CyberFlow Logo CyberFlow BLOG
Soc L2 Threat Hunting Hipotez

TTP Tabanlı Avcılık: Saldırgan Davranışlarını Anlama ve Tespit Etme Yöntemleri

✍️ Ahmet BİRKAN 📂 Soc L2 Threat Hunting Hipotez

TTP tabanlı avcılık, saldırgan davranışlarını analiz ederek tehditleri tespit etmeye yönelik etkili bir stratejidir.

TTP Tabanlı Avcılık: Saldırgan Davranışlarını Anlama ve Tespit Etme Yöntemleri

Siber güvenlik dünyasında TTP tabanlı avcılık, saldırganların kullandığı taktikleri ve teknikleri anlamak için kritik öneme sahiptir. Bu yazımızda, TTP modelinin bileşenlerini, avantajlarını ve zorluklarını keşfedeceksiniz.

Giriş ve Konumlandırma

Giriş

Siber güvenlik alanında, sürekli olarak gelişen tehditler ve saldırı yöntemleri, kurumların güvenlik stratejilerini sürekli olarak güncellemelerini gerektirmektedir. Bu bağlamda, TTP (Tactics, Techniques, Procedures) tabanlı avcılık, siber tehditleri anlama ve tespit etme konusunda devrim niteliğinde bir yaklaşım olarak öne çıkmaktadır. TTP, saldırganların kullandığı taktikleri, teknikleri ve prosedürleri içerir ve bu unsurların analizi, siber güvenlik uzmanlarına saldırgan davranışlarını anlamada yardımcı olur.

Saldırganların eylemlerini daha iyi anlamak, siber güvenlik ekiplerinin tehditleri belirleme süreçlerinde büyük önem taşır. Geleneksel yöntemlerde genellikle bilinmeyen tehditler için Indictors of Compromise (IOC) kullanılırken, TTP tabanlı avcılık, bu yaklaşımı bir adım öteye taşıyarak, saldırganların davranışlarına odaklanır. Böylece, tehditleri daha doğru bir şekilde tespit etme ve önleme imkanı sunar.

TTP Tabanlı Yaklaşımın Önemi

TTP tabanlı avcılık, saldırgan davranışlarını analiz ederek tehditleri tespit etmeye odaklanırken, güvenlik profesyonellerine daha etkili bir tehdit modellemesi sağlar. Bu model, saldırıların nasıl gerçekleştiği, saldırganın kinayeleri ve hedefleri hakkında derinlemesine bilgi edinilmesine olanak tanır. Bu bağlamda, eğitim alanında edinilen bilgiler ışığında, TTP tabanlı yaklaşım, bir dizi yapılandırılmış adım ve süreç içerir.

Örneğin, bir saldırı senaryosunda kullanılan TTP'ler analiz edildiğinde, belirli bir saldırganın hangi taktikleri benimsediği ve hangi tekniklerle bu saldırıları gerçekleştirdiği belirlenebilir. Bu tür bilgiler, bir saldırıyı engellemek veya saldırıya uğradıktan sonra hızlı bir şekilde müdahale etmek için kritik öneme sahip olabilir.

Aşağıda, bir TTP analizi için temel bileşenler özetlenmiştir:

- Taktikler (Tactics): Saldırı amacı, saldırganın hedefe ulaşmak için kullandığı genel yollar.
- Teknikler (Techniques): Kullanılan spesifik yöntemler, belirli taktiklerin uygulanmasındaki adımlardır.
- Prosedürler (Procedures): Saldırının gerçekleştirilmesi sırasında yapılan işlemlerdir.

Bu bileşenler, bir saldırganın eylemlerini daha iyi anlamak için bir çerçeve sağlar ve buna bağlı olarak, savunma stratejilerini şekillendirmeye yardımcı olur.

