CyberFlow Logo CyberFlow BLOG
Soc L2 Advanced Correlation Writing

Zincirleme ve Çoklu Aşama Korelasyon ile Siber Güvenliğinizi Güçlendirin

✍️ Ahmet BİRKAN 📂 Soc L2 Advanced Correlation Writing

Siber güvenlikte zincirleme ve çoklu aşama korelasyon kavramları, saldırı süreçlerini anlama ve önleme için kritik öneme sahiptir. Bu makaleyi okuyun.

Zincirleme ve Çoklu Aşama Korelasyon ile Siber Güvenliğinizi Güçlendirin

Zincirleme korelasyon, farklı olayların sırayla takip edilmesi ile siber güvenlikteki saldırıları anlama ve önleme sürecinde önemli bir role sahiptir. Çoklu aşama saldırılarla başa çıkma yöntemlerini öğrenmek için makalemizi okuyun.

Giriş ve Konumlandırma

Zincirleme ve çoklu aşama korelasyon, modern siber güvenlik alanında kritik bir rol oynamaktadır. Bu kavram, birden fazla olayın belirli bir sıra içinde birbirini takip etmesiyle ilişkilidir. Bu tür korelasyonlar, bir saldırının yalnızca başlangıcını değil, aynı zamanda ilerleyişini ve sonuçlarını da anlamamıza olanak tanır. Günümüzün karmaşık tehdit ortamında, tekil olayların ötesine geçmek, güvenlik ekiplerinin etkili bir şekilde savunma stratejileri geliştirmesi açısından elzemdir.

Zincirleme Korelasyon Kavramı

Zincirleme korelasyon, ağ üzerindeki olayların zamanla ve birbirleriyle olan ilişkileri göz önünde bulundurularak analiz edilmesidir. Bu bağlamda, olayların sırayla gerçekleşmesini gerektiren mantıksal bir yapı oluşturur. Örneğin, bir sistemde bir kullanıcı hesabının ele geçirilmesi (Başlangıç Olayı), ardından bu hesabın diğer iç sunuculara erişim sağlaması (Yatay Hareket) gibi olaylar bir zincir oluşturabilir. Bu tür farklı olayların aynı anda tespit edilmesi, güvenlik uzmanlarının siber saldırıları daha etkin bir şekilde incelemelerine ve hızlı bir şekilde müdahale etmelerine imkan tanır.

Çok Aşamalı Saldırılar

Siber güvenlik tehditleri genellikle çok aşamalı saldırı senaryoları şeklinde meydana gelir. Bu tür saldırılarda, bir saldırgan ilk olarak bir sistemde zayıf bir nokta bularak içeri sızar. Ardından, daha fazla yetki kazanarak, çeşitli aşamalardan geçerek hedef sistemlere ulaşır. Örneğin, ilk adımda bir phishing e-postası ile bir kullanıcının kimlik bilgilerini elde etmek, ikinci adımda ele geçirilen bilgilerle kurumsal ağa müdahale etmek, son aşamada ise verileri dışarıya aktarmak gibi süreçlerden oluşabilir.

Bu aşamalar arasındaki bağlantıları kurmak, yani saldırganın ilerleyişini izlemek, güvenlik uzmanlarının olayları anlamalarına ve önleyici tedbirler almalarına yardımcı olur. Çok aşamalı saldırılar, sıklıkla kurumsal güvenlik yapılarını hedef alır, bu nedenle bu tür tehditlere karşı etkin bir savunma geliştirmek, güvenlik mühendislerinin birincil önceliklerinden biridir.

Zincirleme Kuralların Amacı

Zincirleme kuralların temel amacı, birbirini takip eden olayları tespit etmek ve bu olayları doğru bir şekilde eşleştirmektir. Bu sayede, bağımsız olaylar arasında taşınan risklerin daha net bir şekilde gözlemlenmesi sağlanır. Zincirleme korelasyon, ağ güvenliğinde kullanılan SIEM (Security Information and Event Management) sistemlerinde kritik bir özellik olarak öne çıkar. SIEM sistemleri, ağdaki olayları toplar ve bunları analiz ederken zincirleme kurallarını kullanarak potansiyel saldırıları tespit eder.

