CyberFlow Logo CyberFlow BLOG
Soc L1 Izleme Endpoint Edr

Dosya Bütünlüğü ve Olay İzleme: Güvenliğiniz İçin Kritik Adımlar

✍️ Ahmet BİRKAN 📂 Soc L1 Izleme Endpoint Edr

Dosya bütünlüğü ve olay izleme teknikleri, siber güvenliğinizin güçlenmesine yardımcı olur. Bu blog yazısında temel kavramlara yer veriyoruz.

Dosya Bütünlüğü ve Olay İzleme: Güvenliğiniz İçin Kritik Adımlar

Siber güvenliğinizi artırmak için dosya bütünlüğü ve olay izleme konularında bilgi sahibi olun. Zararlı yazılımların sızma yollarını keşfedin ve sisteminizi koruyun.

Giriş ve Konumlandırma

Siber güvenlik alanında, dosya bütünlüğü ve olay izleme, sistemlerin güvenliğinin sağlanmasında kritik rol oynayan iki temel bileşendir. Bu iki kavram, siber saldırılara karşı savunmanın temel yapıtaşlarını oluşturarak, potansiyel tehditleri önceden tespit etme, etkilerini sınırlama ve olayları analiz etme fırsatı sunar. Dosya bütünlüğü, sistemdeki dosyaların beklenmedik değişikliklerini tespit ederken; olay izleme ise sistem üzerindeki aktivitelere dair sürekli bir gözlem sağlar.

Neden Bu Konu Önemlidir?

Kurumların siber güvenlik stratejilerinin merkezinde dosya bütünlüğü ve olay izleme yer alır. Siber saldırganlar genellikle hedef aldıkları sistemlerde ilk olarak dosya değişiklikleri yaparak izlerini gizleme çabası içine girerler. Beyaz şapkalı hackerlar için de bu durum, potansiyel zayıf noktaları belirlemek ve analiz etmek açısından önem arz etmektedir.

Bu bağlamda, dosyaların oluşturulması, değiştirilmesi ve silinmesi süreçleri, bir siber saldırıda karşılaşılan temel olaylardır. Örneğin, kullandıkları zararlı yazılımları daha az korumaya sahip klasörlerde saklayan saldırganlar, sistemad erken adımlar atarak etkilerini artırabilirler. Aşağıda, bu üç temel olayı daha iyi anlamak için kullanılacak olan dizinleme:

1. File Create (Oluşturma): Dışarıdan bir Dropper vasıtasıyla yeni bir zararlı içerik yüklenmesi.
2. File Modify (Değiştirme): Mevcut bir dosyanın, bir ransomware tarafından şifrelenmesi veya bozulması.
3. File Delete (Silme): İzlerin geride kalmaması adına saldırganların sistem loglarını yok etmesi.

Bu olayların sürekli izlenmesi, hem sistem yöneticileri hem de güvenlik uzmanları için kritik öneme sahiptir. Ayrıca, dosya bütünlüğü sağlama mekanizmaları, sistemdeki dosyaların yetkisiz bir değişime uğrayıp uğramadığını anlık verilerle doğrulamak adına kullanılır.

Sonuç olarak

Günümüzde artan siber tehditler karşısında etkili bir savunma stratejisi oluşturmak, yalnızca mevcut yazılımlarınızı güncel tutmakla sınırlı kalmamaktadır. Ayrıca, dosya bütünlüğü ve olay izleme sistemlerini entegre etmek, olası tehdit vektörlerini önceden belirlemesi ve etkin bir müdahaleyi mümkün kılması açısından hayati bir önem taşımaktadır.

Göz önünde bulundurulması gereken bir diğer husus ise, olay izleme araçlarının, yalnızca dosya değişikliklerini değil, aynı zamanda bu değişikliklerin arkasında yatan sebeplerini de analiz etme yeteneğidir. Örneğin, bir dosya kaynağı hakkında derinlemesine bilgi sunarak, olası zararlı araçların kullanımını anlamaya yardımcı olur.

Geçiş

Bu blog içeriğinde, dosya bütünlüğü ve olay izlemenin ne anlama geldiği, siber güvenlik içerisindeki önemi ve uygulanabilirliği üzerine teknik bilgiler sağlayarak okuyucularımızı nitelikli bir yaklaşım benimsemeye teşvik edeceğiz. Siber güvenlik tehditlerini önceden belirleme ve bunlara karşı etkin savunmalar oluşturmayı hedefleyen bu bilgilerle, okuyucularımızı teknik içeriklerle zenginleşmiş bir yolculuğa çıkarmayı amaçlıyoruz.

Teknik Analiz ve Uygulama

Değişimi Yakalamak

Dosya bütünlüğü izleme, sistemdeki kritik dosyaların izinin sürülmesi ve yetkisiz değişikliklerin tespit edilmesi açısından hayati öneme sahiptir. Bu tür bir izleme, FIM (File Integrity Monitoring) olarak adlandırılan sistemler tarafından gerçekleştirilir. FIM, dosyaların yaratılma, değiştirilme veya silinme olayları gibi durumları sürekli olarak takip eder. Dosya sistemindeki değişiklikleri yakalamak için kullanılan temel yöntem, dosya özet değerlerinin (hash değerlerinin) hesaplanmasıdır.

