Giriş
Bulut geçişleri, siber güvenlik açısından yeni tehditler ve gözden kaçırılan alanlar yaratmaktadır. Gerçek zamanlı görünürlük, bu bağlamda siber savunma için artık kaçınılmaz bir gereksinim haline gelmiştir.
Bulutun Basitlik İllüzyonu
“Güvenlik endişelenme, bulut her şeyi halleder!” ifadeleriyle, bulut geçiş sürecinde güvenliğin kendi kendine sağlanacağı vaaz edilmiştir. Ancak dinamik altyapılar, örtüşen API’ler, konteyner yayılması ve çok bulut mimarileri, güvenlik ekiplerinin koruması gereken yeni saldırı yüzeyleri ve gözden kaybolan alanlar oluşturmuştur.
Günümüzde yaygın saldırılar, EDR araçlarını da atlatabildiği için savunucular, bulut güvenliğinin de ağ savunması gibi trafik görünürlüğü gerektirdiğini hatırlamaktadır.
Analistin Avantajı ve Veri Normalizasyonu Sorunu
Bulut yerli logların standartlaştırılması zorlayıcıdır; çünkü her sağlayıcı farklı alanlar ve yapı kullanmaktadır. Corelight’tan CSTO Vince Stoffer, “Bulut araştırma ekiplerimiz, API çağrılarının devasa hacmi ve bulut sağlayıcıları arasında sürekli yeni hizmetlerin eklenmesi nedeniyle log standartlaştırmasının ve analizinin gerçek bir zorluk olduğunu anlamaktadır” demektedir.
Bu parçalanma, ağ telemetrisinin önemini vurgular; bu da sağlayıcılar ve ortamlar arasında tutarlılığı sağlamaktadır. Neyse ki, çoğu siber güvenlik analisti zaten ağ verilerine bakma konusunda tecrübelidir, bu sayede bulut telemetrisi benzer şekilde ifade edildiğinde, alışılmadık veya şüpheli kalıpları hızla fark edebilirler.
Dinamik Bulut Ortamlarında Düşman Kalıplarını Tespit Etme
Bulut dağıtımları daha dinamik ve karmaşık hale geldikçe, güvenlik temelleri değişmez. Kısa ömürlü yükler bile istikrarlı kalıplarla iletişim kurmakta ve tahmin edilebilir portlar kullanmaktadır. Savunucuların göz önünde bulundurması gereken güvenilir sinyaller arasında:
- Düşmanların dışarıya veri sızdırmak veya C2’yi sürdürmek için alışılmadık portlar veya ağ protokolleri ile iletişim kurması
- Üretim konteynerlerinde ve yönetilen hizmetlerde sapmalar, bunlar genellikle dağıtım sonrasında değişmez ve tutarlıdır
- Düşmanların admin erişimi ile ev sahibi sensörleri ve konteyner çalışma zamanı izleme sensörlerini devre dışı bırakması
- İki sistem veya hizmet arasında keşif veya sayım aktivitelerinin alışılmadık işaretleri ki bu, düşmanların kaynakları haritalandırdığını gösterebilir
Ağ düzeyinde telemetri toplama, büyük ölçüde değiştirilmesi zor ve ev sahibi bütünlükten bağımsız görünürlük sağlar. Ağ verisini, uç nokta verisiyle ve süreç düzeyinde bağlam sağlayan konteyner çalışma zamanı verisiyle birleştirmek, bulut yerli güvenlikteki boşlukları doldurabilir ve dinamik bulut ortamlarındaki algılama doğruluğunu artırabilir.
Öneriler ve Eylem Planı
Ağ izleme, bulut güvenliğinin anahtarıysa, bir sonraki soru “Neyi izlemeliyiz?” olmalıdır.
- Doğudan batıya ve kuzeyden güneye trafik: Bulut içi iletişimler (hizmetten hizmete, düğümden düğüme) ve internet girişi/çıkışı
- Konteyner trafiği (Kubernetes): Uygulama dağıtımından sonra sapmaları belirleme
- TLS metadata: (SNI, sertifika konuları) yönetilen hizmet uç noktalarını ortaya çıkarmak ve hizmete yönelik baz oluşturmak
- DNS Verisi: Kötü amaçlı domainlerle iletişimi ve ağ tünellemesini tanımlamak
- Akış logları: Genişlik ve derinlik için trafik ayna görüntüleme/pcap kullanmak
Etkili bir iş akışı oluşturmak için şu adımlar takip edilmelidir:
- Akış loglarını ve trafik ayna görüntülemeyi açın, gecikme ve doğruluklarını not alın.
- Bulut ağ telemetrisini tek bir platforma çekin, standartlaştırın ve verilerle birlikte bağlamın taşınmasını sağlamak için bulut envanteri ve etiketlerle zenginleştirin.
- Temel değer oluşturun ve ayarlayın: rol, hizmet, port ve bilinen dış ortaklara göre. Önce kritik hizmetlerle başlayın, sonra gürültüyü azaltmaya çalışın.
- Çıkışı sıkı şekilde izleyin. Kritik noktaları kapalı tutun ve yeni domain veya IP’ler için gözlem yapın.
- Yönetim hizmeti erişimini profilleyin TLS metadata ile; ilk kez görülen API’lerde, uç noktalarda veya bölgelerde uyarılar oluşturun.
- Koin madenleri için avlanın: Bilinen havuzlar ve karakteristik protokollerle bağlantılar kurun.
- Konteynerlerde interaktif protokolleri işaretleyin (SSH/RDP/VNC) ve kümeler içindeki lateral hareket kalıplarını izleyin.
- Uç nokta ihlallerini birbiriyle ilişkilendirin; bir kullanıcı cihazı ihlal edildiğinde, bulut çıkışına geçin.
Devamlı doğrulama ile kendinizi dürüst tutun; düşmanları taklit etmek, infostealer, kripto madenciliği, C2 ve şüpheli admin davranışlarını tespit edip edemediğinizi doğrulamanıza yardımcı olacaktır.
Siber güvenliğin temel ilkelerini modern mimarilere uygulamak, çok bulut güvenliğini sağlamak mümkündür. Saldırganlar AI’ye dayanırken ve güvenilir kontrolleri aşarken, ağ görünürlüğü sadece isteğe bağlı değil, ortamınızı anlamanın ve tehditleri olay haline gelmeden yakalamanın temeli olmuştur.
Sonuç olarak, sistemlerinizi güncelleyin, port kapatın ve sürekli görevleri izlemek için tetikte olun.
