CyberFlow Logo CyberFlow BLOG
Soc L1 Izleme Gorunurluk Network

Yanal Hareket İzleme: Ağ Güvenliğinizi Artırın

✍️ Ahmet BİRKAN 📂 Soc L1 Izleme Gorunurluk Network

Yanal hareket izleme ile iç ağdaki tehditleri tespit edin ve siber güvenliğinizi güçlendirin.

Yanal Hareket İzleme: Ağ Güvenliğinizi Artırın

Yanal hareket izleme, siber güvenlikte iç ağda tehditleri belirlemenin anahtarıdır. Bu yazıda, yanal hareketin ne olduğu ve nasıl tespit edileceği hakkında bilgi edineceksiniz.

Giriş ve Konumlandırma

Yanal hareket izleme, siber güvenliğin artırılmasında kritik bir rol oynayan bir tekniktir. Bir saldırgan, ağa ilk giriş yaptığı noktadan başlayarak diğer sistemlere sıçrayarak ilerler. Bu süreç, genellikle yetkilendirilmemiş erişim elde etmeyi ya da belirli hedeflere ulaşmayı amaçlar. Saldırganların iç ağ üzerinde gerçekleştirdiği bu hareketlerin tespiti, güvenlik ekipleri için hayati öneme sahiptir. Bu bağlamda, yanal hareket izleme, ağ verilerinin detaylı analiziyle, saldırganların niyetlerini ve hareketlerini anlamaya yönelik bir strateji olarak öne çıkar.

Yanal Harekete Dair Temel Bilgiler

Yanal hareket, genellikle iç ağ trafiği (east-west traffic) üzerinde yoğunlaşır ve dış bağlantılardan ziyade sunucu-sunucu ve kullanıcı-sunucu etkileşimlerine odaklanır. Örneğin, bir muhabbet odasındaki bir bilgisayarın, normalde hiç ilgisi bulunmayan bir sunucuya RDP (Remote Desktop Protocol, 3389) aracılığıyla bağlanmaya çalışması, ağda anlık bir alarm durumunu gösterir. Bu tür davranışlar, iç keşif (internal recon) faaliyetlerinin bir parçası olarak değerlendirilebilir ve siber güvenlik uzmanları için önemli bir uyarı işareti teşkil eder.

Saldırganlar, genellikle mevcut protokolleri ve servisleri suistimal ederek iç ağda yayılmaya çalışır. Akış verisinde bir IP’nin, birçok farklı iç IP’ye kısa süreli bağlantılar kurması, saldırganın ağ üzerinde tarama yaptığını gösteren önemli bir belirtidir. Bu tür aktiviteler, sıradan kullanıcı davranışlarından oldukça uzak olup, güvenlik ekipleri tarafından hızlı bir şekilde tespit edilmelidir.

Neden Yanal Hareket İzleme Önemlidir?

Yanal hareketin izlenmesi, sadece saldırganın ağa girdiği noktayı değil, aynı zamanda iç ağdaki hareketlerini ve hedef sistemlere doğru olan ilerleyişini de anlamaya yardımcı olur. Bir saldırgan, ele geçirdiği bir cihazı atlama tahtası (pivot point) olarak kullanarak, ağın daha derin noktalarına ulaşma çabasında olabilir. Böyle bir durumda, ağ üzerindeki anormal davranışları tespit etmek, saldırının durdurulmasında büyük önem taşır.

Akış verisi analizi, siber güvenlik uzmanlarına ağ trafiğinin alışılmadık yönlerini belirlemede yardımcı olur. Bu veriler, gözlemlenen anormal bağlantı kalıpları ve alışılmadık trafik yolları tarafından sağlanır. İç ağdaki cihazlar arasında daha önce görülmemiş bağlantılar, yanal hareketin en güçlü kanıtlarından biridir. Bu nedenle, ağ güvenlik çözümlerinin bir parçası olarak yanal hareket izleme, etkin bir savunma mekanizması oluşturur.

Siber Güvenlik, Pentest ve Savunma Stratejileri Bağlamında Yanal Hareket

Yanal hareket izleme, siber güvenlik ve penetrasyon testi (pentest) alanında kritik bir bileşendir. Saldırganların iç sistemlere geçiş yapabilmesi, güvenlik açıklarının, zafiyetlerin ve yetersiz yapılandırmaların bir sonucudur. Pentest sırasında, uzmanlar sistemlerdeki zayıflıkları belirleyerek, bu tür yanal geçişlerin nasıl gerçekleştirileceğine dair senaryolar oluştururlar. Bunun sonucunda, güvenlik kontrol önlemleri düşünüldüğünde, yanal hareketin tespit yöntemleri de güçlendirilmelidir.