Aşağıdaki komut, bir dosyanın hash değerini hesaplamak için kullanılabilir. Bu sayede dosyanın geçerliliğini doğrulamak mümkündür.

# MD5 hash değerini hesaplama
md5sum /path/to/file

# SHA256 hash değeri hesaplama
sha256sum /path/to/file

Bu komutlar, dosyanın içeriğine bağlı olarak bir hash değeri döner. Eğer dosya değişirse, hesaplanan hash değeri de değişecektir. Dolayısıyla, dosya bütünlüğü kontrolü yapmak için belirli aralıklarla bu değerlerin güncellenmesi gerekir.

Zayıf Noktayı Bulmak

Zayıf noktaların tespiti, siber saldırıların en etkili önlenmesi yöntemlerinden biridir. Saldırganlar genellikle zararlı dosyalarını, kullanıcıların yazma yetkisi olan geçici klasörler gibi daha korumasız düzeylerde indirirler. Örneğin, Windows işletim sisteminci için standart olarak kullanılan C:\Windows\Temp dizini, zararlılar için ilk hedeflerden biri olarak bilinir.

Yazılım güvenliğini artırmak için bu dizin üzerinde düzenli izleme yapmak ve burada yapılan tüm değişiklikleri kaydedip analiz etmek kritik bir adımdır. Unix tabanlı bir sistemde ise cat, ls, find, gibi komutlar ile bu dizindeki dosyaların gözlemlenmesi mümkündür. 

# Geçici dizindeki dosyaları listele
ls -l /tmp

Olayların Dili

Siber güvenlik olayları, genellikle belirli olay türlerine göre sıralanabilir. Dosya olaylarını, siber saldırı niyetleriyle eşleştirmek için aşağıdaki gibi bir yaklaşım benimsenebilir:

  • File Create (Oluşturma): Dışarıdan bir Dropper aracılığıyla yeni zararlı bir payload'ın sisteme bırakılması.
  • File Modify (Değiştirme): Zarar verme niyetine sahip bir ransomware dosyasının içeriğinin şifrelenmesi veya mevcut meşru bir dosyaya zarar veren kod eklenmesi.
  • File Delete (Silme): Saldırganın iz bırakmamak için kullandığı araçları veya logları yok etmesi.

Bu olayların her biri, sistem üzerindeki bir tehditin varlığını işaret eder ve detaylı araştırma gerektirir.

Değişmez Kanıt

Bir dosyanın dijital parmak izini sağlayan hash değerleri, sistem üzerinde yapılan değişikliklerin tespitinde değişmez bir kanıt sunar. MD5, SHA1 veya SHA256 algoritmaları ile üretilen bu özet değerleri, dosyanın herhangi bir değişikliğe uğrayıp uğramadığını kesin bir şekilde belirlemek için kullanılır. Örneğin:

# Bir dosyanın hash değerini al
sha256sum /path/to/important/file

Bu dosyanın kontrol edilmesi, sistem yöneticilerine yalnızca dosyanın değişip değişmediğini değil, aynı zamanda izinsiz bir erişim olup olmadığını da anlatır.

Faili Bulmak

Güvenlikte asıl önemli olan durum, dosyanın nereye yazıldığı değil, onu kimin yarattığı ve hangi süreç tarafından oluşturulduğudur. EDR (Endpoint Detection and Response) sistemleri, bu süreçleri izler ve kritik olayların nedenini bulmaya çalışır.

Örneğin, zararlı bir yazılım C:\Temp\malware.exe dosyasını oluşturduğunda, EDR bu dosyayı yaratan süreci inceleyerek daha derin bir analiz gerçekleştirebilir. Aşağıdaki örnek kullanım, EDR ile izlenen süreçlerin daha iyi anlaşılmasına yardımcı olabilir:

# Süreç kaydını izleme
ps aux | grep malware.exe

Gizli Hedefler

Zararlı yazılımlar çoğunlukla gizli dizinlerde, özellikle de %APPDATA% gibi kullanıcı profilleri altında saklanır. Bu, kullanıcıların bu dosyalara erişimini kısıtlayarak bir tür koruma sağlar. Gizli hedeflerin tespiti için aşağıda bulunan yöntemler kullanılabilir:

# Kullanıcı uygulama verilerini listele
ls -la %APPDATA%

Bu klasörler, siber tehditler için önemli veri sızıntı noktalarıdır ve düzenli olarak izlenmesi gerekmektedir.

Sonuç olarak, dosya bütünlüğü ve olay izleme, siber güvenlik alanındaki temel bileşenlerdendir. İyi bir dosya bütünlüğü izleme stratejisi, hem olayların tespit edilmesinde hem de zararların minimize edilmesinde kritik rol oynamaktadır.

Risk, Yorumlama ve Savunma

Siber güvenlik alanında, dosya bütünlüğü ve olay izleme mekanizmaları, saldırıların tespit edilmesi ve engellenmesinde kritik bir rol oynamaktadır. Bu mekanizmaları etkili bir şekilde kullanmak, sistemlerimizdeki zafiyetleri erken aşamada yakalamak ve olası saldırıların etkilerini azaltmak için oldukça önemlidir.

