Merhaba Dostlar..Bugun ki Konumuzda Siber Tehdit Avcılığını Anlatmaya Çalışacağım..
Siber Tehdit Avcılığı (Cyber Threat Hunting) Nedir ?
Siber Tehdit Avcılığı bir ağ (network) ya da veri seti (data set) içerisinde var olan güvenlik çözümlerinden kaçan tehditleri proaktif ve tekrarlı olarak; arama, tespit etme ve izole etme sürecidir. Siber tehdit avcılığının proaktif bir yaklaşım ile uygulanması, sisteme zarar verecek herhangi bir olay gerçekleşmeden “önlem alma süreci” haline getirmektedir.
Peki Siber Tehdit Avcılığı Ne Değildir ?
1)Siber tehdit avcılığı, Siber istihbarat ve Siber tehdit istihbaratı toplayarak bu istihbaratı analiz etmek değildir; fakat tehdit avcılığına başlamak için iyi bir noktadır.
2)Tehdit avcılığı, herhangi bir ürün değildir, otomatik bir sistem değildir, herhangi bir betik (script) ile halledilecek bir süreç değildir.
3)Siber tehdit avcılığı, araç (tool) kurup bir uyarı beklemek değildir.
4)Siber tehdit avcılığı, olayları ve saldırıları raporlamak değildir. Çünkü henüz ortada bilinen bir saldırı yoktur ve çoktan sistemin ele geçirildiği düşünülerek yola çıkılır.
5)Siber tehdit avcılığı, adli bilişim (digital forensics) değildir, adli bilişim geçmişte yaşanmış olay ile ilgili bir süreçtir.
Siber Tehdit Avcılığı Hangi Soruya Nasıl Cevap Verir ?
YA AVLA YA DA AVLAN! Tehdit avcılığı, siber güvenliğin uzun bir süredir en temel sorularından birisi olan “Olası bir saldırı altında mıyım?” sorusuna cevap arar. Bu durum reaktif yaklaşımla çözülmeye çalışıldığında bir belirtiye ihtiyaç duyar. Bu ihtiyaç kullanılan siber güvenlik çözümlerinden gelen herhangi bir uyarı olabilir. Tehdit avcılığı yaparken bunların olmasına gerek yoktur. Sistemin saldırı altında olduğu düşünülerek yola çıkılmalı ve sisteme zarar verebilecek herhangi bir şey bulmak adına çalışmalar yapılmalıdır.
Siber Tehdit Avcılığı İle Sızma Testi Arasında ki Fark Nedir ?
Sızma Testi, “Belirlenen bilişim sistemlerine mümkün olabilecek her yolun denenerek sızılması” şeklinde tanımlanır.Sızma Testi için amaç güvenlik açıklığını bulmaktan öte bulunan açıklığı değerlendirip sistemlere yetkili erişimler elde etmektir.Kısaca dışarıdan içeriye doğru sızmaya çalışmaktır. Ağ içerisinde neyin normal gözüktüğünü bilmek, savunmanın iyi bir avantajıdır.Sisteminizin içerisinde neler olup bittiğine dair derin bir fikir sahibi olmak tehdit avcılığında çok önemli olmaktadır. Tehditler görünmez değildir, arkalarında bir davranış şekli bırakırlar.Bilgi güvenliği alanında bir saldırı ile karşılaşıldığında en büyük avantaj bilgi olmaktadır.Tehdit avcılığı, karşılaşılan davranışların hangisinin şüpheli, hangisinin zararlı olduğunu süzme sürecidir. Örnek olarak ağ taramaları ele alınsın, sistem yöneticileri genellikle ağ taraması yapmazlar; çünkü sistemde nelerin kullanıldığına dair bilgileri vardır.Fakat içeriden güvenlik ekipleri dışında bir ağ taraması yapılmış ise bu oldukça şüphelidir. Sızma testinin ve tehdit avcılığının siber güvenlik alanında olgun birer yerleri vardır.Çünkü, saldırganlar her geçen gün geleneksel tespit sistemlerini aşmak adına yeni yöntemler geliştirmektedir. Sızma testi ve tehdit avcılığını aynı zamanda ve dengeli olarak uygulamak oldukça proaktif bir yaklaşım olmaktadır.
