Page 50 - bilgem-teknoloji-dergisi-12
P. 50
Siber Güvenlik BILGEM
TEKNOLOJI
Siber Tehdit İstihbaratı ile Entegrasyon
Bileşenlerin kontrolü sürecinde, kullanılan olay yö-
netimi uygulamasında siber tehdit istihbarat ürün
entegrasyonu varsa IP ve URL adresleri burada
otomatik sorgulanmalı ve kötücül itibar sahibi olma
durumları kontrol edilmelidir. Ek dosyalarına ait
özet(hash) bilgileri de tehdit istihbarat ürünleriy-
le sorgulanıp kötücül itibar sahibi olması durumu
kontrol edilmelidir. Kurumsal veri kaybı olmaması
adına ek dosyaları tehdit istihbaratı amacıyla da
olsa kurum dışına çıkmamalı, sadece özet bilgi-
si üzerinden bilgi edinilmeye çalışılmalıdır. Kurum
içerisinde sandbox teknolojisi kullanılıyorsa tüm
IP, URL ve ek dosyaları burada taratılarak kötücül
içerme veya yönlendirme durumları kontrol edilebil-
mektedir.
Ayrıca ilgili olay kaydını inceleyecek siber güvenlik
uzmanının işini kolaylaştırmak için şüpheli e-Posta Kötücül içermeyen oltalama vs. türü spamlar: Bildi-
içerisinden ayrıştırılan URL adreslerinin ekran gö- rimi yapılan e-Posta kötücül yazılım içermiyor ama
rüntüleri de otomatik olarak alınmalı ve olay kaydı çok fazla sayıda kullanıcıya gelmiş veya kullanıcıyı
içerisine eklenmelidir. aldatmaya yönelik içeriğe sahip ise bu kategoride
olduğuna karar verilmektedir. Bu durumda bildi-
Elde edilen bilgiler ışığında, olay yönetim uygula- rimi yapan kullanıcıya gerekli tüm işlemlerin siber
ması kullandığı senaryoya bağlı kalarak önceden güvenlik uzmanları tarafından yapılacağına dair
tanımlı kıstaslara uyan e-Postalar için karar verip geribildirim verilmektedir. Eğer yapılabilme imkanı
otomatik aksiyon başlatabilmektedir. Örnek olarak varsa olay yönetimi uygulaması üzerinden, yapıla-
eğer e-Posta içerisindeki herhangi bir URL adresi mıyorsa e-Posta yöneticisinden ilgili e-Postaların
tehdit istihbarat servislerinde 7’den büyük bir skora kullanıcı kutularından silinmesi istenmektedir.
sahipse veya ek dosya sandbox’ta kötücül olarak
tespit edilmiş ise e-Postayı kötücül olarak işaretle Kötücül içeren veya yönlendiren tehlikeliler: Bildirimi
yazılmalıdır. Geribildirim olarak bildirimi yapan Kullanılan senaryo ve olay yönetimi uygulaması ve karar ağacını bu kırılımdan devam ettir denile- yapılan e-Posta içerisindeki IP, URL veya ek dosyası
kullanıcıya yönlendirdiği e-Postanın alındığı ve sayesinde incelenen tüm şüpheli e-Posta bildirim- bilmektedir. kötücül bir aktiviteyi gösteriyorsa bu kategoride ol-
üzerine çalışılmaya başlandığına dair bilgilendir- lerinin gönderici adresi, konusu ve inceleme sonu- duğuna karar verilir. Bu durumda yine bildirimi ya-
me e-Postası gönderilmelidir. cu, tekrar kullanılmak üzere kaydedilmektedir. Yeni Seçenek Bazlı İşlemler pan kullanıcıya gerekli tüm işlemlerin siber güvenlik
gelen şüpheli e-Posta bildiriminin gönderici adresi Elle inceleme durumlarında ise siber güvenlik ana- uzmanları tarafından yapılacağına dair geribildirim
Bildirimi yapılan e-Postanın kurum dışından gelen ve konusu bu listede aratılmalı ve önceki ihbar- listine karar verebileceği dört adet seçenek sunul- verilmektedir. Yanıt ve kurtarma süreci içinse ilgili
