CyberFlow Logo CyberFlow BLOG
Soc L2 Threat Hunting Hipotez

İç Tehdit Avcılığı: Şirketlerin Güvenliğini Artırma Yolu

✍️ Ahmet BİRKAN 📂 Soc L2 Threat Hunting Hipotez

İç tehdit avcılığı, organizasyonların güvenliğini sağlamak için kritik bir adımdır. Şüpheli davranışların tespitiyle siber saldırılara karşı direnç geliştirebilirsiniz.

İç Tehdit Avcılığı: Şirketlerin Güvenliğini Artırma Yolu

İç tehdit avcılığı, kötü niyetli veya kazara verilen zararları azaltmak adına önemli bir siber güvenlik stratejisidir. Tehdit türlerini, davranış örneklerini ve tespit süreçlerini inceleyin.

Giriş ve Konumlandırma

İç Tehdit Avcılığı: Şirketlerin Güvenliğini Artırma Yolu

Siber güvenlik alanında "iç tehdit" terimi, organizasyonların karşılaştığı en karmaşık ve tehlikeli tehditlerden birini tanımlamaktadır. Bu tür tehditler, şirket içindeki kullanıcılar tarafından, kasıtlı ya da kazara oluşturulan riskleri içermektedir. İç tehditler, hem kötü niyetli eylemlerden hem de kullanıcı hatalarından kaynaklanabilir ve genellikle tespit edilmesi zor bir durum oluşturarak siber güvenlik savunmalarını zorlaştırmaktadır.

İç Tehditlerin Önemi

İç tehditler, dışarıdan gelen saldırılara kıyasla daha derinlemesine ve uzun süreli analiz gerektirmektedir; zira meşru kullanıcılar tarafından gerçekleştirildiği için, bu tür davranışlar çoğu zaman normal kullanım ile birbirine karıştırılır. Yapılan araştırmalar, birçok siber saldırının iç tehditlerden kaynaklandığını veya bu saldırılara yardımcı olduğunu göstermektedir. Örneğin, yetkili bir kullanıcı, sistemdeki hassas verilere erişim sağlayarak bunları kötü niyetli bir şekilde kullanabilir; bu da hem veri güvenliğini tehdit eder hem de organizasyonun itibarına büyük zarar verebilir.

Siber Güvenlik Bağlamında İç Tehditler

Siber güvenlik stratejileri genellikle dış tehditlere odaklanırken, iç tehditlere gerekli önemi vermemek ciddi sorunlara neden olabilir. Penetrasyon testleri (pentest) ve sızma testleri, genellikle kötü niyetli dış saldırganların yöntemlerini simüle etse de, iç tehditleri ele almak için özel yaklaşımlar gerektirir. Organizasyonlar, iç tehditlere karşı savunma mekanizmalarını geliştirmek için kullanıcı davranışlarını dikkatlice analiz etmeli ve bu tür tehditleri tespit edebilmek için uygun araçları ve süreçleri oluşturmalıdır.

İlgili Süreçler ve Yöntemler

İç tehdit avcılığı süreci, kullanıcı faaliyetlerini ve davranışlarını incelemeyi içermektedir. Bu süreçte şüpheli aktivitelerin belirlenmesi ve analiz edilmesi sağlanarak, potansiyel iç tehditler tespit edilir. Aşağıdaki örnekler, iç tehdit faaliyetlerini belirlemede ve analiz etmede kullanılan bazı tekniklere işaret etmektedir:

- Aşırı Erişim: Kullanıcının normalde erişmesi beklenmeyen verilere veya sistemlere erişim sağlaması.
- Yetki Kötüye Kullanımı: Kullanıcıların mevcut yetkilerini kötüye kullanarak yetkisiz veri erişimi gerçekleştirmeleri.
- Anormal Giriş: Kullanıcının alışılmadık saatlerde veya yerlerden sisteme giriş yapması.
- Toplu Veri Çekme: Kullanıcının bir seferde büyük miktarda veri indirmesi.

Bu tür davranışlar, iç tehditlerin erken aşamada tespit edilmesine yardımcı olabilir. Bunun yanında, iç tehditlerle başa çıkmanın en etkili yollarından biri, kullanıcıların rollerine uygun erişim haklarının belirlenmesi ve sürekli izlenebilmesidir.

