GenelSiber Güvenlik

Etkili Siber Tehdit Avcılığı için 5 Pratik Teknik

teknomers
teknomers


Contents

Siber tehditleri, saldırma veya ciddi hasara yol açma şansına sahip olmadan önce ele almak, herhangi bir şirketin benimseyebileceği açık ara en iyi güvenlik yaklaşımıdır. Bunu başarmak için çok fazla araştırma ve proaktif tehdit avcılığı gerekir. Buradaki sorun, sonsuz veri dizileri arasında sıkışıp kalmanın ve ilgili hiçbir bilginin elde edilememesinin kolay olmasıdır.

Bunu önlemek için, şirketinizin tehdit farkındalığını ve genel güvenliğini artıracağı kesin olan, savaşta test edilmiş bu beş tekniği kullanın.

Bölgenizdeki kuruluşları hedef alan tehditleri bulma

Şirketiniz için mevcut tehdit ortamı hakkında bilgi edinmenin en temel ancak yüksek etkili yolu, gidip bölgenizdeki diğer kuruluşların ne tür saldırılara maruz kaldığını görmektir.

Çoğu durumda, tehdit aktörleri tek bir kampanya kapsamında onlarca işletmeyi aynı anda hedeflemeye çalışır. Bu, tehdidi erken yakalamanızı ve kuruluşunuzda doğru ayarlamaları yapmanızı mümkün kılar.

Güvenliğinize nasıl katkıda bulunur:

  • Daha hedefli ve etkili savunma stratejisi.
  • Doğru tehdit önceliklendirmesi.
  • Kaynak optimizasyonu.

Nasıl çalışır:

Ülkenizdeki mevcut tehdit ortamı hakkında bilgi edinmenin birkaç yolu olsa da, HERHANGİ BİR ÇALIŞMA bunun için en kapsamlı ve kullanıcı dostu çözümlerden birini sunuyor.

Dünya çapında 500.000’den fazla güvenlik uzmanı tarafından ANY.RUN’un sanal alanına yüklenen en son kötü amaçlı yazılım ve kimlik avı örneklerine ilişkin analiz raporlarından oluşan devasa bir halka açık veritabanını çalıştırır.

Her sanal alan oturumundan kapsamlı veriler çıkarılır ve ANY.RUN aracılığıyla kullanıcılar tarafından aranabilir. Tehdit İstihbaratı (TI) Araması. Hizmet, IP adresleri ve dosya karmalarından kayıt defteri anahtarları ve mutekslere kadar 40’tan fazla farklı parametre sunarak, en küçük göstergeleri kullanarak tehditleri doğrulukla belirlemenize yardımcı olur.

Özellikle kötü amaçlı dosyalara odaklanmak istediğimizden URL’leri aramanın dışında bırakırken (NOT operatörünü kullanarak) Almanya’daki kuruluşları ne tür kimlik avı tehditlerinin hedef aldığını görmek istediğimizi varsayalım. Bunu yapmak için TI Lookup’a aşağıdaki sorguyu yazabiliriz:

tehditAdı:”kimlik avı” VE gönderimÜlke:”de” NOT görevType:”url”

Siber Tehdit Avcılığı
TI Lookup tarafından gösterilen her sanal alan oturumunu keşfedebilirsiniz

Saniyeler içinde, kimlik avı belgelerini, e-postaları ve Almanya’daki kullanıcılar tarafından ANY.RUN’a gönderilen diğer içerik türlerini içeren herkese açık sanal alan oturumlarının bir listesini alıyoruz.

Tehditlere ilişkin ek bilgiler edinmek ve paha biçilmez istihbarat toplamak için her oturumu tamamen ücretsiz olarak yakından gözlemleyebilirsiniz.

Siber Tehdit Avcılığı
Kimlik avı e-postasının analizini gösteren, TI Arama sonuçlarındaki korumalı alan oturumlarından biri

Yukarıdaki resimde gösterildiği gibi, analiz sırasında kaydedilen tüm ağ ve sistem etkinlikleriyle birlikte saldırının tamamını çalışırken görebiliriz.