şüpheli bir mail mi olduğu yoksa kurum iç yazış- lardaki inceleme sonucu kontrol edilmelidir. Eğer e-Postaların kullanıcı kutularından acilen silinmesi
malarına ait sehven bir gönderim mi olduğu tes- muştur. Analist bu seçeneklerden herhangi birini süreci başlatılmakta ve içerisindeki kötücül bile-
pit edilmelidir. e-Posta güvenlik cihazları kurum aynı gönderici adresi ve e-Posta konusu için daha işaretlediğinde geri kalan tüm işler, kullanıcıya yapı-
dışından gelen e-Postaları işaretleyebilmektedir. önceden inceleme yapılmış ise aynı karar yeniden lacak bildirim, mail silinmesi gibi işlemler otomatik şenle iletişime geçen başka kullanıcı olması duru-
Bildirimi yapılan e-Postanın kaynağının neresi ol- otomatik olarak uygulanmalıdır. Bu sayede güven- olarak yapılacaktır. mu kontrol edilmektedir. Elde edilen bulgular ışığın-
duğu bu işarete bakılarak öğrenilebilmektedir. Eğer lik analistinin aynı şüpheli e-Postayı tekrardan in- da kurtarma süreci genişletilebilmektedir.
e-Posta kuruma dışarıdan gelmemiş ise şüphe celemesi önlenmiş, zaman kazancı sağlanmış ve Kötücül içermeyen iyi huylu e-Postalar: Bildirimi
içeren bir durum olmayacağı için kullanıcıya, ilgili süreç tam otomatik çalışmış olacaktır. yapılan e-Posta içerisinde kötücül olabilecek bir Tüm bu işlemler ile birlikte kullanıcı tarafından yön-
e-Posta içerisinde şüphe edilecek bir durum ol- bileşene rastlanmaması durumudur. Kullanıcıya lendirilen e-Posta içeriği ayrıştırılmış, incelenmiş,
madığını belirtilen bildirim gönderilerek olay kaydı Tespit sürecini kolaylaştırmak için bildirimi yapı- e-Postada şüphe edilecek bir durum olmadığı bildi- oluşturduğu trafik görülmüş ve tehdit içermesi du-
kapatılmalıdır. lan e-Postanın kurum içerisinde kaç kullanıcıya rilmekte ve olay kaydı kapatılmaktadır. rumuna karar verilmiştir. Bu sayede şüpheli e-Pos-
e-Postaların Kategorizasyonu iletildiğinin kontrolü de yapılmalıdır. Bu işlem için Kötücül içermeyen reklam vs. türü spamlar: Bildiri- ta incelemesi süreci büyük oranda otomatik hale
getirilmiş ve hem hız hem analist eforu açısından
Bildirimi yapılan e-Postalar incelenip şu dört ka- olay yönetimi uygulamasında daha önceden ha- mi yapılan e-Posta reklam ve bilgilendirme amacıy- büyük kazanç sağlanmıştır.
tegoriye ayrılmalı ve bu duruma istinaden karar zırlanan sorguya, bildirilen e-Postanın gönderici la gönderilmiş olup az sayıda kullanıcıya ulaşmışsa
alınmalıdır. adresi ve konu bilgileri eklenerek kurum e-Posta bu kategoride olduğuna karar verilmektedir. Kulla- Kaynakça
Kötücül içermeyen iyi huylu e-Postalar, güvenliği veya iz kaydı sistemi üzerinde aratılma- nıcıya e-Postanın herhangi bir tehdit içermediği ve [1] SPAMLAWS, 2021. Spam Statistics and Facts. Retrieved
Kötücül içermeyen reklam vs. türü spamlar, sı sağlanmalıdır. Elde edilen sonuç olay yönetimi bu gönderici adresini kişisel olarak engelleyebilece- from https://www.spamlaws.com/spam-stats.html.
Kötücül içermeyen oltalama vs. türü spamlar, uygulamasına geri alınmalı ve doğru alanlara ya- ği bilgisi verilmektedir.
Kötücül içeren veya yönlendiren tehlikeliler zılmalıdır.
48 49