CyberFlow Logo CyberFlow BLOG
Soc L2 Advanced Correlation Writing

Durum Tutan Analiz ve Mantıksal Operatörler: Siber Güvenlikte İleri Düzey Yaklaşımlar

✍️ Ahmet BİRKAN 📂 Soc L2 Advanced Correlation Writing

Siber güvenlikte durum tutan analiz yöntemleri ve mantıksal operatörlerin önemi hakkında derinlemesine bilgiler edinin.

Durum Tutan Analiz ve Mantıksal Operatörler: Siber Güvenlikte İleri Düzey Yaklaşımlar

Durum tutma analizi, siber güvenlikte olayların bağlamını koruyarak etkili koruma sağlar. Bu yazıda, stateful analiz ve mantıksal operatörlerin işlevlerini keşfedeceksiniz.

Giriş ve Konumlandırma

Durum Tutan Analiz ve Mantıksal Operatörler: Siber Güvenlikte İleri Düzey Yaklaşımlar

Siber güvenlik alanındaki tehditlerin artmasıyla birlikte, güvenlik uzmanlarının olay analizi ve yönetimi konusundaki yetenekleri de önemli bir şekilde gelişmiştir. Bu bağlamda, "Durum Tutan Analiz" (Stateful Analysis) ve mantıksal operatörlerin kullanımı, saldırı tespiti ve önceden belirlenmiş güvenlik politikalarının uygulanmasında kritik bir rol oynamaktadır. Bu yazıda, durum tutan analizin ne olduğu, neden önemli olduğu ve siber güvenlikteki uygulamaları üzerine detaylı bilgiler sunulacaktır.

Durum Tutan Analiz Nedir?

Durum tutan analiz, bir olayın zamanlama ve bağlamını saklayarak, geçmişte gerçekleşmiş olayları referans alarak analiz yapmayı sağlayan bir tekniktir. Bu yöntem, güvenlik olaylarının yalnızca kendine özgü niteliklerine göre değil, aynı zamanda diğer olaylarla olan ilişkilerine göre değerlendirilmesini mümkün kılar. Örneğin, bir SIEM sisteminin (Security Information and Event Management) her log kaydını bağımsız olarak değerlendirmek yerine, olayların sırasını ve bağlamını hafızasında tutarak zincirleme bir şekilde değerlendirmesine olanak tanır.

Durum tutan sistemlerde, geçmiş olayların saklanması,
analizlerin doğruluk oranını artırmaktadır.

Neden Önemlidir?

Geleneksel soruların (stateless) analizinden farklı olarak, durum tutan analiz, şebeke üzerinde karmaşık saldırıları tespit etmek için gereklidir. Örneğin, bir siber saldırganın belirli bir zaman aralığında sürekli olarak başarısız giriş denemeleri yapması durumu, ancak ardında başarılı bir giriş olduğunda saptanabilir. Bu tür senaryolar, durum tutan analizin etkinliğini ortaya koymaktadır.

Dahası, durum tutma özelliği, oturum takibi ve geçmiş olaylara dayalı koruma senaryoları oluşturma yeteneği ile siber güvenlik ekiplerine derinlemesine analiz olanağı sunar. Örneğin, bir kullanıcı oturumu boyunca gerçekleştirilen işlemler, saldırıların önceden tespit edilmesini sağlamakta etkili olur.

Pentest ve Savunma Açısından Bağlamı

Pentesting (penetrasyon testi) süreçlerinde, durum tutan analiz yöntemleri, test edilen sistemlerin ne denli dayanıklı olduğunu anlamaya yardımcı olur. Saldırı senaryolarında, bir olayın ardından neler gerçekleştiğini gözlemlemek, savunma tekniklerinin etkinliğini ölçme ve güvenlik açıklarına yönelik gerekli önlemleri alma fırsatı sunar.

Örneğin, eğer bir kullanıcı VPN bağlantısı olmadan kritik bir sunucuya erişmeye çalışıyorsa, bu durum durum tutan analiz sayesinde tespit edilebilir. Böylece, operatörler anlık olarak riskleri değerlendirip gerekli aksiyonları alabilir.

Teknik İçeriğe Hazırlık

Bu yazının ilerleyen bölümlerinde, durum tutan analizin detayları, mantıksal operatörlerin işleyişi ve siber güvenlikteki uygulamaları üzerine derinlemesine bilgiler yer alacaktır. Özellikle, durum tutan senaryoların nasıl oluşturulacağı, aktif listelerin kullanımı ve zaman sıralaması konularına odaklanılacaktır.

Ayrıca, mantıksal 'NOT' operatörü gibi temel operatörlerin nasıl işlediği ve siber güvenlikteki rolü, konunun teknik boyutunu anlamanızı kolaylaştıracaktır. Bu tür bilgiler, güvenlik uzmanlarının olayları daha iyi anlamalarına ve sistemlerini daha iyi korumalarına yardımcı olacaktır.

