{"id":10177,"date":"2021-10-21T14:51:46","date_gmt":"2021-10-21T11:51:46","guid":{"rendered":"https:\/\/www.kaspersky.com.tr\/blog\/?p=10177"},"modified":"2022-05-05T14:25:14","modified_gmt":"2022-05-05T11:25:14","slug":"ask-the-analyst","status":"publish","type":"post","link":"https:\/\/www.kaspersky.com.tr\/blog\/ask-the-analyst\/10177\/","title":{"rendered":"Bir g\u00fcvenlik analistine nas\u0131l soru sorulur?"},"content":{"rendered":"

G\u00fcvenlik operasyon merkezleri ve bilgi g\u00fcvenli\u011fi departmanlar\u0131 \u00e7al\u0131\u015fanlar\u0131 s\u0131kl\u0131kla yard\u0131m almak i\u00e7in Kaspersky uzmanlar\u0131na ba\u015fvuruyor. Bu t\u00fcr taleplerin en yayg\u0131n nedenlerini analiz ettik ve m\u00fc\u015fterilerimizin ihtiya\u00e7 duydu\u011fu konuda do\u011frudan bir uzmana soru sormas\u0131n\u0131 sa\u011flayacak \u00f6zel bir hizmet olu\u015fturduk.<\/p>\n

Neden bir uzman\u0131n yard\u0131m\u0131na ihtiya\u00e7 duyabilirsiniz?<\/h2>\n

Su\u00e7lular hedeflerine ula\u015fmak i\u00e7in daha fazla yol bulduk\u00e7a siber sald\u0131r\u0131 tehdidi azalmak \u015f\u00f6yle dursun, her ge\u00e7en g\u00fcn s\u00fcrekli olarak art\u0131yor. Siber su\u00e7lular, uygulamalarda, sunucularda, VPN a\u011f ge\u00e7itlerinde ve i\u015fletim sistemlerinde yeni donan\u0131m ve yaz\u0131l\u0131m a\u00e7\u0131klar\u0131n\u0131 ke\u015ffediyor ve bunlar\u0131 direkt silah olarak kullan\u0131yor. Her g\u00fcn y\u00fcz binlerce yeni k\u00f6t\u00fc ama\u00e7l\u0131 yaz\u0131l\u0131m \u00f6rne\u011fi ortaya \u00e7\u0131k\u0131yor ve b\u00fcy\u00fck \u015firketler, ve hatta devlet kurumlar\u0131 da dahil olmak \u00fczere bir \u00e7ok i\u015fletme fidye yaz\u0131l\u0131m\u0131 sald\u0131r\u0131lar\u0131n\u0131n hedefi oluyor. Buna ek olarak, s\u00fcrekli \u015fekilde yeni geli\u015fmi\u015f tehditler ve APT sald\u0131r\u0131lar\u0131 da ortaya \u00e7\u0131k\u0131yor.<\/p>\n

Bu ortamda tehdit istihbarat\u0131<\/a> (TI) hayati bir rol oynar: Yeterli bir koruma sistemi olu\u015fturmak ancak sald\u0131rganlar\u0131n ara\u00e7lar\u0131 ve taktikleri hakk\u0131nda zaman\u0131nda edinilen bilgi ile etkin bir soru\u015fturma y\u00fcr\u00fct\u00fclmesi, a\u011fdaki davetsiz misafirlerin tespit edilmesi, geri p\u00fcsk\u00fcrt\u00fclmesi ve tekrar sald\u0131r\u0131lmas\u0131n\u0131 \u00f6nlemek i\u00e7in birincil sald\u0131r\u0131 vekt\u00f6r\u00fcn\u00fcn yerelle\u015ftirilmesi ile m\u00fcmk\u00fcnd\u00fcr.<\/p>\n

