CyberFlow Logo CyberFlow BLOG
Soc L1 Teshis Triyaj

Siber Tehdit İstihbaratı ile Alarm Zenginleştirme Eğitimi

✍️ Ahmet BİRKAN 📂 Soc L1 Teshis Triyaj

Siber saldırganlar ve tehditleri tanımak için etkili stratejiler öğrenin. Tehdit istihbaratı ile alarm zenginleştirme sürecini keşfedin.

Siber Tehdit İstihbaratı ile Alarm Zenginleştirme Eğitimi

Bu eğitimle siber tehdit istihbaratının ne olduğunu, alarm zenginleştirmenin nasıl yapıldığını ve bu süreçte kullanılan temel kavramları keşfedin. Saldırganları daha iyi tanımak için bilgi edinin.

Giriş ve Konumlandırma

Siber Tehdit İstihbaratı ve Alarm Zenginleştirme

Siber güvenlik alanında etkin bir savunma sağlamak için siber tehdit istihbaratı (Cyber Threat Intelligence - CTI) kritik bir rol oynamaktadır. CTI, siber saldırganların kimlikleri, metodolojileri ve hedefleri hakkında toplanan ve analiz edilen verileri içerirken, alarm zenginleştirme (Enrichment) bu verilerin anlamlandırılmasını ve bağlam içinde değerlendirilmesini sağlar. Bu bağlamda, alarm zenginleştirme, saldırı tespit sistemleri (IDS/IPS) ve güvenlik bilgi ve olay yönetim sistemleri (SIEM) aracılığıyla gelen ham verilerin dış kaynaklı bilgilerle birleştirilerek daha anlamlı hale getirilmesi sürecini ifade eder.

Neden Önemli?

Günümüzün dijital dünyasında, siber tehditler giderek daha karmaşık ve hedefli hale geliyor. Geleneksel savunma mekanizmaları, yalnızca mevcut verilerin analiziyle sınırlı kalmaktadır; oysa CTI, bu verilerin ardındaki tehdit aktörlerini ve motivasyonlarını anlamaya olanak sağlar. Alarm zenginleştirme süreçleri, analistlere olayları hızlı ve etkili bir şekilde değerlendirme ve önceliklendirme imkanı sunar. Örneğin, bir SIEM sistemine düşen alarmda yalnızca bir IP adresi görüldüğünde, bu adresin potansiyel olarak zararlı olup olmadığını anlamak için ek bilgiye ihtiyaç vardır.

Dış istihbarat verileriyle zenginleştirilmiş bir alarm, sadece "ne" olduğunu değil, aynı zamanda "neden" olduğunu ve bu durumun olası tehlikelerini de ortaya koyar. Bu bağlamda, etkin bir siber güvenlik savunması oluşturmak için CTI ve zenginleştirme süreçlerinin birleşimi, olaylara müdahale ve tehdit yönetimi stratejilerinin temel bileşenlerinden biridir.

Siber Güvenlik, Pentest ve Savunma Açısından Bağlantı

Siber güvenlik alanında CTI ve alarm zenginleştirme, penetrasyon testleri (pentest) ile doğrudan bağlantılıdır. Pentest süreçleri, bir organizasyonun zayıf noktalarını keşfetmek ve bu zayıflıkları gidermek için simüle edilmiş siber saldırılar gerçekleştirmeyi içerir. Bu süreçte, alınan sonuçlar siber tehdit istihbaratı ile karşılaştırılarak saldırganların olası hareketlerini öngörmek için kullanılabilir. CTI, elde edilen verilerin analizi yoluyla, siber saldırganların kullandığı taktikler, teknikler ve prosedürlerin (TTP) tespit edilmesini sağlar.

Zenginleştirilmiş alarm ve CTI'ın birleşimi, sadece geçmiş verileri incelemekle kalmaz, aynı zamanda gelecekteki saldırıların nasıl gerçekleşebileceğine dair öngörülerde bulunur. Bu bilgiler, bir organizasyonun güvenlik stratejilerini oluşturmasında ve saldırılara karşı hazırlıklı olmasında kritik bir destek unsuru sunar.

Okuyucuyu Teknik İçeriğe Hazırlama

Bu eğitimin odak noktası, siber tehdit istihbaratının temel unsurlarını ve alarm zenginleştirmenin sürecini anlamaktır. Katılımcılar, istihbarat türlerini, merkezi istihbarat sistemlerini ve bilgi zenginleştirme tekniklerini öğrenerek, siber güvenlik ortamında daha bilinçli kararlar alacaklardır.

