Tehdit Avcılığı 2023 Nedir? [Tam Kılavuz]

Yayınlanan: 2023-03-22

Siber tehdit avı, tehdit avcılarının bir şirketin ağında gizlenmiş olabilecek güvenlik tehlikelerini aradığı proaktif bir internet güvenliği yöntemidir .

Siber avcılık, otomatik tehdit algılama sistemleri gibi daha pasif siber güvenlik avı tekniklerinin aksine, ağınızın otomatik savunma mekanizmalarından kaçmış olabilecek önceden tespit edilmemiş, tanımlanmamış veya düzeltilmemiş tehditleri aktif olarak arar.

İçindekiler

Tehdit Avı Nedir?

Bir ağda fark edilmeden dolaşan siber tehditleri aktif olarak arama eylemi, tehdit avcılığı olarak bilinir. Siber tehdit avcılığı, ilk uç nokta güvenlik önlemlerinizi aşan kötü niyetli aktörler için ortamınızı tarar.

Bazı tehlikeler daha karmaşık ve gelişmişken, çoğunluğu güvenlik sistemlerini aşamaz. Saldırganlar, daha fazla veri toplamak için ağ üzerinden yavaşça ilerlerken haftalarca sistemde ve dosyalarda tespit edilmeden kalabilir.

Bu işlem sırasında haftalar hatta aylar geçebilir. Aktif olarak avlanmadan güvenlik araçlarından ve personelden kolaylıkla tespitten kaçabilir.

Threat Hunting

Tehdit Avcılığı Neden Önemli?

Karmaşık tehditler otomatikleştirilmiş siber güvenlikten kaçabileceğinden, tehdit avı çok önemlidir.

Otomatikleştirilmiş güvenlik araçları ve 1. ve 2. kademe güvenlik operasyon merkezi (SOC) analistleri bunların yaklaşık %80'ini halledebilecek olsa bile, tehditlerin kalan %20'si hakkında endişelenmeniz gerekir.

Kalan %20'deki tehditlerin karmaşık olma ve büyük zarar verme olasılığı daha yüksektir.

Saldırgan bir ağa gizlice girebilir ve sessizce bilgi toplarken, hassas belgeleri ararken veya ortamda dolaşmasına izin verecek oturum açma kimlik bilgilerini alırken aylarca orada kalabilir.

Çoğu işletme, bir düşman tespitten kaçmayı başardığında ve bir saldırı bir kuruluşun savunmasını ihlal ettiğinde, gelişmiş kalıcı tehditlerin ağda kalmasını önlemek için gereken gelişmiş tespit becerilerinden yoksundur.

Bu nedenle tehdit avı, herhangi bir savunma stratejisinin çok önemli bir unsurudur.

Tehdit Avcılığı Türleri

IBM'in resmi web sitesi, üç ana tehdit avcılığı türünü oldukça uygun bir şekilde açıkladı. Bloglarına göre, tehdit avcılığı aşağıdaki türlerdendir:

1. Yapılandırılmış avcılık

Saldırı göstergesi (IoA) ve saldırganın taktikleri, yöntemleri ve prosedürleri (TTP'ler), sistematik bir avın temelini oluşturur.

Her av planlanır ve tehdit aktörlerinin TTP'lerine dayanır. Bu nedenle, avcı, saldırgan çevreyi bozma şansı bulamadan sıklıkla bir tehdit aktörünü tanır.

2. Yapılandırılmamış avlanma

Birçok uzlaşma göstergesinden (IoC) biri olan bir tetikleyiciye dayalı olarak ad hoc av başlatılır. Bu tetikleyici tipik olarak bir avcıyı tespit öncesi ve sonrası kalıpları aramaya teşvik etmek için kullanılır.

Avcı, verilerin saklanması ve önceden bağlantılı suçların izin verdiği ölçüde, planlarını oluşturmak için bir çalışma yürütebilir.

3. Durumsal veya varlığa dayalı

Durumsal bir hipotez, bir kuruluşun dahili risk değerlendirmesiyle veya BT altyapısına özgü eğilimlerin ve zayıflıkların araştırılmasıyla üretilebilir.