KONU KAYNAĞIM:BGA Bilgi Güvenliği A.Ş | BGASecurity
Siber Tehdit Avcılığı (Cyber Threat Hunting) Nedir ?
Siber Tehdit Avcılığı bir ağ (network) ya da veri seti (data set) içerisinde var olan güvenlik çözümlerinden kaçan tehditleri proaktif ve tekrarlı olarak; arama, tespit etme ve izole etme sürecidir. Siber tehdit avcılığının proaktif bir yaklaşım ile uygulanması, sisteme zarar verecek herhangi bir olay gerçekleşmeden “önlem alma süreci” haline getirmektedir.
Peki Siber Tehdit Avcılığı Ne Değildir ?
1)Siber tehdit avcılığı, Siber istihbarat ve Siber tehdit istihbaratı toplayarak bu istihbaratı analiz etmek değildir; fakat tehdit avcılığına başlamak için iyi bir noktadır.
2)Tehdit avcılığı, herhangi bir ürün değildir, otomatik bir sistem değildir, herhangi bir betik (script) ile halledilecek bir süreç değildir.
3)Siber tehdit avcılığı, araç (tool) kurup bir uyarı beklemek değildir.
4)Siber tehdit avcılığı, olayları ve saldırıları raporlamak değildir. Çünkü henüz ortada bilinen bir saldırı yoktur ve çoktan sistemin ele geçirildiği düşünülerek yola çıkılır.
5)Siber tehdit avcılığı, adli bilişim (digital forensics) değildir, adli bilişim geçmişte yaşanmış olay ile ilgili bir süreçtir.
Siber Tehdit Avcılığı Hangi Soruya Nasıl Cevap Verir ?
YA AVLA YA DA AVLAN! Tehdit avcılığı, siber güvenliğin uzun bir süredir en temel sorularından birisi olan “Olası bir saldırı altında mıyım?” sorusuna cevap arar. Bu durum reaktif yaklaşımla çözülmeye çalışıldığında bir belirtiye ihtiyaç duyar. Bu ihtiyaç kullanılan siber güvenlik çözümlerinden gelen herhangi bir uyarı olabilir. Tehdit avcılığı yaparken bunların olmasına gerek yoktur. Sistemin saldırı altında olduğu düşünülerek yola çıkılmalı ve sisteme zarar verebilecek herhangi bir şey bulmak adına çalışmalar yapılmalıdır.
Siber Tehdit Avcılığı İle Sızma Testi Arasında ki Fark Nedir ?
Sızma Testi, “Belirlenen bilişim sistemlerine mümkün olabilecek her yolun denenerek sızılması” şeklinde tanımlanır.Sızma Testi için amaç güvenlik açıklığını bulmaktan öte bulunan açıklığı değerlendirip sistemlere yetkili erişimler elde etmektir.Kısaca dışarıdan içeriye doğru sızmaya çalışmaktır. Ağ içerisinde neyin normal gözüktüğünü bilmek, savunmanın iyi bir avantajıdır.Sisteminizin içerisinde neler olup bittiğine dair derin bir fikir sahibi olmak tehdit avcılığında çok önemli olmaktadır. Tehditler görünmez değildir, arkalarında bir davranış şekli bırakırlar.Bilgi güvenliği alanında bir saldırı ile karşılaşıldığında en büyük avantaj bilgi olmaktadır.Tehdit avcılığı, karşılaşılan davranışların hangisinin şüpheli, hangisinin zararlı olduğunu süzme sürecidir. Örnek olarak ağ taramaları ele alınsın, sistem yöneticileri genellikle ağ taraması yapmazlar; çünkü sistemde nelerin kullanıldığına dair bilgileri vardır.Fakat içeriden güvenlik ekipleri dışında bir ağ taraması yapılmış ise bu oldukça şüphelidir. Sızma testinin ve tehdit avcılığının siber güvenlik alanında olgun birer yerleri vardır.Çünkü, saldırganlar her geçen gün geleneksel tespit sistemlerini aşmak adına yeni yöntemler geliştirmektedir. Sızma testi ve tehdit avcılığını aynı zamanda ve dengeli olarak uygulamak oldukça proaktif bir yaklaşım olmaktadır.
KONU KAYNAĞIM:BGA Bilgi Güvenliği A.Ş | BGASecurity
