı platformlar

Dark web’de yayınlanan veri sızıntıları, genellikle büyük miktarda bilgi içeren "leak dumps" adı verilen veri paketleri biçimindedir. Bu paketler, sızdırılmış bilgi topluluklarını içerir ve belirli bir hedef kutsamak isteyen siber suçlular tarafından kullanılabilir.

Neden Önemlidir?

Veri sızıntıları, birçok kuruluş için ciddi risk oluşturmaktadır. Dark web’de yayınlanan bilgilerin, bir şirketin kimlik bilgileri, finansal verileri veya diğer hassas bilgileri içermesi durumunda, bu bilgiler başka kötü niyetli aktörler tarafından elde edilebilir ve kullanılabilir. Dolayısıyla, dark web izleme, sadece mevcut tehdidi anlamakla kalmayıp, ayrıca potansiyel siber saldırıların önceden tespit edilmesine ve bu nedenle alınacak önlemlerin belirlenmesine de yardımcı olur. Ayrıca, yapılan analizler sayesinde, bu tür olayların gelecekteki tekrarlarının önlenmesine yönelik stratejiler geliştirilebilir.

Siber Güvenlik Bağlamı

Siber güvenlik ve penetre test (pentest) süreçlerinde dark web monitoring, tehdit aktörlerinin davranışlarını anlamak ve olası saldırı senaryolarını tahmin etmek için önemli bir enstrümandır. Kuruluşlar, dark web üzerindeki bilgileri kullanarak savunma stratejilerini güncelleyebilir, siber güvenlik ihlalleri konusunda proaktif bir yaklaşım benimseyebilirler.

Dark web monitoring, aynı zamanda şirketlerin siber güvenlik olaylarına karşı daha dirençli hale gelmelerine olanak tanır. Örneğin, bir kurumun erişim verileri dark web’de satılıyorsa, bu bilgi, sızma testleri sırasında teknik izin süreçlerinin gözden geçirilmesi gerektiğinin bir uyarısıdır.

Tehditleri Anlama ve Erken Uyarı Sistemi

Siber güvenlik, yalnızca tehditlerin tespit edilmesinden ibaret değildir; aynı zamanda bu tehditlerin nasıl ortaya çıktığını ve nasıl yayılabileceğini anlamak da gerekmektedir. Dark web izleme, bu noktada kritik bir rol oynar. Ne tür verilerin satışta olduğu ve hangi tehdit aktörlerinin hangi alışverişleri yaptığı gibi bilgiler, TTP (Tactics, Techniques, and Procedures) analizi için zengin bir kaynak sağlar.

Sonuç olarak, dark web monitoring yalnızca veri akışını takip etmekle kalmaz; aynı zamanda kurumsal stratejilerin yeniden şekillendirilmesine ve güvenlik duvarlarının güçlendirilmesine olanak tanır. Bu süreçleri anlamak ve uygulamak, siber güvenlik uzmanlarının, tehditleri önceden belirlemelerini ve uygun önlemleri almalarını sağlar.

Bununla birlikte, dark web üzerindeki içeriklerin sürekli değişen doğası, bu sürecin dinamizmini ve zorluklarını artırmaktadır. Bu bağlamda, monitoring faaliyetlerinin düzenli olarak güncellenmesi ve mevcut tehditler ile olan bağlantıların sürekli olarak gözden geçirilmesi büyük önem taşımaktadır.

Teknik Analiz ve Uygulama

Dark Web Monitoring Tanımı

Dark web, çoğu zaman görünmeyen veya erişimi zor olan alanların bulunduğu bir internet katmanıdır. Bu alanlar, tehdit aktörlerinin veri sızıntıları, kimlik hırsızlığı ve çeşitli yasa dışı faaliyetler yürüttüğü forumlar ve pazar yerlerini içerir. Dark web monitoring, esasen bu tür tehditleri izlemek ve analiz etmek amacıyla uygulanan bir süreçtir. Proaktif bir yaklaşım sergileyerek, organizasyonların veri güvenliğini artırma ve potansiyel riskleri azaltma imkanı sunar.

Dark Web Intelligence

Dark web intelligence, siber tehditlerin proaktif bir şekilde izlenmesine ve analiz edilmesine olanak tanır. Bu süreç, aşağıdaki bileşenleri içerir:

  • Veri Sızıntıları: Verilerin yanlış ellere geçmesi, bu bilgilerin dark web'de satışa sunulmasına yol açar. Bu durumu izlemek için Türkçe'de "sızıntı dökümleri" olarak adlandırılan veri paketleri üzerinde çalışan sistemler kullanılmalıdır.
  • Tehdit Aktörleri: Dark web üzerinde aktif olan suç grupları ve bireyler, yeni yöntemler ve tekniklerle sürekli değişen bir yapıdadır. Bu aktörlerin birbirleriyle koordineli bir şekilde çalışması, gözlemlenmesi gereken önemli bir unsurdur.

