CyberFlow Logo CyberFlow BLOG
Soc L2 Advanced Correlation Writing

Düğüm (Node) Mantığı: Siber Güvenlikte Tetikleyiciler ve Aksiyonlar

✍️ Ahmet BİRKAN 📂 Soc L2 Advanced Correlation Writing

Siber güvenlikte düğüm (node) mantığını, tetikleyici ve aksiyonların rolünü keşfedin.

Düğüm (Node) Mantığı: Siber Güvenlikte Tetikleyiciler ve Aksiyonlar

Düğüm mantığı, siber güvenlik playbook'larının temel yapı taşlarından biridir. Tetikleyiciler, aksiyonlar ve karar noktaları ile etkili siber müdahaleler gerçekleştirin.

Giriş ve Konumlandırma

Giriş

Siber güvenlik, sürekli değişen tehdit ortamında kuruluşların bilgi varlıklarını korumak amacıyla karmaşık bir yapı oluşturmayı gerektirir. Bu yapı içerisinde, otomasyon ve olay müdahale süreçleri kritik bir öneme sahiptir. Söz konusu süreçlerin temel bileşenlerinden biri olan düğüm (node) mantığı, siber güvenlik otomasyonunda oyun değiştirici bir rol üstlenmektedir. Düğüm mantığı, olayları yönetmek, tetiklemek ve aksiyon almak için kullanılan temel mekanizmaları tanımlar ve bu mekanizmalar sayesinde güvenlik uzmanları daha hızlı ve etkili müdahalelerde bulunabilirler.

Düğüm Kavramı ve Önemi

Düğüm, bir playbook akış diyagramında yer alan, bağımsız olarak işlem gerçekleştiren her bir adımı temsil eder. Her düğüm, belirli bir işlevi yerine getirirken, aynı zamanda diğer düğümler ile etkileşim içinde çalışarak süreç akışını yönlendirir. Örneğin, bir tetikleyici düğümü, bir alarm durumunu algıladığında playbook'un çalışmasını başlatırken, karar düğümleri belirli koşullara dayalı olarak başka düğümlere yönlendirme yapar. Bu nedenle, düğüm mantığının anlaşılması, siber güvenlik proaktif önlemler almak ve olay müdahalesini optimize etmek için son derece kritik bir konudur.

Siber Güvenlik Bağlamında Düğüm Mantığı

Siber güvenlikte düğüm mantığının önemli bir yere sahip olmasının nedeni, olay müdahale süreçlerinin otomasyonu üzerindeki etkisidir. Gelişen siber tehditler, manuel istihbarat toplama ve müdahale yöntemlerinin yeterli olmadığını göstermiştir. Burada devreye giren siber güvenlik otomasyonu, olayların daha hızlı bir şekilde tespit edilmesini ve yanıt verilmesini sağlamaktadır. Özellikle playbook'lar, farklı düğüm tipleri ve tetikleyiciler kullanarak olayın ciddiyetine göre yanıt süreçlerini yönetir.

Aşağıda, bu bağlamda düğüm mantığı ile ilgili bazı temel kavramların kısa açıklamalarını sunmaktayız:

  • Tetikleyici (Trigger): Bir playbook'un çalışmasını başlatan düğüm türüdür. Örneğin, bir yeni şüpheli dosya alarmı geldiğinde bu tetikleyici devreye girer.
  • Karar Noktası (Condition): Akışın belirli koşullara göre yönlendirilmesini sağlar. Örneğin, "Eğer dosya kritik bir sunucu üzerinde bulunuyorsa, yayılımı durdur" şeklinde bir karar mekanizması işleyişi vardır.
  • Aksiyon (Action): Belirtilen durumlara uygun olarak gerçekleştirilecek işlemleri ifade eder. Bu tür düğümler güvenlik sistemlerine komut gönderme, veri zenginleştirme, bildirim gönderme gibi işlemleri gerçekleştirebilir.