Sonuç olarak, durum tutan analiz ve mantıksal operatörler, siber güvenlik alanında karmaşık saldırıların tespiti ve önlenmesinde önemli bir yere sahiptir. Bu kavramları anlamak, teknik güvenlik uzmanlarının yetkinliklerini arttıracak ve siber tehditlerle daha etkili bir şekilde başa çıkmalarını sağlayacaktır.

Teknik Analiz ve Uygulama

Siber güvenlik alanında durum tutan (stateful) analiz, olayların sırasını ve bağlamını göz önünde bulundurarak karmaşık kural yapıları oluşturulmasına olanak tanır. Bu bölümde, stateful analiz kavramı, mantıksal operatörler ve bu analiz tekniklerinin uygulamaları derinlemesine ele alınacaktır.

Stateful (Durum Tutan) Analiz

Stateful analiz, olayların birbirleriyle ilişkili olarak değerlendirildiği bir yöntemdir. Bu, SIEM (Security Information and Event Management) sistemlerinin her logu tek başına değerlendirmek yerine, olayların bağlamını hafızasında tutarak zincirleme bir şekilde analiz etmesini sağlar. Örneğin, bir kullanıcının bir sisteme giriş gerçekleştirmesi (A olayı) ve ardından belirli bir eylemi (B olayı) gerçekleştirmesi durumunda, bu iki olayı bir bütün olarak değerlendirerek güvenlik durumu analiz edilebilir.

A olayı: Kullanıcının sisteme giriş yapması
B olayı: Kullanıcının hassas verilere erişimi

Bu noktada mantıksal operatörlerin devreye girdiği durumları açıklamak önemlidir.

Mantıksal 'NOT' (Değil) Operatörü

Stateful senaryolarında, belirli bir olayın gerçekleşmemesi durumunda kuralın tetiklenmesi için mantıksal 'NOT' operatörü kullanılabilir. Örneğin, bir oturum açıldığında (A olayı), kullanıcıdan beklenen bir eylemin (örneğin, verilere erişim) gerçekleşmemesi durumunda (B olayı), belirli bir güvenlik uyarısı tetiklenebilir.

Eğer A (Giriş) varsa ve NOT B (Verilere Erişim) varsa, uyarı tetiklenecektir.

Session (Oturum) Takibi

Stateful analiz, kullanıcı oturumlarının takibi açısından büyük bir öneme sahiptir. Kullanıcının bir sisteme giriş yapmasından çıkışına kadar geçen süre, sistemin güvenlik durumunu belirlemek için kritik bir bilgidir. Bu bağlamda şunları söyleyebiliriz:

  • Stateful sistemler, kullanıcının oturumu boyunca gerçekleştirdiği tüm olayları izler.
  • Başarılı kaba kuvvet girişimleri veya VPN olmadan erişim gibi durumlar, bir oturum takibi ile daha etkili bir şekilde tespit edilebilir.

Active List (Aktif Liste)

Stateful analizlerde, bir olayı hafızada tutmanın en yaygın yollarından biri, olayla ilgili IP adresi veya kullanıcı adını geçici bir süre için "Aktif Liste" adlı dinamik tabloya yazmaktır. Bu liste, belirli süre içinde potansiyel tehdit kaynaklarını analiz etme konusunda yardımcı olur.

IP Adresi: 192.168.1.10
Son Giriş Zamanı: 2023-10-10 14:05:00

Operatör Mantığı

Korelasyon sorgularında birden fazla şartı bağlamak için mantıksal operatörler kullanılır. Bu operatörler, olayların nasıl bir araya geleceği konusunda net koşullar sunar. Örneğin, "AND" operatörü, bir kuralın tetiklenmesi için bütün şartların sağlanması gerektiğini ifade ederken, "OR" operatörü ise herhangi bir şartın gerçekleşmesinin yeterli olduğunu belirtir. 

A ve B (AND): Her iki olayın da gerçekleşmesi zorunlu
A veya B (OR): Herhangi bir olayın gerçekleşmesi yeterli

Performans Etkisi

Stateful kuralların sistem üzerindeki etkisi dikkate alınmalıdır. Çok sayıda durum tutan kural çalıştırmak, korelasyon motorunun bellek tüketimini artırabilir ve performans sorunlarına yol açabilir. Bu nedenle, analiz yaparken sistemin sınırlarını aşmamaya özen göstermek gereklidir.

Zaman Sıralaması

Stateful kuralların doğru çalışabilmesi için, olayların SIEM'e geliş sırasından ziyade, logların içindeki gerçek gerçekleşme zamanlarına göre sıralanması son derece önemlidir. Zaman sıralamasının korunması, olayların ardışıklığını ve bağlamını koruyarak daha etkili bir analiz yapılmasını sağlar.