Genel halktan toplanan ve gözden geçirildiğinde devam eden siber tehditlerin en son TTP'lerini gösteren saldırı verileri, kurum odaklı potansiyel müşterilerin oluşturulduğu yerdir. Tehdit avcısı daha sonra bu özel davranışlar için çevreyi tarayabilir.

Tehdit Avcılığı Nasıl Çalışır?

Bir yazılım çözümünün insan yönü ve devasa veri işleme kapasitesi, siber tehditleri etkili bir şekilde avlamak için birleştirilir.

İnsan tehdidi avcıları, tehditleri proaktif olarak keşfetmelerine ve ortadan kaldırmalarına yardımcı olmak için gelişmiş güvenlik izleme ve analiz araçlarından gelen verilere güvenir.

Amaçları, karada yaşamak gibi stratejiler kullanarak normal savunmalardan kaçabilecek düşmanları bulmak için çözümler ve istihbarat/veriler kullanmaktır.

Sezgi, etik ve stratejik düşünme ve yaratıcı problem çözme, siber avlanma sürecinin temel bileşenleridir.

Kuruluşlar, yalnızca otomatik tehdit algılama sistemlerine güvenmek yerine, " Siber Tehdit Avcılarının " ortaya koyduğu bu insani özellikleri kullanarak tehditleri daha hızlı ve daha kesin bir şekilde çözebilmektedir.

Siber Tehdit Avcıları

Siber Tehdit Avcıları Kimlerdir?

Siber Tehdit Avcıları, iş güvenliğine insani bir dokunuş katarak otomatikleştirilmiş önlemleri geliştirir. Tehditleri ciddi sorunlara dönüşme şansı olmadan önce tanımlayan, kaydeden, gözetleyen ve ortadan kaldıran yetenekli BT güvenlik uzmanlarıdır.

Bazen harici analistler olsalar da ideal olarak şirketin BT departmanının işleyişi hakkında bilgi sahibi olan güvenlik analistleridir.

Tehdit Avcıları güvenlik bilgilerini araştırır. Gizli kötü amaçlı yazılım veya saldırganların yanı sıra, bir bilgisayarın gözden kaçırmış olabileceği veya ele alındığını düşündüğü ancak ele alınmadığı şüpheli davranış kalıplarını ararlar.

Ayrıca, aynı türden izinsiz girişlerin gelecekte meydana gelmesini önlemek için bir işletmenin güvenlik sistemine yama uygulanmasına da yardımcı olurlar.

Tehdit Avcılığı Nedir?

Tehdit Avcılığı İçin Ön Koşullar

Tehdit avcıları, siber tehdit avının etkili olabilmesi için anormallikleri daha iyi tespit edebilmek için önce beklenen veya onaylanmış olaylardan oluşan bir temel oluşturmalıdır.

Tehdit avcıları daha sonra bu temeli ve en son tehdit istihbaratını kullanarak tehdit algılama teknolojileri tarafından toplanan güvenlik verilerini ve bilgilerini gözden geçirebilir.

Bu teknolojiler , yönetilen algılama ve yanıt (MDR) , güvenlik analitiği araçları veya güvenlik bilgileri ve olay yönetimi (SIEM) çözümlerini içerebilir.

Tehdit avcıları, uç nokta, ağ ve bulut verileri dahil olmak üzere çeşitli kaynaklardan gelen verilerle donatıldıktan sonra sistemlerinizde potansiyel tehlikeler, gölgeli faaliyetler veya normdan sapan tetikleyiciler için arama yapabilir.

Tehdit avcıları, bir tehdit bulunursa veya bilinen tehdit istihbaratı yeni olası tehditlere işaret ederse hipotezler oluşturabilir ve kapsamlı ağ araştırmaları yürütebilir.

Tehdit avcıları, bir tehdidin zararlı mı yoksa zararsız mı olduğunu veya ağın ortaya çıkan siber tehditlere karşı uygun şekilde korunup korunmadığını belirlemek için bu araştırmalar sırasında bilgi arar.

