Siber Güvenliğin Yeni Silahı: Tehdit Avcılığı Teknikleri

📅 3 Oca 2026⏱️ 7 dk💬 0 comments

Siber Güvenliğin Yeni Silahı: Tehdit Avcılığı Teknikleri

Günümüzün hızla değişen siber tehdit ortamında, sadece bilinen saldırıları engellemek veya alarmlara yanıt vermek yeterli değildir. Gelişmiş kalıcı tehditler (APT'ler) ve sıfırıncı gün açıkları, geleneksel güvenlik sistemlerinin radarına takılmadan uzun süre sistemlerde barınabilir. İşte bu noktada Tehdit Avcılığı (Threat Hunting) devreye girer: proaktif bir yaklaşımla, henüz tespit edilmemiş veya fark edilmemiş kötü niyetli faaliyetleri ağınızda, uç noktalarınızda ve loglarınızda aktif olarak aramak. Bu yazı, organizasyonunuzun siber direncini artırmak için kullanabileceğiniz temel tehdit avcılığı tekniklerini ve neden bu konuya yatırım yapmanız gerektiğini açıklayacaktır.

1. Kural Tabanlı ve Anomali Tespitiyle Avcılık

Tehdit avcılığının temel taşlarından biri, bilinen güvenlik kurallarını aşan veya olağan dışı görünen etkinlikleri aramaktır. Geleneksel güvenlik bilgi ve olay yönetimi (SIEM) sistemleri kural tabanlı uyarılar üretirken, tehdit avcıları bu kuralların ötesine geçerek istatistiksel ve makine öğrenimi tabanlı anomali tespitini kullanır. Yapay zeka algoritmaları, bir kullanıcının veya sistemin normal davranış modelini öğrenerek, bu modelden sapmaları hızla belirleyebilir. Örneğin, bir kullanıcının normalde erişmediği sunuculara aniden erişmesi veya alışılmadık saatlerde oturum açması bir anomali olarak işaretlenebilir.

2. Davranışsal Analiz ve Kullanıcı Varlık Davranışı Analizi (UEBA)

Siber saldırganlar genellikle bir ağı tehlikeye atmak için yasal kullanıcı kimlik bilgilerini kullanır. Kullanıcı ve Varlık Davranışı Analizi (UEBA), tehdit avcılarına bir kullanıcının veya varlığın (örneğin bir sunucunun) zaman içindeki normal davranış profilini oluşturma ve bu profilden önemli sapmaları tespit etme yeteneği sağlar. Örneğin, bir yöneticinin normalde kullandığı işletim sisteminden farklı bir işletim sisteminden sisteme erişim denemesi, aniden büyük miktarda veri indirmesi veya nadiren kullandığı sistem komutlarını çalıştırması potansiyel bir uzlaşmaya işaret edebilir. UEBA çözümleri, bu tür sapmaları tespit etmek için gelişmiş makine öğrenimi modellerinden faydalanır.

3. Tehdit İstihbaratına Dayalı Avcılık

Tehdit istihbaratı (Threat Intelligence), bilinen saldırı vektörleri, kötü amaçlı yazılım türleri, göstergeler (IoC'ler) ve saldırgan teknikleri, taktikleri ve prosedürleri (TTP'ler) hakkında değerli bilgiler sağlar. Tehdit avcıları, bu istihbaratı kullanarak ağlarında belirli IoC'leri (örneğin kötü amaçlı IP adresleri, dosya karmaları) veya TTP'leri (örneğin Pass-the-Hash saldırıları) aktif olarak arayabilir. Bu yöntem, özellikle belirli bir sektördeki veya coğrafyadaki hedeflere yönelik saldırı kampanyalarını erken aşamada tespit etmek için kritik öneme sahiptir. API'ler aracılığıyla güncel tehdit beslemeleri almak ve bunları mevcut güvenlik çözümlerinizle entegre etmek, avcılık faaliyetlerinizin etkinliğini artırır.

