Bu görevde, savunma güvenliği ile ilgili iki ana konuyu ele alacağız:
-
Güvenlik Operasyon Merkezi (SOC): Bu bölümde Tehdit İstihbaratı konusuna odaklanacağız.
-
Dijital Adli Tıp ve Olay Yanıtı (DFIR): Bu bölümde ise Kötü Amaçlı Yazılım Analizi konusunu da kapsayacağız
1- Güvenlik Operasyon Merkezi (SOC)
Güvenlik Operasyon Merkezi (SOC), ağ ve sistemleri kötü niyetli siber güvenlik olaylarını tespit etmek için izleyen bir siber güvenlik profesyonelleri ekibidir. SOC için bazı ana ilgi alanları şunlardır:
Zafiyetler: Bir sistem zafiyeti (zayıflık) keşfedildiğinde, bunun uygun bir güncelleme veya yamanın yüklenmesiyle düzeltilmesi önemlidir. Eğer bir düzeltme mevcut değilse, saldırganın bunu kötüye kullanmasını engellemek için gerekli önlemler alınmalıdır. Zafiyetleri gidermek SOC için çok önemli olsa da, bu her zaman onlara ait bir görev değildir.
Politika ihlalleri: Bir güvenlik politikası, ağı ve sistemleri korumak için gereken bir dizi kuraldır. Örneğin, kullanıcıların gizli şirket verilerini çevrimiçi bir depolama hizmetine yüklemesi bir politika ihlali olabilir.
Yetkisiz faaliyet: Bir kullanıcının giriş adı ve parolasının çalındığını ve saldırganın bunları kullanarak ağa giriş yaptığını düşünün. SOC, bu tür bir olayı mümkün olan en kısa sürede tespit etmeli ve daha fazla zarar verilmeden engellemelidir.
Ağ ihlalleri: Ne kadar iyi bir güvenliğiniz olursa olsun, her zaman bir ihlalin gerçekleşme ihtimali vardır. Bir kullanıcı kötü niyetli bir bağlantıya tıkladığında veya bir saldırgan bir halka açık sunucuyu kötüye kullandığında bir ihlal gerçekleşebilir. Her durumda, bir ihlal meydana geldiğinde, daha fazla zarar verilmeden hemen tespit edilmesi gerekir.
Güvenlik operasyonları, korumayı sağlamak için çeşitli görevleri kapsar; bu görevlerden biri de tehdit istihbaratıdır.
Tehdit İstihbaratı
Bu bağlamda, istihbarat, mevcut ve potansiyel düşmanlar hakkında topladığınız bilgiyi ifade eder. Bir tehdit, bir sistemi bozabilecek veya olumsuz bir şekilde etkileyebilecek herhangi bir eylemdir. Tehdit istihbaratı, şirketin potansiyel düşmanlara karşı daha iyi hazırlıklı olmasına yardımcı olmak için bilgi toplar. Amaç, tehditlere dayalı bir savunma elde etmektir. Farklı şirketlerin farklı düşmanları vardır. Bazı düşmanlar, bir mobil operatörden müşteri verilerini çalmayı hedefleyebilir; diğer düşmanlar ise bir petrol rafinerisinde üretimi durdurmayı isteyebilir. Örnek düşmanlar arasında, siyasi amaçlarla çalışan bir devletin siber ordusu veya finansal amaçlarla hareket eden bir fidye yazılımı grubu yer alabilir. Şirket (hedef) temel alınarak, hangi tür düşmanların beklendiği hakkında çıkarımlar yapılabilir.
***
Dijital Adli Tıp ve Olay Yanıtı (DFIR)
Bu bölüm, Dijital Adli Tıp ve Olay Yanıtı (DFIR) ile ilgili olup aşağıdaki konuları kapsayacağız:
-
Dijital Adli Tıp
-
Olay Yanıtı
-
Kötü Amaçlı Yazılım Analizi
Dijital Adli Tıp
Adli tıp, suçları araştırmak ve gerçekleri ortaya koymak için bilimin uygulanmasıdır. Bilgisayarlar ve akıllı telefonlar gibi dijital sistemlerin kullanımı ve yayılmasının artmasıyla, bu tür suçları araştırmak için yeni bir adli tıp dalı doğmuştur: bilgisayar adli tıbbı, ki bu da zamanla dijital adli tıp olarak evrilmiştir.
Savunma güvenliğinde dijital adli tıbbın odak noktası, bir saldırının ve saldırganlarının kanıtlarını analiz etmeye ve fikri mülkiyet hırsızlığı, siber casusluk ve yetkisiz içerik bulundurma gibi diğer alanları incelemeye kayar. Bu nedenle, dijital adli tıp şu farklı alanlara odaklanacaktır:
-
Dosya Sistemi: Bir sistemin depolama alanının dijital adli tıp görüntüsünün (düşük seviyeli kopya) analizi, yüklenmiş programlar, oluşturulmuş dosyalar, kısmen üzerine yazılmış dosyalar ve silinmiş dosyalar gibi birçok bilgi ortaya çıkarır.
-
Sistem Belleği: Eğer saldırgan, kötü amaçlı programını bellekte çalıştırır ve diske kaydetmezse, sistem belleğinin bir adli tıp görüntüsünü almak, içeriğini analiz etmenin ve saldırıyı öğrenmenin en iyi yoludur.
