Güvenlik ihlali göstergeleri (IOC) nelerdir?
Güvenlik ihlali göstergelerini izleme, belirleme, kullanma ve yanıtlama hakkında bilgi edinin.
Güvenlik ihlaliyle göstergelerinin açıklaması
Güvenlik ihlali göstergesi (IOC), birisinin bir kuruluşun ağını veya uç noktayı ihlal etmiş olabileceğinin kanıtıdır. Bu adli veriler yalnızca potansiyel bir tehdide işaret etmez; aynı zamanda kötü amaçlı yazılım, risk altındaki kimlik bilgileri veya veri sızdırma gibi bir saldırının zaten gerçekleştiğine de işaret eder. Güvenlik uzmanları olay günlükleri, kapsamlı algılama ve yanıt (XDR) çözümleri ve güvenlik bilgileri ve olay yönetimi (SIEM) çözümlerinde IOC'leri arar. Bir saldırı sırasında ekip, tehdidi ortadan kaldırmak ve hasarı azaltmak için IOC'leri kullanır. Kurtarma sonrasında IOC'ler kuruluşun ne olduğunu daha iyi anlamasına yardımcı olur, böylece kuruluşun güvenlik ekibi güvenliği güçlendirebilir ve benzer bir olayın daha yaşanma riskini azaltabilir.
IOC’lerin örnekleri
IOC güvenliğinde BT, bir saldırının devam ettiğine dair aşağıdaki ipuçlarını bulmak için ortamı izler:
Trafik anomalileri
Çoğu kuruluşta, dijital ortama giren ve çıkan trafiğin tutarlı desenleri vardır. Kuruluştan önemli ölçüde daha fazla verinin çıkması veya ağdaki olağandışı bir konumdan gelen etkinlik olması gibi bu durum değiştiğinde, bu bir saldırının işareti olabilir.
Olağan dışı oturum açma denemeleri
Trafiğe benzer şekilde insanların çalışma alışkanlıkları da tahmin edilebilir. Genellikle hafta boyunca aynı yerlerden ve yaklaşık olarak aynı saatlerde oturum açarlar. Güvenlik uzmanları, günün belirli saatlerinde veya kuruluşun ofisinin bulunmadığı bir ülke gibi alışılmadık coğrafyalarda yapılan oturum açma işlemlerine dikkat ederek risk altındaki bir hesabı algılayabilir. Aynı hesapta birden fazla başarısız oturum açma işlemine dikkat etmek de önemlidir. İnsanlar periyodik olarak parolalarını unutsalar veya oturum açarken sorun yaşasalar da genellikle birkaç denemeden sonra bu sorunu çözebilirler. Tekrarlanan başarısız oturum açma girişimleri, birisinin çalıntı bir hesap kullanarak kuruluşa erişmeye çalıştığını gösterebilir.
Ayrıcalık hesabı düzensizlikleri
İçeriden veya dışarıdan birçok saldırgan, yönetici hesaplarına erişmek ve hassas verileri ele geçirmek ister. Birisinin ayrıcalıklarını artırmaya çalışması gibi bu hesaplarla ilişkili alışılmadık davranışlar bir ihlalin işareti olabilir.
Sistem yapılandırmalarında yapılan değişiklikler
Kötü amaçlı yazılımlar genellikle uzaktan erişimi etkinleştirmek veya güvenlik yazılımını devre dışı bırakmak gibi sistem yapılandırmalarında değişiklik yapmak üzere programlanır. Güvenlik uzmanları, bu beklenmedik yapılandırma değişikliklerini izleyerek, çok fazla hasar meydana gelmeden önce bir ihlali belirleyebilir.
Beklenmeyen yazılım yüklemeleri veya güncelleştirmeleri
Çoğu saldırı, (kötü amaçlı yazılım veya fidye yazılımı gibi) dosyaları erişilemez hale getirmek veya saldırganların ağa erişmesini sağlamak için tasarlanmış yazılımların yüklenmesiyle başlar. Kuruluşlar, planlanmamış yazılım yüklemelerini ve güncelleştirmelerini izleyerek bu IOC'leri hızlı bir şekilde yakalayabilir.
