Sisteminiz saldırıya uğramış olabilir: İşte belirtileri

Güvenlik uzmanları her an olası güvenlik açıklarının peşindedir ve ağlarını korumanın yollarını ararlar. İlk kez, gelişmiş kalıcı tehditleri tespit etmeye çalışan devletler ve savunma yüklenicileri tarafından kullanılan “risk göstergesi” (IOC; indicator of compromise) terimi, artık tüm bilgi güvenliği uzmanlarının aşina olduğu bir terim haline geldi.

Araştırmacılar risk göstergesi verilerini genellikle, olası bir ihlalle ilgili bilgi aldıktan ya da rutin, planlanmış bir tarama sırasında şüpheli bir olay bulduktan sonra toplarlar. Yakın zamanda yayınlanan bir IBM X-Force raporunda, bir hacker ciddi hasarlar vermeden önce fark etmek amacıyla, başlıca risk göstergeleri incelenmiştir.

IBM Siber Güvenlik İş Birimi Ülke Lideri Engin Özbay, ağınızın bir saldırgan tarafından ihlal edildiğine işaret eden başlıca risk göstergelerinden birkaçını ele alacak ve sisteminizdeki olağandışı durumları saptamak için bunlardan nasıl yararlanabileceğinizi anlatıyor.

Giden ağ trafiğindeki olağandışı durumlar

Hacker’ları ağınızdan uzak tutmak zor olsa da giden ağ trafiği kalıpları kolayca saptanabilir ve bunlar kötü niyetli bir faaliyetin işareti olabilir. Bu trafiği izleyerek veri kaybı ya da büyük bir hasar oluşmadan duruma hızla müdahale edebilirsiniz.

Ayrıcalıklı kullanıcı hesabı etkinliğindeki olağandışı durumlar

Saldırganlar genellikle eriştikleri bir kullanıcı hesabının ayrıcalıklarını kullanmaya çalışırlar. Ayrıcalıklı hesaplarda olağandışı faaliyetlerin izlenmesi, hem içeriden olası saldırılara ilişkin bir pencere açar, hem de yetkisiz kaynakların ele geçirdiği hesapları ortaya çıkarabilir. Erişilen sistemleri dikkatle inceleyin, erişilen verilerin türü ve hacmi, erişim faaliyetinin zamanı, olası bir ihlalin erken uyarısı olabilir.

Aynı dosya için çok sayıda istek

Bir hacker istediği dosyayı (müşteri ya da çalışan bilgileri, kredi kartı ayrıntıları gibi) bulduğunda, bu dosyayı almaya odaklanan birçok saldırı yapmayı deneyecektir. Belirli bir dosya için çok sayıda istek oluştuğunda dikkatli olun.

Coğrafi konumla ilgili olağandışı durumlar

Çok net gibi gelebilir, ancak çalışanların oturum açtıkları yerlerin izlenmesi önemlidir. Kuruluşunuzun ilgisi olmayan yerlerden oturum açıldığını saptarsanız, bu durumu araştırabilirsiniz. Çünkü bu, risk altında olduğunuz anlamına gelebilir.

Veri tabanından çekilen veriler

Hassas verilerin bulunduğu yerleri öğrenmek ve şüpheli faaliyeti, yetkisiz kullanımı ve olağandışı hesap faaliyetini saptamak için veri tabanlarınızı dikkatle izleyin ve kontrol edin. Veri tabanlarından çekilen büyük hacimlerdeki verileri yakından takip edin, bunlar hassas bilgilerin ele geçirilmeye çalışıldığının açık bir göstergesi olabilir.

Beklenmeyen sistem yamaları

Kritik sistemlerinizden birine sizin müdahaleniz dışında bir yama uygulanmışsa, bu bir risk göstergesi olabilir. Bir hacker’ın herhangi bir güvenlik açığını onarması kulağa tuhaf gelebilir, ancak bu durum verilerin onlar için ne kadar değerli olduğunu ve diğer suçluları bu verilerden uzak tutmak istediklerini gösterir. Hacker’lar sisteme girdiklerinde, sisteme erişmek için kullandıkları güvenlik açığına bir yama eklemeye çalışırlar ve böylece diğer hacker’ların aynı güvenlik açığından yararlanmalarını önlemek isterler. Planlanmamış bir yama görülürse, olası bir saldırı anlamına gelebileceğinden bu durumu araştırmanız önerilir.

