Siber Tehdit İstihbaratında Monitoring

Siber Tehdit İstihbaratında Nedir?

Siber tehdit istihbaratı (CTI), kurum ya da kuruluşların kendi siber güvenlik sistemlerini güvenli hale getirmek için siber tehditler, tehdit aktörleri ve bunlara ait saldırı stratejileri hakkında bilgi toplama, toplanan bilgiyi analiz etme ve bu bilgiyi kullanma sürecidir. Bu süreç kurum ya da kuruluşların potansiyel tehditlerine karşı önlem almalarına yardımcı olur.

Siber Tehdit İstihbaratında Monitoring Nedir?

Siber tehdit istihbaratında monitoring süreci, sistemlerin, ağların ve olası tehditlerin aktif olarak izlendiği kritik bir süreçtir. Bu süreç, çeşitli veri kaynaklarının ( çeşitli uygulamalar, sunucular ve ağ trafiği) sürekli olarak izlenmesiyle, tehditleri erkenden tespit etmeyi, saldırılara karşı hazırlıklı olup erkenden müdahale etmeyi ve yaşanabilecek olumsuzlukları en aza indirmeyi hedefler. Monitoring süreci yaşanabilecek saldırılara karşı oluşturulan siber güvenlik savunmasının ilk aşamasıdır, bu neden bir hayli önemlidir.

Monitoring Türleri

Ağ İzleme (Network Monitoring) : Ağ izleme, bir organizasyonun altyapısındaki cihazları, veri akışını ve genel trafiğini sürekli olarak izleme sürecidir.Bu süreç, ağdaki olağandışı olayları tespit etmeye, izinsiz girişleri önlemeye ve performans sorunlarını çözmeye yarar. Ağ izleme süreci, özellikle büyük altyapılarda, tehditlerin erken tespit edilmesini ve ağın stabil şekilde çalışmaya devam etmesi için sağlamak için kullanılan temel bir izleme yöntemidir.

• Ağ izleme araçları:

  • Wireshark: Wireshark, ağ trafiğini gerçek zamanlı olarak yakalayarak detaylı paket analizi yapar.

  • Tcpdump: Tcpdump, komut satırı aracı olarak hızlı ve verimli bir şekilde ağ trafiğini analiz eder. Hafif ve düşük kaynak kullanımıyla ön plana çıkar.

  • Splunk: Splunk, ağ izleme ve büyük miktarlarda veri barındıran sistemler için güçlü bir log analizi ve izleme platformudur.

Sistem İzleme (System Monitoring): Sistem izleme, sunucuların, işletim sistemlerinin ve veritabanlarının güvenliğini sürekli olarak takip eden bir monitoring türüdür. Bu süreç, kaynakların verimli bir şekilde kullanılmasını sağlamak ve potansiyel sorunları erkenden tespit etmek için gerçekleştirilir.

• Sistem izleme araçları:

  • Nagios: Nagios, sistem izleme alanına en popüler araçlardan biridir. Sunucuların, uygulamaların, hizmetlerin ve ağ cihazlarının durumunu izlemek için güçlü bir araçtır.

  • Zabbix: Zabbix, büyük sistemler ve altyapılar için ücretsiz ve açık kaynaklı bir izleme aracıdır. Sistem durumlarını analiz etmek için kapsamlı özellikler sunar.

Uç Nokta İzleme (Endpoint Monitoring): Uç nokta izleme, bir organizasyonun bilgisayarlar, mobil cihazlar ve IoT cihazları gibi uç noktalarındaki faaliyetlerin izlenmesini içeren bir süreçtir. Bu süreç, uç noktalardan kaynaklanabilecek tehditleri tespit etmek ve bu tehditlere karşı önlem almak için gereklidir. Zararlı yazılım, yetkisiz erişim ve veri ihlali gibi durumlar bu izleme sürecinde belirlenebilir.EDR çözümleri, uç noktaları güvenlik açısından sürekli izler ve gerekli işlemleri yapar.