Dark Web Veri Kaynakları

Dark web monitoring süreçlerinde kullanılan en yaygın veri kaynakları şunlardır:

  • Forumlar: Tehdit aktörlerinin bir araya gelip tartıştığı platformlar. Burada bilgi alışverişi gibi faaliyetler yapmak için özel araçlar kullanılabilir.
  • Marketplaces: Saldırganlar tarafından çalınan bilgiler ve yasa dışı hizmetlerin satıldığı yerlerdir.

Bunların yanı sıra, özellikle sızıntı dökümleri önemli bir veri kaynağıdır. Burası, bireylerin veya organizasyonların gerçekleştirdikleri veri sızıntılarının toplu hâlde yayımlandığı alanlardır. Bu verileri takip etmek için özel araçlar ve teknikler geliştirilmiştir.

Leak Dumps

Leak dumps, büyük miktarlarda çalıntı verinin ya da sızdırılmış bilgilerin bir araya getirildiği dokümanlardır. Bu dokümanlar, dark web üzerinde satışa sunularak, kişisel bilgiler, erişim verileri ve şirket varlıklarının ifşasına yol açabilir. Örneğin, aşağıdaki gibi bir sızıntı dökümü gözlemlenebilir:

{
  "username": "kullaniciadi",
  "password": "parola123",
  "email": "ornek@mail.com",
  "company": "Ornek Şirketi"
}

Yukarıdaki sızıntı dökümünden, kurumsal bir erişim satışı yapılabilir. Bilgilerin nasıl kullanılacağı ve hangi pazarlarda satılacağı, tehdit aktörleri için kritik bir öneme sahiptir.

Dark Web Risk Desenleri

Siber güvenlik uzmanları, dark web üzerindeki aktiviteleri analiz ederek belirli risk desenleri oluşturabilirler. Genellikle birkaç ana noktada yoğunlaşan bu riskler şunlardır:

  • Kimlik Bilgisi Sızıntısı: Kullanıcı adlarının ve şifrelerin sızdırılması.
  • Kurumsal Erişim Satışı: Ele geçirilmiş sistemlerin veya ağların kimler tarafından satın alındığı.
  • Tehdit Aktör Pazarlığı: İki veya daha fazla aktörün işbirliği yaparak daha büyük bir siber saldırı gerçekleştirme potansiyeli.

Bu riskler sürekli olarak gelişen bir yapıdadır ve düzenli olarak güncellenmeleri gerekmektedir.

Dark Web Marketplaces

Dark web marketplace'leri, saldırganların çalıntı verilerini ve hizmetlerini sattığı yerlerdir. Bu platformlar, kullanıcıları arasında düzenli bir ticaret ortamı oluşturur. Uygulayıcılar, bu pazarlar üzerinde yapacakları operasyonlar için genellikle gizli iletişim kanalları ve şifreli mesajlaşma sistemleri kullanırlar. 

# Örnek bir dark web tarayıcı komutu
torbrowser-launcher

Yukarıdaki komut, Tor tarayıcısını başlatarak dark web'e erişim sağlar. Ancak, bu tür bir erişim sağlamak, bilinçli ve dikkatli olmayı gerektirir.

İlk Erişim Satışları

Siber saldırganlar açısından, ilk erişim satışı ciddi bir kar sağlayabilir. Kurumsal sistemlere girmek için satın alınan erişim bilgileri, çok çeşitli saldırı teknikleriyle birleştirilerek daha büyük bir tehdit haline gelebilir. Bu süreçler, dark web istihbaratının ve monitoring sistemlerinin dikkatlice izlenmesi gereken alanlardır.

SOC L1 Dark Web Monitoring

Güvenlik Operasyonları Merkezleri (SOC), dark web monitoring süreçlerinin yürütülmesinde önemli bir rol oynar. SOC L1 ekipleri, tehdit aktörleri ve veri sızıntıları hakkında bilgi edinmek amacıyla sürekli olarak dark web'i izler. İlgili veriler toplandıkça, güvenlik stratejileri oluşturularak organizasyonel riskler en aza indirgenmeye çalışılır.

Veri sızıntıları, tehdit aktör faaliyetleri ve stratejik risklerin izlenmesi, siber güvenlik alanında önemli bir yer tutar. Dark web monitoring sayesinde, mevcut durumun görünürlüğünü artırmak ve potansiyel tehditlerin önüne geçmek mümkündür.

Sonuç

Dark web monitoring, siber güvenlik alanında giderek önem kazanmakta olan bir teknik uygulamadır. Yasadışı faaliyetler, veri sızıntıları ve tehdit aktörlerinin etkinlikleri üzerine yapılan çalışmalar, organizasyonların güvenlik stratejilerini güçlendirmekte ve veri kayıplarını önlemektedir. Doğru araçlar ve teknolojilerin kullanılması, dark web dünyasında etkili bir şekilde gezinmeyi ve gerektiğinde hızlı müdahale yapabilmeyi sağlar.