Siber Güvenlik, Pentest ve Savunma Perspektifi

TTP tabanlı avcılık, sadece siber güvenlik ekipleri için değil, aynı zamanda penetrasyon test uzmanları için de büyük bir öneme sahiptir. Pentest süreçlerinde, güvenlik açığı taramalarının ötesine geçilerek, saldırganların davranışları ve kullandıkları teknikler analiz edilerek, sistemlerin güvenliği üzerinde daha kapsamlı bir etki sağlanabilir.

Savunma ekipleri, TTP tabanlı yaklaşımlarla, saldırganların muhtemel yollarını tahmin edebilir ve buna göre savunma stratejilerini güncelleyebilir. Bu, bir güvenlik olayının yaşanmadan önce önlemler alınmasına ve uzaktan saldırgan davranışlarının tespit edilmesine olanak tanır.

Sonuç

Sonuç olarak, TTP tabanlı avcılık, siber güvenlik dünyasında son derece önemli bir yaklaşımdır. Öngördüğü yöntem ve süreçler sayesinde, saldırgan davranışlarını anlamak ve tespit etmek, siber tehditlerle başa çıkma yeteneğimizi artırmaktadır. Bu içerik, TTP'nin kapsamını, bileşenlerini ve uygulama yöntemlerini daha derinlemesine araştırmak üzere bir zemin hazırlamaktadır. Uzmanlar, bu metodolojiyi benimseyerek, siber saldırılara karşı daha etkili bir savunma mekanizması oluşturabilir.

Teknik Analiz ve Uygulama

TTP Tanımı

TTP (Tactics, Techniques, Procedures), bir saldırganın saldırı gerçekleştirirken izlediği yöntemlerin sistematik bir tanımıdır. Tactics, saldırganın hedefe ulaşmak için kullandığı genel stratejileri; Techniques, bu stratejileri gerçekleştirmek için kullanılan belirli metodları; Procedures ise bu tekniklerin uygulanışı sırasında izlenen adımları ifade eder. TTP, siber güvenlik alanında saldırgan davranışlarını anlamak için kritik bir çerçeve sunar.

TTP Odaklı Yaklaşım

TTP tabanlı avcılık, geleneksel IOC (Indicators of Compromise) odaklı yöntemlerin yerine, saldırgan davranışlarını analiz etmeye dayanır. Bu yaklaşım, sadece bilinen tehditleri tespit etmeye değil, aynı zamanda yeni ve bilinmeyen tehditlerin keşfine de olanak tanır. Saldırganların kullandığı taktikler, teknikler ve prosedürler hakkında derinlemesine bilgi sahibi olmak, analistlerin olayları daha etkili bir şekilde incelemesine ve gerçek zamanlı yanıtlar vermesine olanak tanır.

TTP Bileşenleri

TTP'nin temel bileşenleri, savunma stratejilerinin oluşturulmasında önemli bir yere sahiptir. Bu bileşenler aşağıdaki gibidir:

  • Tactic: Saldırganın belirli bir hedefe ulaşmak için kullandığı yöntemler. Örneğin, bir sistemdeki bilgileri çalmak amacıyla sosyal mühendislik teknikleri kullanmak.

  • Technique: Taktiklerin uygulanması sırasında izlenen belirli adımlar. Örneğin, bir kimlik avı e-postası göndermek veya kötü amaçlı yazılım çalıştırmak.

  • Procedure: Tekniklerin gerçekleştirilmesi ile ilgili spesifik işlem adımları. Örneğin, kötü amaçlı yazılımın belirli bir dosya içinde gizlenmesi veya sistemde uzaktan erişim sağlamak için kullanılan komutlar.

TTP Mapping

TTP mapping, belirli bir saldırganın TTP bileşenlerini belirlemek ve bunları ilgili tehdit örüntüleriyle eşleştirmek için yapılan bir süreçtir. Örneğin, MITRE ATT&CK framework'ü kullanarak bir saldırganın kullandığı taktikleri ve teknikleri haritalandırarak, daha önceki saldırıların analizi yapılabilir.

# MITRE ATT&CK TTP'lerini görüntüle
curl -X GET "https://attack.mitre.org/techniques/"

Yukarıdaki komut, MITRE ATT&CK veri tabanındaki tüm teknikleri getirecektir. Bu şekilde, saldırganların kullandığı yöntemlerin haritasını çıkarmak mümkündür.