Örnek Senaryo: Olası Yanal Hareketin Tespiti

Bir tehdit avcısı, UEBA verilerini inceleyerek normalde yalnızca belirli bir iş istasyonundan erişen bir kullanıcının, aniden ağdaki birden fazla sunucuya farklı kimlik bilgileriyle erişmeye çalıştığını fark eder. Bu durum, yanal hareketin (lateral movement) ve bir saldırganın ağ içinde yükselmeye çalıştığının güçlü bir göstergesidir. Tehdit avcısı, aşağıdaki adımları izleyerek şüpheli etkinliği daha derinlemesine inceleyebilir:

  1. Logları İncele: Kullanıcının kimlik doğrulama loglarını, başarılı/başarısız oturum açma denemelerini, eriştiği kaynakları ve kullanılan protokelleri (RDP, SMB, SSH) kontrol et.
  2. Süreç Monitörleme: İlgili sunucularda çalışan şüpheli süreçleri veya beklenmedik komut çalıştırmalarını araştır.
  3. Ağ Trafiği: Kullanıcının veya kaynak IP adreslerinin dışarıya doğru anormal bağlantılar kurup kurmadığını kontrol et.

Basit bir Python betiğiyle, SIEM sistemlerinden çekilen loglarda belirli bir kullanıcının anormal bağlantı paternlerini tespit etme örneği:

import pandas as pd

def detect_anomalous_connections(log_data, user_id):
    df = pd.DataFrame(log_data)
    user_activity = df[df['user'] == user_id]

    # Kullanıcının normalde bağlandığı hedef IP'leri belirle
    normal_destinations = user_activity['dest_ip'].value_counts()
    
    # Çok nadir veya tek seferlik bağlantıları tespit et
    anomalous_connections = normal_destinations[normal_destinations <= 2].index.tolist()
    
    if anomalous_connections:
        print(f"Kullanıcı '{user_id}' için anormal hedef IP adresleri tespit edildi: {anomalous_connections}")
        # Detaylı logları getir
        print(user_activity[user_activity['dest_ip'].isin(anomalous_connections)])
    else:
        print(f"Kullanıcı '{user_id}' için anormal bağlantı tespiti yapılmadı.")

# Örnek log verisi (gerçek bir senaryoda SIEM'den çekilecektir)
example_logs = [
    {'timestamp': '2023-10-26 10:00:00', 'user': 'ali.veli', 'src_ip': '192.168.1.10', 'dest_ip': '10.0.0.1', 'action': 'login'},
    {'timestamp': '2023-10-26 10:05:00', 'user': 'ali.veli', 'src_ip': '192.168.1.10', 'dest_ip': '10.0.0.2', 'action': 'data_access'},
    {'timestamp': '2023-10-26 10:10:00', 'user': 'ali.veli', 'src_ip': '192.168.1.10', 'dest_ip': '10.0.0.1', 'action': 'logout'},
    {'timestamp': '2023-10-26 14:30:00', 'user': 'ali.veli', 'src_ip': '192.168.1.11', 'dest_ip': '172.16.0.5', 'action': 'login'},
    {'timestamp': '2023-10-26 14:35:00', 'user': 'ali.veli', 'src_ip': '192.168.1.11', 'dest_ip': '172.16.0.6', 'action': 'data_transfer'}
]

detect_anomalous_connections(example_logs, 'ali.veli')

Bu betik, Ali Veli kullanıcısının genellikle bağlandığı IP adreslerini öğrenir ve az sayıda bağlandığı (veya yeni bağlandığı) IP'leri potansiyel anomali olarak işaretler. Gerçek tehdit avcılığı senaryolarında, bu tür analizler çok daha karmaşık ve büyük veri setleri üzerinde yürütülür.

Siber Güvenliğinizi Güçlendirin

Tehdit avcılığı, statik güvenlik çözümlerinin ötesine geçerek siber savunmanızı proaktif hale getirir. Organizasyonunuzu sürekli gelişen tehditlere karşı korumak için, deneyimli bir ekip ve ileri teknoloji çözümlerle tehdit avcılığı yeteneklerinizi geliştirmeniz hayati önem taşır. Uzmanlığımızla birleşen yapay zeka ve makine öğrenimi destekli çözümlerimizle, şirketinizin siber güvenlik duruşunu güçlendirmek için buradayız. Daha güvenli bir geleceğe adım atmak için bugün bizimle iletişime geçin ve kurumunuzun özel ihtiyaçlarına uygun çözümleri keşfedin!

#Tehdit Avcılığı#Siber Güvenlik#SIEM#UEBA#Yapay Zeka#Olay Müdahalesi