Risk, Yorumlama ve Savunma

Veri sızıntıları, modern organizasyonların en büyük tehditlerinden biri haline gelmiştir. Dark web üzerinde sızdırılan verilerin izlenmesi, potansiyel risklerin açığa çıkarılması ve güvenlik önlemlerinin güçlendirilmesi için kritik bir süreçtir. Bu bölümde, dark web izleme yoluyla elde edilen bulguların güvenlik anlamı, yanlış yapılandırmaların etkisi, sızan verilerle ilgili tespitler ve profesyonel önlemler üzerinde durulacaktır.

Elde Edilen Bulguların Güvenlik Anlamı

Dark web üzerindeki bilgiler, genellikle hacker toplulukları tarafından ele geçirilmiş verilere dayanır. Bu veriler arasında kullanıcı kimlik bilgileri, şirket erişim bilgileri ve kurumsal veriler bulunmaktadır. Elde edilen bu bulgular, bir organizasyonun güvenlik durumu hakkında önemli bilgiler sağlar. Örneğin, bir kullanıcının kimlik bilgileri dark web'de satışa sunulduğunda, bu durum derhal bir güvenlik ihlali olarak değerlendirilmelidir.

Örnek Senaryo

Eğer bir şirketin müşteri veri tabanı dark web'de yer alıyorsa, bu durum hem kimlik hırsızlığı hem de finansal dolandırıcılık gibi riskleri beraberinde getirir. Şirketin, sızan verileri analiz ederek hangi kullanıcıların etkilendiğini tespit etmesi ve bu kullanıcılarla derhal iletişime geçmesi gerekmektedir.

Sızan veriler:
- Kullanıcı Adı: john_doe
- E-posta: john.doe@example.com
- Şifre: hashed-password123

Yanlış Yapılandırma veya Zafiyetlerin Etkisi

Yanlış yapılandırmalar, siber güvenlikte en yaygın zafiyet kaynakları arasında yer alır. Örneğin, bir uygulamanın güncellenmemesi veya bir veritabanının yanlış bir şekilde yapılandırılması, siber suçluların bu zayıflıkları istismar etmesine olanak tanır. Dark web izleme, bu tür zafiyetlerin ortaya çıkmasına yardımcı olabilir.

Zayıflık Tespiti

Bir organizasyona ait verilerin dark web'de bulunması, yanlış yapılandırma veya zafiyetlerin sorun çıkardığını göstermektedir. Örneğin, bir veritabanı yeterince güvenli bir şekilde korunmuyorsa, saldırganların bu verilere erişmesi kolaylaşır. Bu tür durumlar, özellikle "Credential Exposure" (kimlik bilgisi sızıntısı) terimiyle anılır.

Sızan Veri, Topoloji ve Servis Tespiti

Dark web üzerindeki leak dumps (sızdırılmış veri koleksiyonları), bir organizasyonun veri güvenliği hakkında önemli ipuçları sunar. Bu veri paketlerinin içinde, kuruluşun tüm kullanıcı bilgileri, şifreleri ve diğer kritik verileri yer alabilir. Böyle bir durumda, kurumsal topolojinin ve sunucu yapılandırmalarının gözden geçirilmesi gereklidir.

Sızan Verilerin Analizi

Örneğin, belirli bir servis veya sunucu için sızmış kimlik bilgilerini elde ettiyseniz, hemen o servis üzerinde güvenlik önlemleri almak zorundasınız. Güvenlik duvarları, erişim kontrolleri ve şifreleme yöntemleri gözden geçirilmelidir.

Servis: Web Sunucusu 
Sızan veri:
- Admin Erişimi: admin@example.com 
- İzin Düzeyi: Tam Erişim

Profesyonel Önlemler ve Hardening Önerileri

Dark web izleme ile elde ettiğiniz bulgulara yanıt vermek için çeşitli profesyonel önlemler alabilirsiniz. Öncelikle, kullanılan sistemlerin hardening’i (güçlendirilmesi) sağlanmalıdır.

Güvenlik Önlemleri:

  • Düzenli Güncellemeler: Yazılımlar ve sistemlerin güncel tutulması, bilinen zafiyetlerin giderilmesini sağlar.
  • Erişim Kontrolleri: Kullanıcı izinlerinin dikkatli bir şekilde yönetilmesi, yalnızca gerekli olanların erişimini sağlamalıdır.
  • Güvenlik Eğitimleri: Çalışanlara yönelik düzenli siber güvenlik eğitimleri verilmelidir.

Sonuç Özeti

Dark web izleme, organizasyonların veri sızıntılarını takip etmelerine olanak sağlar. Elde edilen bulguların ve analizlerin doğru bir şekilde yorumlanması, siber güvenliğin güçlendirilmesinde kritik öneme sahiptir. Yanlış yapılandırmalar ve zafiyetler, sızıntıları tetikleyebilir ve bu nedenle, sürekli izleme ile profesyonel önlemlerin alınması önemlidir. Bu süreçler, hem güvenlik risklerini azaltmak hem de organizasyonun geleceğini korumak adına hayati bir rol oynar.