Tehdit Avcılığı Nedir?
Tehdit avcılığı, bir ağda tespit edilmemiş siber tehditleri proaktif olarak arama uygulamasıdır. Bir diğer deyişle, tehdit avcılığı genellikle ağda bulunması zor olan kötü amaçlı olayları tanımlamak ve durdurmak için gelişmiş araç setleri kullanan yüksek bilgi ve tecrübeye sahip güvenlik uzmanları tarafından gerçekleştirilir.
Microsoft’a göre, bir saldırganın, güvenliği ihlal edilmiş bir ağda keşfedilmeden önce ortalama 146 gün boyunca yaşadığı ve bu saldırıyı kalıcı bir tehdit (APT) haline getirdiği ifade edilmektedir. Bu süre zarfında, ağda bulunan saldırganların verileri dışarıya sızdırabileceği, kimlik bilgilerinin ele geçirilerek yanal hareketler ile ağda hareket edebileceği de belirtilmektedir.
Tehdit Avı Neden Gereklidir?
Birçok firma hali hazırda anti-virüs, e-posta ve web taraması, güvenlik duvarları vb. gibi güvenlik ürünlerini temin ederek ilk adımlarını atmaktadır. Katmanlı bir güvenlik stratejisi, çoğu siber güvenlik saldırılarının durdurulmasında etkin bir rol oynamaktadır. Bununla birlikte, APT saldırılarının küçük bir yüzdesinin geleneksel güvenlik ürünlerini atlatabileceği, saldırganların kötü niyetli amaçlarını gerçekleştirmek için kurum ve kuruluşların ağına erişebileceği de varsayılmalıdır. Potansiyel risk nedeniyle bir kurumu tehdit avcılığına katılmaya teşvik eden durum da bu küçük saldırı yüzdesidir.
Saldırıları tespit eden ve önleyen bir güvenlik duruşunun hazırlanması ve uygulanması doğal bir savunma yöntemidir. Buradaki ana fikir saldırı gerçekleşmeden önce durdurmayı başarmaktır. Tehdit avı ise, bir saldırganın başarılı bir şekilde erişim elde ettiği varsayımına dayanan öngörücü ve saldırgan bir taktiktir. Tehdit avcılığı, saldırganların ağ içerisinde dayanak olarak kullandığı durumları takip/tespit etmek ve zararlı herhangi bir eylem gerçekleşmeden önce adli bilişim ve tehdit istihbaratını birlikte kullanarak saldırganların erişimlerini ortadan kaldırmaktır.
Tehdit avcısı olarak tanımladığımız kişi, aynı şeyi defalarca yapmasına rağmen farklı bir sonuç beklemektedir. Carbon Black firması, “The definition of insanity is doing the same thing over and over and expecting a different result.” cümlesi ile bu duruma atıfta bulunmuştur.
Saldırganların ilk hedefleri genellikle doğrulanmış/geçerli giriş bilgilerini çalmayı içermektedir. Bu sayede kurumların ağlarının, sistemlerinin ve uygulamalarının faaliyetlerini içeriden araştırarak öğrenebilirler. Saldırganlar çalmış oldukları giriş bilgilerini birçok araç ve teknikler ile birlikte kullanılarak farklı amaçlarını yerine getirmeyi hedeflemektedirler. Bu durumlar, tehdit avcılarının aktif olarak araması gereken anomaliler içerisinde yer almaktadır.