Süreç Akışı ve Olay Müdahale

Playbook akışları, olayların işlenmesi ve müdahale edilmesi açısından belirli bir öneme sahiptir. Her bir düğüm, bir işlemi temsil ederken, bu işlemler arasındaki akış ve bağımlılıklar, olayın nasıl yönetileceğini belirler. Örneğin, bir olayın işlenmesi sırasında sırasıyla tetikleyici, karar noktası ve aksiyon düğümleri kullanılarak, olayın durumuna uygun bir yanıt şekillendirilir.

Aşağıda basit bir olay müdahale senaryosuna ilişkin düğüm sıralamasını görmek mümkündür:

1. Tetikleyici: Yeni bir şüpheli dosya tespiti
2. Koşul: Dosya kritik bir sunucu üzerinde mi?
   - Evet: Yayılımı durdur
   - Hayır: İzleme sürecine devam et

Bu örnek, düğüm mantığının etkin bir şekilde nasıl kullanılacağını gösterirken, olay müdahale süreçlerinin nasıl daha sistematik ve etkili bir şekilde gerçekleştirilebileceğine dair ipuçları sunmaktadır.

Sonuç

Siber güvenlik alanında düğüm mantığı, proaktif güvenlik stratejilerinin merkezinde yer almaktadır. Tetikleyiciler, karar noktaları ve aksiyon düğümleri birleşerek, güvenlik uzmanlarının daha hızlı yanıt vermesine ve potansiyel tehditleri etkili bir şekilde yönetmesine olanak tanır. Bu nedenle, düğüm mantığını anlamak ve uygulamak, siber güvenlik alanında başarı sağlamak için kritik bir öncelik olarak karşımıza çıkmaktadır.

Teknik Analiz ve Uygulama

Düğüm (Node) Kavramı

Siber güvenlikte "düğüm" (node) terimi, bir merkezi kontrol akışındaki her bir adımı veya işlevi tanımlar. Playbook akış diyagramlarında her düğüm, bağımsız olarak çalışan bir işlem adımını temsil eder. Bu yapı, siber güvenlik olaylarına müdahale sürecinde esneklik ve verimlilik sağlamak için kritik öneme sahiptir.

Temel Düğüm Tipleri

Düğümler temel olarak üç ana kategoriye ayrılır: Tetikleyiciler, Aksiyonlar ve Karar Noktaları.

  • Tetikleyici (Trigger): Playbook'un başlamasını sağlayan düğüm. Örneğin, bir yeni EDR "Şüpheli Dosya" alarmı, playbook'un çalışmasını başlatan tetikleyicidir.
  • Aksiyon (Action): Kullanıcıdan alınan veya sistemden çekilen verilere dayalı olarak işlem gerçekleştiren düğümdür. Örneğin, trafik zenginleştirme veya bir olay ticket’ı açma gibi.
  • Karar Noktası (Condition): Akışın belirli koşullara göre yönlendirilmesini sağlayan düğümdür. Burada basit bir If-Else yapılanması kullanılır ve gelen verinin durumuna göre yönlendirme yapılır.
Trigger -> Condition -> Action

Tetikleyici (Trigger) İşlevi

Tetikleyiciler, playbook süreçlerinde ilk kıvılcımı yakan unsurlardır. Bu düğümler, genellikle bir güvenlik olayı veya anomali algılandığında tetiklenir ve sürecin başlatılmasını sağlar. Örneğin, belirli bir IP adresinde şüpheli trafik tespit edildiğinde bir tetikleyici devreye girebilir.

Aşağıdaki örnek, bir EDR alarmının tetiklenmesi ile başlayan süreci gösterir:

1. Adım: Tetikleyici - Yeni bir EDR 'Şüpheli Dosya' alarmı SOAR platformuna düştü.

Zamanlanmış Tetikleyiciler

Her zaman bir SIEM alarmına dayanmayan zamanlanmış tetikleyiciler, belirli aralıklarla otomatik sistem taramaları gibi işlemleri başlatmak için kullanılır. Örneğin, her gece saat 03:00'te otomatik bir tarama tetiklenebilir.