• Uç nokta izleme araçları:

  • CrowdStrike Falcon: CrowdStrike Falcon, bulut tabanlı bir EDR çözümüdür ve güçlü yapay zeka destekli yetenekleriyle öne çıkar. Gerçek zamanlı tehdit izleme ve otomatik müdahale özellikleri sayesinde, hızlıca çözüm üretir.

  • Microsoft defender for Endpoint: Bu uygulama windows tabanlı ortamlarda yerel bir çözüm sunar ve Microsoft ekosistemindeki diğer ürünlerle mükemmel entegrasyon sağlar. Güçlü tehdit algılama ve olay müdahale yetenekleriyle dikkat çeker.

  • SentinelOne: SentinelOne, otonom bir EDR çözümüdür, tehditlere karşı otomatik müdahale özellikleriyle öne çıkar. Yapay zeka desteğiyle manuel müdahale gerektirmeden tehditleri hızlı bir şekilde durdurur.

Güvenlik İzleme (Security Monitoring): Güvenlik izleme, bir organizasyonun ağından, sistemlerinden ve cihazlarından toplanan verileri analiz etmeye ve oluşabilecek tehditlere karşı proaktif önlem almaya olanak tanır. Bu süreç log analizi, anomali tespiti ve olay müdahalesi gibi aşamaları içerir. SIEM ve SOAR araçları, güvenlik olaylarının tespit edilmesinde ve etkili yanıtlar verilmesinde kritik rol oynar.

• Security monitoring birçok monitoring türünü içerdiği için birçok araç kullanılabilir. Örneğin:

  • Splunk (SIEM): Gelişmiş veri analitiği, log yönetimi ve tehdit tespiti özellikleriyle güçlü bir SIEM platformudur.

  • Cisco Secure IPS: Cisco'nun kurumsal güvenlik odaklı IDS/IPS çözümü.

  • CrowdStrike Falcon (EDR): Gelişmiş tehdit tespiti, önleme ve müdahale yetenekleri sunar. Sistem, cihazlara kurulan hafif bir ajan sayesinde, performans üzerinde minimum etkiyle gerçek zamanlı koruma sağlar.

  • Palo Alto Cortex XSOAR: Güvenlik operasyonlarını merkezi bir platformda birleştirerek olay müdahalesini otomatikleştiren ve güvenlik ekipleri arasındaki iş birliğini kolaylaştıran bir SOAR çözümüdür.

  • Wireshark: Ağ trafiğini izleyerek, ağ üzerinden geçen veri paketlerini yakalayarak bu paketleri detaylı analiz etme imkanı tanır.

Monitoring Sürecinin Aşamaları

1. Veri toplama: Monitoring'in ilk aşamasıdır. Ağ trafiği, sunucu logları, kullanıcı davranışları ve tehdit istihbaratı verileri gibi birçok farklı kaynaktan veri toplanan aşamadır.

2. Veri analizi: İlk aşamada toplanan verileri anlaşılır ve kullanılır hale getirmek için analiz edilen aşamadır. Bu aşamada yapay zeka gibi araçlardan ya da makine öğrenmesi ve korelasyon gibi tekniklerden yararlanarak eldeki verilerden bir analiz raporu çıkartılır.

3. Alerts ( Uyarılar): Oluşturulan analiz raporunun sonucunda bir tehdit ya da şüpheli etklinlik tespit edilirse gerçek zamanlı uyarılar oluşturulur. Şüpheli oturum açma girişimleri, şüpheli ağ trafiği ya da daha önceden kullanılmış bir saldırı tekniği tespit edilirse uyarılır tetiklenir ve SOC ekipleri tarafından hemen değerlendirilir.

4. Olay Müdahelesi: Monitoring sürecinde tespit edilen şüpheli olaylara karşı güvenlik ekiplerini savunma stratejilerini harekete geçrir. Bu aşamada, tehditlerin ne derece kritik olduğu ve nelere sebep olabileceği değerlendirilir, meydana gelen olaya karşı otomatik ya da manuel şekilde müdahale edilir.

5. Olay Sonrası Analiz: Yaşanan olaydan sonra güvenlik analistleri, monitoring araçlarını kullanarak yaşanan saldırının kaynağını, istismar edilen noktaları, saldırını nasıl gerçekleştiğini ve saldırı gerçekleştirilirken kullanılan stratejileri anlamak için incelemelerde bulunur. İncelemeler sonucunda ortaya çıkarılan analiz raporu gelecekteki saldırılara karşı alınacak savunma önlemlerine katkıda bulunur.