Tehdit Avcılığı Metodolojileri

Tehdit avcıları, düşmanların sistemde zaten mevcut olduğunu varsayarak araştırmalarına başlarlar ve düşmanca faaliyetlerin varlığına işaret edebilecek tuhaf davranışlar ararlar.

Bir soruşturmanın bu başlangıcı genellikle proaktif tehdit avcılığında üç kategoriden birine girer.

Bir kuruluşun sistemlerini ve bilgilerini proaktif bir şekilde savunmak amacıyla, üç stratejinin tümü, tehdit istihbaratı kaynaklarını en son güvenlik teknolojisiyle birleştiren insan kaynaklı bir çabayı içerir.

1. Hipoteze dayalı soruşturma

Kitle kaynaklı saldırı verilerinden oluşan geniş bir veritabanı aracılığıyla keşfedilen yeni bir tehlike, saldırganlar (TTP) tarafından kullanılan en son stratejiler, teknikler ve prosedürler hakkında bilgi sağlayan hipotez odaklı araştırmaları sıklıkla tetikler.

Tehdit avcıları, yeni bir TTP algılandığında saldırganın benzersiz eylemlerinin kendi ortamlarında bulunup bulunmadığını kontrol edecek.

2. Tanımlanan Saldırı Göstergelerine veya Uzlaşma Göstergelerine Dayalı Bir Soruşturma

Taktik tehdit istihbaratını kullanan bu tehdit avı yöntemi, bilinen IOC'leri ve yeni tehditlerle bağlantılı IOA'ları listeler. Tehdit avcıları daha sonra olası gizli saldırıları veya devam eden zararlı faaliyetleri bulmak için bunları tetikleyici olarak kullanabilir.

3. Gelişmiş analitik ve makine öğrenimi araştırmaları

Üçüncü yöntem, olası düşmanca faaliyetlere işaret edebilecek anormallikleri aramak için makine öğrenimini ve gelişmiş veri analizini kullanarak çok büyük miktarda veriyi araştırır.

Bu anormallikler, gizli tehlikeleri bulmak için bilgili analistler tarafından incelenen av ipuçları haline gelir.

Proxy İle Tehdit Avcılığı

Tehdit avcıları, web proxy kayıtlarında çok sayıda bilgi bulabilir. Bu proxy'ler, istekleri alan sunucu veya aygıt ile isteği gönderen aygıt arasında kanal görevi görür.

Olağandışı veya şüpheli davranışları tespit etmek için web proxy'leri tarafından oluşturulan ortak bir veri kümesi kullanılabilir.

Örneğin, bir kuruluştaki bir tehdit avcısı, web proxy günlüklerinde yer alan tehlike bilgilerini analiz edebilir ve cURL ve SharePoint siteleri gibi kullanıcı aracılarıyla şüpheli etkinlik keşfedebilir.

Soruna dikkat çekerler ve isteklerin meşru olduğunu ve DevOps ekiplerinden kaynaklandığını keşfederler.

Tehdit avcıları, bu günlükleri incelemek ve karışımdaki kötü niyetli kişileri bulmak için çeşitli protokoller ve metodolojiler kullanır. Web proxy günlükleri sıklıkla aşağıdaki ayrıntıları sunar:

  • Hedef URL (Ana Bilgisayar Adı)
  • Hedef IP
  • HTTP Durumu
  • Alan Kategorisi
  • Protokol
  • Hedef Liman
  • Kullanıcı Aracısı
  • İstek Yöntemi
  • Cihaz İşlemi
  • İstenen Dosya Adı
  • Süre

**Ve dahası!

Proxy Günlükleriyle Tehdit Avcılığı Nasıl Çalışır?

Artık tehdit avcılığını anladığınıza göre, web proxy günlüklerinin bu avcılara nasıl yardımcı olduğunu inceleyelim. Web proxy günlükleri birkaç veri parçası içerdiğinden, analistler ağla etkileşime giren güvenlik açıklarını ve kötü niyetli tarafları bulmak için çeşitli yöntemler kullanmalıdır.