-
Sistem Günlükleri: Her istemci ve sunucu bilgisayarı, sistemde neler olduğunu belirten farklı günlük dosyaları tutar. Günlük dosyaları, bir sistemde ne olduğunu gösteren çok fazla bilgi sağlar. Saldırgan, izlerini silmeye çalışsa da, bazı izler kalacaktır.
-
Ağ Günlükleri: Bir ağdan geçen ağ paketlerinin günlükleri, bir saldırının gerçekleşip gerçekleşmediğini ve ne içerdiğini anlamaya yardımcı olabilir.
Olay Yanıtı
Bir olay genellikle bir veri ihlali veya siber saldırı anlamına gelir; ancak bazı durumlarda, daha az kritik bir şey olabilir, örneğin bir yanlış yapılandırma, bir girişim veya bir politika ihlali. Bir siber saldırıya örnekler, saldırganın ağımızı veya sistemlerimizi erişilemez hale getirmesi, kamuya açık web sitesini değiştirmesi veya veri ihlali (şirket verilerini çalması) olabilir. Bir siber saldırıya nasıl yanıt verirsiniz? Olay yanıtı, böyle bir durumda izlenmesi gereken metodolojiyi belirtir. Amaç, hasarı azaltmak ve en kısa sürede kurtarma yapmaktır. İdeal olarak, olay yanıtı için hazır bir plan geliştirilmelidir.
Olay yanıtı sürecinin dört ana aşaması şunlardır:
-
Hazırlık: Bu aşama, olayları ele alabilecek şekilde eğitilmiş ve hazır bir ekibin olmasını gerektirir. İdeal olarak, olayların ilk başta meydana gelmesini önlemek için çeşitli önlemler alınır.
-
Tespit ve Analiz: Ekip, herhangi bir olayı tespit edebilmek için gerekli kaynaklara sahip olmalıdır; ayrıca, tespit edilen herhangi bir olayın daha da analiz edilmesi, olayın ciddiyetini anlamak için gereklidir.
-
Sınırlama, Ortadan Kaldırma ve Kurtarma: Bir olay tespit edildikten sonra, bunun diğer sistemleri etkilemesini durdurmak, ortadan kaldırmak ve etkilenen sistemleri kurtarmak kritik önem taşır. Örneğin, bir sistemin bir bilgisayar virüsü ile enfekte olduğunu fark ettiğimizde, virüsün diğer sistemlere yayılmasını durdurmak (sınırlamak), virüsü temizlemek (ortadan kaldırmak) ve sistemi düzgün bir şekilde kurtarmak isteriz.
-
Olay Sonrası Aktivite: Başarılı bir kurtarma sonrası, bir rapor hazırlanır ve benzer gelecekteki olayları önlemek için alınan dersler paylaşılır.
Kötü Amaçlı Yazılım Analizi
Kötü amaçlı yazılım (malware), zararlı yazılımlar için kullanılan bir terimdir. Yazılım, diske kaydedebileceğiniz veya ağ üzerinden gönderebileceğiniz programlar, belgeler ve dosyalar anlamına gelir. Kötü amaçlı yazılım, aşağıdaki gibi birçok türü içerir:
-
Virüs: Bir programın parçası olan bir kod parçasıdır ve kendini bir programa ekler. Bir bilgisayara bulaştığında, başka bilgisayarlara yayılmak için tasarlanmıştır ve bulaştıktan sonra dosyaları değiştirebilir, üzerine yazabilir ve silebilir. Sonuçlar, bilgisayarın yavaşlamasından kullanılamaz hale gelmesine kadar değişebilir.
-
Truva Atı (Trojan Horse): Bir program, bir işlevi istenen şekilde gösterirken, altında zararlı bir işlev gizler. Örneğin, bir mağdur, şüpheli bir web sitesinden video oynatıcıyı indirirse, saldırganın sistemi üzerinde tam kontrol elde etmesine olanak tanıyabilir.
-
Fidye Yazılımı (Ransomware): Kullanıcının dosyalarını şifreleyen zararlı bir programdır. Şifreleme, dosyaların şifreleme parolasını bilmeden okunamaz hale gelmesini sağlar. Saldırgan, kullanıcının "fidye" ödemesi karşılığında şifreleme parolasını sunar.
Kötü Amaçlı Yazılım Analizi
Kötü amaçlı yazılımları anlamak için çeşitli yöntemler kullanılır:
-
Statik analiz: Kötü amaçlı yazılımı çalıştırmadan inceleyerek analiz yapar. Bu genellikle işlemci talimat seti (yani bilgisayarın temel talimatları) gibi derin bir assembly dili bilgisi gerektirir. Statik analiz, yazılımın iç yapısını ve potansiyel zayıflıklarını ortaya çıkarmayı amaçlar.
-
Dinamik analiz: Kötü amaçlı yazılımı kontrollü bir ortamda çalıştırarak ve faaliyetlerini izleyerek analiz yapar. Bu, kötü amaçlı yazılımın çalışırken nasıl davrandığını gözlemlemenizi sağlar. Dinamik analiz, yazılımın nasıl yayılacağını, hangi sistem kaynaklarını kullandığını ve ne tür değişiklikler yaptığı gibi davranışsal verileri toplar.