Sonuç

Teknolojinin sürekli gelişimiyle birlikte, iç tehditlerin göz ardı edilmesi, birçok organizasyon için potansiyel bir kıyamet senaryosuna dönüşebilir. Kullanıcıların çalıştığı sistemlerde yarattığı kinayeler, bazen bilinçli olarak yapılmasa bile ciddi sonuçlara yol açabilir. İç tehdit avcılığı, kullanıcı davranışlarının sistematik bir şekilde takip edilmesi ve analiz edilmesini gerektiren bir süreçtir. Bu bağlamda, iç tehditlerin tespit ve önlenmesi, organizasyonların siber güvenlik stratejilerinin ve savunma mekanizmalarının ayrılmaz bir parçası haline gelmelidir. İleriye dönük olarak, iç tehdit avcılığı, siber güvenlik alanında daha fazla öncelik kazanacak ve organizasyonların genel güvenliği için kritik bir bileşen haline gelecektir.

Teknik Analiz ve Uygulama

Insider Threat Tanımı

İç tehdit (insider threat) kavramı, bir organizasyon içerisindeki kullanıcıların, kasıtlı veya kazara oluşturduğu güvenlik tehditlerini ifade eder. Bu tehditler, kötü niyetli kullanıcılardan veya meşru kullanıcıların hatalarından kaynaklanabilir. Bir çalışanın sistem bilgilerine erişim yetkisi olması, onu iç tehdit olarak değerlendirmek için yeterlidir. Ancak tehditin mahiyeti, kullanıcının niyetine bağlı olarak değişir.

Tehdit Türleri

İç tehditler genel olarak iki ana gruba ayrılır:

  1. Kötü Niyetli Tehditler: İşten ayrılan çalışanlar veya kurum içindeki bazı bireyler, bil intentional olarak hassas verilere erişim sağlayarak zarar verebilirler.

  2. Kazara Tehditler: Çalışanların dikkatsizlik veya yanılgı sonucu yaptıkları hatalar, organizasyon için risk oluşturabilir. Örneğin, yanlışlıkla yanlış bir dosyayı silmek veya verileri yanlış bir yere kaydetmek gibi.

Davranış Örnekleri

İç tehditlerin tespitinde önemli bir nokta, çalışan davranışlarının analiz edilmesidir. Aşağıdaki davranışlar, potansiyel iç tehditleri işaret edebilir:

  • Aşırı Erişim: Çalışanın ihtiyaç duymadığı verilere erişim sağlaması.
  • Veri İndirme: Çok fazla veri indirmesi.
  • Yetki Kötüye Kullanımı: Kullanıcının yüksek yetkilere sahip olması durumunda bu yetkileri kötüye kullanması.
  • Mesai Dışı Erişim: Çalışanın iş saatleri dışında sistemlere erişim sağlaması.
  • Toplu Veri Çekme: Kullanıcının büyük miktarda veri indirmesi veya dışarıya göndermesi.
  • Anormal Giriş: Kullanıcının alışık olunmadık bir cihaz veya lokasyondan sisteme girmesi.

Davranış Özellikleri

Bu davranışların özelliklerinin iyi anlaşılması, tehdit avcılığının başarılı olması için kritik öneme sahiptir. Her bir davranışın tanımlanması ve analiz edilmesi, olası bir iç tehditin tespit edilmesinde önem taşıyan zemin oluşturur. Örneğin, "Aşırı Erişim", bir kullanıcının yetkisi dahilinde olmayan verilere erişim sağlaması durumunu ifade eder. Bu tür durumlar, kullanıcıların hangi verilere erişim yetkisi olduğunu izlemeyi gerektirir.

# Kullanıcı erişimi izleme komutu
# Kullanıcı erişim düzeylerini kontrol eden bir örnek komut
Get-ADUser -Filter * | Select-Object Name, DistinguishedName, MemberOf

Tespit Zorluğu

İç tehditlerin tespit edilmesi, kullanım alanının meşru kullanıcılar tarafından yapılması nedeniyle oldukça zordur. Bu tehditler, dışarıdan gelen saldırılara göre daha gizli oluyor çünkü yetkili bir kullanıcının yaptığı işlemler çoğu zaman normal davranış olarak algılanır. Dolayısıyla, kullanıcı davranışlarının sürekli izlenmesi ve analiz edilmesi gereklidir.

