Siber Tehdit Avcılığı Nedir?

Siber Tehdit Avcılığı

Siber tehdit avcılığı network ya da data set içerisinde olan güvenlik çözümlerinden kaçan tehditleri tekrarlı olarak; arama,tespit etme ve izole etme sürecidir. Genel olarak amacı sitem zarar görmeden önlem alma süreci haline getirmektedir.

Siber Tehdit Avcılığı Nasıl Yapılır?

1- Hipotez Oluşturmak

Bir ava ilk önce hipotez üreterek başlanır. Bilişim altyapısında gerçekleşme ihtimali olan saldırı senaryosu ile ilgili hipotez kurulur. Kurumun sistemleri, servisleri, ağ altyapısı gibi siber saldırılar göz önünde bulundurulmalıdır. Örnek olarak veri kaçırma hipotezi seçildiğinde ağla bağlantılı Powershell prosesleri, HTTP PUT metodunun kullanımı ve HTTP User Agent başlıklarında Powershell kullanımı gibi öğeler incelenmeye alınmalıdır.

2- İncelemek / Bağlantı Kurmak

Oluşturulan tüm hipotezler detaylı bir şekilde incelelenmelidir. Verilerin birbiriyle olan bağlantısını tespit edilir. Yöntemler seçilirken verinin hangi yöntemle daha kullanışlı analiz edileceği göz önünde bulundurulmalıdır.

3- Teknik, Taktik ve Prosedür Tespit Etmek

Bu süreçte araç ve teknikler kullanılarak zararlı davranışlar belirlenir ve saldırganın saldırı yollarının tekniği ortaya çıkarılır. (TTPs). Bu tehdit avcılığının en önemli kısmıdır.

4-Analizleri Geliştirmek

Son olarak bu kısımda elde edilen verileri geliştirmek fayda sağlayacaktır. Aynı av içinsürekli aynı yolu izlemek doğru bir yaklaşım olmayacaktır. Tehdidi yakalayacak bir yöntem belirleyip otomatize ettikten sonra sonra tehdit avı takımı başka tehditlere yönelebilir.