Aksiyon (Action) Kategorileri

Aksiyonlar, veri zenginleştirme, sistem güncellemeleri yapma veya bildirim gönderme gibi operasyonel süreçleri içerir. Aşağıda bazı aksiyon kategorileri verilmiştir:

  • Zenginleştirme (Enrichment): Şüpheli bir IP adresinin VirusTotal skorunu çekmek gibi işlevler.
  • Kapsama (Containment): Şüpheli bir cihazın ağdan izole edilmesi veya kullanıcının hesabının kilitlenmesi gibi işlemler.
  • Bildirim (Notification): Süreç tamamlandığında SOC ekibine e-posta veya Slack üzerinden bildirim gönderme.

Örneğin, aşağıdaki kod parçası ile bir zenginleştirme aksiyonu gösterilebilir:

def enrich_ip(ip_address):
    result = VirusTotalApi.get_score(ip_address)
    return result

Koşul (Condition) Mantığı

Koşul düğümleri, akışın belirli koşullara göre yönlendirilmesini sağlar. Bu noktada kullanılan temel mantık, If-Else yapısıdır. Örneğin, bir dosyanın tespit edildiği cihaz kritik bir sunucu mu kontrol edilerek akışın nasıl devam edeceği belirlenir.

2. Adım: Koşul - Dosyanın tespit edildiği cihaz kritik bir veritabanı sunucusu mu?
If (Critical Database Server) {
    // Aksiyon: Detayı analiz et
} Else {
    // Aksiyon: Ağ bağlantısını kes
}

Playbook Akış Sıralaması

SOAR platformlarındaki Playbook akışı, düğümlerin belirli bir sırada yer almasını gerektirir. Her düğüm, kendisinden sonraki düğümün girdisini oluşturacak şekilde çalışır.

Veri Aktarımı ve Bağımlılık

Düğümler arasında veri aktarımı, özellikle bir aksiyon düğümünün, bir öncekine bağlı olduğu durumlarda kritik öneme sahiptir. Düğüm üzerinden geçen verinin akış mantığı, "bir düğümün çıktısı kendinden sonraki düğümün girdisi olur" şeklinde özetlenebilir.

Paralel İşleme (Parallel Execution)

Paralel işleme, birbirine bağımlı olmayan birden fazla aksiyonun aynı anda çalıştırılmasıdır. Bu, müdahale süresini (MTTR) kısaltmak için oldukça etkilidir. Örneğin, hem bir virüs taraması hem de eş zamanlı olarak bir Ticket açma işlemi yapılabilir.

Parallel Execution:
- Virus Scan (Aksiyon 1)
- Open Ticket (Aksiyon 2)

Sonuç olarak, düğüm mantığı; siber güvenlik olaylarına müdahale süreçlerinde yapılandırma ve otomasyon sağlamak için önemli bir bileşendir. Doğru tetikleyici, uygun koşullar ve etkili aksiyonlar ile olay müdahale süreleri kayda değer bir şekilde azaltılabilir.

Risk, Yorumlama ve Savunma

Siber güvenlik sistemleri, potansiyel tehditleri anlamak ve onlara karşı etkin bir şekilde kendini korumak amacıyla sürekli olarak veri toplamakta ve analiz yapmaktadır. Bu süreç, elde edilen bulguların güvenlik anlamını yorumlamak kadar, yanlış yapılandırmalar veya zafiyetlerin etkisini de anlamayı gerektirir. Bu bölümde, bu unsurları inceleyeceğiz.

