Tehdit Avcılığı Nedir ?
Tehdit avcılığı, güvenlik savunmalarını aşmış kötü niyetli saldırganları bulmak için derinlemesine araştırma yapar. Tehdit avcılığı, güvenlik uzmanlarının ağlara gizlice sızan siber tehditleri aktif olarak arayıp sistemden atmaları uzak tutmalarıdır. Tehdit avcılığı, ağdaki tehditleri ve güvenlik açıklarını keşfetmek için yapılır. Ayrıca Tehdit avcılığı, savunma stratejisinin önemli bir bileşenidir.
Saldırganlar sisteme girdikten sonra, gizlice veri topladığından, önemli verileri aradığından veya kimlik bilgilerini elde etmeye çalıştıkları için gizlice bir sistemde aylarca kalabilir. Tehdit avcılığı saldırıyı beklemek yerine, saldırıdan önce sistemleri kontrol etmektir.
Tehdit avcılığında başarılı olmak için, analiz yapan kişilerin kullandıkları araçları dikkatli seçmeli ve tehlikeli tehditleri bulmayı bilmelidirler. Ayrıca, günlükler, **** veriler ve paket yakalama (PCAP) verilerinden oluşan büyük hacimli verilerde gezinmek için farklı kötü amaçlı yazılım türleri, istismarlar ve ağ protokolleri hakkında geniş bilgi gerektirirler.
TEMEL TEHDİT AVCILIĞI ÖZELLİKLERİ
Tehdit avcılığı sadece kuruluş veya şirketler için değildir. Lakin bir kuruluş aşağıdaki temel özelliklere öncelik vererek tehdit avcılığını en iyi şekilde yapabilir.
Proaktif Olmak:
Kullanılan güvenlik araçlarından açık ve uyarıları beklemek yerine, herhangi bir uyarı gönderilmeden önce olası saldırganları proaktif olarak tespit etmeyi gerektirir.
İçgüdüye güvenmek:
Tehdit avcılığında uzman kişiler kullandıkları araçların yaptığı tespitlerden kesin uyarılara bazen kulak asmazlar. Araçların yerine ipucu arar, araştırma yapar ve kendi içgüdülerine kulak verirler.
İzleri Takip Etme:
Tehdit avcılığında saldırganlar her sistemde olduğu gibi geriye bir çok iz bırakır. Tehdit avcılığının en önemli özelliklerinden biri ise geride bırakılan izlerin takip edilmesidir. Bu ipuçları tehdit avcılarının eline bir çok bilgi sunabilir.
Yaratıcılık:
Tehdit avcılığı, sadece yapılan sistemlere veya kurallara uymak değildir.
Zeki ve yetenekli olan saldırganlardan bir adım önde olabilmek için yaratıcılık ve ilgi metodolojisini benimsemeyi gerektirir.
TEHDİT AVCILIĞI TEKNİKLERİ
Siber tehdit avcıları, saldırganların sistemde olduğu varsayımı ile çalışır. Sistemleri dikkatlice analiz ederler, kötü niyetli faaliyetlerin varlığını gösterebilecek olağandışı davranışları bulmak için davranış analizi ve hipotez odaklı bir yaklaşım kullanırlar.
Siber tehdit avcıları, saldırganları izlemek ve şüpheli etkinlikleri tespit etmek için çok sayıda yazılım ve araçla çalışır. Siber tehdit avcıları tarafından kullanılan en yaygın araç ve çözümlerden bazıları şunlardır;
Güvenlik İzleme Araçları
Siber tehdit avcıları, güvenlik duvarları, antivirüs yazılımı, ağ güvenliği izleme, veri kaybı önleme, ağa izinsiz giriş algılama, içeriden tehdit algılama ve diğer güvenlik araçları gibi her türlü güvenlik izleme çözümüyle çalışır. Ağı organizasyon düzeyinde izlemenin yanı sıra, uç nokta verilerini de incelerler. Çalışmaları yeterli miktarda güvenlik verisi gerektirdiğinden, olay günlüklerini olabildiğince çok yerden toplarlar.
SIEM Çözümleri
Güvenlik Bilgileri ve Olay Yönetimi (SIEM) çözümleri, ortamdaki verileri toplar ve ağ içinden güvenlik uyarılarının gerçek zamanlı analizini sağlar. Temel olarak, ham güvenlik verilerini anlamlı analize dönüştürürler. SIEM araçları, yalnızca tehdit avcılarının birlikte çalıştığı büyük miktardaki veri günlüğünü yönetmeye yardımcı olmakla kalmaz, aynı zamanda gizli güvenlik tehditlerini ortaya çıkarabilecek korelasyonları bulmayı da mümkün kılar.
Analiz Araçları
Siber tehdit avcıları iki tür analiz aracıyla çalışır: İstatistiksel ve İstihbarat analiz yazılımı. SAS programları gibi istatistiksel analiz araçları, verilerdeki garip davranışları ve yanlış giden hataları bulmak için matematiksel kalıplar kullanır. İstihbarat analizi yazılımı, ilişkisel verileri görselleştirir ve güvenlik uzmanlarına etkileşimli grafikler, çizelgeler ve diğer veri çizimleri sağlar. Ortamdaki farklı varlıklar ve özellikler arasındaki gizli bağlantıları ve korelasyonları keşfetmeyi mümkün kılarlar.