Bir güvenlik analistine nasıl soru sorulur?

Güvenlik operasyon merkezleri ve bilgi güvenliği departmanları çalışanları sıklıkla yardım almak için Kaspersky uzmanlarına başvuruyor. Bu tür taleplerin en yaygın nedenlerini analiz ettik ve müşterilerimizin ihtiyaç duyduğu konuda doğrudan bir uzmana soru sormasını sağlayacak özel bir hizmet oluşturduk.

Neden bir uzmanın yardımına ihtiyaç duyabilirsiniz?

Suçlular hedeflerine ulaşmak için daha fazla yol buldukça siber saldırı tehdidi azalmak şöyle dursun, her geçen gün sürekli olarak artıyor. Siber suçlular, uygulamalarda, sunucularda, VPN ağ geçitlerinde ve işletim sistemlerinde yeni donanım ve yazılım açıklarını keşfediyor ve bunları direkt silah olarak kullanıyor. Her gün yüz binlerce yeni kötü amaçlı yazılım örneği ortaya çıkıyor ve büyük şirketler, ve hatta devlet kurumları da dahil olmak üzere bir çok işletme fidye yazılımı saldırılarının hedefi oluyor. Buna ek olarak, sürekli şekilde yeni gelişmiş tehditler ve APT saldırıları da ortaya çıkıyor.

Bu ortamda tehdit istihbaratı (TI) hayati bir rol oynar: Yeterli bir koruma sistemi oluşturmak ancak saldırganların araçları ve taktikleri hakkında zamanında edinilen bilgi ile etkin bir soruşturma yürütülmesi, ağdaki davetsiz misafirlerin tespit edilmesi, geri püskürtülmesi ve tekrar saldırılmasını önlemek için birincil saldırı vektörünün yerelleştirilmesi ile mümkündür.

Belirli bir kuruluşta TI uygulamak için TI sağlayıcısından gelen verileri pratikte verimli bir şekilde kullanabilen nitelikli bir şirket içi uzman bulunması gerekiyor. Dolayısıyla bu uzman, herhangi bir tehdit soruşturmasındaki en değerli varlık haline geliyor. Bununla birlikte, siber güvenlik analistlerini işe almak, eğitmek ve tutmak, özellikle günümüzde yaşanan uzman eksikliği göz önüne alındığında son derece maliyetlidir. Ve her şirket, uzman ekibini gereken düzeyde tutma maliyetini karşılayamaz.

Sıkça sorulan sorular

Şirketimizde, müşterilerin siber olaylarla başa çıkmasına yardımcı olan birkaç departman bulunuyor. Kısaca bahsedersek bunlar, Küresel Araştırma ve Analiz Ekibi (GReAT), Küresel Acil Müdahale Ekibi (GERT) ve tabii ki 250’den fazla birinci sınıf analist ve uzmanı bir araya getiren Kaspersky Tehdit Araştırma Ekibidir. Bu ekiplere, sürekli olarak siber tehditlerle ilgili çok sayıda müşteri talebi geliyor. Güncel talepleri analiz ederek aşağıdaki kategorileri belirledik.

Kötü amaçlı yazılım veya şüpheli yazılım analizi

En sık karşılaşılan senaryolardan biri bu. Mağdur şirketin güvenlik hizmeti veya güvenlik operasyon merkezi (SOC), Uç Nokta Güvenliği veya Tehdit Avı kurallarına göre tespit mekanizmasındaki tetiklenmeyi günlüğe kaydeder ve kötü niyetli veya şüpheli bir unsuru bulur. Ayrıntılı bir çalışma yapmak için kendi kaynaklarına sahip olmayan şirket, uzmanlarımızdan tespit edilen nesnenin fonksiyonlarını, ne kadar tehlikeli olduğunu ve kaldırıldıktan sonra olayın çözüldüğünden nasıl emin olunacağını belirlemelerini ister.

Uzmanlarımız, müşterinin gönderdi şeyi hemen belirleyebilirse (tipik saldırgan araçlarıyla ilgili devasa bir bilgi tabanımız bulunuyor ve aynı zamanda bir milyardan fazla benzersiz kötü amaçlı yazılım örneği içeriyor), anında yanıt veriyorlar. Aksi takdirde, analistlerimiz tarafından bir soruşturma yürütülmesi gerekiyor. Karmaşık olaylarda bu soruşturma oldukça uzun zaman alabiliyor.

Risk göstergeleri hakkında ek bilgi

Çoğu şirket, risk göstergeleri (IoC’ler) için bir çok kaynak kullanır. IoC’lerin değeri, büyük ölçüde bağlamın, yani göstergenin ne olduğunu ve tespitinin ne anlama geldiğini açıklayan ek bilgilerin mevcudiyetinde bağlıdır. Gerçekte, bağlam her zaman mevcut değildir. Dolayısıyla SOC analistleri, örneğin SIEM sisteminde belirli bir IoC tespit edilmesinin ardından bir tetikleyicinin varlığını görebiliyor olsa ve bir olayın yaşanabiliyor olduğunu fark edebilse de daha fazla araştırma yapabileceği bilgiye sahip değildir.