Belirli bir kurulu\u015fta TI uygulamak i\u00e7in TI sa\u011flay\u0131c\u0131s\u0131ndan gelen verileri pratikte verimli bir \u015fekilde kullanabilen nitelikli bir \u015firket i\u00e7i uzman bulunmas\u0131 gerekiyor. Dolay\u0131s\u0131yla bu uzman, herhangi bir tehdit soru\u015fturmas\u0131ndaki en de\u011ferli varl\u0131k haline geliyor. Bununla birlikte, siber g\u00fcvenlik analistlerini i\u015fe almak, e\u011fitmek ve tutmak, \u00f6zellikle g\u00fcn\u00fcm\u00fczde ya\u015fanan uzman eksikli\u011fi g\u00f6z \u00f6n\u00fcne al\u0131nd\u0131\u011f\u0131nda son derece maliyetlidir. Ve her \u015firket, uzman ekibini gereken d\u00fczeyde tutma maliyetini kar\u015f\u0131layamaz.<\/p>\n

S\u0131k\u00e7a sorulan sorular<\/h2>\n

\u015eirketimizde, m\u00fc\u015fterilerin siber olaylarla ba\u015fa \u00e7\u0131kmas\u0131na yard\u0131mc\u0131 olan birka\u00e7 departman bulunuyor. K\u0131saca bahsedersek bunlar, K\u00fcresel Ara\u015ft\u0131rma ve Analiz Ekibi (GReAT), K\u00fcresel Acil M\u00fcdahale Ekibi (GERT) ve tabii ki 250\u2019den fazla birinci s\u0131n\u0131f analist ve uzman\u0131 bir araya getiren Kaspersky Tehdit Ara\u015ft\u0131rma Ekibidir. Bu ekiplere, s\u00fcrekli olarak siber tehditlerle ilgili \u00e7ok say\u0131da m\u00fc\u015fteri talebi geliyor. G\u00fcncel talepleri analiz ederek a\u015fa\u011f\u0131daki kategorileri belirledik.<\/p>\n

K\u00f6t\u00fc ama\u00e7l\u0131 yaz\u0131l\u0131m veya \u015f\u00fcpheli yaz\u0131l\u0131m analizi<\/h3>\n

En s\u0131k kar\u015f\u0131la\u015f\u0131lan senaryolardan biri bu. Ma\u011fdur \u015firketin g\u00fcvenlik hizmeti veya g\u00fcvenlik operasyon merkezi (SOC), U\u00e7 Nokta G\u00fcvenli\u011fi veya Tehdit Av\u0131<\/a> kurallar\u0131na g\u00f6re tespit mekanizmas\u0131ndaki tetiklenmeyi g\u00fcnl\u00fc\u011fe kaydeder ve k\u00f6t\u00fc niyetli veya \u015f\u00fcpheli bir unsuru bulur. Ayr\u0131nt\u0131l\u0131 bir \u00e7al\u0131\u015fma yapmak i\u00e7in kendi kaynaklar\u0131na sahip olmayan \u015firket, uzmanlar\u0131m\u0131zdan tespit edilen nesnenin fonksiyonlar\u0131n\u0131, ne kadar tehlikeli oldu\u011funu ve kald\u0131r\u0131ld\u0131ktan sonra olay\u0131n \u00e7\u00f6z\u00fcld\u00fc\u011f\u00fcnden nas\u0131l emin olunaca\u011f\u0131n\u0131 belirlemelerini ister.<\/p>\n

Uzmanlar\u0131m\u0131z, m\u00fc\u015fterinin g\u00f6nderdi \u015feyi hemen belirleyebilirse (tipik sald\u0131rgan ara\u00e7lar\u0131yla ilgili devasa bir bilgi taban\u0131m\u0131z bulunuyor ve ayn\u0131 zamanda bir milyardan fazla benzersiz k\u00f6t\u00fc ama\u00e7l\u0131 yaz\u0131l\u0131m \u00f6rne\u011fi i\u00e7eriyor), an\u0131nda yan\u0131t veriyorlar. Aksi takdirde, analistlerimiz taraf\u0131ndan bir soru\u015fturma y\u00fcr\u00fct\u00fclmesi gerekiyor. Karma\u015f\u0131k olaylarda bu soru\u015fturma olduk\u00e7a uzun zaman alabiliyor.<\/p>\n