Saldırı öncesi veya sonrası, yanal hareket izleme, yalnızca tehditleri belirlemekle kalmayıp, savunma stratejilerini de şekillendirir. Ağın köklerine inmek ve bu tehditleri önlemek adına izleme araçları kullanmak, güvenlik açıklarını minimize etmek için gereklidir. Bu bağlamda, doğru izleme stratejileri geliştirildiğinde, saldırganların ağ içindeki hareketleri ve amaçları daha etkili bir şekilde engellenebilir.

Sonuç olarak, yanal hareket izleme, siber güvenlik alanındaki kritik unsurlardan biri olarak, iç ağların korunmasında etkili bir yöntem sunmaktadır. Ağ güvenliği uzmanlarının, yanal hareketin dinamiklerini anlaması ve izleme biçimlerini güncelleyerek en iyi uygulamaları benimsemesi, ağlarını tehditlere karşı daha dayanıklı hale getirecektir. Bu durum, sadece saldırganların yakalanması için değil, aynı zamanda gelecekteki olası saldırıların önlenmesi için de gereklidir.

Teknik Analiz ve Uygulama

Yanal Hareket İzleme: Ağ Güvenliğinizi Artırın

Koridorda İlerlemek

Yanal hareket izleme, bir saldırganın ağa ilk giriş yaptığı noktadan diğer sistemlere geçiş yapmasını inceleyen bir yaklaşımdır. Saldırganlar bu geçişleri gerçekleştirmek için zafiyetleri veya hatalı yapılandırmaları kullanarak ağ içerisindeki kaynaklara erişim sağlar. Bu aşamada, ağ analitiği ve izleme sistemleri kritik bir rol oynar; çünkü iç ağda tüm bağlantıların detaylı bir şekilde izlenmesi yanal hareketin tespiti için gereklidir.

Bunun en belirgin örneklerinden biri, kullanıcıların normalde erişim hakları olmayan bir cihazla bağlantı kurmaya çalışmasıdır. Bu tür bağlantılar, ağ akışında "yeni bir bağlantı deseni" olarak tespit edilebilir. 

IP: 192.168.1.10 - RDP (3389) - Hedef: 192.168.1.20

Bu kayıt, muhasebe departmanındaki bir bilgisayarın bilgi işlem sunucusuna aniden bir bağlantı kurmaya çalıştığını gösterir, bu da şüpheli bir davranıştır.

Alışılmadık Bağlantılar

Yanal hareketin tespitinde dikkat edilmesi gereken bir diğer husus, alışılmadık bağlantılardır. Saldırganlar, genellikle iç ağda daha önce karşılaşılmamış cihazlar arası bağlantılar kurarak hedeflerine doğru ilerler. Bu tür bağlantılar, sistemi anormal bir düzende kullanıldığını gösterir. Özellikle tek bir kaynaktan çok sayıda iç IP adresine yapılan bağlantılar, "iç keşif" olarak adlandırılan bir aktiviteyi işaret eder.

Örneğin, aşağıdaki gibi bir akış kaydı, iç keşif yapıldığına dair güçlü bir kanıt sağlar:

IP: 192.168.1.5 - İç Keşif - Hedef: 192.168.1.101

Bu durum, saldırganın iç ağda tarama yaptığını ve kaynakları toplu halde hedef almayı planladığını göstermektedir.

Saldırganın Favorileri

Saldırganlar genellikle yanal hareket sırasında belirli protokolleri ve servisleri suistimal ederler. Bu protokoller arasında en yaygın olanları SMB (Port 445), RDP (Port 3389) ve SSH (Port 22) gibi bağlantılardır. Bu bağlamda, her bir protokolün belirli bir amacı vardır:

  • SMB (Port 445): Dosya paylaşımı ve uzak komut çalıştırma amacıyla yaygın olarak kullanılır.
  • RDP (Port 3389): Grafik arayüz ile diğer sunucuları ele geçirmek için kullanılır.
  • SSH (Port 22): Genelde Linux tabanlı sistemlerde tercih edilir.

Bu bağlantılar, saldırganların ağa sızdıktan sonra nasıl hareket ettiğini izlemek için kritik bilgiler sunar.