Aynı dosya için çok sayıda istek
Tek bir dosya için birden fazla istek, kötü niyetli bir aktörün onu çalmaya çalıştığını ve ona erişmek için çeşitli yöntemler denediğini gösterebilir.
Olağan Dışı Etki Alanı Adı Sistemleri istekleri
Bazı kötü niyetli aktörler komuta ve kontrol adı verilen bir saldırı yöntemini kullanır. Bir kuruluşun sunucusuna, sahip oldukları bir sunucuyla bağlantı oluşturan kötü amaçlı yazılım yüklerler. Daha sonra verileri çalmak veya işlemleri aksatmak için sunucularından virüslü makineye komutlar gönderirler. Olağandışı Etki Alanı Adı Sistemleri (DNS) istekleri, BT'nin bu saldırıları algılamasına yardımcı olur.
IOC'ler neden önemlidir?
IOC'leri izlemek bir kuruluşun güvenlik riskini azaltmak açısından kritik öneme sahiptir. IOC'lerin erken algılanması, güvenlik ekiplerinin saldırıları hızla yanıtlamasını ve çözmesini sağlayarak kesinti süresini ve kesinti miktarını azaltır. Düzenli izleme aynı zamanda ekiplere kurumsal güvenlik açıkları hakkında daha fazla bilgi sağlar ve bu daha sonra azaltılabilir.
Güvenlik ihlali göstergelerini yanıtlama
Güvenlik ekipleri bir IOC'yi belirledikten sonra, kuruluşa mümkün olduğunca az zarar verilmesini sağlamak için etkili bir şekilde yanıtlamaları gerekir. Aşağıdaki adımlar kuruluşların odaklanmasına ve tehditleri mümkün olduğunca çabuk durdurmasına yardımcı olur:
Olay yanıtı planı oluşturma
Bir olaya müdahale etmek stresli ve zamana duyarlıdır çünkü saldırganlar ne kadar uzun süre fark edilmezse hedeflerine ulaşma olasılıkları da o kadar artar. Birçok kuruluş, bir müdahalenin kritik aşamalarında ekiplere rehberlik etmeye yardımcı olmak için birolay yanıtı planı geliştirir. Plan, kuruluşun bir olayı nasıl tanımladığını, rolleri ve sorumlulukları, bir olayı çözmek için gereken adımları ve ekibin çalışanlarla ve dış paydaşlarla nasıl iletişim kurması gerektiğini ana hatlarıyla belirtir.
Risk altındaki sistemleri ve cihazları yalıtma
Bir kuruluş bir tehdit algıladığında, güvenlik ekibi saldırı altındaki uygulamaları veya sistemleri hızla diğer ağlardan yalıtır. Bu, saldırganların işletmenin diğer kısımlarına erişmelerini engellemeye yardımcı olur.
Adli analiz yapma
Adli analiz, kuruluşların kaynak, saldırı türü ve saldırganın hedefleri de dahil olmak üzere bir ihlalin tüm yönlerini ortaya çıkarmasına yardımcı olur. Güvenlik ihlalinin kapsamını anlamak için saldırı sırasında analiz yapılır. Kuruluş saldırıdan kurtarıldıktan sonra ek analiz, ekibin olası güvenlik açıklarını ve diğer bilgileri anlamasına yardımcı olur.
Tehdidi ortadan kaldırma
Ekip, saldırganı ve tüm kötü amaçlı yazılımları etkilenen sistemlerden ve kaynaklardan kaldırır; bu, sistemlerin çevrimdışına alınmasını da gerektirebilir.
Güvenlik ve süreç geliştirmeleri uygulama
Kuruluş olaydan kurtarıldıktan sonra,’saldırının neden gerçekleştiğini ve kuruluşun bunu önlemek için yapabileceği herhangi bir şey olup olmadığını değerlendirmek önemlidir. Gelecekte benzer bir saldırı riskini azaltacak basit süreç ve ilke iyileştirmeleri olabilir veya ekip, bir güvenlik yol haritasına eklenecek daha uzun vadeli çözümler belirleyebilir.
