Günümüzde saldırganların kullandığı teknikler (TTPs) o kadar hızlı gelişiyor ki, zaman zaman mevcut
güvenlik çözümleri yeni tehditlere karşı önlem alana kadar kurumsal ağlar çoktan ele geçirilmiş oluyor.
Her ne kadar kabul etmesi zor olsa bile kurumsal ağınızın saldırganlar tarafından çoktan ele geçirilmiş
ve bir yerlere veri aktarıyor olma ihtimalleri oldukça yüksek.
Her geçen gün yenisini duyduğumuz güvenlik ihlalleri ve veri sızıntılarına dair haberler, güvenlik çözümlerinin
bazen tehditleri engellemede çok geç kalabileceğini dramatik şekilde bize gösteriyor. Yaşanan
gerçek siber saldırı örnekleri, kurumları tehdit avcılığı (Threat Hunting) kavramıyla tanışmaya zorluyor.
1. Threat Hunting
(Tehdit Avı) Nedir?
Tehdit Avcılığı, güvenlik açıklarını gider-
mek veya siber tehditleri engellemek
(prevent/detect) gibi aksiyonların
ötesinde bir süreçtir. Genel olarak Threat
Hunting, kurumların kullandığı güvenlik
mekanizmalarını daha önce bir şekilde
aşmış olan saldırganları ve onların
sistemler üzerine yerleştirdiği araçları
bulmayı hedefler.
Gerek kurumsal ortamlar, gerek küçük ve
orta ölçekli işletmeler için Threat Hunt-
ing/Incident Response gibi süreçleri
gerçekleştirecek profesyoneller bulmak
vakit alabilir.
Günümüzde saldırganların kullandığı teknikler (TTPs) o kadar hızlı gelişiyor ki, zaman zaman mevcut
güvenlik çözümleri yeni tehditlere karşı önlem alana kadar kurumsal ağlar çoktan ele geçirilmiş oluyor.
Her ne kadar kabul etmesi zor olsa bile kurumsal ağınızın saldırganlar tarafından çoktan ele geçirilmiş
ve bir yerlere veri aktarıyor olma ihtimalleri oldukça yüksek.
Her geçen gün yenisini duyduğumuz güvenlik ihlalleri ve veri sızıntılarına dair haberler, güvenlik çözüm-
lerinin bazen tehditleri engellemede çok geç kalabileceğini dramatik şekilde bize gösteriyor. Yaşanan
gerçek siber saldırı örnekleri, kurumları tehdit avcılığı (Threat Hunting) kavramıyla tanışmaya zorluyor.
IOC Tabanlı Tehdit Avcılığı Yeterli Mi?
Günümüzde, imza tabanlı çözümlerin yeterliliği tartışılan bir konu olsa da özellikle sofistike olmayan
tehditlerin tespit edilmesi sürecinde hala aktif rol oynamakta. IOC-tabanlı çözümler, bilinen tehditleri
engellemeye yönelik kullanılan platformlardan biridir fakat günümüzde zararlı yazılımlar çoğunlukla
kendi kendini modifiye edebilme ya da değiştirebilme özelliğine sahiptir.
Bu durum zararlı yazılımın kendisinden ve bileşenlerinden çıkarılabilecek değerlerin (indicator) dina-
mik olması anlamına gelir ki, bu durum global IOC imzaları çıkarmayı zorlaştırır. Örneğin; zararlı yazılım
kendi hash değerini veya zararlı yazılımın oluşturduğu dosyaların isimlerini, registry değerleri gibi sabit
olduğu varsayılan değerleri sürekli değiştirebilir.
Sorunları, Sorunlar Sizi Bulmadan Bulun!
2. TRAPMINE + ThreatHunter, kurumsal ağınız üzerinde Threat Hunting ve Incident Response süreçlerini
işletebilmenize yardımcı olur. TRAPMINE + ThreatHunter, kurumsal ağınız üzerinde halihazırda var olan
tehditleri belirlemeniz ve bu tehditlere karşı kolayca aksiyon almanızı sağlar.
TRAPMINE + ThreatHunter platformu ile en basit Threat Hunting süreçlerinin dışında enfekte sistemler
üzerinden kolayca Forensic verisi çıkarabilirsiniz. Örneğin, dosya sistemi üzerinden elde ettiğiniz veril-
erle hızlıca “Timeline Analiz” gerçekleştirebilirsiniz. Aynı zamanda TRAPMINE ile enfekte sistemleri
tespit edebileceğiniz gibi bu sistemler üzerinde tespit ettiğiniz tehditleri daha sonra analiz etmek üzere
uzaktan yedekleyebilirsiniz.
Aynı zamanda, bir zararlı yazılım aynı familyadan olsa bile davranışları farklı olabilir. Örnek vermek
gerekirse, aynı işlemi gerçekleştiren bir zararlı yazılımın persistency mekanizmaları farklı olabilir.
Kurumsal ağlarda, IOC-tabanlı çözümler kullanmak teorik olarak biz çözüm olsa dahi pratikte IOC-taban-
lı çözümlerin yanlış alarm (false-positive) üretebilme olasılığı oldukça yüksektir.
TRAPMINE Hakkında
TRAPMINE A.Ş, kurumları gelişmiş siber saldırılara ve sıfırıncı gün (zero-day) ataklara karşı koruma
amacıyla inovatif siber güvenlik yazılımları üreten bir şirkettir. TRAPMINE, zafiyet araştırmaları, exploit
geliştirme ve zararlı kod analizi konusunda uzman, uluslararası bilgi güvenliği camiasında söz sahibi ve
tanınmış güvenlik araştırmacılar tarafından kurulmuştur.
TRAPMINE, yeni nesil bir uç nokta güvenliği çözümüdür. TRAPMINE, diğer geleneksel güvenlik çözümleri
gibi imza ve sandbox tabanlı bir çözüm değildir. Tamamen Davranışsal ve Makine Öğrenmesi tabanlı
yöntemler izleyerek atak tekniklerini ve tehditleri engelleyen, imza ve güncelleştirme gerektirmeyen ,
sistem performansını etkisi olmayan kaynak tüketimi minimum düzeyde olan bir güvenlik çözümüdür.
Daha fazla bilgi ve demo için lütfen www.trapmine.com adresini ziyaret ediniz.
TRAPMINE HQ
Narva maantee 5, 10117, Tallinn, ESTONIA
TRAPMINE MENA
Brandium Rezidans R4 Blok D:321,
Kucukbakkalkoy Mahallesi Dereboyu Caddesi
No:23-25 Atasehir, Istanbul, TURKIYE
Telefon: +90 232 433 03 29
Faks: +90 232 469 85 62
E-posta: info@trapmine.com
TRAPMINE LATVIA
Gustava Zemgala Gatve 78, Vidzemes
Priekšpilsēta, Rīga, LATVIA
www.trapmine.com