Selamlar bendeniz Emre yani Rapx13
Bugün sizler ile DFIR(Digital Forensics and Incident Response) yani Dijital Adli Bilişim ve Olay Müdahalesi'ni inceliyeceğiz forumda böyle bir konu görmediğim için açıyorum.
DFIR yukarıda bahsettiğim gibi dijital adli bilisim ve olay müdahalesi demek oluyor peki bunun amacı ne ? ne işe yarıyor gelin bi bakalım.
DFIR, bir olayı araştırmak için bilgisayarlar, medya cihazları ve akıllı telefonlar gibi dijital cihazlardan adli eserlerin toplanmasını kapsar. Bu alan, Güvenlik Uzmanlarının bir güvenlik olayı meydana geldiğinde bir saldırgan tarafından bırakılan ayak izlerini tanımlamasına, bunları bir ortamdaki güvenlik ihlalinin kapsamını belirlemek için kullanmasına ve ortamı olay meydana gelmeden önceki durumuna geri yüklemesine yardımcı olmakta. Önemli bir kavram
Peki Emre neden bizim bu DFIR'e ihityacımız var ?
Ağdaki saldırgan etkinliğine dair kanıt bulma ve gerçek olaylardan yanlış alarmları eleme.
Saldırganı sağlam bir şekilde kaldırmak, böylece ağdan ayak izleri artık kalmaz.
Bir ihlalin kapsamını ve zaman çerçevesini belirleme. Bu, ilgili paydaşlarla iletişimde yardımcı olur.
İhlale yol açan boşlukları bulmak. Gelecekte ihlali önlemek için nelerin değiştirilmesi gerekiyor?
Saldırganın daha fazla izinsiz giriş girişimini önceden engellemek için saldırgan davranışını anlama.
Saldırganla ilgili bilgileri toplulukla paylaşmak.
DFIR'ı kim kullanmakta ?
Dijital Adli Tıp: Bu profesyoneller, adli eserleri veya dijital cihazlardaki insan faaliyetinin kanıtlarını belirleme konusunda uzmandır.
Olay Müdahalesi Ekipleri: Olay müdahale ekipleri siber güvenlik konusunda uzmandır ve ilgilenilen etkinliği güvenlik perspektifinden belirlemek için adli bilgilerden yararlanır.
DFIR uzmanları Dijital Adli Bilişim ve siber güvenlik hakkında bilgi sahibi olurlar ve hedeflerine ulaşmak için bu alanları birleştirirler. Dijital Adli Tıp ve Olay Müdahale alanları, birbirlerine oldukça bağımlı oldukları için genellikle birleştirilir. Olay Müdahalesi, Dijital Adli Tıp'tan elde edilen bilgilerden yararlanır. Benzer şekilde, Dijital Adli Bilişim, amaçlarını
ve kapsamını Olay Müdahale sürecinden alır ve IR süreci, adli soruşturmanın kapsamını tanımlar.
2. Bölüm : DFIR'ın temel kavramları
Eserler, bir sistem üzerinde gerçekleştirilen bir aktiviteye işaret eden kanıt parçalarıdır. DFIR gerçekleştirirken, saldırgan etkinliğiyle ilgili bir hipotezi veya iddiayı desteklemek için yapıtlar toplanır. Örneğin, saldırganın bir sistemde kalıcılığı sürdürmek için Windows kayıt defteri anahtarlarını kullandığını iddia edeceksek, iddiamızı desteklemek için söz konusu kayıt defteri anahtarını kullanabiliriz. Bu durumda, söz konusu kayıt defteri anahtarı bir yapıt olarak kabul edilecektir. Bu nedenle yapıt toplama, DFIR sürecinin önemli bir parçasıdır. Yapıtlar Uç Noktadan veya Sunucunun dosya sisteminden, belleğinden veya ağ etkinliğinden toplanabilir.