1. Engellenen trafiği gözden geçirme:

Kuruluşun kullanıcıları için yasaklanmış olsa bile, kullanıcının belirli bir web sitesine erişmesine neyin yol açtığını bulmak önemlidir. Bu, bilgisayarlarına virüs bulaştığı anlamına gelebilir.

2. IP istekleri olan URL'ler:

Bu filtreleme, sabit kodlanmış IP adreslerini kullanarak DNS güvenlik kısıtlamalarını aşan günlükleri tespit edebilir.

3. Dosya uzantılı URL'ler:

Bu filtre, .doc,.pdf ve .exe gibi dosya uzantılarına sahip potansiyel olarak tehlikeli URL'leri görünür hale getirir. Saldırganlar, bir makineye veya ağa kötü amaçlı yazılım yerleştirmek için sıklıkla makro işlevli doc veya pdf dosyalarını kullanır.

4. Yaygın olmayan URL'ye sahip bilinen yönlendiren URL:

Kimlik avı bağlantılarının belirlenmesi, popüler yönlendirme alanlarını ve ayırt edici URL'leri içeren günlükleri filtreleyerek daha kolay hale getirilebilir.

Tehdit Avcılığı ve Tehdit İstihbaratı Arasındaki Fark

Tehdit istihbaratı, makine öğrenimi ve yapay zeka kullanan otomatik güvenlik sistemleri tarafından tipik olarak toplanan ve incelenen, teşebbüs edilen veya başarılı izinsiz girişlerle ilgili bir veri koleksiyonudur.

Bu bilgiler, kötü niyetli kullanıcılara yönelik kapsamlı, sistem çapında bir arama yapmak için tehdit avcılığında kullanılır.

Tehdit avcılığı, başka bir deyişle, tehdit istihbaratının bittiği yerde başlar. Üretken bir tehdit avı, vahşi doğada henüz görülmemiş tehlikeleri de bulabilir.

Tehdit göstergeleri bazen tehdit avcılığında bir ipucu veya hipotez olarak kullanılır. Kötü amaçlı yazılım veya saldırgan tarafından bırakılan sanal parmak izleri, garip bir IP adresi, kimlik avı e-postaları veya diğer anormal ağ trafiği, tehdit göstergelerine örnektir.

Hızlı Linkler:

  • Cyberlab İncelemesi
  • CyberImpact İncelemesi
  • CyberVista BT Eğitim İncelemesi
  • En İyi Siber Güvenlik Ortaklık Programları

Sonuç: Tehdit Avcılığı 2023 Nedir?

Olağan olay tespiti, müdahale ve düzeltme prosedürü, tehdit avcılığı ile güçlü bir şekilde tamamlanmaktadır. İşletmeler için gerçekçi ve pratik bir strateji, öngörülemeyen tehditlere karşı kendilerini güçlendirmektir.

Bununla birlikte, proxy günlüklerini izlemek, web sitelerini kazıyan kullanıcıları tanımlamayı da mümkün kılar. Sadece meşru görevleri tamamlamaya çalışanlar böyle bir durumda sorun yaşarlar.

Kullanıcılar, özellikle gerçek IP adreslerini gizlemeye yardımcı olanlar olmak üzere birkaç proxy kullanarak, tehdit avcılarının etkinliklerini tespit etmesini önleyebilir.

Ayrıca, tüm etkinlikleri için tek bir IP adresi olmadığı için günlükleri bu avcılar için bir tehlike işareti oluşturmaz.

Bunun için, tehdit avlama yazılımları için meşru görünen yüksek kaliteli proxy'lere ihtiyacınız olacak. Sorunuza cevap verecek olursak, tehdit avı yazılımı temel olarak tehdit avı protokolleri ve analizleri gerçekleştiren bir programdır.

Hızlı Linkler

  • Seyahat Ücreti Toplama İçin En İyi Proxy'ler
  • En İyi Fransız Vekilleri
  • En İyi Tripadvisor Proxy'leri
  • En İyi Etsy Proxy'leri
  • IPRoyal Kupon Kodu
  • En İyi TikTok Proxy'leri
  • En İyi Paylaşılan Proxy'ler