6. Düzenleme ve İyileştirme: En son aşamada monitoring sürecinden elde edilen veriler, olay sonrası analiz raporları gibi istihbarat verileri tekrardan yaşanabilecek saldırılara karşı kurum ya da kuruluşların güvenlik politikalarını güncellemesine ve güçlendirmesine yardımcı olur.

Monitoring Teknikleri ve Araçları

1. Threat Intelligence Platformları: Global saldırı tekniklerini, tehdit istihbarat verilerini ve tehdit aktör faaliyetlerini izler.

2. SIEM (Security Information and Event Management) Sistemleri: Ağlardan, sunuculardan ve uç noktalardan veri toplayıp analiz eder.

3. EDR (Endpoint Detection and Response): Uç nokta denilen mobil cihazlar ve bilgisayarlar üzerinde gerçekleşen tehditleri izler, müdahale eder.

4. IDS/IPS (Intrusion Detection/Prevention Systems): Ağ trafiğini takip eder ve ağ üzerinde gerçekleşen izinsiz gireşlere müdahale eder.

5. SOAR (Security Orchestration, Automation and Response): Güvenlik araçlarını otomatize eder ve gerçekleşen güvenlik olaylarına hızlı yanıt vermeyi sağlar.

Siber Tehdit İstihbaratında Monitoring'in Önemi

Monitoring süreci sayesinde tüm sistemler üzerinde kontrol sağlanır ve tehdit aktörleri sürek olarak izlenir, bu süreklilik sayesinde saldırılara karşı erken teşhis konularak önlem alması sağlanır. Bu sayede monitoring, kurum veya kuruluşların sistemlerini güvende tutmasına ve gelişmiş tehditlere karşı savunma stratejisi geliştirmesine yardımcı olduğu için büyük önem taşır.

• Sürekli İzleme ile Tehditlerin Erken Tespiti

  • Monitoring, ağlar, sistemler ve uygulamalar üzerindeki trafiği ve aktiviteleri sürekli olarak izler. Bu sayede şüpheli hareketler ve potansiyel tehditler erkenden fark edilir, olası saldırılar gerçekleşmeden önlem alınabilir.

• Tehditleri Anlama

  • Monitoring sayesinde belirli tehdit aktörlerinin faaliyetleri takip edilebilir.

  • Bu bilgiler, saldırganların taktik, teknik ve prosedürlerini (TTP’ler) anlamada önemli bir avantaj sağlar.

• Reaksiyon Süresini Azaltma

  • Gerçek zamanlı uyarılar, güvenlik ekiplerinin hızlıca harekete geçmesine olanak tanır. Bu sayede tehditlere karşı daha erken müdahale edilerek hasar ve veri kaybı en aza indirilebilir.

• Sistem Sürekliliğinin Sağlanması

  • Monitoring sayesinde sistemlerin ve ağların güvenliği devamlı olarak izlenir, bu da kuruluşların iş sürekliliğin sağlamasına yardımcı olur.

  • Kritik sistemlerin kesintisiz çalışması, operasyonel riskleri azaltır.

• Savunma Stratejileri Geliştirme

  • Monitoring süreçleri, tehdit istihbaratı verilerini analiz ederek saldırganların atak yöntemlerini anlamayı kolaylaştırır. Bu bilgiler, gelecekteki saldırılara karşı daha etkili savunma stratejileri oluşturmak için kullanılır.S

• Kapsamlı Olay Analizi

  • Monitoring sonrası yapılan analizler, saldırın detaylı şekilde incelenmesini sağlar. Bu detaylı inceleme, güvenlik sistemlerinin ve politikalarının devamlı olarak geliştirilmesine imkan tanır.

• Maliyetleri Azaltma

  • Monitoring, saldırılara karşı önlem alınmasına ve erken müdahale edilmesine, yaşanabilecek kayıpların ve onarım maliyetlerinin en aza indirilmesine yardımcı olur.