Tehdit Avcılığı 2024 Nedir? [Tam Kılavuz]

Son Güncelleme Tarihi: 5 Kasım 2023 by

Siber tehdit avcılığı bir proaktif internet güvenliği yöntemi tehdit avcılarının aradığı güvenlik tehlikeleri belki olabilir bir şirketin ağında gizlenmiş.

Siber avcılık, otomatik tehdit algılama sistemleri gibi daha pasif siber güvenlik avı tekniklerinin aksine, ağınızın otomatik savunma mekanizmalarından kaçmış olabilecek önceden tespit edilmemiş, tanımlanmamış veya düzeltilmemiş tehditleri aktif olarak arar.

Tehdit Avcılığı Nedir?

Tehdit Avı Nedir?

Aktif olarak arama eylemi Bir ağda fark edilmeden dolaşan siber tehditler tehdit avcılığı olarak bilinir. Siber tehdit avcılığı, ilk uç nokta güvenlik önlemlerinizi aşan kötü niyetli aktörler için ortamınızı tarar.

Bazı tehlikeler daha karmaşık ve gelişmişken, çoğunluğu güvenlik sistemlerini aşamaz. Saldırganlar, daha fazla veri toplamak için ağ üzerinden yavaşça ilerlerken haftalarca sistemde ve dosyalarda tespit edilmeden kalabilir.

Bu işlem sırasında haftalar hatta aylar geçebilir. Aktif olarak avlanmadan güvenlik araçlarından ve personelden kolaylıkla tespitten kaçabilir.

Tehdit Avcılığı

Tehdit Avcılığı Neden Önemli?

Karmaşık tehditler otomatikleştirilmiş siber güvenlikten kaçabileceğinden, tehdit avı çok önemlidir.

Otomatikleştirilmiş güvenlik araçları ve 20. ve 1. katman olsa bile tehditlerin kalan %2'si hakkında endişelenmeniz gerekir. güvenlik harekat merkezi (SOC) analistleri, %80 onlardan.

Kalan %20'deki tehditlerin karmaşık olma ve büyük zarar verme olasılığı daha yüksektir.

Saldırgan bir ağa gizlice girebilir ve sessizce bilgi toplarken, hassas belgeleri ararken veya ortamda dolaşmasına izin verecek oturum açma kimlik bilgilerini alırken aylarca orada kalabilir.

Çoğu işletme, bir düşman tespitten kaçmayı başardığında ve bir saldırı bir kuruluşun savunmasını ihlal ettiğinde, gelişmiş kalıcı tehditlerin ağda kalmasını önlemek için gereken gelişmiş tespit becerilerinden yoksundur.

Bu nedenle tehdit avı, herhangi bir savunma stratejisinin çok önemli bir unsurudur.

Tehdit Avcılığı Türleri

IBM'in resmi web sitesi, üç ana tehdit avcılığı türünü oldukça uygun bir şekilde açıkladı. Bloglarına göre, tehdit avcılığı aşağıdaki türlerdendir:

1. Yapılandırılmış avcılık

An saldırı göstergesi (IoA) ve saldırganın taktikleri, yöntemleri ve prosedürleri (TTP'ler) sistematik bir avın temeli olarak hizmet eder.

Her av planlanır ve tehdit aktörlerinin TTP'lerine dayanır. Bu nedenle, avcı, saldırgan çevreyi bozma şansı bulamadan sıklıkla bir tehdit aktörünü tanır. 

2. Yapılandırılmamış avlanma

Ad hoc arama, birçok tetikleyiciden biri olan bir tetikleyiciye dayalı olarak başlatılır. uzlaşma göstergeleri (IOC). Bu tetikleyici tipik olarak bir avcıyı aramaya teşvik etmek için kullanılır. tespit öncesi ve sonrası modeller.

Avcı, verilerin saklanması ve önceden bağlantılı suçların izin verdiği ölçüde, planını oluşturmak için bir çalışma yürütebilir.

3. Durumsal veya varlığa dayalı

Durumsal bir hipotez, bir kuruluşun dahili risk değerlendirmesiyle veya BT altyapısına özgü eğilimlerin ve zayıflıkların araştırılmasıyla üretilebilir.