Risk göstergelerini arama

Yukarıda dikkat etmeniz gereken risk göstergelerinden yalnızca birkaçına yer verdik. Peki bu göstergeleri gerçek anlamda aramak için neler yapılmalı? Belgeleme, Arama, İnceleme, Düzeltme ve Yineleme adımlarından oluşan ayrıntılı bir savunma döngüsünün uygulanması temel kuraldır.

Saldırı araçlarının ve yöntemlerinin belgelenmesi

Olağan davranışları anlamak için ağ trafiğinizdeki kalıpların profilini çıkarın. Özellikle DNS ve HTTPS gibi, saldırganların kullandığı, önemli protokollere odaklanın. Günlük dosyası girişlerini toplayın ve inceleyin; şüpheli faaliyeti saptamak için bu veri kalıplarını otomatikleştirmeye ve görselleştirmeye yardımcı olabilecek günlük yönetimi ve SIEM sistemleri gibi araçlardan yararlanın. Olası olayların araştırılmasına ve eyleme geçme sürecinin hızlandırılmasına yardımcı olması için, raporlanan risk göstergelerinin paylaşıldığı IBM X-Force Exchange gibi risk göstergesi veri akışlarına abone olun.

Şüpheli faaliyetleri aramak için istihbaratın kullanılması

Birinci adımda belgelendirdiğiniz verilerden yararlanarak, güvenlik sistemlerinizi şüpheli faaliyetleri izleyecek ve arayacak şekilde yapılandırabilirsiniz. Savunmalarınız, şüpheli bir BT adresinden ya da coğrafi konumdan bir faaliyet saptanması, bir saldırganın bilinen araçları kullanmaya veya bilinen bir güvenlik açığını kötüye kullanmaya çalışması durumunda faaliyetleri engelleyecek veya uyarılar verecek şekilde yapılandırılabilir. Yerel olarak oluşturulan yeni kullanıcı adlarına da dikkat etmelisiniz.

Güvenlik olaylarının incelenmesi ve risk düzeylerinin değerlendirilmesi

Bir güvenlik olayı meydana gelirse, bir sonraki mantıklı adım etkilenen uygulama ve sistem sayısının araştırılması ve değerlendirilmesi olmalıdır. Öncelikle ihlalin büyüklüğünü ve saldırganın sistemin ne derece içine girdiğini anlamak için sistem IP adresi, DNS, kullanıcı ve zaman damgalarını inceleyerek işe başlayın. Daha sonra başka olaylar olup olmadığını saptamak için bir zaman çizelgesi oluşturun. Zaman damgası olan tüm dosyaları (günlükler, dosyalar, kayıt defteri), e-posta yazışmaları ve iletilerin içeriğini, sistemde oturum açma/kapatma olayları hakkındaki bilgileri, bazı İnternet belgelerine veya sitelerine erişim göstergelerini, sohbet odalarında veya diğer iş birliği araçlarında bilinen kişilerle yapılan sohbetin içeriğini inceleyin. Belgelerde hasar belirtileri olup olmadığına bakın ve çalışılan dizinlerde belirli kalıpların görülmesi veya belirli anasistemlerin ve hesapların kullanılması da dahil olmak üzere olayla ilgili risk göstergelerini arayın.

Saptama, düzeltme ve yineleme

Risk altındaki tüm anasistemleri, kullanıcı hesaplarını, sızma noktalarını ve diğer erişim noktalarını belirleyin. Daha sonra parolaları sıfırlayın, sızma noktalarını kaldırın, erişim için kullanılan güvenlik açığı olan sistemlere yama uygulayın, olaya müdahale ekibinizi etkinleştirin ve saldırganın geri dönmesi durumunda uyarı verecek tetikleyici noktalar oluşturun. Bu adımdan sonra iyileştirme taktiklerinin başarılı olmasını sağlamak için risk göstergelerinin aranmaya devam edilmesi ve gerektiğinde sürecin yinelenmesi önemlidir.

Bu modeli hayata geçirerek, saldırganların güvenlik savunmalarını tehlikeye sokarken arkalarında bıraktıkları izleri takip edebilir; böylece kısa sürede ve verimli bir biçimde güvenlik olaylarına müdahale edebilirsiniz.