Davranış Odaklılık

TTP tabanlı avcılık, davranış odaklı bir yaklaşımı benimser. Bu, özellikle saldırganların daha önceki davranışlarını ve mevcut sistem üzerindeki etkilerini analiz etmek için önemlidir. Erken tehdit tespiti için davranış analizinin yapılması gerektiği anlaşılmaktadır. Bu, anormal aktivitelerin belirlenmesi ve potansiyel saldırıların önlenmesi için anahtar bir metodolojidir.

Hunting Süreci

TTP tabanlı avcılık, tanımlı bir süreç izler. Bu süreç, hipotez oluşturma, anomali tespiti, veri toplama, analiz ve sonuçlandırmadan oluşur. Aşağıdaki adımlar, TTP tabanlı avcılık sürecinin temel bileşenleridir:

  1. Hipotez Oluşturma: Belirli bir saldırı senaryosu için bir hipotez geliştirilir. Örneğin, 'Bir çalışan, yetkisiz veri sızıntısına neden olabilecek bir tehdit yaratıyor' gibi.

  2. Veri Toplama: Sistemden loglar, ağ trafiği gibi veri kaynakları toplanır.

  3. Veri Analizi: Toplanan veriler analiz edilir. Anormal aktiviteler veya belirli TTP'leri gösteren davranışlar tespit edilir.

  4. Sonuçlandırma: Analiz sonuçları, ilgili takımlar ile paylaşılır ve ortaya çıkan tehditlere yönelik gerekli önlemler alınır.

# Örnek Python kodu ile log analizi
import pandas as pd

# Log dosyasını yükle
logs = pd.read_csv("logs.csv")

# Anormal aktiviteleri tespit et
anomalies = logs[logs['action'] == 'unauthorized_access']
print(anomalies)

Yukarıdaki Python kodu, bir CSV formatında kaydedilmiş logları okuyarak, yetkisiz erişimlerden kaynaklanan anormal aktiviteleri tespit etmekte kullanılabilir.

Avantaj

TTP tabanlı avcılığın en büyük avantajlarından biri, saldırganların davranışlarını ve tekniklerini anlamak için daha derin bir anlayış sağlamasıdır. Bu, özellikle bilinmeyen tehditleri tespit etmede daha etkili bir yöntem sunar.

Zorluklar

Her ne kadar TTP tabanlı avcılık birçok avantaj sunsa da, bazı zorluklar da barındırmaktadır. Örneğin, büyük veri setlerinin analiz edilmesi karmaşık olabilir ve bu süreçte uzmanlık gerektirebilir. Ayrıca, sürekli olarak gelişen saldırgan davranışlarının takibi ve güncellenmesi gereken bir bilgi çerçevesi, sürekli bir çaba gerektirir.

Risk, Yorumlama ve Savunma

Risk Değerlendirmesi ve Yorumlama

TTP (Tactics, Techniques, Procedures) tabanlı avcılık, siber güvenlik alanında saldırganların davranışlarının detaylı bir analizini yaparak potansiyel tehditleri tespit etmeye odaklanmaktadır. Bu nedenle, elde edilen bulguların güvenlik anlamına dair yorumlanması önem kazanmaktadır. TTP tabanlı yaklaşımda, her saldırının bir sonucu olarak ortaya çıkan veriler ve sistem üzerindeki etkileri dikkatle incelenmelidir.

Elde Edilen Bulguların Güvenlik Analizi

Bir güvenlik analisti, elde ettiği bulguları hazırlarken yalnızca teknik verilere değil, aynı zamanda bunların güvenlik yönlerine de odaklanmalıdır. Örneğin, ortamda sızan veriler incelendiğinde, verilerin hangi sistemlerden alındığı, bu sistemlerin güvenlik durumu, hangi hassasiyet düzeyinde verilerin sızdığı gibi bilgiler değerlendirilmeli ve analiz edilmelidir. 