Elde Edilen Bulguların Güvenlik Anlamı

Sızan veri ve tehdit unsurlarının belirlenmesi, sistemin güvenlik durumunu değerlendirmenin ilk adımıdır. Örneğin, bir EDR (Endpoint Detection and Response) sisteminde, yeni bir şüpheli dosya alarmı alındığında, bu durum hemen güvenlik sürecinin tetiklendiğini gösterir. Bunu aşağıdaki gibi örneklerle açıklayabiliriz:

1. Adım (Trigger):
  - Yeni bir 'Şüpheli Dosya' alarmı.
  
2. Adım (Condition):
  - Dosyanın tespit edildiği cihaz kritik bir sunucu mu?
  
3. Adım (Action):
  - Cihaz kritik sunucu değilse ağ bağlantısını kes.

Bu akış, olayın potansiyel etkilerini değerlendirirken çok önemli bir yere sahiptir. Risk skoru yüksek olan dosyaların, kritik sistemlerde bulunması durumunda, daha fazla aksiyon alınmalı ve önlemler sıkılaştırılmalıdır. Ayrıca, bu tür bulguların kaynağı ve içeriği değerlendirilmelidir.

Yanlış Yapılandırma veya Zafiyetlerin Etkisi

Yanlış yapılandırmalar, genellikle siber güvenlik sisteminin belirli bir seviyede zayıf kalmasına neden olur. Örneğin, güvenlik duvarı kuralları yanlış yapılandırıldığında, kötü niyetli kullanıcıların iç ağa sızma riski artar. Bu tür durumlarda sızan verinin tipine göre; bir veri ihlali, ransomware saldırısı veya daha karmaşık bir saldırı gerçekleştirilebilir.

Zafiyetlerin etkisi ise, sistemin genel sağlamlığı üzerinde doğrudan bir etkiye sahiptir. Yapılandırma yanlışlıkları veya güncel olmayan yazılımlar, saldırganlar tarafından keşfedilmeyi bekleyen açılara dönüşebilir. Bu noktada, sızan veri, topoloji ve hizmet tespitleri (service discovery) büyük önem taşır. Saldırganın hangi yolları kullanarak iç ağa sızdığını belirlemek, gelecekteki saldırıları önlemek için kritik bir adımdır.

Profesyonel Önlemler ve Hardening Önerileri

Siber güvenlik alanında önlemek, iyileştirmek kadar önemlidir. Dolayısıyla, sistemin hardening işlemleri, güvenlik açığını azaltmak için gereklidir. Aşağıda, bazı temel hardening önerileri bulunmaktadır:

  • Güvenlik Duvarı Kuralları: Yanlış yapılandırmaların giderilmesi ve güvenlik duvarı kurallarının sürekli gözden geçirilmesi gerekmektedir.

  • Ağ Segmentasyonu: Hareket alanlarını sınırlayarak, kritik sistemleri kötü niyetli trafiğe karşı daha korumalı hale getirmek.

  • Yazılım Güncellemeleri: Tüm sistemlerin güncel tutulmasını sağlamak, bilinen zafiyetlerin kapatılmasına yardımcı olacaktır.

  • Erişim Kontrolü: Erişim haklarının sıkı kontrolü ve sadece gerekli olan kullanıcı yetkilerinin verilmesi, potansiyel zararları minimize edecektir.

  • Olay Müdahale Planı ve Eğitim: Çalışanlara sürekli siber güvenlik eğitimi verilmeli ve oluşabilecek olaylara karşı etkin bir müdahale planı sağlanmalıdır.

Sonuç

Sonuç olarak, siber güvenlikte elde edilen bulguların doğru bir şekilde yorumlanması, yanlış yapılandırma veya zafiyetlerin etkilerinin belirlenmesi kritik bir önem taşımaktadır. Güvenlik açıklarına karşı etkili bir savunma oluşturmak, detaylı bir risk değerlendirmesi ve sürekli sistem iyileştirmeleri ile mümkün olmaktadır. Proaktif yaklaşım, kuruluşların siber güvenlik yeteneklerini geliştirmelerine ve karşılaşabilecekleri tehditlerle daha iyi başa çıkmalarına yardımcı olacaktır.