Sonuç olarak, stateful analiz teknikleri siber güvenlik alanında karmaşık olay ilişkilerini yönetmek ve daha etkili tehdit tespit mekanizmaları geliştirmek için önemli bir araçtır. Mantıksal operatörlerin doğru kullanımı, siber güvenlik stratejilerinin etkinliğini artırmada kritik bir rol oynamaktadır. Bu yaklaşımlar, güvenlik profesyonellerinin olayları daha iyi analiz etmesine ve potansiyel tehditleri daha hızla tespit etmesine yardımcı olur.

Risk, Yorumlama ve Savunma

Risk Analizi ve Yorumlama

Siber güvenlik alanında, durum tutan (stateful) analizler, nesnelerin bağlamını anlamak ve olayları dizinlemek için kritik öneme sahiptir. Bu tür analizler, siber güvenlik olaylarının sadece anlık gözlemler değil, aynı zamanda olaylar arasındaki ilişkilerin ve zamanlamanın da değerlendirilmesini sağlar. Bu bölümde, elde edilen bulguların güvenlik anlamını yorumlayacak ve yanlış yapılandırmalar ya da mevcut zafiyetlerin etkilerini açıklayacağız.

Olayların Yasaları ve Bağlantıları

Durumlu analiz, olayların sırasını ve bağlamını hafızada tutarak karmaşık kuralların uygulanmasına olanak tanır. Örneğin, bir kullanıcıdan gelen ardışık başarısız giriş denemeleri takibini yaparken, sonrasında gerçekleşen başarılı bir girişin alarm durumunu tetiklemesi yüksek bir risk işareti olabilir.

Başarılı Kaba Kuvvet: Çok sayıda başarısız girişin hemen ardından aynı hesaptan 'Başarılı' bir giriş (Login Success) olması.

Bu tür durumlar, özellikle de内部 erişimden önce bir VPN kullanılıp kullanılmadığını belirlemek açısından önemlidir. VPN olmadan erişim gerçekleşmişse, bu durum potansiyel bir güvenlik açığı yaratmaktadır.

Yanlış Yapılandırmalar ve Zafiyetler

Yanlış yapılandırmalar, durum tutan analizlerin başarısını olumsuz yönde etkileyebilir. Örneğin, bir güvenlik duvarı kuralının doğru bir şekilde belirlenmemesi, zararlı trafiğin iç ağa sızmasına neden olabilir. Bu bağlamda şu örneği değerlendirebiliriz:

VPN Olmadan Erişim: Bir kullanıcının, VPN ile ağa bağlanma (Login) olayını gerçekleştirmeden doğrudan kritik bir iç sunucuya erişmesi.

Yetersiz yapılandırmalar bazen güvenlik tehdidini göz ardı edebilir. Böyle durumlar sonucunda, güvenlik sistemleri zararlı etkenleri tespit etmekte zorlanabilir veya yanlış alarmlar yaratabilir.

Savunma ve Önleme Stratejileri

Kullanıcı aktivitelerinin izlenmesi ve durum tutma yöntemlerinin kullanılması, sistemin genel güvenlik seviyesini artırır. Riskin minimize edilmesi için aşağıdaki profesyonel önlemler alınabilir:

  1. Aktif Listeler Kullanımı: Stateful analizler için, belirli IP veya kullanıcı adlarını geçici bir süre için hafızada tutarak bu bilgilerin gözlemlenmesi ve analiz edilmesi sağlanabilir.

    Aktif Liste: Dinamik, geçici bir tablo.

  2. Timeout Değerlerinin Ayarlanması: Durum tutan sistemlerin, analiz için bekleyeceği maksimum süreyi belirlemek, yanlış pozitiflerin azalmasına yardımcı olur. Zaman aşımının iyi ayarlanması, bir olayın sırasını doğru değerlendirebilmek açısından önemlidir.

  3. Olayların Zamanına Göre Sıralanması: Olayların SIEM'e geliş sırasına göre değil, gerçek gerçekleşme zamanına göre sıralanması kritik bir noktadır. Bu, bir olayı hafızada tutmayı ve sonraki adımları belirlemeyi sağlar.

Zamanına: Olaylar SIEM'e geliş sırasına göre değil, logların içindeki asıl gerçekleşme zamanına göre sıralanmalıdır.

Sonuç

Sonuç olarak, durum tutan analizler, siber güvenlikte daha fazla derinlik ve bağlam sağlayarak risklerin etkili bir şekilde değerlendirilmesine olanak tanır. Yanlış yapılandırmalar ve zafiyetler, önemli tehditler oluşturabilirken, etkin savunma stratejileri ve önlemlerle bunların etkileri minimize edilebilir. Olayların zamanlamasını ve sırasını dikkate alarak ve mantıksal operatörler aracılığıyla analiz yaparak güvenlik sistemlerinin etkinliği artırılabilir. Her siber güvenlik profesyonelinin, bu tür analizlerin potansiyelini anlaması, sistemlerini daha dayanıklı hale getirmesi için kritik öneme sahiptir.