CyberFlow Logo CyberFlow BLOG
Soc L1 Etki Analizi

Zamana Bağlı Etki (Dwell Time) Hesaplama: Siber Güvenlikte Kritik Bilgiler

✍️ Ahmet BİRKAN 📂 Soc L1 Etki Analizi

Dwell time, siber saldırılarda kritik bir kavramdır. Bu yazıda dwell time hesaplamanın önemi ve etkileri ele alınıyor.

Zamana Bağlı Etki (Dwell Time) Hesaplama: Siber Güvenlikte Kritik Bilgiler

Siber saldırılarda dwell time, saldırganın sisteme giriş yaptığı an ile tespit edildiği an arasındaki süreyi ifade eder. Bu süre ne kadar uzarsa etkileri o kadar yıkıcı olabilir. Dwell time hesaplamanın önemi ve proaktif savunma yöntemleri hakkında bilgi ed...

Giriş ve Konumlandırma

Zamanla ilişkili etki, siber güvenlik alanında hayati öneme sahip bir kavramdır. Saldırganların bir sistemde ne kadar süreyle kalabildiği, bu süre zarfında gerçekleştirebilecekleri eylemler ve bu eylemlerin organizasyon üzerindeki etkileri, siber güvenlik stratejilerinin belirlenmesinde önemli bir rol oynar. Bu bağlamda, dwell time (zamana bağlı etki) kavramı, bir saldırganın sisteme ilk giriş yaptığı andan, güvenlik ekipleri tarafından tespit edildiği ana kadar geçen süreyi ifade eder. Dwell time, siber saldırıların etkinliğini ve sonuçlarını doğrudan etkileyen bir parametre olarak değerlendirilmelidir.

Dwell time’ın önemi, sadece saldırganın sisteme giriş süresiyle sınırlı değildir. Bir saldırganın sisteme kalıcı bir etki bırakabilmesi için, tespit edilmediği süre zarfında hareket etme imkanı bulması gerekmektedir. Örneğin, birkaç dakikalık bir dwell time süresinde sadece bir dosyanın çalınması söz konusu iken, aylara yayılan bir dwell time süresi, tüm bir organizasyonun yedekleme sistemlerine erişim sağlamasıyla sonuçlanabilir. Bu durum, siber tehditlerin yalnızca anlık olaylar olarak değil, uzun süreli bir problem olarak görülmesi gerektiğini göstermektedir.

Dwell Time’ın Bileşenleri

Dwell time kavramı, çeşitli aşamalardaki olaylarla ilişkilendirilmiştir. Bir saldırının başlangıcında "infiltration (sızma)" aşaması gerçekleşir; bu aşama, saldırganın sistemdeki ilk başarılı oturum açtığı veya zararlı kodu çalıştırdığı andır. Bu noktadan sonra, güvenlik ekiplerinin durumu tespit etmesi "detection (tespit)" aşaması ile olur. Dwell time süresi, bu iki aşama arasında geçen zamandır. Üçüncü aşama olan "containment (durdurma)" ise, saldırganın tüm erişim yollarının kapatıldığı ve etkisinin sıfırlandığı anı ifade eder.

Saldırganın içeride kalma süresi, yalnızca veri çalma riski değil, aynı zamanda bu süre boyunca sistemde gerçekleştirebilecekleri çeşitli aktivitelerin miktarını da artırır. Örneğin; saldırganlar, daha fazla verilere ulaşmak ve ağ yapısını anlamak için sızma işleminin ardından keşif yapmak üzere harekete geçebilirler.

Dwell Time Hesaplama

Dwell time hesaplamak için analistlerin geçmiş verileri incelemesi gerekir. Tipik olarak, en az 6-12 aylık bir geçmişe sahip olmaksızın, bir siber saldırının gerçek başlangıç noktası belirlenemez. Geçmişe dönük analizin kritik bir öneme sahip olduğu düşünülürse, bu verilerin saklandığı alanın güvenli bir şekilde yönetilmesi gerektiği anlaşılmaktadır.

Siber güvenlik stratejilerinin etkili uygulanabilmesi için proaktif yaklaşımlar geliştirilmelidir. Threat hunting (tehdit avcılığı) gibi teknikler, alarm durumlarını beklemeksizin içerideki gizli saldırganları tespit etmeyi hedefler. Bu tür yöntemler, dwell time süresini minimize ederek, olası bir saldırının etki alanını büyümeden kontrol altına almayı amaçlar.

Sonuç

Dwell time kavramı, siber güvenlik uygulamalarında kritik bir yere sahiptir. Validasyon süreçleri, saldırı türleri ve etkileri üzerinde derin bir anlayış geliştirmek, güvenlik operasyon merkezlerinin (SOC) performansını artıracak ve kurumsal güvenliği güçlendirecektir. Dwell time analizi, sadece bir saldırının doğasına dair bilgi sağlamakla kalmaz; aynı zamanda organizasyonların gelişmiş güvenlik stratejileri oluşturmalarına yardımcı olur. Dolayısıyla, zamanla ilişkili etkilerin kapsamlı bir şekilde anlaşılması, siber güvenlik alanında kaydedilecek ilerlemeler için hayati bir gerekliliktir.