Risk g\u00f6stergeleri hakk\u0131nda ek bilgi<\/h3>\n

\u00c7o\u011fu \u015firket, risk g\u00f6stergeleri (IoC\u2019ler) i\u00e7in bir \u00e7ok kaynak kullan\u0131r. IoC\u2019lerin de\u011feri, b\u00fcy\u00fck \u00f6l\u00e7\u00fcde ba\u011flam\u0131n, yani g\u00f6stergenin ne oldu\u011funu ve tespitinin ne anlama geldi\u011fini a\u00e7\u0131klayan ek bilgilerin mevcudiyetinde ba\u011fl\u0131d\u0131r. Ger\u00e7ekte, ba\u011flam her zaman mevcut de\u011fildir. Dolay\u0131s\u0131yla SOC analistleri, \u00f6rne\u011fin SIEM sisteminde belirli bir IoC tespit edilmesinin ard\u0131ndan bir tetikleyicinin varl\u0131\u011f\u0131n\u0131 g\u00f6rebiliyor olsa ve bir olay\u0131n ya\u015fanabiliyor oldu\u011funu fark edebilse de daha fazla ara\u015ft\u0131rma yapabilece\u011fi bilgiye sahip de\u011fildir.<\/p>\n

Bu durumda, tespit edilen IoC hakk\u0131nda bilgi alabilmek i\u00e7in bize ba\u015fvurabiliyorlar. Olduk\u00e7a s\u0131k olarak, bu t\u00fcr IoC\u2019ler \u201cilgin\u00e7\u201d oluyor. \u00d6rne\u011fin bir keresinde, \u015firketin trafik ak\u0131\u015f\u0131nda tespit edilen bir IP adresi (yani, bu IP adresine \u015firket a\u011f\u0131ndan eri\u015filen) g\u00f6nderildi. Bu adreste bar\u0131nd\u0131r\u0131lan \u015feyler aras\u0131nda, her t\u00fcr siber su\u00e7lu taraf\u0131ndan s\u0131kl\u0131kla kullan\u0131lan g\u00fc\u00e7l\u00fc bir uzaktan y\u00f6netim arac\u0131 (veya basit\u00e7e bir arka kap\u0131) olan Cobalt Strike adl\u0131 bir yaz\u0131l\u0131m y\u00f6netim sunucusu bulunuyordu. Tespit edilen durum, neredeyse kesin \u015fekilde \u015firketin sald\u0131r\u0131 alt\u0131nda (ger\u00e7ek bir sald\u0131r\u0131 veya s\u0131zma testi) oldu\u011funu g\u00f6steriyordu. Uzmanlar\u0131m\u0131z bu arka kap\u0131 hakk\u0131nda ek bilgi sa\u011flad\u0131 ve tehdidi etkisiz hale getirmek ve tehlikenin temel nedenini belirlemek i\u00e7in olay m\u00fcdahale (IR) prosed\u00fcr\u00fcn\u00fcn hemen ba\u015flat\u0131lmas\u0131n\u0131 \u00f6nerdi.<\/p>\n

