CyberFlow Logo CyberFlow BLOG
Soc L2 Ir Playbooks

Yanal Hareket Müdahale Playbook'u ile Siber Güvenlikte Etkili Savunma Stratejileri

✍️ Ahmet BİRKAN 📂 Soc L2 Ir Playbooks

Yanal hareket müdahaleleri için kapsamlı bir rehber ile siber güvenlik savunmanızı güçlendirin. Temel teknikler ve stratejiler burada!

Yanal Hareket Müdahale Playbook'u ile Siber Güvenlikte Etkili Savunma Stratejileri

Yanal hareket konusunda derinlemesine bilgi edinmek isteyenler için hazırlanan bu playbook, güvenlik ekiplerine saldırılara karşı nasıl etkili müdahale edebileceklerini gösteriyor. Eğitimin detayları ve teknikleri keşfedin!

Giriş ve Konumlandırma

Yanal Hareketin Tanımı ve Önemi

Siber güvenlik alanında yanal hareket, bir saldırganın bir hedef sisteme sızdıktan sonra, kurum içi ağda diğer sistemlere, sunuculara veya verilere ulaşmak için gerçekleştirdiği geçiş sürecidir. Bu süreç, siber saldırının en kritik aşamalarından biri olarak kabul edilir çünkü saldırgan, ilk giriş noktasından başka bir hedefe geçiş yaparken, genellikle farklı sistemlerde mevcut olan değerli verileri ve kaynakları tehdit eder. Yanal hareket, bir hedefin ihlalinden sonra, saldırganın hedefe ulaşma sürecindeki her adımın kontrol edilmesi ve gerekli önlemlerin alınmasını zorunlu kılar.

Bu bağlamda, yanal hareket müdahale playbook'u, savunma ekiplerinin saldırıların tespitine, analizine ve müdahale sürecine yönelik bir kılavuz niteliği taşır. Playbook, saldırının hedeflemesine izin veren tüm yolları analiz etmeyi, olası hareketleri tahmin etmeyi ve buna göre proaktif bir savunma geliştirmeyi amaçlar.

Pentest ve Savunma Açısından Yanal Hareket

Penetrasyon testleri (pentest), gerçek bir siber saldırının simülasyonunu yaparak bir kuruluşun güvenlik seviyesini değerlendirmek için kullanılan önemli bir yöntemdir. Yanal hareketin pentest süreçlerinde ele alınması, testin gerçekliği ve kapsamı bakımından kritik bir öneme sahiptir. Saldırganların ağ içinde yayılarak daha derin hedeflere ulaşma yetenekleri test edilmeden, kuruluşların güvenlik durumu tam olarak değerlendirilemez.

Yanal hareketin tespit edilmesi ve engellenmesi, siber güvenlik stratejilerinin merkezindeki temel unsurlardan birini oluşturur. Saldırganların ağda sızmalarını takip etmek ve potansiyel hedeflere ulaşmalarını engellemek için çeşitli stratejilerin geliştirilmesi gerekmektedir. Burada öncelikli hedef, saldırganın hangi yolları kullandığını ortaya çıkarmak ve bu yolları etkili bir şekilde izole etmektir.

Tespit ve Müdahale Yöntemleri

Yanal hareket müdahale oyun kitapları, güvenlik ekiplerine bir saldırganın ağa sızdıktan sonra başvurabileceği olası senaryoları içeren bir çerçeve sunar. Bu tür playbook'lar, sıklıkla şu bölümleri kapsar:

  1. Kimlik Bilgisi Hırsızlığı: Saldırganlar, yanal hareket yapabilmek için sistemlerdeki kimlik bilgilerini çalmak için çeşitli yöntemler kullanır. Bu, "credential dumping" olarak bilinir ve saldırganın başka sistemlerde oturum açabilmesi için kritik öneme sahiptir.