Teknik Analiz ve Uygulama

İçerideki Gizli Süre

Siber güvenlikte "Dwell Time", bir saldırganın sisteme infiltrasyon yaptığı an ile bu durumun tespit edildiği an arasındaki süreyi ifade eder. Dwell time süresi arttıkça, saldırganın sistem üzerindeki hakimiyeti de pekişir. Örneğin, bir saldırganın sadece birkaç dakika boyunca sistemde kalması, sadece bir dosyayı çalmasına neden olabilirken, aylarca süren bir dwell time, tüm şirketin yedeklerinin alınmasına yol açabilir. Bu nedenle, güvenlik ekiplerinin olası bir saldırıyı en kısa sürede tespit etmesi hayati öneme sahiptir.

Zaman = Hasar

Dwell time, siber saldırının potansiyel etkisini belirlemede kritik bir parametredir. Örneğin, bir saldırganın 1 saat boyunca sistemde kalmasının etkisi düşükken, 1 ay süren bir dwell time, saldırganın ağın haritasını çıkartıp kritik verileri çalmasına neden olabilir. En çarpıcı senaryo ise 6 aylık bir dwell time; bu durumda saldırgan, yedeklemelere, aktif dizin (AD) sistemine ve veri akışına tam hakimiyeti elde eder.

# Dwell Time hesaplaması için zaman dilimlerini belirleme
# Örnek zaman dilimleri
Dwell_Time=(1_hour 1_month 6_months)

for time in "${Dwell_Time[@]}"; do
  case "$time" in
    1_hour)
      echo "Düşük Etki: Saldırgan muhtemelen keşif yapmıştır."
      ;;
    1_month)
      echo "Yüksek Etki: Saldırgan kritik yetkileri çalmıştır."
      ;;
    6_months)
      echo "Kritik Etki: Tüm sistemlere hakim olmuştur."
      ;;
  esac
done

Olay Çizelgesi

Dwell time hesaplama işlemi esnasında, olay çizelgesinin oluşturulması oldukça önemlidir. Güvenlik analistleri, kullanıcının sisteme hangi tarihte ve saatte giriş yaptığını, giriş yapılan IP adreslerini ve daha fazlasını incelemelidir. Bu bilgiler, bir saldırganın etkinliğini anlamak ve analiz etmek için kullanılır.

Geriye dönük analiz için, sistemin log kayıtlarına erişim sağlanması gerekir. Aşağıdaki komut, bir sistemin log dosyasını incelemeye olanak tanır:

# Log dosyasını incelemek için komut
cat /var/log/auth.log | grep "sshd"

Bu komut, SSH girişlerinin kayıtlarını dökerek, olası sızma girişimlerini analiz etmenizi sağlar.

Arşivin Gücü

Güvenlik analistlerinin doğru bir dwell time hesaplaması yapabilmeleri için, en az 6-12 aylık geçmiş verilere ihtiyaçları vardır. Aksi takdirde, saldırının başlangıç noktası asla belirlenemez. Bu nedenle, sistemdeki log verilerinin sürekli olarak saklanması ve düzenli aralıklarla analiz edilmesi gerekir.

# Log verilerini arşivlemek için örnek komut
tar -czf sistem_loglar_$(date +%F).tar.gz /var/log/*.log

Bu komut, mevcut log dosyalarını tarihe göre arşivleyerek, ileriki analizlerde kullanılmak üzere saklamanızı sağlar.

Gizli Düşmanı Aramak

Proaktif bir yaklaşım olan Tehdit Avcılığı, güvenlik ekiplerinin alarm çalmasını beklemeden içerideki gizli saldırganları arayarak dwell time süresini minimize etmeyi amaçlar. Bu çerçevede, ağda olağan dışı davranışlar tespit edilerek, potansiyel tehditler erkenden bertaraf edilebilir.

Kök Salmak

Saldırganların, sistemi ele geçirme çabaları genellikle "Persistent" yani kalıcılık teknikleri ile desteklenir. Bu teknikler, saldırganların fark edilmeden sistemde kalmasını ve tekrar tekrar girebilmesini sağlamak için kullanılır. Bu nedenle, kalıcılık tekniklerine karşı koymak, güvenlik ekiplerinin öncelikli hedeflerinden biri olmalıdır.

# Kalıcılık tespiti için örnek komut
ps aux | grep -i "malicious_process"

Yukarıdaki komut, kötü niyetli bir işlemin sistemde çalışıp çalışmadığını kontrol eder.

Modül Sonu

Sonuç olarak, Dwell time süreleri ve etki alanı sonuçları, güvenlik analistlerinin siber güvenlik stratejilerini geliştirmelerinde önemli bir rol oynar. Dwell time'ın etkisini anlamak, sistemin güvenliğini artıracak önlemler alabilmek için kritik öneme sahiptir. Doğru yönetilen ve izlenen log kayıtları, olası tehditlerin erken tespiti ve bertarafı için en önemli araçlar arasında yer almaktadır.