Y\u00f6ntemler, teknikler ve prosed\u00fcrler hakk\u0131nda bilgi talebi<\/h3>\n

IoC\u2019ler asla bir \u015firketin bir sald\u0131r\u0131y\u0131 durdurmas\u0131 veya bir olay\u0131 ara\u015ft\u0131rmas\u0131 i\u00e7in ihtiya\u00e7 duydu\u011fu tek \u015fey de\u011fildir. Sald\u0131r\u0131n\u0131n arkas\u0131ndaki siber su\u00e7lu grubu belirlendikten sonra SOC analisti genellikle grubun y\u00f6ntemleri, teknikleri ve prosed\u00fcrleri (TTP\u2019ler) hakk\u0131nda bilgi edinmek ister. Yani, sald\u0131rganlar\u0131n altyap\u0131ya nereden ve nas\u0131l s\u0131zm\u0131\u015f olabilece\u011fini, a\u011fda yerle\u015fik olmak i\u00e7in genellikle hangi y\u00f6ntemleri kulland\u0131klar\u0131n\u0131 ve verileri nas\u0131l s\u0131zd\u0131rd\u0131klar\u0131n\u0131 belirlemesini sa\u011flamas\u0131 i\u00e7in grubun i\u015fleyi\u015f bi\u00e7imi konusunda ayr\u0131nt\u0131l\u0131 a\u00e7\u0131klamalara ihtiya\u00e7 duyarlar. Tehdit \u0130stihbarat Raporlama hizmetimizin bir par\u00e7as\u0131 olarak bu bilgileri m\u00fc\u015fterilerimize sunuyoruz.<\/p>\n

Genellikle siber su\u00e7 y\u00f6ntemleri, ayn\u0131 grup i\u00e7inde bile, \u00e7e\u015fitlilik g\u00f6sterir ve son derece ayr\u0131nt\u0131l\u0131 bir raporda bile olas\u0131 t\u00fcm detaylar\u0131 a\u00e7\u0131klamak m\u00fcmk\u00fcn de\u011fildir. Bu nedenle, APT ve su\u00e7 yaz\u0131l\u0131m\u0131 tehdit raporlar\u0131m\u0131z\u0131 kullanan TI m\u00fc\u015fterileri, bazen belirli bir ba\u011flamda, bir sald\u0131r\u0131da kullan\u0131lan tekni\u011fin kendileriyle olan ili\u015fkisi hakk\u0131nda bizden ek bilgi talep eder.<\/p>\n

T\u00fcm bu (ve daha pek \u00e7ok) sorunun yan\u0131t\u0131, daha \u00f6nce \u00f6zel hizmetler arac\u0131l\u0131\u011f\u0131yla veya s\u0131n\u0131rl\u0131 teknik destek \u00e7er\u00e7evesinde vermi\u015f oldu\u011fumuz yan\u0131tlard\u0131r. Ancak, talep say\u0131s\u0131nda g\u00f6zlemledi\u011fimiz art\u0131\u015f ve ara\u015ft\u0131rma birimlerimizin sundu\u011fu uzmanl\u0131k ve bilginin de\u011ferini anlad\u0131ktan sonra, uzman tavsiyelerimize tek bir giri\u015f noktas\u0131 \u00fczerinden h\u0131zl\u0131 eri\u015fim imkan\u0131 sunan \u00f6zel Kaspersky Analiste Sor hizmetini ba\u015flatmaya karar verdik.<\/p>\n

Kaspersky Analiste Sor<\/h2>\n

Bu yeni hizmet, m\u00fc\u015fteri temsilcilerinin (\u00f6ncelikli olarak SOC analistleri ve bilgi g\u00fcvenli\u011fi \u00e7al\u0131\u015fanlar\u0131) Kaspersky uzmanlar\u0131ndan a\u015fa\u011f\u0131da listelenen konularda tavsiye almas\u0131na ve b\u00f6ylece kendi ara\u015ft\u0131rma maliyetlerini d\u00fc\u015f\u00fcrmesine olanak tan\u0131r. Do\u011fru zamanda edinilen tehdit bilgilerinin ne kadar \u00f6nemli oldu\u011funu biliyoruz; bu nedenle, her t\u00fcr iste\u011fe g\u00f6re bir SLA\u2019m\u0131z bulunuyor. Kaspersky Analiste Sor ile bilgi g\u00fcvenli\u011fi uzmanlar\u0131:<\/p>\n