Çeşitli seviyelerde bilgi sunarak, katılımcıların siber tehdit istihbaratını etkili bir şekilde yönetmeleri ve bu bilgiyi alarm zenginleştirme süreçlerine entegre etmeleri amaçlanmaktadır. Analistlerin, gelen alarm verilerini dış kaynaklarla birleştirirken kullandıkları yöntemler ve analiz senaryoları hakkında bilgi sahibi olmaları sağlanacaktır.

Siber güvenlik ekibinin her bir üyesinin CTI bilgisi ve zenginleştirme süreçleri konusunda eğitim alması, tüm organizasyonun savunma kapasitesini artıracak ve daha etkili bir tehdit yönetimi stratejisi geliştirilmesine yardımcı olacaktır. Bu süreç, aynı zamanda güvenlik olaylarıyla başa çıkmak ve tehditleri hızlı bir şekilde analiz etmek adına gerekli olan teknik becerilerin kazanılmasına zemin hazırlayacaktır. 

# Siber Tehdit İstihbaratı ve Alarm Zenginleştirme Kapsamında Temel Bilgiler
- CTI: Siber saldırganların kimlikleri, yöntemleri ve hedefleri hakkında veri toplama.
- Alarm Zenginleştirme: Ham verilerin dış kaynaklarla birleştirilmesi.
- Pentest: Siber zayıflıkları tespit etmek için simüle edilmiş saldırılar.

Sonuç olarak, siber tehdit istihbaratı ve alarm zenginleştirme, siber güvenlik uygulamalarında kritik bir öneme sahiptir ve katılımcılara bu bilgileri etkin bir şekilde kullanma konusunda önemli bir temel sağlamaktadır.

Teknik Analiz ve Uygulama

Siber tehdit istihbaratı (Cyber Threat Intelligence - CTI), siber saldırganların kimlikleri, kullandıkları yöntemler ve hedefleri hakkında toplanıp analiz edilen verilerin bütünüdür. Alarm zenginleştirme süreçlerinde bu verilerin etkili bir şekilde kullanılması, güvenlik ekiplerinin daha bilinçli ve proaktif kararlar almasını sağlar. Bu bölümü, siber tehdit istihbaratının alarm yönetim sürecine nasıl entegre edileceğini ve zenginleştirmenin nasıl yapılacağını detaylandırarak inceleyeceğiz.

Düşmanı Tanımak

Tehdit istihbaratı, güvenlik ekiplerine düşmanlarının kim olduğunu ve saldırı yöntemlerini anlamalarına yardımcı olur. Analistlerin, siber saldırganların kullandığı taktikleri, teknikleri ve prosedürleri (TTPs) değerlendirebilmesi için sağlam bir istihbarat temeli gereklidir. Bu veriler, saldırılara karşı etkili savunma stratejileri geliştirmeyi sağlar. Taşıdığı stratejik, taktiksel ve operasyonel değer ile tehdit istihbaratı, olaylara müdahale sürecinde kritik bir rol oynar.

Büyük Resmi Çizmek

Alarm zenginleştirme işlemi sırasında, verilerin analiz edilmesi gerektiği kadar, bu verilerin nereden geldiği ve neyi ifade ettiğinin de anlaşılması önemlidir. Bir alarmın arkasındaki tehdit, tek başına alarmı tetikleyen bir 'olay' değil, daha geniş bir bağlamda değerlendirilmelidir. Örneğin, bir SIEM sistemi, belirli bir IP adresinden gelen bir alarmla ilişkilendirilmiş kötü niyetli bir etkinliği ifade ediyor olabilir. Bu durumu anlamak için aşağıdaki komut ile IP adresinin itibarını kontrol edebiliriz:

curl -X GET "https://api.abuseipdb.com/api/v2/check" \
  -H "Accept: application/json" \
  -H "Key: YOUR_API_KEY" \
  -d "ipAddress=YOUR_IP_ADDRESS"

Bu sorgu, belirtilen IP adresinin kötü şöhretli olup olmadığını hemen belirtir. Eğer adres kara listede yer alıyorsa, bu, zenginleştirme aşaması için önemli bir göstergedir.