  2. Yanal Hareket Araçları: Saldırganların belirli araçları kullanarak iç ağda yayılmasını sağlamak için çeşitli teknikler ve yazılımlar vardır. Örneğin, PsExec veya WinRM gibi araçlar, uzaktan komut yürütme işlemlerinde sıkça kullanılmaktadır. Bu araçların kullanımıyla ilgili dikkatli loglama ve analitik süreçler, yanal hareketin tespiti için büyük önem taşır.

  3. Logon Tipi Analizi: Saldırganların oturum açma türleri de kritik bir indikatördür. Örneğin, "Logon Type 3" (Network), dosya paylaşımı üzerinden gerçekleştirilen oturumları gösterirken; "Logon Type 10" (RemoteInteractive), uzaktan masaüstü bağlantılarını ifade etmektedir. Bu tür logların analizi, ağ içinde bir anomalinin olup olmadığını belirlemek için kullanılabilir.

Siber güvenlikteki bu unsurlar, yalnızca bir playbook'un sunduğu bilgilerle sınırlı kalmaz; sürekli olarak güncellenmesi ve geliştirilmesi gereken dinamik süreçlerdir. Güvenlik ekiplerinin, yanal hareket tehditlerine karşı hazırlıklı olması ve gerekli mühendislik önlemlerini alması esastır.

Sonuç

Yanal hareket, siber saldırıların çok yönlü ve karmaşık bir aşamasını ifade eder ve bu durum, siber güvenlik stratejilerinin etkin bir biçimde uygulanmasını gerektirir. İyi bir yanal hareket müdahale playbook'u, kuruluşların siber saldırılara karşı proaktif ve reaktif stratejiler geliştirmelerini sağlar. Bu yolla, yalnızca mevcut tehditler değil, potansiyel durumda karşılaşılabilecek saldırılar da daha etkin bir şekilde yönetilebilir.

Gelecek bölümlerde, yanal hareket tekniklerine, tespit mantığına ve daha fazlasına derinlemesine bakacağız. Siber güvenlik alanındaki etkinizi artırmak ve organizasyonunuzu korumak için gereken adımları detaylandıracağız.

Teknik Analiz ve Uygulama

Yanal Hareket Tanımı

Yanal hareket, bir saldırganın bir sisteme sızdıktan sonra kurum içi ağda diğer değerli hedeflere, sunuculara veya verilere ulaşmak için gerçekleştirdiği sistemler arası geçiş sürecidir. Bu aşama, siber tehditlerle başa çıkmanın en kritik noktalarından biridir çünkü saldırganlar, ilk olarak ele geçirdikleri noktayı kullanarak ağ içinde daha derinlere sızmayı hedefler.

Yanal Hareket Teknikleri

Yanal hareketin başarısı, saldırganın kullandığı tekniklere bağlıdır. Özellikle şunlar öne çıkmaktadır:

  • Pass-the-Hash (PtH): Kullanıcının parolasını bilmeden sadece NTLM hash bilgisini kullanarak başka sistemlere sızma.
  • Remote Service Creation: Hedef sistem üzerinde oluşturulan yeni servisler (örneğin PsExec ile) aracılığıyla uzaktan komut çalıştırma.
  • SMB/RDP Hijacking: Aktif olan dosya paylaşımı veya uzak masaüstü oturumlarının ele geçirilmesi.
  • WinRM / PowerShell Remoting: Uzak sunucuları yönetmek için kullanılan PowerShell tabanlı protokoller.

Aşağıdaki örnek, bir sistemde dosya paylaşımı üzerinden yanal hareketin nasıl gerçekleştirileceğini göstermektedir:

# Uzak bir makinede PsExec kullanarak komut çalıştırma
psexec \\hedef_makine -u kullanıcı_adı -p parola cmd

Burada, psexec komutu kullanılarak hedef makineye oturum açılmış ve komut satırı erişimi sağlanmıştır.