Örnek bir zincirleme korelasyon kuralı aşağıdaki gibi tanımlanabilir:

Event A (Kullanıcı hesabının ele geçirilmesi) follows by Event B (Yatay hareket ile diğer sunuculara erişim)

Bu tür mantıksal yapılandırmalar, güvenlik uzmanlarının kurumsal sistemlerinde potansiyel tehditleri hızlıca ortaya çıkarmasına olanak tanır.

Followed By (Ardından Gelen) Mantığı

Zincirleme kurallarda, belirli bir olayın ardından hangi olayların gelmesi gerektiği mantıksal bir şekilde tanımlanır. "Followed By" operatörü, bir olayın gerçekleşmesinin ardından başka bir olayın gelmesini zorunlu kılan bir yapı sunar. Bu yapı, saldırganların izinin sürülmesi ve ilgili olayların bir arada değerlendirilmesi açısından kritik bir öneme sahiptir.

Zincirleme Senaryo Örnekleri

Bir zincirleme senaryoya örnek olarak, bir kullanıcının kimlik bilgileriyle sistemde yetkisiz bir şekilde giriş yapması, ardından ele geçirilen kaynağı kullanarak erişim sağlamak için başka bir sisteme geçiş yapması verilebilir. Bu süreç, siber güvenlik uzmanlarına sadece saldırının başlangıcını değil, aynı zamanda hedefe ulaşma aşamalarını da analiz etmeleri için bir çerçeve sunar.

Zincirleme ve çoklu aşama korelasyon, siber güvenlik dünyasında kaçınılmaz olarak karşılaşılacak olsa da, bu kavramların etkili bir şekilde uygulanması, sistemlerin güvenliğini artırmak için gerekli olan bilgiyi sağlayacaktır.

Teknik Analiz ve Uygulama

Zincirleme Korelasyon Kavramı

Zincirleme korelasyon, güvenlik izleme sistemlerinde, farklı zamanlarda ve farklı log kaynaklarında gerçekleşen olayların belirli bir sırayla birbirini takip etmesi durumlarının yakalanmasına olanak tanır. Bu tür bir korelasyon, karmaşık saldırı senaryolarını daha iyi analiz etme ve anlama fırsatı sunar. Özellikle, güvenlik olayları sıradan bir izleme sisteminde göründüğünden daha fazla bilgi içerebilir.

Zincirleme korelasyon kurallarının yazımı, belirli bir olayın ardından başka bir olayın beklenmesi üzerine kuruludur. Bunun için, olayları birbirine bağlamak amacıyla belirli mantıksal operatörler kullanılır. En yaygın kullanılan operatörlerden biri "Followed By" (Ardından Gelen) mantığıdır. Bu operatör, Event A’nın gerçekleşmesinin ardından Event B’nin gerçekleşmesini şart koşar.

Çok Aşamalı (Multi-stage) Saldırılar

Siber saldırılar genellikle çok aşamalıdır ve her aşamada farklı teknikler ve araçlar kullanılabilir. Bu aşamaları başarılı bir şekilde izleyebilmek için çok aşamalı korelasyonun doğru bir şekilde yapılandırılması gerekmektedir. Çok aşamalı saldırılarda, her aşama için belirli log kaynakları ve olay türleri analiz edilmelidir.

İlk aşama genellikle sistemlere giriş sağlar; örneğin, bir phishing e-postası ile kullanıcı hesabına erişim sağlanabilir. Ardından, ele geçirilmiş bir hesapla yatay hareket ile diğer sunuculara erişim sağlanır. Verinin dışarıya aktarılması (exfiltration) gibi daha karmaşık aşamalara geçmeden önce, her bir aşamanın tespit edilebilmesi için uygun korelasyon kurallarının oluşturulması kritiktir.

Zincirleme Kuralların Amacı

Zincirleme kuralların temel amacı, bağımsız olayları birleştirerek karmaşık saldırı senaryolarını açığa çıkarmaktır. Bu tür kurallar yazarken, genellikle ortak anahtar (joining key) kullanarak farklı olaylar arasındaki ilişkileri belirlemek önemlidir. Örneğin, bir kullanıcının etkinliği üzerinden farklı log kaynaklarında izleme yaparken, kullanıcı adına veya IP adresine göre birleştirme yapılır.