Odak Noktası: Yatay Trafik

Yanal hareketin analizinde "yatay trafik" izleme, kritik bir bileşendir. Geleneksel ağ güvenliği genellikle dış tehditleri önlemeye odaklanırken, yanal hareket izleme iç ağ trafiği üzerinde yoğunlaşır. Yani sunucu-sunucu ve kullanıcı-sunucu etkileşimleri detaylı bir şekilde izlenmelidir. Bu tür izleme operasyonları, genellikle özel yazılımlar veya SIEM (Güvenlik Bilgisi ve Olay Yönetimi) sistemleri aracılığıyla gerçekleştirilir.

# Örnek SIEM sorgusu (örnek veritabanına yönelik)
SELECT * FROM netflow WHERE source_ip IN ('192.168.1.0/24') AND destination_port IN (3389, 445)

Bu gibi sorgular, iç ağda belirli portlara ve IP adreslerine yönelik gerçekleştirilen aktiviteleri anında raporlamak için kullanılabilir.

İçerideki Casus

Saldırganlar, iç ağa girdikten sonra erişimlerini artırmak için "pivot" yöntemini kullanabilirler. Bu noktada, ele geçirilen bir cihaz, ağın daha derinlerine ulaşmak için bir atlama tahtası görevi görür. Akış verisinde bu cihazların "Listener" ve "Talker" olarak aşırı etkinliği, yanal hareketin en güçlü göstergelerinden biridir.

Atlama Tahtası: Pivot

Yanal hareket izleme, içerideki alışılmadık "komşuluk ilişkilerini" yakalamak üzerine kuruludur. Saldırgan, iç ağdaki bir cihazı ele geçirip diğer cihazlara geçiş yaparken, belirli bir IP’nin diğer IP’lere yapacağı bağlantılar, yanal hareketin gerçekleştiğine işaret eder. Bu tür aktiviteleri tespit etmek için akış verisi analizi oldukça önemlidir.

Modül Finali

Özetle, yanal hareket izleme, iç ağda gerçekleştirilen olası tehditlerin tespitinde merkezi bir rol oynamaktadır. Uzaktan erişim protokollerinin yanı sıra alışılmadık bağlantılar, sistemin güvenliğini tehdit eden saldırılara karşı önemli bir koruma katmanı sağlar. Bu yüzden, ağ güvenliğinizi artırmak için yanal hareket izleme stratejilerini etkin bir şekilde uygulamak gerekmektedir.

Risk, Yorumlama ve Savunma

Yanal hareket izleme, ağ güvenliği stratejilerinin önemli bir parçasıdır. Bu süreç, saldırganların ağa ilk giriş yaptığı noktadan diğer sistemlere yayılmasını ve potansiyel olarak veri hırsızlığına veya sistemlerin kötüye kullanımına yol açan eylemleri tespit etmeyi hedefler. Bu yazıda, elde edilen bulguların güvenlik anlamını yorumlayarak, yanlış yapılandırma veya zafiyetlerin etkilerini açıklayacağız. Ayrıca, sızan veri, topoloji ve servis tespiti gibi sonuçları detaylandıracak ve profesyonel önlemler ile hardening önerilerini sunacağız.

Güvenlik Anlamının Yorumlanması

Yanal hareket, genellikle iç ağdaki davranışları izleyerek tespit edilir. Bir tehlike belirtisi olarak, iç ağda daha önce hiç görülmemiş cihazlar arası bağlantılar, saldırganın varlığını gösterebilir. Örneğin, bir muhasebe departmanı bilgisayarının, normalde bağımsız çalışması gereken bir bilgi işlem sunucusuna RDP (3389) protokolü ile bağlanmaya çalışması, ağ trafiğinde "Yeni Bir Bağlantı Deseni" olarak belirir. Aşağıda, bu tür bir tespiti açıklayan bir kontrol listesi sunulmuştur:

1. İç ağda alışılmadık bağlantılar tespit edildi mi?
2. Kullanıcıların sahip olduğu erişim yetkileri dışında bir hedefe veri akışı var mı?
3. Tarama aktiviteleri gözlemleniyor mu (internal scan)?