Bilginin Seviyeleri

Tehdit istihbaratı farklı katmanlarda sunulabilir. Stratejik istihbarat, üst yönetime rapor edilen genel tehdit trendlerini kapsar; taktiksel istihbarat, saldırganların kullandığı özel yöntemleri ortaya koyar; operasyonel istihbarat ise güvenlik cihazlarına entegre edilen somut göstergeleri sunar. Her katmanın kendi içinde uyumlu olması, alarm zenginleştirme sürecinin etkinliğini artırır. Örneğin, bir IP adresinin kullanıldığı bir saldırı durumunda, bu adresin bağlı olduğu kötü niyetli grupların taktiklerini (TTP) belirlemek için MITRE ATT&CK çerçevesinden yararlanabiliriz.

- **Stratejik İstihbarat**: Üst yönetime sunulan motivasyonlar ve finansal etkiler üzerine raporlar.
- **Taktiksel İstihbarat**: Saldırganın kullandığı yöntem ve araçlar hakkında bilgiler.
- **Operasyonel İstihbarat**: Anlık tespit için gerekli teknik göstergeler (örn. IP, hash değerleri).

Merkezi İstihbarat

Veri zenginleştirme için etkili bir yapı oluşturarak, farklı kaynaklardan elde edilen bilgileri tek bir çatı altında toplayan bir Tehdit İstihbarat Platformu (TIP) kurmak önemlidir. TIP, açık kaynaklardan (OSINT), ticari beslemelerden ve diğer güvenilir kaynaklardan gelen verileri derler. Böylelikle, karar verme süreçleri daha sistematik ve sağlam temellere dayandırılmış olur.

Veriye Değer Katmak

Bir alarmı değerlendirirken, verinin zenginleştirilmesi kritik bir aşamadır. Zenginleştirme, alarmların daha anlamlı hale gelmesini ve doğru çıktılar sağlayabilmesini sağlar. Zenginleştirme sürecinde, ham alarmları dış istihbarat verileri ile ilişkilendirerek, güvenlik analistinin olay hakkında daha kapsamlı bir görüş edinmesine imkan tanır.

Örneğin, bir dosya hash değerinin sorgulanması için aşağıdaki komut kullanılabilir:

curl -X GET "https://www.virustotal.com/vtapi/v2/file/report" \
  -H "Accept: application/json" \
  -d "apikey=YOUR_API_KEY&resource=YOUR_FILE_HASH"

Bu komut, dosyanın daha önce kötü amaçlı yazılım olarak işaretlenip işaretlenmediğini kontrol etmeye yarar. Sonuçlardan elde edilen bilgiler, durumsal farkındalığı artırır ve doğru müdahale gereksinimlerini belirler.

Herkesin Erişebildiği Bilgi

Açık Kaynak İstihbaratı (OSINT), siber tehdit istihbaratının önemli bir parçasıdır. Spor forumları, sosyal medya platformları veya diğer kamu kaynaklarından elde edilen bilgiler, siber saldırganlar hakkında önemli bir içgörü sağlayabilir. Özellikle bu bilgiler, hedef tahmini ve potansiyel saldırı planlarını anlamak için kullanılabilir.

İstihbarat Doğrulama Senaryoları

Modül sonuna geldiğimizde, SOC ortamında bir alarmı incelerken sıkça kullanılan istihbarat doğrulama senaryolarını ele almak önemlidir. Bu senaryolar, güvenlik ekiplerine daha hızlı ve doğru bir şekilde karar verme yeteneği kazandırır. Bu doğrulama senaryoları, belirli bir alarmla ilgili daha önce derlenmiş olan bilgi ve yönlendirmeleri içerir; bu sayede, alarmın gerçeklikle olan ilişkisi net bir şekilde ortaya konur.

Bu kapsamda zenginleştirme süreçleri, bireysel alarmların yanı sıra, genel güvenlik duruşunu ve saldırılara karşı duyarlılığı artırarak, organizasyonların siber güvenlik stratejilerini daha etkili bir hale getirir. Bu tekniğin doğru kullanımıyla, tehditlere karşı proaktif önlemler alınabilir ve karşılaşılabilecek sorunların önüne geçilebilir.

Risk, Yorumlama ve Savunma

Elde Edilen Bulguların Güvenlik Anlamı

Siber tehdit istihbaratı, güvenlik ekiplerine saldırganların motivasyonları ve yöntemleri hakkında derinlemesine bilgi sağlar. Alarmlar, genellikle SIEM (Security Information and Event Management) sistemleri üzerinden toplandığında yalnızca bir olayın ne olduğunu gösterir. Ancak, bu bilgilerin arkasında ne tür bir riskin yattığını belirlemek için daha fazla bilgiye ihtiyaç vardır.