Aşağıda, iki olay arasında bir ortak anahtar kullanılarak nasıl ilişkilendirileceğine dair basit bir örnek verilmektedir:

# Örnek Python kodu
def check_events(event_a, event_b):
    if event_a['username'] == event_b['username']:
        return True
    return False

event_a = {'username': 'user1', 'action': 'login'}
event_b = {'username': 'user1', 'action': 'access_file'}

if check_events(event_a, event_b):
    print("Olaylar eşleşiyor.")

Burada, iki olay arasındaki kullanıcı adına göre ilişki kontrol edilmektedir.

Zincirleme Senaryo Örnekleri

Zincirleme kurallar yazarken, tipik bir saldırının aşamalarını eşleştirmek kritik bir adımdır. Aşağıda, gerçek dünyada karşılaşılabilecek bazı senaryolar verilmiştir:

  1. İlk Erişim: Phishing e-postası ile kurum ağına ilk girişin sağlanması.
  2. Hesap Ele Geçirme: Kullanıcı hesabından olağandışı yetki yükseltme komutunun çalıştırılması.
  3. Yatay Hareket: Ele geçirilen hesaptan diğer iç sunuculara RDP/SSH ile erişim sağlanması.
  4. Veri İhlali: Verinin büyük miktarda arşivlenmesi ve dış bir IP adresine yüklenmesi.

Her bir aşama, olaylar arasında uygun bir ilişki tanımlanarak zincirleme korelasyon ile tespit edilebilir.

Zincirleme Kural Zorlukları

Zincirleme kural yazımında karşılaşılan zorluklar arasında durum tutma (state retention) ve zaman aşımı (timeout) gibi sorunlar bulunmaktadır. Durum tutma, SIEM sisteminin ilk olayı gördükten sonra ikinci olayı beklemek için hafızasında tutma yeteneğini ifade eder. Ancak, eğer zaman aşımı süresi dolarsa, ikinci olay gerçekleşmezse kurallar etkisiz hale gelebilir.

Zincirleme kurallara yönelik başka zorluklar da şunlardır:

  • Log Kaybı (Drop): Bir aşamadaki log verisinin SIEM’e ulaşmaması nedeniyle zincirin kopması.
  • Performans Yükü: Uzun süreli bekletmeler SIEM kaynaklarını aşırı şekilde tüketebilir.

Cyber Kill Chain

Çok aşamalı saldırı senaryolarını modellemek için kullanılan bir diğer önemli kavram "Cyber Kill Chain" yapılaşmasıdır. Bu çerçeve, siber saldırının sequential (sıralı) aşamalarını modelleyerek her adımda saldırganın ilerleyişini anlamaya yardımcı olur. Kill Chain, operasyonel süreçlerin daha iyi yönetilmesi için kritik bir yol haritası sunar.

Sonuç olarak, zincirleme ve çoklu aşama korelasyonu, siber güvenlik stratejinizin güçlü bir parçası olmalıdır. Bu yaklaşımların etkin korunabilmesi ve gözlemleyebilmesi için uygun araçlar ve teknik yazılımlar kullanılması hayati öneme sahiptir.

Risk, Yorumlama ve Savunma

Günümüzde siber güvenlik, kuruluşlar için en kritik süreçlerden biri haline gelmiştir. Özellikle, zincirleme ve çoklu aşama korelasyon teknikleri, farklı olaylar arasında bağlantılar kurarak potansiyel saldırıları daha etkili bir biçimde tespit etmemize imkan tanır. Bu bölümde, elde edilen bulguların güvenlik yorumlaması, yanlış yapılandırma ve zafiyetlerin etkileri, sızan veri ile topoloji tespiti gibi konulara odaklanacağız.

Elde Edilen Bulguların Güvenlik Anlamı

Zincirleme korelasyon, farklı zamanlarda ve log kaynaklarında gerçekleşen olayların belirli bir sırayla birbirini takip etmesi durumunu ifade eder. Bu bağlamda, bir olayın ardından gelen olayların analizi, güvenlik açığı veya ihlali gibi sorunları tanımlamamızda yardımcı olur. Örneğin, bir phishing saldırısı sonrasında bir hesap ele geçirilirse, bu durum siber tehditlerin etkili bir biçimde tespit edilmesini sağlar.