Bu tür bulgular, güvenlik ekiplerinin ani müdahaleler gerçekleştirmesi için kritik öneme sahiptir. Yanlış yapılandırmalardan kaynaklı zafiyetler, saldırganların bu tür bağlantıları gerçekleştirmesini kolaylaştırabilir. Özellikle, sistemlerdeki güncellemelerin yapılmaması veya varsayılan ayarların değiştirilmemesi, işleyişi tehlikeye atabilir.

Yanlış Yapılandırma veya Zafiyetlerin Etkisi

Saldırganlar genellikle belirli protokolleri ve servisleri suistimal ederek iç ağda başarıyla ilerlerler. SMB (Port 445) gibi protokoller, dosya paylaşımında ve uzak komut çalıştırmada ortak kullanılan yollar arasında yer alır. Örneğin, saldırgan bir sistemde "Pass-the-Hash" tekniğini kullanarak şifreyi bilmeden yanal hareket gerçekleştirebilir. Akış verisi sonuçlarında bu teknik, yeni oturumlar olarak görünür ve ağdaki patolojik değişikliklerin belirlenmesine zemin hazırlar.

Ayrıca, bir saldırganın ele geçirdiği bir cihazı ağın derinliklerine ulaşmak için kullandığı "pivot" noktaları, ağ güvenliği için ciddi tehditler oluşturabilir. Bu tür bir cihaz, hem dinleyici (Listener) hem de konuşmacı (Talker) olarak çalışarak alışılmadık ağır trafik oluşturabilir ve saldırganın kolayca diğer sistemlere geçiş yapmasına yardımcı olur.

Sızan Veri, Topoloji ve Servis Tespiti

Sızan veriler, genellikle iç ağın zafiyetleri ile doğrudan ilişkilidir. Örneğin, eğer bir saldırgan iç ağda yayılmak amacıyla internal scanning yapıyorsa, bu durumu gözlemlemek için akış verilerinin analizi gereklidir. Aşağıda, genel olarak sızan veri ve servis tespiti ile ilgili yapılması gereken kontroller yer almaktadır:

- İç ağ trafiğinde alışılmadık kullanıcı etkinlikleri var mı?
- Kullanıcıların normalde erişim sağladığı kaynaklar dışında giriş denemeleri mevcut mu?
- Kullanıcı ve sistem davranışları arasında herhangi bir anomali gözlemleniyor mu?

Bu tür bulgular, ağ güvenliği uzmanlarının saldırı sürecinin seyri hakkında bilgi edinmelerine olanak tanır. Topoloji analizi yapılırken, ağdaki önemli cihazların ve servislerin hangi noktada zafiyet taşıdığı da belirlenmelidir. Yavaş, fakat sürekli bir sızıntı, geliştirilen yöntemlerin yetersiz olduğuna işaret eder.

Profesyonel Önlemler ve Hardening Önerileri

Yanal hareketi tespit etmek ve önlemek için atılması gereken adımlar aşağıdaki gibi sıralanabilir:

  1. Ağ Segmentasyonu: Ağın farklı bölümlerini segmentlere ayırarak, saldırganın bir bölümden diğerine geçişini zorlaştırın.

  2. Güçlü Erişim Kontrolleri: Kullanıcıların hangi kaynaklara erişim sağlayabileceğini belirleyin. Jest kontrolü ve yetki sınırlaması uygulayın.

  3. Güncellemeler: Sistem ve yazılım güncellemelerini zamanında yaparak güvenlik zafiyetlerini en aza indirin.

  4. İzleme ve Analiz Araçları: Akış verilerini sürekli izlemek ve anormallikleri tespit etmek için güvenlik bilgi ve olay yönetim (SIEM) sistemleri kullanın.

  5. Eğitim: Çalışanlara düzenli olarak siber güvenlik eğitimi vererek bilinçlenmelerini sağlayın. Saldırganların yöntemleri konusunda bilgi vermek, riskleri azaltabilir.

  6. Yedekleme: Verilerinizi düzenli olarak yedekleyin. Bu sayede bir saldırı sonucunda veri kaybını önleyebilirsiniz.

Sonuç olarak, yanal hareket izleme ve tespiti, ağ güvenliği açısından kritik bir öneme sahiptir. Yukarıda belirtilen anahtar noktalar, güvenlik duruşunuzu güçlendirebilir ve potansiyel saldırılara karşı hazırlıklı olmanızı sağlayabilir. Gelişen tehditlere karşı proaktif önlemler almak ve sistemleri sürekli izlemek, ağ güvenliğinizi artırmaya yönelik en etkili stratejilerden biridir.