Genel halktan toplanan ve gözden geçirildiğinde devam eden siber tehditlerin en son TTP'lerini gösteren saldırı verileri, kurum odaklı potansiyel müşterilerin oluşturulduğu yerdir. Tehdit avcısı daha sonra bu özel davranışlar için çevreyi tarayabilir.

Tehdit Avcılığı Nasıl Çalışır?

Bir yazılım çözümünün insan yönü ve devasa veri işleme kapasitesi, siber tehditleri etkili bir şekilde avlamak için birleştirilir.

İnsan tehdidi avcıları, tehditleri proaktif olarak keşfetmelerine ve ortadan kaldırmalarına yardımcı olmak için gelişmiş güvenlik izleme ve analiz araçlarından gelen verilere güvenir.

Amaçları, karada yaşamak gibi stratejiler kullanarak normal savunmalardan kaçabilecek düşmanları bulmak için çözümler ve istihbarat/veriler kullanmaktır.

Sezgi, etik ve stratejik düşünme ve yaratıcı problem çözme, siber avlanma sürecinin temel bileşenleridir.

Kuruluşlar, “insan özelliklerini kullanarak tehditleri daha hızlı ve daha kesin bir şekilde çözebilir”Siber Tehdit Avcıları” sadece otomatik tehdit algılama sistemlerine güvenmek yerine masaya getirin.

Siber Tehdit Avcıları

Siber Tehdit Avcıları Kimlerdir?

Siber Tehdit Avcıları, iş güvenliğine insani bir dokunuş katarak otomatikleştirilmiş önlemleri geliştirir. Tehditleri ciddi sorunlara dönüşme şansı bulamadan tespit eden, kaydeden, takip eden ve ortadan kaldıran yetenekli BT güvenlik uzmanlarıdır.

Bazen harici analistler olsalar da ideal olarak şirketin BT departmanının işleyişi hakkında bilgi sahibi olan güvenlik analistleridir.

Tehdit Avcıları güvenlik bilgilerini araştırır. Gizli kötü amaçlı yazılım veya saldırganların yanı sıra, bir bilgisayarın gözden kaçırmış olabileceği veya ele alındığını düşündüğü ancak ele alınmadığı şüpheli davranış kalıplarını ararlar.

Ayrıca, aynı türden izinsiz girişlerin gelecekte meydana gelmesini önlemek için bir işletmenin güvenlik sistemine yama uygulanmasına da yardımcı olurlar.

Tehdit Avcılığı Nedir?

Tehdit Avcılığı İçin Ön Koşullar

Tehdit avcıları, siber tehdit avının etkili olabilmesi için anormallikleri daha iyi tespit edebilmek için önce beklenen veya onaylanmış olaylardan oluşan bir temel oluşturmalıdır.

Tehdit avcıları daha sonra bu temeli ve en son tehdit istihbaratını kullanarak tehdit algılama teknolojileri tarafından toplanan güvenlik verilerini ve bilgilerini gözden geçirebilir.

Bu teknolojiler şunları içerebilir: yönetilen algılama ve yanıt (MDR), güvenlik analitiği araçlarıya da güvenlik bilgileri ve olay yönetimi (SIEM) çözümleri.

Tehdit avcıları, uç nokta, ağ ve bulut verileri dahil olmak üzere çeşitli kaynaklardan gelen verilerle donatıldıktan sonra sistemlerinizde potansiyel tehlikeler, gölgeli faaliyetler veya normdan sapan tetikleyiciler için arama yapabilir.

Tehdit avcıları, bir tehdit bulunursa veya bilinen tehdit istihbaratı yeni olası tehditlere işaret ederse hipotezler oluşturabilir ve kapsamlı ağ araştırmaları yürütebilir.

Tehdit avcıları, bir tehdidin zararlı mı yoksa zararsız mı olduğunu veya ağın ortaya çıkan siber tehditlere karşı uygun şekilde korunup korunmadığını belirlemek için bu araştırmalar sırasında bilgi arar.

Tehdit Avcılığı Metodolojileri

Tehdit avcıları, düşmanların sistemde zaten mevcut olduğunu varsayarak araştırmalarına başlarlar ve düşmanca faaliyetlerin varlığına işaret edebilecek tuhaf davranışlar ararlar.