Veri Hissi Örneği:
- Sızan Veriler: Kullanıcı giriş bilgileri
- Sızan Sistem: Aktif dizin sunucusu
- Zafiyet: Yanlış yapılandırma

Bu tür bir analiz, yalnızca tehditlerin tespit edilmesine yardımcı olmakla kalmayacak, aynı zamanda bu tehditlerin mevcut güvenlik mimarisi üzerindeki etkilerini anlamak açısından da kritik öneme sahiptir.

Yanlış Yapılandırma ve Zafiyetler Üzerine

Yanlış yapılandırmalar ve sistemlerdeki zafiyetler, siber saldırganlar için bir kapı açma işlevi görebilir. Örneğin, bir sistemdeki varsayılan parolaların değiştirilmemesi, saldırganların bağlanmasına zemin hazırlayabilir. Bunun yanı sıra, yazılımların güncellenmemesi de bilinen güvenlik zafiyetlerinin kullanılmasına olanak tanır.

Yanlış Yapılandırma Örneği:
- Hizmet: Veritabanı sunucusu
- Zafiyet: Yeterli güvenlik duvarı yapılandırılmamış
- Potansiyel Etki: Yetkisiz veri erişimi

Bu tür güvenlik açıkları, siber tehdit aktörleri için büyük fırsatlar sunar. TTP tabanlı avcılık, bu tür açığı tespit ederek önleyici tedbirlerin geliştirilmesine olanak sağlamaktadır.

Sızan Veri, Topoloji ve Servis Tespiti

Saldırganlar, hedef sistemlere sızarken genellikle kritik bilgilere ulaşmayı hedef alır. Bu kapsamda, sızan verilerin türü, sistemlerin topolojisi ve kullanılan hizmetler de önemli birer analiz konusudur. Örneğin, eğer bir saldırı sonucunda kullanıcıların kimlik bilgileri sızdırılmışsa, bu durum kullanıcı yönetim sisteminin zayıf bir noktasından kaynaklanıyor olabilir.

Topoloji Örneği:
- İç Ağ: Kullanıcı sistemleri, veri tabanı sunucusu
- Dış Ağ: Web uygulaması sunucusu
- Saldırı Vektörü: Web uygulaması üzerinden SQL injection

Bu tür bir yapı analizi, sistemin zayıf noktalarının belirlenmesi ve güvenlik önceliklerinin belirlenmesi açısından kritik rol oynamaktadır.

Profesyonel Önlemler ve Hardening

Siber güvenlik alanında önleyici tedbirler almak, saldırılara karşı en etkili yöntemlerden biridir. Güvenlik mimarilerini güçlendirmek ve hardening uygulamaları yapmak, sızma ihtimalini minimize eder.

Hardening Stratejileri:

  1. Güvenlik Duvarı ve Ağ Segmentasyonu: Ağa gelen giden tüm trafiği filtreleyerek sadece gerekli olanların geçişine izin vermek.
  2. Parola Politikaları: Güçlü parolalar ve çok faktörlü kimlik doğrulama sistemlerinin uygulanması.
  3. Düzenli Güncellemeler: Yazılımların ve sistemlerin güncel tutulması, bilinen zafiyetlerin kapatılması.
  4. Erişim Kontrolleri: Kullanıcıların yalnızca ihtiyaç duydukları verilere erişimini sağlamak için rol tabanlı erişim kontrolü.

Sonuç

TTP tabanlı avcılık, siber saldırıların dinamik yapısını anlamak ve karşı önlemler almak açısından değerli bir araçtır. Risk ve zafiyetlerin doğru bir şekilde yorumlanması, güvenlik önlemlerinin güçlendirilmesine yardımcı olur. Doğru yapılandırmalar ve hardening stratejileri ile siber ortamların dayanıklılığı artırılabilir. Bu bağlamda, saldırganların davranışlarının analiz edilmesi, yalnızca mevcut tehditlerin tespitini değil, aynı zamanda gelecekteki saldırıların önlenmesi hususunda da önemli bir rol oynamaktadır.