KANITLARIN KORUNMASI:
DFIR gerçekleşirken kanıtların bütünlüğü çok öenmlidir aynı polislerin masasının arkasında çetenin ele başı için astığı fotoğraflar var ya onun gibi birbirine bağlanmalı
DFIR gerçekleştirirken, topladığımız kanıtların bütünlüğünü korumalıyız. Bu nedenle, sektörde bazı en iyi uygulamalar oluşturulmuştur. Herhangi bir adli analizin kanıtları kirlettiğini not etmeliyiz. Bu nedenle, kanıtlar önce toplanır ve yazmaya karşı korunur. Daha sonra, yazma korumalı kanıtın bir kopyası analiz için kullanılır. Bu süreç, orijinal kanıtlarımızın kontamine* olmamasını ve analiz sırasında güvende kalmasını sağlar. Soruşturma altındaki kopyamız bozulursa, her zaman geri dönebilir ve koruduğumuz kanıtlardan yeni bir kopya oluşturabiliriz.
kontamine : sonradan değiştirlimemesi bozulmaması anlamında kullanılmıştır.
GÖZETİM ZİNCİRİ:
Delillerin bütünlüğünü korumanın bir diğer kritik yönü de gözetim zinciridir. Deliller toplanırken, güvenli bir şekilde saklandığından emin olunmalıdır. Soruşturmayla ilgisi olmayan herhangi bir kişi delillere sahip olmamalıdır, aksi takdirde delillerin gözetim zincirini kirletecektir. Kirlenmiş bir gözetim zinciri, verilerin bütünlüğü hakkında soru işaretleri doğurur ve çözülemeyen bilinmeyen değişkenler ekleyerek oluşturulan vakayı zayıflatır. Örneğin, bir sabit disk görüntüsünün, görüntüyü çeken kişiden analizi yapacak kişiye aktarılırken, bu tür kanıtları ele almaya yetkili olmayan bir kişinin eline geçtiğini varsayalım. Bu durumda, kanıtları doğru bir şekilde ele alıp almadığından ve dolayısıyla faaliyetiyle kanıtları kirletmediğinden emin olamayız.
VOLATİLİTE SIRASI:
volatilite bir şeyin ne kadar değişken olduğunu belirliyor yüksek volatilite değeri çok değişken az volatilite değer az değişken gibi
Dijital kanıtlar genellikle değişkendir, yani zamanında yakalanmazsa sonsuza kadar kaybolabilir. Örneğin, bir bilgisayar sisteminin belleğindeki (ram) veriler, bilgisayar kapatıldığında kaybolacaktır, çünkü RAM verileri yalnızca açık kaldığı sürece tutar. Bazı kaynaklar diğerlerine kıyasla daha değişkendir. Örneğin, bir sabit sürücü kalıcı depolamadır ve güç kesilse bile verileri korur. Bu nedenle, bir sabit sürücü ram'den daha az uçucudur. DFIR gerçekleştirirken, buna göre yakalamak ve korumak için farklı kanıt kaynaklarının oynaklık sırasını anlamak hayati önem taşır. Yukarıdaki örnekte, öncelik vermezsek RAM'deki verileri kaybedebileceğimizden, sabit sürücüyü korumadan önce RAM'i korumamız gerekecek.
KRONOLOJİK SIRALAMA:
Eserleri topladıktan ve bütünlüklerini koruduktan sonra, içerdikleri bilgileri tam olarak kullanmak için onları anlaşılır bir şekilde sunmamız gerekiyor. Verimli ve doğru analiz için bir olay zaman çizelgesi oluşturulmalıdır. Olayların bu zaman çizelgesi, tüm etkinlikleri kronolojik sıraya koyar. Bu aktiviteye zaman çizelgesi oluşturma denir. Zaman çizelgesi oluşturma, araştırmaya perspektif sağlar ve olayların nasıl gerçekleştiğine dair bir hikaye oluşturmak için çeşitli kaynaklardan gelen bilgilerin harmanlanmasına yardımcı olur.
olayı çözdük diye umuyorum bu serinin ilk bölümü olsun 1,2 bölüm sonra biter zaten CSRF'e o zaman devam edeyim çünkü işler karışık zamana ihtiyacım var.
Özlü Söz : Söz uçar, yazı kalır.
sizde bir söz yazın sonraki bölüme koyarım
Rapx Out
