THREAT HUNTING: Saldırganı İçeride Yakalamak
Çoğu güvenlik sistemi pasif çalışmaktadır. Alarm verir, log tutar ve saldırı olursa tepki verir. Ama asıl problem şudur;
- Sessiz çalışır,
- İz bırakmaz,
- Haftalarca içeride kalır.
İşte bu noktada klasik SOC yaklaşımı yetmeyecektir.
Threat Hunting Nedir?
Threat Hunting, sistem içinde gizlenmiş olabilecek saldırganları aktif olarak arama sürecine denir.
Yani;
- Alarm beklemezsin,
- Logları incelersin,
- Anormallikleri yakalarsın
SOC vs Threat Hunting
|
SOC |
Threat Hunting |
|---|---|
|
Reaktif |
Proaktif |
|
Alarm bekler |
Şüphe ile başlar |
|
Kural bazlı |
Davranış bazlı |
|
SIEM alert |
Log analizi |
Şüpheli Kullanıcı Aktivitesi
Senaryo
Bir çalışan hesabı:
- Normalde 09:00–18:00 arası aktif
- Sadece Türkiye’den giriş yapıyor
Ama loglarda:
- 03:12’de login
- Farklı IP (yurt dışı)
- Ardından veri export
Analiz Akışı
1.Anomali Tespiti
Log:
User: ahmet.yilmaz
Login Time: 03:12
IP: 185.xxx.xxx.xxx
Location: RussiaBelirlenen senaryoya göre normal davranışa uygun gözükmüyor.
2.Korelasyon
Aynı kullanıcı:
- 03:14 => File download
- 03:16 => Admin panel erişimi
Bu artık rastgele gözükmüyor.
3.Derin İnceleme
- Kullanıcının cihazı incelenir,
- Token vb. erişim bilgileri çalınmış olabilir.
- VPN / Proxy kullanılmış olabilir.
4. Sonuç
- Hesap compromise olmuş,
- İçeriden veri akışı dışarıya sağlanıyor.
Durum Değerlendirmesi
1. Hesap Ele Geçirilmiş
- Phishing veya credential stuffing
2. Normal User Gibi Davranıyor
- Bu yüzden alarm tetiklenmedi
3. SIEM Tek Başına Yetmedi
- Çünkü kural yok
4. Threat Hunting Yakaladı
- Anomali fark edildi
Hunting Teknikleri
1. IOC Hunting
- Bilinen kötü IP / hash
2. Behavioral Hunting
- Normal dışı davranış
3. Hypothesis-Based Hunting
- “Eğer saldırgan içerideyse ne yapar?”
4. Threat Intel Driven
- APT pattern takibi
Kullanılan Araçlar
SIEM
- Splunk
- ELK
EDR
- CrowdStrike
- Defender
UEBA
- Kullanıcı davranışı analizi
Log Kaynakları
- Windows Event Logs
- Firewall logs
- VPN logs
Gerçek Vaka
- HVAC vendor hesabı ele geçirildi
- Network’e giriş sağlandı
- POS sistemlerine ulaşıldı
Alarm vardı fakat, kimse analiz etmemişti.
Nasıl Uygulanır?
1. Log Topla
- Her şey loglanmalı
2. Baseline Oluştur
- Normal davranışı öğren
3. Anomali Ara
- Saat, IP, davranış
4. Sürekli Analiz
- Haftalık değil => sürekli
5. Otomasyon + İnsan
- AI + Analyst birlikte çalışmalı
Özet Tablo
|
Aşama |
Amaç |
|---|---|
|
Log |
Veri |
|
Analiz |
Anomali |
|
Korelasyon |
Saldırı |
|
Müdahale |
Engelleme |
Teknik olarak, SIEM, EDR ve loglama sistemleri saldırıları tespit edebilecek kapasiteye sahiptir. Ancak uygulamada:
- Logların aktif olarak analiz edilmemesi;
- Sadece alarm bazlı güvenlik yaklaşımının benimsenmesi;
- Anomali tespiti ve davranış analizinin yetersiz olması;
- Güvenlik ekiplerinin proaktif değil reaktif çalışması;
- Saldırganların sessiz ve düşük profilli hareket etmesi
gibi zaafiyetler olduğu sürece birçok saldırı fark edilmeden uzun süre sistem içinde kalabilmektedir.
Ayrıca modern saldırganlar, klasik imza tabanlı tespit mekanizmalarını kolayca atlatabildiği için, yalnızca alarm sistemlerine güvenmek artık yeterli değildir.
Threat Hunting — aktif analiz, davranış takibi ve sürekli izleme ile birleştiğinde — modern siber güvenliğin vazgeçilmez bir parçası haline gelmiştir.