Örneğin, bir IP adresinin şüpheli aktiviteleri tespit edilirse, bu IP’nin zararlı bir geçmişe sahip olup olmadığını belirlemek için "IP Adresi İtibarı" bilgisi kullanılmalıdır. Elimizde genel bir alarm varsa, bu bilgilendirme ile alarmı daha iyi anlama fırsatına sahip oluruz:

Alarm: Dış IP adresi 192.0.2.1 üzerinde fazla sayıda giriş denemesi.
- İtibar kontrolü: 192.0.2.1, daha önce kötü niyetli aktivitelerle ilişkilendirilmiş.
- Önlem: Bu IP ile ilgili ek savunma önlemleri alınmalı.

Yanlış Yapılandırma veya Zafiyetlerin Etkisi

Güvenlik sistemlerinin yanlış yapılandırılması, potansiyel tehditlerin görünmez hale gelmesine neden olabilir. Örneğin, bir firewall'un yanlış yapılandırılması, belirli protokollerin veya portların gereksiz yere açık kalmasına yol açabilir. Bu durum, saldırganların iç ağı hedeflemelerine olanak tanır.

Eğer bir sisteme sızılıp verilere ulaşılmışsa, bilgilerin kritik olduğunu ve işletmenin işine zarar verebileceğini anlayabiliriz. Böyle durumlar için özellikle "Veri Sızıntısı Önleme" (DLP) çözümleri kullanılmalı ve veri akışları sürekli olarak izlenmelidir.

# Örnek veri sızıntısı tespiti
if suspicious_activity(detected=True):
    alert("Veri sızıntısı tespit edildi! Hızla inceleme yapılmalı.")

Sızan Veri, Topoloji ve Servis Tespiti

Sızılan verilerin niteliği, güvenlik açığının ciddiyetini belirleyen önemli bir faktördür. Örneğin, kritik müşteri bilgileri veya finansal verilerin sızması, daha ciddi bir güvenlik breach’ine işaret eder. Güvenlik incelemesi sırasında, etkilenmiş hizmetlerin listesi de oluşturulmalıdır:

  • Web sunucuları
  • Veritabanı sunucuları
  • Uygulama sunucuları

Bu bileşenlerin etkililiği, güncel yamaların uygulanıp uygulanmadığı, erişim izinlerinin doğru tanımlanıp tanımlanmadığı gibi çeşitli faktörlere bağlıdır.

Profesyonel Önlemler ve Hardening Önerileri

Güvenlik aracılığıyla belirli önlemler almak, yanlış yapılandırmaların etkisini en aza indirmekte hayati öneme sahiptir. İşte bu konuda uygulanabilecek bazı öneriler:

  1. Düzenli Güvenlik Denetimleri: Yapılandırmaların ve sistemlerin her zaman güncel ve güvenli olup olmadığını kontrol edin.
  2. Yazılım Güncellemeleri: Tüm bileşenlerin güncel olduğundan emin olun; böylelikle bilinen zafiyetlerin giderilmesini sağlarsınız.
  3. Bölümlendirme: Ağa gelen trafiği kontrol altına almak için ağ bölümlendirmesi kullanın. Bu, özellikle kritik verileri korumak için önemlidir.
  4. Erişim Kontrolü: Minimum ayrıcalık ilkesi çerçevesinde erişim haklarını belirleyin. Kullanıcıların yalnızca görevlerini yerine getirebilmek için ihtiyaç duyduğu bilgilere erişim izni olmalıdır.

Sonuç

Siber güvenlik risklerinin doğru bir şekilde yorumlanması ve manipüle edilmesi, güvenlik ekiplerine tehditleri etkili bir şekilde önleyebilme yeteneği kazandırır. Doğru bir değerlendirme ve güvenlik önlemleri yöntemi ile siber saldırganların faaliyetleri en aza indirilebilir. Kullanılan verilerin analizi, bu tür olayların önceden tespit edilmesi ve etkili bir şekilde yanıt verilmesi için hayati önem taşır. Unutulmamalıdır ki, siber tehdit istihbaratı uygulamalarının sürekliliği, organizasyonların güvenlik duruşunu güçlendirecek temel bir bileşendir.