Aşağıda bir oyuncak örnek ile süreç açıklanmaktadır:

1. Phishing e-postası yollanması (Initial Access)
2. Ele geçirilen hesap üzerinden yönetici erişimi sağlanması (Hesap Ele Geçirme)
3. Verilerin bulut sunucusuna aktarılması (Exfiltration)

Elde edilen verilerin analizi sonucunda, olayların zamansal dizilimi siber güvenlik ekiplerine potansiyel tehditlerin kaynağını ve gelişim sürecini anlamada yardımcı olur.

Yanlış Yapılandırmalardan ve Zafiyetlerden Etkiler

Yanlış yapılandırmalar, siber güvenlik yaklaşımlarında ciddi zafiyetlere yol açabilir. Örneğin, bir güvenlik duvarının yanlış ayarlanması, yetkisiz erişimlere kapı aralayabilir. Bir saldırganın, bir hedefin açık veya kullanılmayan portlarından yararlanarak sisteme sızması, bilgilerin çalınması veya sistemin etkilenmesine neden olabilir.

Zafiyetleri anlama, saldırıların başlangıç aşamasında tespit edilmesine olanak tanır. Örneğin:

- Özellikle güncellenmemiş yazılımlar
- Güçlü parolaların kullanılmaması
- Varsayılan ayarların değiştirilmemesi

Bu gibi durumlar, siber güvenlik alanında kritik zaafiyetler arasındadır. Saldırganlar bu noktaları hedef alarak içeriye sızabilir.

Sızan Veri ve Topoloji ile Servis Tespiti

Veri ihlali durumlarında, sızan verinin analizi önemlidir. Sızan verinin türü, tehdit vektörlerini anlamamızda kritik rol oynar. Örneğin, bir kullanıcı adının ve şifrenin çalınması durumunda, bir kullanıcının diğer hizmetlerdeki hesaplarının da tehlikeye girdiğini göz önünde bulundurmak gerekir.

Aşağıdaki gibi temel bir servis tespiti sağlamak için kullanılan tekniklerin örneğidir:

1. Kullanıcı aktarım pastası (User Transfer Logs)
2. Yetkisiz Erişim Logları (Unauthorized Access Logs)
3. Yazılım Hata Logları (Software Error Logs)

Bu logların karşılaştırılması ve analizi, olası saldırıları önceden tespit etmemizi sağlar.

Profesyonel Önlemler ve Hardening Önerileri

Zincirleme ve çoklu aşama korelasyon tekniklerini kullanarak siber güvenlik sağlamanın çeşitli yolları mevcuttur:

  • Güvenlik Duvarı ve IDS/IPS Yapılandırması: Ağa uygun güvenlik politikaları tanımlamak ve anomali tespit sistemleri kullanmak.

  • Veri Şifreleme: Verilerin transferi esnasında ve depolama alanlarında şifrelenmesi, gizliliğin korunmasını sağlar.

  • Düzenli Güncellemeler: Tüm sistem ve yazılımların güncel tutulması, bilinen zafiyetlere karşı koruma sağlar.

  • Ağ Segmentasyonu: Ağa bağlı cihazların segmentlere ayrılması, siber saldırganların erişimini zorlaştırır.

Sonuç Özeti

Zincirleme ve çoklu aşama korelasyon teknikleri, siber güvenlik alanında güçlü bir koruma sağlayarak organizasyonların karşılaştığı tehditlerin daha etkin bir şekilde yönetilmesine katkı sağlar. Yanlış yapılandırmalar ve zafiyetler, önemli riskler taşıdığından, önlemlerin zamanında alınması son derece önemlidir. Elde edilen verilerin detaylı bir şekilde analizi, siber güvenlik stratejilerinin güçlenmesine olanak tanır. Kullanıcılarının ve sistemlerin güvenliğinin artırılması için yapılan her türlü çaba, siber dünyadaki tehditlere karşı daha sağlam bir duruş sergilememize yardımcı olur.