Bu durumda, tespit edilen IoC hakkında bilgi alabilmek için bize başvurabiliyorlar. Oldukça sık olarak, bu tür IoC’ler “ilginç” oluyor. Örneğin bir keresinde, şirketin trafik akışında tespit edilen bir IP adresi (yani, bu IP adresine şirket ağından erişilen) gönderildi. Bu adreste barındırılan şeyler arasında, her tür siber suçlu tarafından sıklıkla kullanılan güçlü bir uzaktan yönetim aracı (veya basitçe bir arka kapı) olan Cobalt Strike adlı bir yazılım yönetim sunucusu bulunuyordu. Tespit edilen durum, neredeyse kesin şekilde şirketin saldırı altında (gerçek bir saldırı veya sızma testi) olduğunu gösteriyordu. Uzmanlarımız bu arka kapı hakkında ek bilgi sağladı ve tehdidi etkisiz hale getirmek ve tehlikenin temel nedenini belirlemek için olay müdahale (IR) prosedürünün hemen başlatılmasını önerdi.

Yöntemler, teknikler ve prosedürler hakkında bilgi talebi

IoC’ler asla bir şirketin bir saldırıyı durdurması veya bir olayı araştırması için ihtiyaç duyduğu tek şey değildir. Saldırının arkasındaki siber suçlu grubu belirlendikten sonra SOC analisti genellikle grubun yöntemleri, teknikleri ve prosedürleri (TTP’ler) hakkında bilgi edinmek ister. Yani, saldırganların altyapıya nereden ve nasıl sızmış olabileceğini, ağda yerleşik olmak için genellikle hangi yöntemleri kullandıklarını ve verileri nasıl sızdırdıklarını belirlemesini sağlaması için grubun işleyiş biçimi konusunda ayrıntılı açıklamalara ihtiyaç duyarlar. Tehdit İstihbarat Raporlama hizmetimizin bir parçası olarak bu bilgileri müşterilerimize sunuyoruz.

Genellikle siber suç yöntemleri, aynı grup içinde bile, çeşitlilik gösterir ve son derece ayrıntılı bir raporda bile olası tüm detayları açıklamak mümkün değildir. Bu nedenle, APT ve suç yazılımı tehdit raporlarımızı kullanan TI müşterileri, bazen belirli bir bağlamda, bir saldırıda kullanılan tekniğin kendileriyle olan ilişkisi hakkında bizden ek bilgi talep eder.

Tüm bu (ve daha pek çok) sorunun yanıtı, daha önce özel hizmetler aracılığıyla veya sınırlı teknik destek çerçevesinde vermiş olduğumuz yanıtlardır. Ancak, talep sayısında gözlemlediğimiz artış ve araştırma birimlerimizin sunduğu uzmanlık ve bilginin değerini anladıktan sonra, uzman tavsiyelerimize tek bir giriş noktası üzerinden hızlı erişim imkanı sunan özel Kaspersky Analiste Sor hizmetini başlatmaya karar verdik.

Kaspersky Analiste Sor

Bu yeni hizmet, müşteri temsilcilerinin (öncelikli olarak SOC analistleri ve bilgi güvenliği çalışanları) Kaspersky uzmanlarından aşağıda listelenen konularda tavsiye almasına ve böylece kendi araştırma maliyetlerini düşürmesine olanak tanır. Doğru zamanda edinilen tehdit bilgilerinin ne kadar önemli olduğunu biliyoruz; bu nedenle, her tür isteğe göre bir SLA’mız bulunuyor. Kaspersky Analiste Sor ile bilgi güvenliği uzmanları:

• GReAT yazarları ve Kaspersky Tehdit Araştırma Ekibi tarafından genişletilmiş IoC ve analiz bağlamı dahil olmak üzere Kaspersky Tehdit İstihbaratı raporlarından ek veriler alabilir. Tam olarak içinde bulunduğunuz duruma bağlı olarak, şirketinizde tespit edilen göstergeler ile raporlarda açıklanan faaliyet arasındaki bir bağlantıyı değerlendirebilir.
• Tespit edilen örneklerin davranışına ilişkin ayrıntılı bir analiz alabilir, amaçlarını belirleyebilir ve saldırının sonuçlarını hafifletmek için öneriler alabilir. Kaspersky Küresel Acil Müdahale Ekibi’nin (GERT) olay müdahale uzmanları bu görevde onlara yardımcı olur.
• Belirli bir kötü amaçlı yazılım ailesinin (örneğin, fidye yazılımının belirli bir parçası) açıklamasını ve buna karşı korunmaya ilişkin tavsiyeleri ve ayrıca belirli IoC’ler (hesaba dayalı adreslemeler, URL’ler, IP adresleri) için uyarıların veya bunların gerçekleştiği olayların saptanmasına öncelik verilmesine yardımcı olacak ek bağlam edibilirler. Bu bilgiler kendilerine Kaspersky Tehdit Araştırması uzmanları tarafından sunulur.
• Kötüye kullanıma karşı Kaspersky ürünlerinin sağladığı korumaya ilişkin bilgilerin yanı sıra belirli güvenlik açıkları ve önem düzeylerine ilişkin açıklamasını alabilirler. Bu veriler de aynı şekilde Kaspersky Tehdit Araştırması uzmanları tarafından sunulur.
• Verilerin bireysel olarak dark web’de araştırılmasını (aramasını) isteyebilirler. Bu araştırma, müşteriyle ilgili tehditler hakkında değerli bilgiler sunar ve bu da siber saldırıları önleme veya etkilerini azaltma konusundaki etkin güvenlik önlemlerini ortaya koyar. İnceleme Kaspersky Güvenlik Hizmetleri uzmanları tarafından yürütülür.

Bu hizmetler hakkında daha fazla bilgiye resmi internet sitesinden ulaşabilirsiniz.