Kuruluşunuzun güvenliğini nasıl artırabileceğini görmek için TI Lookup’ın 14 günlük ÜCRETSİZ deneme sürümünü edinin.

Şüpheli sistem ve ağ yapıtlarını TI araçlarıyla kontrol etme

Orta ölçekli kuruluşların güvenlik departmanları ortalama bir günde yüzlerce uyarı alır. Bunların hepsi gerektiği gibi takip edilmiyor ve bu da saldırganların yararlanabileceği bir boşluk bırakıyor. Ancak, tüm şüpheli yapıların TI araçlarıyla doğrulanmasına yönelik bir katman daha eklemek, kuruluşları önemli mali ve itibar kayıplarından potansiyel olarak kurtarabilir.

Güvenliğinize nasıl katkıda bulunur:

  • Kötü amaçlı etkinliklerin erken tespiti.
  • Saldırganların kullandığı taktik ve tekniklerin anlaşılması.
  • Etkiyi en aza indirmek için olaya hızlı müdahale.

Nasıl çalışır:

Güvenlik departmanları için yaygın bir senaryo, olağandışı IP bağlantılarıyla uğraşmaktır. Uyarı üreten meşru adreslerin pek çok örneği olduğundan, bazı çalışanların kayıtsız kalması ve gerçek kötü niyetli adreslerin paçadan kaçmasına izin vermesi kolaydır.

Bu gibi durumları ortadan kaldırmak için çalışanlar TI Arama’daki tüm IP adreslerini kontrol edebilir. Aşağıda olası sorguya bir örnek verilmiştir:

hedef IP:”78[.]110[.]166[.]82″

Siber Tehdit Avcılığı
TI Arama, alanlar, bağlantı noktaları ve olaylar dahil her gösterge için ek bilgi sağlar

Hizmet, bu IP’nin kötü niyetli yapısı hakkında bizi anında bilgilendirir ve daha fazla bağlam sağlar: tehdidin adı (Ajan Tesla) ve bu IP’nin kaydedildiği sanal alan oturumları.

Benzer şekilde, güvenlik uzmanları şüpheli komut dosyalarının kullanımı gibi sistem olaylarını kontrol edebilir. Herhangi birinin kötü niyetli faaliyetlerle bağlantılı olup olmadığını görmek için birden fazla göstergeyi aynı anda dahil edebiliriz.

Bu sorguyu düşünün:

commandLine:”C:\Users\Public\*.ps1″ VEYA commandLine:”C:\Users\Public\*.vbs”

İki tür komut dosyasını arayacak şekilde ayarlanmıştır: Genel dizine yerleştirilen .ps1 ve .vbs biçimindeki komut dosyaları.

Bu scriptlerin dosya adlarını bilmediğimiz için bunları * joker karakteriyle değiştirebiliriz.

Siber Tehdit Avcılığı
Sorguyla eşleşen komut dosyaları

TI Arama bize çok sayıda sanal alan oturumunda bulunan eşleşen komut dosyalarının bir listesini sağlar.

Siber Tehdit Avcılığı
İstenen komut dosyalarını içeren korumalı alan oturumlarının listesi

Artık isimlerini toplayabilir, bir saldırı kapsamında nasıl çalıştıklarını görebilir ve keşfedilen bilgilere dayanarak önleyici tedbirler alabiliriz.

Belirli TTP’lere göre tehditleri keşfetme

Bilinen güvenlik ihlali göstergelerini (IOC’ler) engellemek güvenliğinizin önemli bir unsuru olsa da, bunlar düzenli olarak değişme eğilimindedir. Bu nedenle saldırganların sektörünüzdeki kuruluşlara bulaşmak için kullandığı taktiklere, tekniklere ve prosedürlere (TTP’ler) güvenmek daha sürdürülebilir bir yaklaşımdır.

TI araçlarıyla, ilgilendiğiniz TTP’leri kullanan tehditleri izleyebilir, davranışlarını gözlemleyebilir ve şirketinizin tespit yeteneklerini geliştirmek için onlar hakkında çok değerli bilgiler toplayabilirsiniz.