Bir soruşturmanın bu başlangıcı genellikle proaktif tehdit avcılığında üç kategoriden birine girer.

Bir kuruluşun sistemlerini ve bilgilerini proaktif bir şekilde savunmak amacıyla, üç stratejinin tümü, tehdit istihbaratı kaynaklarını en son güvenlik teknolojisiyle birleştiren insan kaynaklı bir çabayı içerir.

1. Hipoteze dayalı soruşturma

Kitle kaynaklı saldırı verilerinden oluşan geniş bir veritabanı aracılığıyla keşfedilen yeni bir tehlike, saldırganlar (TTP) tarafından kullanılan en son stratejiler, teknikler ve prosedürler hakkında bilgi sağlayan hipotez odaklı araştırmaları sıklıkla tetikler.

Tehdit avcıları, yeni bir TTP algılandığında saldırganın benzersiz eylemlerinin kendi ortamlarında bulunup bulunmadığını kontrol edecek.

2. Tanımlanan Saldırı Göstergelerine veya Uzlaşma Göstergelerine Dayalı Bir Soruşturma

Taktik tehdit istihbaratını kullanan bu tehdit avı yöntemi, bilinen IOC'leri ve yeni tehditlerle bağlantılı IOA'ları listeler. Tehdit avcıları daha sonra olası gizli saldırıları veya devam eden zararlı faaliyetleri bulmak için bunları tetikleyici olarak kullanabilir.

3. Gelişmiş analitik ve makine öğrenimi araştırmaları

Üçüncü yöntem, olası düşmanca faaliyetlere işaret edebilecek anormallikleri aramak için makine öğrenimini ve gelişmiş veri analizini kullanarak çok büyük miktarda veriyi araştırır.

Bu anormallikler, gizli tehlikeleri bulmak için bilgili analistler tarafından incelenen av ipuçları haline gelir.

Proxy İle Tehdit Avcılığı

Tehdit avcıları, web proxy kayıtlarında çok sayıda bilgi bulabilir. Bu proxy'ler, istekleri alan sunucu veya aygıt ile isteği gönderen aygıt arasında kanal görevi görür.

Olağandışı veya şüpheli davranışları tespit etmek için web proxy'leri tarafından oluşturulan ortak bir veri kümesi kullanılabilir.

Örneğin, bir kuruluştaki bir tehdit avcısı, web proxy günlüklerinde yer alan tehlike bilgilerini analiz edebilir ve aşağıdakiler gibi kullanıcı aracılarıyla şüpheli etkinlik keşfedebilir: cURL ve SharePoint siteleri.

Soruna dikkat çekerler ve isteklerin meşru olduğunu ve DevOps ekiplerinden kaynaklandığını keşfederler.

Tehdit avcıları, bu günlükleri incelemek ve karışımdaki kötü niyetli kişileri bulmak için çeşitli protokoller ve metodolojiler kullanır. Web proxy'si günlükler sıklıkla aşağıdaki ayrıntıları sunar:

  • Hedef URL (Ana Bilgisayar Adı)
  • Hedef IP
  • HTTP Durumu
  • Alan Kategorisi
  • Protokol
  • Varış Noktası
  • User Agent
  • İstek Yöntemi
  • Cihaz Eylemi
  • İstenen Dosya Adı
  • Süre

**Ve dahası!

Proxy Günlükleriyle Tehdit Avcılığı Nasıl Çalışır?

Artık tehdit avcılığını anladığınıza göre, web proxy günlüklerinin bu avcılara nasıl yardımcı olduğunu inceleyelim. Web proxy günlükleri birkaç veri parçası içerdiğinden, analistler ağla etkileşime giren güvenlik açıklarını ve kötü niyetli tarafları bulmak için çeşitli yöntemler kullanmalıdır.

1. Engellenen trafiği gözden geçirme:

Kuruluşun kullanıcıları için yasaklanmış olsa bile, kullanıcının belirli bir web sitesine erişmesine neyin yol açtığını bulmak önemlidir. Bu, bilgisayarlarına virüs bulaştığı anlamına gelebilir.

2. IP istekleri olan URL'ler:

Bu filtreleme, sabit kodlanmış IP adreslerini kullanarak DNS güvenlik kısıtlamalarını aşan günlükleri tespit edebilir.