IOC Çözümleri
Çoğu güvenlik ihlali, günlük dosyalarında ve sistemlerinde adli bir iz bırakır. Bu IOC'leri belirlemeyi ve izlemeyi öğrenmek, kuruluşların saldırganları hızla yalıtmasına ve ortadan kaldırmasına yardımcı olur. Birçok ekip, IOC'leri ortaya çıkarmak ve bunları diğer olaylarla ilişkilendirmek için yapay zeka ve otomasyonu kullanan Microsoft Sentinel ve Microsoft Defender XDR gibi SIEM çözümlerine yöneliyor. Olay yanıtı planı, ekiplerin saldırıların önüne geçmesini ve saldırıları hızlı bir şekilde durdurmasını sağlar. Siber güvenlik söz konusu olduğunda, şirketler neler olduğunu ne kadar hızlı anlarsa, para veya itibar kaybetmeden bir saldırıyı durdurma olasılıkları da o kadar artar. IOC güvenliği, kuruluşların yüksek maliyetli ihlal riskini azaltmasına yardımcı olmak için çok önemlidir.
Microsoft Güvenlik hakkında daha fazla bilgi edinin
Microsoft tehdit koruması
En son tehdit koruması ile kuruluşunuz genelindeki olayları belirleyin ve yanıtlayın.
Microsoft Sentinel
Güçlü bir bulut tabanlı SIEM çözümü ile karmaşık tehditleri ortaya çıkarın ve kararlı bir şekilde yanıtlayın.
Microsoft Defender XDR
XDR çözümleriyle uç noktalar, e-postalar, kimlikler, uygulamalar ve veriler genelinde saldırıları durdurun.
Tehdit analizi topluluğu
Microsoft Defender Tehdit Analizi topluluk sürümünden en son güncelleştirmeleri alın.
Sık sorulan sorular
-
Birkaç tür IOC vardır. En yaygın olanlardan bazıları şunlardır:
- Trafik anomalileri
- Olağan dışı oturum açma denemeleri
- Ayrıcalık hesabı düzensizlikleri
- Sistem yapılandırmalarında yapılan değişiklikler
- Beklenmeyen yazılım yüklemeleri veya güncelleştirmeleri
- Aynı dosya için çok sayıda istek
- Olağan Dışı Etki Alanı Adı Sistemleri istekleri
-
Güvenlik ihlali göstergesi, bir saldırının zaten gerçekleştiğini gösteren dijital kanıttır. Saldırı göstergesi, bir saldırının meydana gelme ihtimalinin kanıtıdır. Örneğin, kimlik avı saldırısı bir saldırı göstergesidir çünkü saldırganın şirkete ihlalde bulunduğuna dair hiçbir kanıt yoktur. Ancak, birisi bir kimlik avı bağlantısına tıklayıp kötü amaçlı yazılım indirirse, kötü amaçlı yazılımın yüklenmesi, bir güvenlik ihlali göstergesidir.
-
E-postadaki güvenlik ihlali göstergeleri arasında ani bir gereksiz e-posta akışı, garip ekler veya bağlantılar veya bilinen bir kişiden gelen beklenmedik bir e-posta yer alır. Örneğin, bir çalışanın bir iş arkadaşına garip bir ek içeren bir e-posta göndermesi, hesabının risk altında olduğu anlamına gelebilir.
-
Risk altındaki bir sistemi belirlemenin birden fazla yolu vardır. Belirli bir bilgisayarın trafiğindeki değişiklik, risk altında olduğunun bir göstergesi olabilir. Normalde bir sisteme ihtiyacı olmayan bir kişi düzenli olarak sisteme erişmeye başlarsa bu bir tehlike işaretidir. Sistemdeki yapılandırmalarda yapılan değişiklikler veya beklenmeyen bir yazılım yüklemesi de sistemin risk altında olduğunun göstergesi olabilir.
-
Üç IOC örneği:
- Kuzey Amerika'da bulunan bir kullanıcı hesabı, Avrupa'dan şirket kaynaklarında oturum açmaya başlar.
- Çeşitli kullanıcı hesaplarında binlerce erişim isteği, kuruluşun deneme yanılma saldırısı kurbanı olduğunu gösterir.
- Yeni bir sunucudan veya çalışanların ve müşterilerin ikamet etmediği bir ülkeden gelen Yeni Etki Alanı Adı Sistemleri istekleri.
Microsoft’u takip edin