Güvenliğinize nasıl katkıda bulunur:

  • Saldırgan yöntemlerine ilişkin ayrıntılı bilgiler.
  • Spesifik karşı önlemlerin geliştirilmesi.
  • Ortaya çıkan tehditlere karşı proaktif savunma.

Nasıl çalışır:

TI Arama, düzinelerce TTP’yi içeren, eyleme geçirilebilir bir MITRE ATT&CK matrisi sağlar ve bunlara, bu tekniklerin uygulandığı kötü amaçlı yazılım ve kimlik avı tehditleri içeren korumalı alan oturumları eşlik eder.

Siber Tehdit Avcılığı
TI Arama, eyleme dönüştürülebilir bir MITRE ATT&CK matrisi sunar

Ücretsizdir ve kayıtlı olmayan kullanıcılar tarafından bile kullanılabilir. Saldırıların nasıl gerçekleştirildiğini keşfedebilir ve belirli TTP’leri kullanan belirli tehditleri bulabilirsiniz.

Siber Tehdit Avcılığı
TI Arama, her TTP için tehdit örnekleri sağlar

Yukarıdaki resim, hizmetin, saldırganlar tarafından güvenlik araçlarını değiştirmek ve tespit edilmekten kaçınmak için kullanılan bir teknik olan T1562.001 hakkında nasıl bilgi sağladığını göstermektedir.

Merkezde, TI Arama, belirli kötü amaçlı etkinlikleri tanımlayan bu teknikle ilgili imzaları listeler. Sağ tarafta ilgili tehditlere ilişkin raporları inceleyebilirsiniz.

Gelişen tehditleri izleme

Kuruluşlar saldırılara uyum sağladıkça tehditler altyapılarını değiştirme ve gelişme eğilimindedir. Bu nedenle, bir zamanlar şirketiniz için risk oluşturan tehditlerin izini asla kaybetmemeniz hayati önem taşıyor. Bu, bu tehdidin en son örnekleri ve yeni göstergeleri hakkında güncel bilgiler alınarak yapılabilir.

Güvenliğinize nasıl katkıda bulunur:

  • Ortaya çıkan tehditleri azaltmak için zamanında eylemler.
  • Güvenlik ekipleri için gelişmiş durumsal farkındalık.
  • Gelecekteki saldırılara daha iyi hazırlık.

Nasıl çalışır:

TI Arama, belirli tehditler, güvenlik ihlali göstergeleri, davranış göstergeleri ve farklı veri noktalarının kombinasyonları hakkındaki güncellemeler hakkında bildirimler almak için abone olmanıza olanak tanır.

Siber Tehdit Avcılığı
Bildirim almak için sorgunuzu girmeniz ve abone ol düğmesini tıklamanız yeterlidir.

Bu, yeni değişkenlerden ve gelişen tehditlerden haberdar olmanızı ve savunmanızı neredeyse gerçek zamanlı olarak gerektiği gibi uyarlamanızı sağlar.

Örneğin, Lumma Stealer ile ilgili yeni alan adları ve diğer ağ etkinlikleri hakkında bilgi almak için bir sorguya abone olabiliriz:

tehditAdı:”lumma” VE alanAdı:””

Siber Tehdit Avcılığı
TI Arama, her abonelik için yeni sonuçlar hakkında sizi bilgilendirir

Yakında yeni güncellemelerin nasıl görünmeye başladığını göreceğiz.

Siber Tehdit Avcılığı
Yeni sonuçları gösteren TI Araması

Abone olduğunuz sorguya tıkladığınızda yeni sonuçlar görüntülenecektir. Bizim durumumuzda Lumma’nın dahil olduğu saldırılarda kullanılan yeni portları gözlemleyebiliyoruz.

Üçüncü taraf raporlarından zenginleştirilmiş bilgiler

Mevcut tehdit ortamına ilişkin raporlar, kuruluşlarınızı hedef alabilecek saldırılara ilişkin önemli bir istihbarat kaynağıdır. Ancak içerdikleri bilgiler oldukça sınırlı olabilir. Mevcut bilgilerin üzerine inşa edebilir ve ek ayrıntıları ortaya çıkarmak için kendi araştırmanızı yapabilirsiniz.