3. Dosya uzantılı URL'ler:

Bu filtre, .doc,.pdf ve .exe gibi dosya uzantılarına sahip potansiyel olarak tehlikeli URL'leri görünür hale getirir. Saldırganlar, bir makineye veya ağa kötü amaçlı yazılım yerleştirmek için sıklıkla makro işlevli doc veya pdf dosyalarını kullanır.

4. Yaygın olmayan URL'ye sahip bilinen yönlendiren URL:

Kimlik avı bağlantılarının belirlenmesi, popüler yönlendirme alanlarını ve ayırt edici URL'leri içeren günlükleri filtreleyerek daha kolay hale getirilebilir.

Tehdit Avcılığı ve Tehdit İstihbaratı Arasındaki Fark

Tehdit istihbaratı, makine öğrenimi ve yapay zeka kullanan otomatik güvenlik sistemleri tarafından tipik olarak toplanan ve incelenen, teşebbüs edilen veya başarılı izinsiz girişlerle ilgili bir veri koleksiyonudur.

Bu bilgiler, kötü niyetli kullanıcılara yönelik kapsamlı, sistem çapında bir arama yapmak için tehdit avcılığında kullanılır.

Tehdit avcılığı, başka bir deyişle, tehdit istihbaratının bittiği yerde başlar. Üretken bir tehdit avı, vahşi doğada henüz görülmemiş tehlikeleri de bulabilir.

Tehdit göstergeleri bazen tehdit avcılığında bir ipucu veya hipotez olarak kullanılır. Kötü amaçlı yazılım veya saldırgan tarafından bırakılan sanal parmak izleri, garip bir IP adresi, kimlik avı e-postaları veya diğer anormal ağ trafiği, tehdit göstergelerine örnektir.

Hızlı Linkler:

Sonuç: Tehdit Avcılığı 2024 Nedir? 

Olağan olay tespiti, müdahale ve düzeltme prosedürü, tehdit avcılığı ile güçlü bir şekilde tamamlanmaktadır. İşletmeler için gerçekçi ve pratik bir strateji, öngörülemeyen tehditlere karşı kendilerini güçlendirmektir.

Bununla birlikte, proxy günlüklerini izlemek, web sitelerini kazıyan kullanıcıları tanımlamayı da mümkün kılar. Sadece meşru görevleri tamamlamaya çalışanlar böyle bir durumda sorun yaşarlar.

Kullanıcılar, özellikle gerçek IP adreslerini gizlemeye yardımcı olanlar olmak üzere birkaç proxy kullanarak, tehdit avcılarının etkinliklerini tespit etmesini önleyebilir.

Ayrıca, tüm etkinlikleri için tek bir IP adresi olmadığı için günlükleri bu avcılar için bir tehlike işareti oluşturmaz.

Bunun için, tehdit avlama yazılımları için meşru görünen yüksek kaliteli proxy'lere ihtiyacınız olacak. Sorunuza cevap verecek olursak, tehdit avı yazılımı temel olarak tehdit avı protokolleri ve analizleri gerçekleştiren bir programdır.

Linkler 

Kaşiş Babber
Bu yazar BloggersIdeas.com'da doğrulandı

Kashish, şu anda SEO ve blog yazma hakkında öğrenme ve yazma tutkusunun takipçisi olan bir B.Com mezunudur. Her yeni Google algoritma güncellemesinde ayrıntılara dalıyor. Her zaman öğrenmeye heveslidir ve Google'ın algoritma güncellemelerinin her ayrıntısını ve dönüşünü keşfetmeyi, nasıl çalıştıklarını anlamak için en ince ayrıntısına kadar inmeyi seviyor. Bu konulara olan tutkusu yazılarından da görülebiliyor; bu da onun içgörülerini sürekli gelişen arama motoru optimizasyonu ve blog yazma sanatıyla ilgilenen herkes için hem bilgilendirici hem de ilgi çekici kılıyor.

Satış ortağı açıklaması: Tam şeffaflıkla - web sitemizdeki bağlantılardan bazıları bağlı kuruluş bağlantılarıdır, bunları bir satın alma işlemi yapmak için kullanırsanız, sizin için hiçbir ek ücret ödemeden komisyon kazanacağız (hiçbir şekilde!).

İlgili Mesajlar

Leave a Comment