Hunting Süreci

İç tehdit avcılığı süreci, sistem analizi ve kullanıcı faaliyetleri üzerine oluşturulmalıdır. İşe, kullanıcı etkinliklerinin izlemeye alınması ile başlanır. Aşağıdaki adımlar, sürecin temelini oluşturur:

  1. Veri Toplama: Kullanıcı davranışlarına dair verilere erişilip analiz edilmesi.
  2. Analiz: Toplanan verilerin istatistiksel ve davranışsal analizinin yapılması.
  3. Tespit: Çalışan davranışlarının incelenerek şüpheli durumların belirlenmesi.
  4. Raporlama: Elde edilen bulguların özetlenmesi ve ilgili birimlere iletilmesi.
# Kullanıcı aktivitelerini analiz eden bir Python örneği
import pandas as pd

# Log verisinin yüklenmesi
logs = pd.read_csv('user_activity_logs.csv')

# Şüpheli aktiviteleri tespit etme
suspicious_activity = logs[(logs['data_access'] == 'unauthorized') | (logs['activity_type'] == 'mass_download')]
print(suspicious_activity)

Şüpheli Davranışlar

Herhangi bir güvenlik olayı meydana geldiğinde ilk yapılması gereken şey, kullanıcı davranışlarının detaylı bir incelemesini yapmaktır. Yukarıda bahsedilen davranışlar, en çok dikkat edilmesi gereken konular arasında yer alır. Bu incelemeler, kurum içerisindeki çok sayıda kayıt ve log dosyası üzerinden yapılabilir. Şüpheli aktivitelerin zaman içinde ne kadar yaygınlaştığını gözlemlemek, iç tehditlerin tespit edilmesinde kritik bir rol oynar.

Avantaj (Saldırgan)

İç tehditlerin yaşanmasında en büyük avantaj, bu tehditlerin, meşru kullanıcılar tarafından gerçekleştiriliyor olmalarıdır. Saldırganlar, sistem içinde doğal bir yer edinmiş durumda oldukları için, dışarıdan gelebilecek bir saldırıya göre daha az dikkat çekerler. Bu, organizasyonlar için büyük bir tehdit teşkil eder.

Zorluklar (Defender)

Savunma mekanizmalarının en büyük zorluğu, iç tehditlerin tespiti esnasında gündelik kullanıcı davranışlarının ayrımını yapabilmektir. Normal çalışan hareketlerinden şüpheli olanların ayırt edilmesi için, sürekli bir gözlem ve analiz yapılması gerekmektedir. Bu nedenle, Saldırı Algılama Sistemleri (IDS) ve Kullanıcı Davranış Analitiği (UBA) teknolojileri, iç tehditlerle mücadelede büyük önem taşır.

SOC L2 Final Süreci

Son aşamada, SOC (Security Operations Center) L2 analistleri, kullanıcı davranışlarını detaylı bir biçimde inceleyerek iç tehdit aktivitelerini tespit etmeye çalışır. Ancak bu süreç, zaman alıcı bir iştir ve sıkı işbirliği gerektirir. Kullanıcı davranışları üzerinde yapılan incelemeler, organizasyonun güvenliğini artırmak ve iç tehditleri en aza indirmek için kritik öneme sahiptir.

Sonuç olarak, iç tehdit avcılığı, organizasyonlar için sürekli olarak dikkat edilmesi gereken karmaşık bir süreçtir. Bu nedenle, kullanıcı davranışlarının izlenmesi, analiz edilmesi ve raporlanması, siber güvenlik stratejisinin önemli bir parçası olmalıdır.

Risk, Yorumlama ve Savunma

Siber güvenlik alanında iç tehditler, organizasyonların dikkatle değerlendirmesi gereken kritik unsurlardır. İç tehditler, çalışanlar veya iç kaynaklar tarafından mal niyetiyle veya kazara oluşturulmuş güvenlik riskleridir. Bu bölümde, sızan verilere, sistem topolojisine, servis tespitine ve yanlış yapılandırma ile zafiyetlerin etkilerine odaklanacağız.

