Siber GüvenlikSiber Güvenlik ile alakalı araçların kullanımı, bilgi paylaşımı ve siber güvenlik eğitimi ile ilgili kaynakların paylaşıldığı alanımızdır.
Sistemlerinizde her gün birçok farklı durum meydana gelir . Genellikle bunlardan sadece küçük bir kısım güvenlik açısından önem arz eden sonuçlar doğurur. Gün içerisinde meydana gelen durumlarla ilgili sistemleriniz size çok büyük miktarlarda veri sunar , bu nedenle hangi bilgilerin ilave analiz gerektirdiğini tespit etmek büyük önem taşımaktadır. Buna karar vermeniz için olay ve vakalar birbirinden ayırmanız gerekmektedir.
Olay , basit anlamda bir zaman diliminde bir sistem veya ağda meydana gelen durumdur. Bu , ağdaki iki host arasındaki iletişim , bir e-mail değişimi veya sistemin çökmesi olabilir . Bir olay etrafında yer alan bilgiler genellikle bir zaman nosyonu , olay tipi ve olayı açıklayan bazı detay bilgileri içerisinde barındırır. Günlük ağ aktivite kayıtları , servis ve uygulamalarla ilgili kayıtları sürekli bir şekilde kayıt altına alınır. Bu kayıtlardan sadece küçük bir kısmı güvenlikle ilgİli bir problemi gösterebilir.
Bazı potansiyel problemler kendilerini özel bir olayla göstermeyebilir. Örneğin ,ağ trafik paternindeki anormal artış veya değişiklikler kullanıcılar açısından konuyla ilgili bir alarm oluşturmak için yeterli olmayabilir. Bu durumda, problemle ilgili hiçbir olay size alarm bilgisi göndermediğinden , özellikle loğları taramazsanız meydana gelen problemden haberdar olmayabilirsiniz. Kurumlarda sadece birkaç saatlik bir kötüye kullanımın tespiti aylar sürebilmektedir . Vakaları ortaya çıkarmak için aktif olarak olay kayıtlarını taramak suretiyle , aylar süren bu tespit süresini saatlere indirmek mümkündür.
Literatür bağlamından yukarıda anlatılan btün bilişim olaylarını kapsayan olay ve sistem güvenliği ihlallerine yönelik olan vaka ayrımı özellikle tehdit vektörlerinin kısa sürede ve sağlıklı tespiti açısından gerekli olsa da, bilindiği bilindiği üzere günlük hayatta bu iki tabir arasında ayrım pek göze çarpmamaktadır Bu nedenle genellikle olay veya vaka tabirleribirbiri yerine kullanılabilmektedir. Örneğin adli bilişim vakası yerine adli bilişim olayı denilebiliyor veya Incıdent Response tabiri olaya müdahale veya vakaya müdahale şeklinde kullanılabiliyor. Bu makalemin içerisinde iki kelimenin zaman zaman birbiri yerine kullanıldığını göreceksiniz.
Güvenlik İstihbaratı Analiz Süreci
Harekete geçirecek güvenlik istihbaratı üretimi çin sadece veri ve bu amaçla kullanılan araçlardan daha fazlasına ihtiyaç vardır. İyi bir veri kaynağı e analiz aracına sahip olmak önemlidir , fakat bunların faydalı ve sonuç verecek şekilde kullanabilmek için iyi bir analiz süreci oluşturmanız gerekir . Güvenlik İstihbaratı Analizi için farklı yöntemler olsa da , genellikle bu işlem üç bölümden oluşur: Tetikleme , inceleme ve tepki
Tepki yapılacakları tespit edip gerekli adımları izlersiniz veya faaliyetleri icra edecek kişilerle iletişime geçerseniz. Güvenlik altyapınızdaki boşlukları kapatmanız vaka sonucu meydana gelen zararları gidermenize ve politika gereksinimlerini karşılamak için uygu makamlara bulgularınız rapor olarak vermeniz gerekebilir.
İncelediğiniz probleme bağlı olarak inceleme ve teşhis için farklı yaklaşımlar izleyebilirsiniz. Güvenlik analizi çalışmalarınız için standart bir süreç geliştirmeniz etkinliğiniz arttırmanın yanı sıra , gelecekte ihtiyaç duyulması halinde yapılacak bir adli bilişim soruşturmasında kullanabilecek delillere bilmeden zarar vermenizi de engeller.