Risk, Yorumlama ve Savunma

Siber güvenlikte, bir saldırganın sisteme girdiği an ile bu girişin tespit edildiği an arasındaki süreyi ifade eden "dwell time" kavramı, bir saldırının etkisini ve riski değerlendirmede kritik bir bileşendir. Dwell time süresi arttıkça, saldırganın sistem üzerindeki etkisi ve kontrolü de büyür. Bu süreçte dikkate alınması gereken ana unsurlar, riskin yorumlanması ve buna karşı alınacak savunma önlemleridir.

İçerideki Gizli Süre

Dwell time, siber saldırıların analizinde belirleyici bir faktördür. Örneğin, bir saldırganın içeride kalma süresi, yapılan keşiflerin ve elde edilen yetkilerin miktarını doğrudan etkiler. Düşük bir dwell time (örneğin: 1 saat) genellikle, saldırganın sadece keşif yaptığını ve henüz sistemde yayılmadığını gösterirken, yüksek bir dwell time (örneğin: 6 ay) kritik sistemler üzerinde tam kontrol sağlandığını işaret eder. Bu nedenle, işletmelerin güvenlik oturumlarının analizi sürekli olarak yapılmalı ve riskler bu doğrultuda değerlendirilmelidir.

# Dwell time senaryoları
1saat_dwell_time="Düşük Etki: Saldırgan muhtemelen sadece keşif yapmış ve henüz yayılmamıştır."
1ay_dwell_time="Yüksek Etki: Saldırgan ağın haritasını çıkarmış ve birçok kritik yetkiyi çalmıştır."
6ay_dwell_time="Kritik Etki: Saldırgan tüm yedeklemelere, AD sistemine ve veri akışına hakim olmuştur."

Zaman = Hasar

Dwell time'ın her aşaması, potansiyel hasarı arttırır. Anlık bir tespit durumu, sistemin kontrolünü kaybetmeden saldırganı durdurma fırsatı sunar. Ancak zaman geçtikçe, ağ haritasını çıkaran ve kritik yetkileri ele geçiren bir saldırganın etkisi artar. İşletmelerin, bu tür durumların kaçınılmaz olduğunu kabul ederek proaktif bir yaklaşım benimsemesi gerekir. Bu bağlamda, tehdit avcılığı (Threat Hunting) önemli bir strateji haline gelir.

Olay Çizelgesi

Risk değerlendirmesinde geçmiş verilerin incelenmesi de hayati öneme sahiptir. Dwell time analizi için, analistlerin en az 6-12 aylık geçmiş verilerine erişimi olması gerekir. Aksi takdirde saldırının gerçek başlangıç tarihi tespit edilemeyecek ve bu da müdahale süresini uzatır.

Arşivin Gücü

Geçmişe dönük analizler, bir saldırganın sistemde kalma süresi ve etkinliği ile ilgili ipuçları sağlar. Log kayıtları, saldırıların doğasına dair önemli bilgiler sunarak risk analizinde değerli bir kaynak olabilir. Dwell time hesaplamak için gerekli olan bu veriler, organizasyonların zafiyetlerini tespit etmek için kritik rol oynar.

{
  "dwell_time_hesaplama": {
    "tespit": "Saldırganın sisteme girişi",
    "belirleme": "SOC analistinin alarmı fark ettiği an",
    "durdurma": "Erişim yollarının kapatıldığı an"
  }
}

Gizli Düşmanı Aramak

Proaktif savunma, alametleri tespit etmeden saldırganların ortaya çıkarılması için gereklidir. Dwell time'ı kısaltarak saldırının etkilerini kontrol altına almak, güvenlik ekiplerinin öncelikli hedefi olmalıdır. Bunun için sürekli izleme, tehdit avcılığı ve anomali tespiti yöntemlerinin kullanımı teşvik edilmelidir.

Kök Salmak

Saldırganların, sistemde kalıcı bir yer edinme çabaları genellikle "kalıcılık" (Persistence) teknikleri ile sağlanır. Sistem üzerinde uzun süre kalabilmeleri, şifreleme, arka kapı açma veya çeşitli zafiyetleri kullanma gibi yöntemleri içerir. Bu tür tehditleri belirlemek, güvenlik ekiplerinin en önemli görevlerinden biridir.

Sonuç Özeti

Dwell time, siber güvenlik risklerini anlamada ve yönetmede önemli bir göstergedir. Bir saldırganın sisteme girişinden tespitine kadar geçen süre, potansiyel hasar ile doğru orantılıdır. İşletmeler, proaktif tehdit avcılığı ve sürekli izleme yöntemleri ile bu süreyi minimize etmeli, güvenlik yapılarını kuvvetlendirmeli ve zafiyetleri önceden tespit etme kabiliyeti kazanmalıdır. Bu şekilde, siber saldırıların etkilerini azaltmak ve organizasyonel güvenliği artırmak mümkün olacaktır.