Elde Edilen Bulguların Yorumlanması

Bir organizasyon içerisinde gerçekleşen iç tehdit aktiviteleri genellikle çalışanların davranışlarına dayanır. Zafiyetleri etkili bir şekilde ele almak için, sızan verilerin analizi son derece önemlidir. Örneğin, bir çalışanın normal dışı bir zamanda sisteme giriş yapması (mesai dışı erişim) anormal bir durumu işaret edebilir. 

- Normal çalışma saatleri: 09:00 - 17:00
- Mesai dışı giriş: 03:00

Bu tür bir şüpheli davranış, bir iç tehditin varlığını işaret ediyor olabilir. Ayrıca, "toplu veri çekme" gibi aktiviteler de göz önüne alındığında, bu tür davranışların ciddiyetle değerlendirilmesi gerekmektedir.

Yanlış Yapılandırma ve Zafiyetlerin Etkisi

Yanlış yapılandırmalar, organizasyonların güvenlik altyapısında ciddi zafiyetlere yol açabilir. Örneğin, aşırı erişim yetkileri olan kullanıcılar, şirket verilerine gereğinden fazla erişim sağlıyor olabilir. 

Yetki düzeyi: Yüksek
Kullanıcı: Finans departmanı çalışanı
Erişim alanları: Tüm veritabanları

Bu tür bir yapılandırma, kötü niyetli bir kullanıcının veya hatalı bir davranışın şirket verilerine doğrudan erişim sağlaması anlamına gelir. Kullanıcıların izinlerinin sürekli olarak gözden geçirilmesi kritik öneme sahiptir.

Sızan Veri ve Servis Tespiti

Sızan veriler, organizasyonların itibarını zedeleyebilir ve hukuki sonuçlar doğurabilir. Özellikle kişisel verilerin veya finansal bilgilerin sızdırılması, büyük anlaşmazlıklara yol açabilir. Bu nedenle, veri indirme aktivitelerini izlemek ve analiz etmek önemlidir. Örneğin, kullanıcıların belirli bir veri setini ani bir şekilde indirmesi:

Kullanıcı: Pazarlama Departmanı
Veri Seti: 1000 müşteri bilgisi
İndirme tarihi: 29/09/2023

Bu tür örnekler, olası bir iç tehdidi tespit etmek için dikkatle izlenmelidir.

Profesyonel Önlemler ve Hardening Önerileri

İç tehditleri önlemenin en etkili yollarından biri, organizasyonlar içinde güvenlik politikaları oluşturmaktır. Aşağıda iç tehditleri azaltmaya yardımcı olabilecek bazı önlemler sıralanmıştır:

  1. Erişim Kontrolleri: Kullanıcılara yalnızca iş ihtiyaçlarına göre minimum erişim hakları verilmelidir. Aşırı erişim yaratan pozisyonlar gözden geçirilmelidir.

  2. Davranış İzleme: Kullanıcı aktiviteleri düzenli olarak izlenmeli ve şüpheli davranışlar için alarm sistemleri kurulmalıdır. Anormal giriş ve toplu veri çekme durumları sürekli analiz edilmelidir.

  3. Eğitim ve Bilinçlendirme: Çalışanlar, potansiyel iç tehditler ve bunların sonuçları hakkında sürekli olarak eğitilmelidir. Kullanıcıların güvenli bir şekilde veri erişimi ve yönetimi konusunda bilinçli olması önemlidir.

  4. Güvenlik Duvarları ve Yazılım Güncellemeleri: Sistemler, güncellemelerle koruma altına alınmalı ve güvenlik duvarları mevcut olmalıdır. Yazılım güncellemelerinin zamanında yapılması, zafiyetlere karşı önlem alındığı anlamına gelir.

Sonuç

İç tehdit avcılığı, şirketlerin güvenliğini artırmanın önemli bir yoludur. Elde edilen bulguların doğru bir şekilde yorumlanması, yanlış yapılandırmaların etkisinin değerlendirilmesi ve profesyonel önlemlerin alınması, güvenlik stratejisinin güçlendirilmesinde kritik rol oynamaktadır. Organizasyonlar, iç tehditleri tespit etmek ve önlemek için sürekli bir eğitim ve bilinçlendirme sürecine ihtiyaç duyarlar. Bu süreçte, teknoloji kullanımı ve kullanıcı davranışlarının analizi son derece önemli hale gelir.