Anormallik Tespiti
Anormallikleri etkin şekilde tespit etmenin yollarından biri ağınızdaki mevcut trafik patern ve davranışlarının normalle karşılaştırılmasıdır. Anormallikleri belirlediğinizde referans çizgilerden sapmalar olarak görebilirsiniz. Bu olay veya davranış aşağıda sıralı sebepler nedeniyle anormallik olarak değerlendirilebilir.
Normlardan farklı , alışılmamış veya olağan dışı
Yanlış yönde iletişim
Sıralı listenin en başında veya en sonunda, birdenbire belli bir yöne doğru akış veya aşırı dalgalanmalar
Yanlış zamanda veya yanlış yerde meydana gelme gibi tuhaf kombinasyonlar
Belli bir protokolün kullanımıyla ilgili bu tür analiz yaptığınızda kullanıcı veya hostların davranış paternleri veya genel trafik akış ve miktarında aşağıda açıklanan anormallikleri fark edebilirsiniz.
Ağınızda daha önce kullanılmayan belli port ve protokollerde ağa erişime izin verilen veya reddedilen trafik veya bunlada gözlemlenen olağan dışı artışlar.Geçmişteki paternlerinden farklı olarak belli bir bilgisayarın bant genişliği kullanımındaki ani artış.Daha önce belli bir sunucudan çalışılmamış yeni bir prosesin o sunucuda çalışmasıGüvenlik duvarı tarafından reddedilen trafikteki ani artış.
Ağ ve host tabanlı saldırı tespit sistemleri (NIDS/HIDS) gibi gelişmiş araçlar ve SIEM sistemleri ağlardaki anormallikleri tespit etmek için tasarlanmışlardır. NetFlow sistemleri , saldırıları veya ortaya çıkabilecek başka problemler gibi anormallikleri tespit etme yeteneğine sahiptir.
Analiz Hazırlığı , İnceleme ve Teşhis
Ham veriyi harekata yönelik istihbarata dönüştürürken veri toplama ve veri analiz arasında bir noktada , ham veriyi etkin bir analiz için belirlenmiş belli bir forma dönüştürmeniz gerekir . Belli bir noktaya kadar bu otomasyon sistemleriniz vasıtasıyla yapılır . Kayıtlama ve izlem araçlarınızın sağladığı imkanlardan faydalanarak incelenecek veriyi manuel olarak düzenlemeniz de gerekebilir. Veriyi hazırlama işleminde bir çok yetenek size yardımcı olur. Programla shell scripting veya batch dosyası programlama becerileri otomasyon araçları oluşturmanızı sağlayabilir. Sözcük işlem Word processing , tablolama spreadheet programları SIEM ve kayıt log analiz araçları bu süreçte size yardımcı olur.
Referans değerleri
Anormallikleri belirlemek için normal olarak tanımlanan ve ne olduğunu bilmeniz gerekmektedir.
Bu nedenle , güvenlik veri analizini hazırlığınız bir kısmı karşılaştırma için referans değerleri oluşturmaktadır. Referans değerlerini sistemlerinizin normal çalışma dönemlerinizdeki sayısal değerleri temel alarak oluşturursunuz .
Aldığınız sayısal değerler güvenlik konusuyla ilgili olmalı ve gelecekte yapacağınız performans karşılaştırmaları için performans durumlarını göstermelidir. Bu işlemlerden sonra sistemleriniz tipik çalışma paternlerini gösteren referans değerleri gelecekteki bir analizde referans noktası olarak kullanılabilir .Örneğin normal trafik miktarı trafik ve veri akış paternleri genellikle kullanılan port ve protokoller gibi hususlar referans değerleri oluşturmada kullanabilirsiniz. Bu değerleri kullanırken yukardaki anlatılan güvenlik hususlarını atlamamaya özen gösterdiğizin sürece anormalliklerden kaçınabilirsiniz.
Güzel kaliteli bir konu oldu emeğine sağlık.
Herkesin dikkat etmesi gereken hususlardan biri özellikle web hack alanında uğraşan arkadaşlar içinde faydalı bir konu oldu