Tespit Mantığı

Yanal hareketin tespiti için, sistem yöneticilerinin izlediği temel veri analizi yöntemleri kullanılmaktadır. İş yerindeki güvenlik ekipleri, özellikle aşağıdaki unsurları izlemelidir:

  • İş İstasyonları Arasındaki Trafik: İç ağda meydana gelen alışıldık dışı trafik, yanal hareketin en büyük göstergesidir. Elde edilen loglar, ağdan geçen veri paketlerinin incelenmesi için kullanılmalıdır.
  • Kimlik Bilgisi Çalma: Bir saldırganın sistem belleğinden ya da dosyalarından kimlik bilgilerini çalması, yanal hareketin sağlıklı bir şekilde gerçekleştirilmesi için gerekmektedir. Bu duruma "credential dumping" denilmektedir.

Aşağıda, credential dumping için kullanılan bir örnek kod parçası verilmiştir:

# Mimikatz ile kimlik bilgileri dökme
Invoke-Mimikatz -Command "sekurlsa::minidump dump.dmp"

Bu komut, sistem bellek dökümünden kimlik bilgilerini çıkartmak için kullanılır.

Yanal Hareket Araçları

Saldırganların iç ağda sıçrama yapmak için kullandığı birçok araç mevcuttur. Bunlar arasında:

  • PsExec
  • Mimikatz
  • WMI (Windows Management Instrumentation)
  • Remote Desktop Protocol (RDP)

Bu araçlar, genellikle kurumsal ağlarda yönetim ve izleme amaçlı kullanılsa da, aynı zamanda kötü niyetli saldırganlar tarafından da kullanılabilir.

SOAR Müdahale Adımları

Yanal hareket şüphesi belirlendiğinde, SOAR (Security Orchestration, Automation, and Response) platformları hızlı bir şekilde yanıt vermek için devreye girmektedir. Bu süreç, aşağıdaki adımları içermektedir:

  1. Log Analizi: Saldırganın hangi hesapla nereden gelip nereye gittiği tüm loglar taranarak ortaya çıkarılmalıdır.
  2. İzolasyon: Saldırganların erişim sağladığı sistemler, EDR (Endpoint Detection and Response) üzerinden izole edilerek yayılım zinciri kırılmalıdır.
  3. Hızlı Yanıt: Şüpheli aktiviteler tespit edildiğinde, olay müdahale ekipleri hemen harekete geçmelidir.

Deception (Yanıltma) Teknolojileri

Saldırganları yanal hareket sırasında tuzağa düşürmek için ağda yerleştirilen sahte dosyalara veya hesaplara "honeytoken" denir. Bu yöntem, saldırganların gerçek veritabanları yerine sahte hedeflere yönlendirilmesi amaçlanmaktadır.

Logon Tipi Analizi

Windows Event Log'daki oturum türleri, yanal hareketin analizinde kritik öneme sahiptir. İşte önemli logon türleri:

  • Logon Type 3 (Network): Dosya paylaşımı veya uzak bir servise bağlanıldığında oluşan oturum açma tipi.
  • Logon Type 10 (RemoteInteractive): RDP bağlantısı kurulduğunda oluşan oturum açma tipi.

Ağ İzolasyonu ve Segmentasyon

Yanal hareketin etkisini sınırlamak için ağın segmentlere ayrılması işlemi "Micro-Segmentation" olarak adlandırılmaktadır. Bu yaklaşım, bir saldırganın yönelimini daraltarak ağ içindeki yayıcılığı azaltmaktadır.

Yanal hareket müdahale playbook’unun etkin kullanılması, siber güvenlikte proaktif bir savunma yöntemidir. Teknolojiler ve süreçler arasında sağlanan uyum, saldırıların etkilerini en aza indirir ve güvenli bir ağ yapısı oluşturur.

Risk, Yorumlama ve Savunma

Yanal hareket, bir saldırganın bir sisteme sızdıktan sonra, kurum içi ağda diğer değerli hedeflere veya verilere ulaşmak için gerçekleştirdiği sistemler arası geçiş sürecidir. Bu nedenle, siber güvenlikte yanal hareketin etkilerinin değerlendirilebilmesi büyük önem taşır. Aşağıda, elde edilen bulguların güvenlik anlamını yorumlamaya yönelik bir çerçeve sunmaktayız.