Elde Edilen Bulguların Güvenlik Anlamı

Dosya olaylarını yorumlamak, siber güvenlik uzmanlarının gerçekleştirmesi gereken ilk adımlardan biridir. Örneğin, dosya yaratma, değiştirme veya silme gibi olaylar gerektiğinde, sistemin içinden veya dışından gelebilecek tehditleri ortaya koyar. Veritabanı günlüklerinden elde edilen bulgular üzerinden, belirli bir dosyanın olumsuz yönde etkilenip etkilenmediğini saptamak mümkündür. Bunun için dosya bütünlüğü izleme (FIM) sistemleri, sürekli olarak sistemdeki kritik dosyaların yetkisiz değişip değişmediğini kontrol eder.

# Dosya bütünlüğü kontrolü için örnek bir komut
md5sum /path/to/critical/file

Yukarıdaki komut, belirli bir dosyanın MD5 özetini alarak dosyanın bütünlüğünü kontrol etmemizi sağlar. Eğer dosyanın hash değeri, daha önce kaydedilmiş hash değeri ile farklıysa, dosya değişmiştir ve bu durum güvenlik açığına işaret eder.

Yanlış Yapılandırmalar ve Zafiyetler

Yanlış yapılandırmalar, siber saldırılara karşı açık kapı bırakmaktadır. Örneğin, zararlı yazılımlar genellikle C:\Temp dizininde kendilerini gizlemeyi tercih ederler. Bu dizin, kullanıcıların yazma yetkisine sahip olduğu geçirgen bir alan olduğundan, saldırganların saldırılarını gerçekleştirmesi için uygun bir ortam sunar. Burada, zararlı yazılımın dosyaları sistemin daha korumalı alanlarından ziyade erişimi daha kolay olan alanlara yerleştirdiği görülmektedir.

Bu tür yanlış yapılandırmalar, sadece siber saldırıları kolaylaştırmakla kalmaz, aynı zamanda veri bütünlüğü açısından da büyük riskler taşır. Saldırganlar ayrıca, sistem loglarını silerek izlerini kaybettirmeye çalışır; bu da daha sonraki analizler için bilgi kaybına yol açar.

Sızan Veri, Topoloji, Servis Tespiti

Siber saldırıların etkileri genellikle sızan verilere bağlı olarak değişir. Birkaç önemli bileşen şunlardır:

  1. Sızan Veri: Kullanıcı bilgileri, finansal bilgiler veya sistem yapılandırmaları gibi hassas bilgilerin ele geçirilmesi. Sızan verilerin belirlenmesi, siber güvenlik analistlerinin hangi bilgilerin tehlikede olduğunu anlamalarına yardımcı olur.
  2. Topoloji: Ağa bağlı sistemlerin yapısını incelemek, hangi bileşenlerin birbiriyle etkileşim içinde olduğunu belirlemek, sistemin güvenliğini sağlamada kritik öneme sahiptir. Örneğin, açık portların veya zayıf noktaların tespit edilmesi, saldırı yüzeyini azaltmak için gereklidir.
  3. Servis Tespiti: Hangi servislerin çalıştığını ve hangi yapılandırmalara sahip olduğunu belirlemek, potansiyel saldırı noktalarını belirlemek açısından önemlidir. Kullanıcı yetkilendirme zafiyetleri veya eski yazılımlar, saldırganlar için cazip hedefler haline gelebilir.
{
  "potential_vulnerabilities": [
    "Eski yazılımlar",
    "Yüksek erişim yetkileri",
    "Açık portlar"
  ]
}

Profesyonel Önlemler ve Hardening Önerileri

Siber güvenlikte sertleştirme (hardening), sistemlerin güvenliğini artırmak için alınacak önlemleri içerir. Aşağıda bazı öneriler sıralanmıştır:

  • Güvenlik Duvarları ve İzinler: Kullanıcı grupları ve izinlerin dikkatli bir şekilde yapılandırılması, yalnızca gerekli olan erişimlerin verilmesi.
  • Güncellemeler: Tüm yazılımların, özellikle güvenlik güncellemelerinin düzenli olarak uygulanması, bilinen zafiyetlerin kapatılması için önemlidir.
  • Eğitim: Kullanıcıların sosyal mühendislik saldırıları hakkında eğitilmesi, phishing gibi yaygın saldırıların etkisini azaltır.

Sonuç

Siber güvenlik, dinamik bir alan olup, sürekli olarak güncellenmesi ve gözden geçirilmesi gereken bir sistemdir. Dosya bütünlüğü izleme ve olay yanıtı süreçleri, güvenlik tehditlerini minimize etmek için kritik öneme sahiptir. Yapılandırma hatalarının, zafiyetlerin ve saldırı yüzeylerinin belirlenmesi, hangi alanlara odaklanmamız gerektiğini anlamamıza yardımcı olur. Profesyonel önlemler ve sistem sertleştirme önerileri, siber saldırılara karşı dayanıklılığımızı artıracaktır.