Güvenliğinize nasıl katkıda bulunur:

  • Tehdit manzarasının daha eksiksiz bir resmini sağlamak.
  • Tehdit verileri doğrulaması.
  • Daha bilinçli karar verme.

Nasıl çalışır:

Bunu düşün İmalat şirketlerini hedef alan son saldırı Lumma ve Amadey kötü amaçlı yazılımlarıyla. Kampanyayla ilgili daha fazla örnek bulmak için raporda özetlenen bulguları takip edebiliriz.

Bunu yapmak için iki ayrıntıyı birleştirebiliriz: tehdidin adı ve saldırganlar tarafından kullanılan .dll dosyası:

filePath:”dbghelp.dll” VE tehditAdı:”lumma”

Siber Tehdit Avcılığı
Sorguyla eşleşen korumalı alan oturumları

TI Arama, düzinelerce eşleşen sanal alan oturumu sunarak orijinal raporda sağlanan verileri önemli ölçüde zenginleştirmenize ve bu verileri bu saldırıya karşı savunmanızı bilgilendirmek için kullanmanıza olanak tanır.

TI Arama ile Kuruluşunuzda Tehdit Avcılığını İyileştirin ve Hızlandırın

ANY.RUN’un Tehdit İstihbaratı Araması, genel kötü amaçlı yazılım ve kimlik avı örneklerinden elde edilen en son tehdit verilerine merkezi erişim sağlar.

Kuruluşlara şu konularda yardımcı olur:

  • Proaktif Tehdit Belirleme: Keşfedilen istihbarata dayanarak savunmanızı proaktif olarak belirlemek ve güncellemek için veritabanında arama yapın.
  • Daha Hızlı Araştırma: Yalıtılmış IOC’leri belirli tehditlere veya bilinen kötü amaçlı yazılım kampanyalarına hızla bağlayarak tehdit araştırmasını hızlandırın.
  • Gerçek Zamanlı İzleme: İlgilendiğiniz göstergelerle ilgili yeni sonuçlara ilişkin güncellemeler alarak gelişen tehditleri izleyin.
  • Olay Adli Tıp: Mevcut yapılara ilişkin bağlamsal bilgileri arayarak güvenlik olaylarının adli analizini geliştirin.
  • IOC Koleksiyonu: İlgili tehdit bilgileri için veritabanında arama yaparak ek göstergeleri keşfedin.

TI Lookup’ın 14 günlük ücretsiz deneme sürümünü edinin tüm yeteneklerini test etmek ve kuruluşunuzun güvenliğine nasıl katkıda bulunabileceğini görmek için.



siber-2

Avrupalı ​​otomobil devleri Renault ve Stellantis talaş kıtlığı nedeniyle üretimi durdurdu
Marvels’ın Son Fragmanı “Her Şeyi Değiştiren An”ı Tanıtıyor
Çelişkili ama gerçek: Meizu, Huawei akıllı telefonları için kılıflar yayınladı – Mate 60 Pro ve Mate 60 Pro Plus
Hardcore Level 100’e Ulaşan İlk Diablo 4 Oyuncuları Heykele İsim Ekleyecek
Day of the Devs Uygulamalı Önizlemeleri – Bağımsız Cennet
ETİKETLENDİ:
Bu Makaleyi Paylaş
Önceki Makale Koklama alerjiniz mi var? Korkak Burun Mantarlarınız Suçlu Olabilir
Sonraki Makale Amazon Prime Video: 2024’ün en iyi şovları

Sanal Medya

Son Eklenenler

Breville İndirim Kodu: Haziran 2026’da $700 Tasarruf Fırsatı
Genel
32GB DDR5 RAM Artık En Az 375 Dolar – AI Kıtlığı PC İnşaatını Zorluyor
Donanım
HTTP İstekleri için Bir Yalan Dedektörü: Zaman İçinde Analitik – DEV Community
Yazılım
Pura İndirim Kodları: Mayıs 2026’da $20 Tasarruf Edin!
Genel
Donanım Dünyası: Computex 2026, 2. Gün – Röportajlar ve Paneller
Donanım
Benchmark ilk büyüme fonunu 2 milyar dolarlık finansmanla hayata geçiriyor
Genel