Elde Edilen Bulgular ve Güvenlik Anlamı

Yanal hareket tespit edildiğinde, ilk adım bu durumun ciddi bir güvenlik riski oluşturup oluşturmadığını değerlendirmektir. Tespit edilen anormal aktiviteler, genellikle bir saldırganın kimlik bilgilerini ele geçirmesi veya bir sistemde zafiyet bulması anlamına gelir. Ağ trafiğinde gözlemlenen ve alışılmadık olan sınıflandırmalar, saldırganın hedefler arasında geçiş yaptığını gösterebilir. Örneğin:

- İş istasyonları arası sıradışı ağ trafiği
- Belirli sistemlere yapılan ardışık oturum açma girişimleri
- Genellikle kullanılmayan portlar üzerinden yapılan bağlantılar

Bu bulgular, ağ içinde bir saldırganın varlığına işaret edebilir ve bunun hızlıca analiz edilmesi gerekir.

Yanlış Yapılandırmalar ve Zafiyetler

Sistemlerin yanlış yapılandırılması, saldırganların yanal hareketini kolaylaştırabilir. Özellikle, zayıf parolalar veya güncel olmayan yazılımlar, bir giriş kapısı işlevi görebilir. Örnek olarak, 'Pass-the-Hash' saldırısı, bir saldırganın NTLM hash bilgisini kullanarak başka sistemlerde oturum açmasına olanak tanır. Böylelikle, saldırgan sistem üzerinde ciddi bir yetki kazanabilir ve bu da kritik verilere erişim sağlar.

Zafiyetler, yalnızca yazılımlarda değil, aynı zamanda güvenlik duvarları ve erişim kontrol listelerinde de bulunabilir. Sistem belirlenimi yapılmadığı takdirde, saldırganlar ağda kolayca ilerleyebilirler.

Sızan Veriler ve Topoloji

Sızan veriler, saldırganın elde ettiği kimlik bilgileri veya hassas dosyalar olabilir. Bu tür verilerin sızması, kurumsal güvenlik politikalarını ciddi anlamda zayıflatabilir. Topoloji analizi, ağın nasıl yapılandığını belirlemeye yarar ve hangi sistemlerin risk altında olduğunu anlamamıza yardımcı olur.

Ağda izlenecek yollar, çeşitli hizmetlerin ve sistemlerin etkileşimlerini göz önünde bulundurarak değerlendirilmeli ve tüm sistemler için kapsamlı loglama yapılmalıdır.

Profesyonel Önlemler ve Hardening Önerileri

Yanal hareketlerin önlenmesi için bir dizi önlem alınmalıdır. Bunlar arasında:

  1. Kimlik Doğrulama Çözümleri: Çok faktörlü kimlik doğrulama (MFA) uygulamak, kimlik bilgilerini ele geçirme girişimlerine karşı etkin bir koruma sağlar.
  2. Sistem Hardening: Sistemlerin güvenlik güncellemelerini ve yamalarını düzenli olarak uygulamak, potansiyel zafiyetleri minimize eder.
  3. Ağ Segmentasyonu: Ağın mikro segmentlere ayrılması, yanal hareketin etkisini sınırlamak açısından kritik öneme sahiptir.

Ağ segmentasyonu ile, her sistemin erişim kontrolü daha etkili bir şekilde yönetilebilir. Ayrıca, sahte dosyalar ya da hesaplar kullanarak (honeytoken) saldırganları tuzağa düşürme stratejileri kullanılabilir.

Sonuç

Yanal hareketin tespiti ve analizi, siber güvenlikte kritik bir adımdır. Elde edilen bulguların yorumlanması; yanlış yapılandırmalar, zafiyetler ve sızan veriler üzerine yapılan değerlendirmeler, kurumsal güvenlik stratejilerinin güncellenmesi ve güçlendirilmesi açısından önemlidir. Uygulanacak profesyonel önlemler ve hardening stratejileri, savunma mekanizmalarını güçlendirecek ve potansiyel saldırıların etkisini minimize edecektir. Bu nedenle, organizasyonların siber güvenlik politikalarını sürekli olarak gözden geçirmeleri ve geliştirmeleri gerekmektedir.