Her siber güvenlik araştırmasında, araç zincirinin bir noktada tarayıcı sekmeleri kaosuna dönüştüğü an gelir. Bir EDR uyarısı, proxy günlüğü veya güvenlik duvarı olayından bir IP adresi alırsınız. İlk soru basittir: Bu şey nedir? Ancak çoğu güvenlik operasyonu bu noktada garip bir şekilde resmi olmayan yöntemlere başvurur. Kendi sistemlerimizden gelen telemetriye büyük paralar harcarız, ancak İnternet hakkında eski, tutarsız veya ödünç alınmış bağlamlarla yetiniriz. Bir besleme kaynağı adresi kötü amaçlı olarak etiketlerken, bir diğeri temiz der. Pasif DNS aracı üç ay önceki bir alan adını gösterir. Bir kötü amaçlı yazılım kum havuzunda tek bir örnek vardır. VirusTotal, Shodan, sertifika kontrolleri, ekran görüntüleri derken sekmeler çoğalır. İyi analistlerin yaptığı budur; gerçek bilgi dağınık olduğunda elinizdekiyle yetinirsiniz. Ancak sorun şu: İnternet artık bu model için çok hızlı.
Saldırganlar, altyapılarını kaydettirme, dağıtma, proxy'leme, döndürme ve terk etme işlemlerini, çoğu zenginleştirme hattının açıklayabileceğinden daha hızlı gerçekleştirebiliyor. Otomasyon ölçeğin maliyetini düşürdü; öncü modeller giriş engelini azalttı ve açık kaynak modeller de geride değil. Sonuç sinematik bir siber kıyamet değil, daha sıradan ve operasyonel olarak can sıkıcı: daha fazla altyapı, daha hızlı değişiyor ve 'ilk görülme' ile 'vahşi ortamda kullanılma' arasındaki süre kısalıyor. Bu, savunmacıların dış istihbarattan ne beklemeleri gerektiğini değiştiriyor. Bir SOC, kamu İnternet'ini ikinci el söylentiler bütünü olarak ele almamalı. Olay müdahalesi, tarihi üç farklı araçta kalan eserlerden yeniden oluşturmamalı. Tehdit avcıları, ham İnternet verileri ile uzman küratörlüğünde atıflar arasında seçim yapmak zorunda kalmamalı. Tespit mühendisleri, altyapı modellerini tespitlere dönüştürmek için uç nokta telemetrisini beklememeli. Ayrıca, artık sizin de kendi yapay zeka araçlarınız var; İnternet meta verilerini hızla işleyerek egzotik tehdit sinyalleri bulabiliyorlar.
Savunmacıların canlı bir İnternet altyapı haritasına ihtiyacı var: sunucular, hizmetler, portlar, protokoller, sertifikalar, DNS, web siteleri, ekran görüntüleri, yazılımlar, güvenlik açıkları, etiketler, geçmiş ve saldırgan altyapı sinyalleri. SOC, İnternet'in kendisine doğrudan sorular sorabilmeli: Bu IP bu sabah Cobalt Strike çalıştırıyor muydu? Bu sertifikayı başka ne paylaştı? Bu alan adı gece boyunca altyapı değiştirdi mi? Uyarı tetiklenmeden önce bu sunucu riskli bir hizmeti ifşa ediyor muydu? Bu, tek seferlik bir gösterge mi yoksa avlanabileceğimiz bir modelin parçası mı? Bu sorular yalnızca triyaj için değil, olay müdahalesinde zaman ve geçmişin kapsamı belirlediği durumlarda, tehdit avcılığında altyapı yeniden kullanımının bir operasyonu ortaya çıkarabileceği senaryolarda, tespit mühendisliğinde en iyi tespitlerin genellikle yukarı akışta, uç nokta yükü görmeden önce başladığı durumlarda ve maruziyet yönetiminde kendi İnternet'e açık varlıklarınızın, onlara yönelik saldırgan altyapısıyla aynı operasyonel resmin parçası olduğu hallerde kritik önem taşır.
Teslimat modeli de önemli. Bazı ekipler Censys web uygulamasında bir analist ister; bazıları SIEM'de zenginleştirme (Censys'in sınırsız arama API'si vardır); bazıları özel beslemeler gibi davranan koleksiyonlar; bazıları SDK'lar, veri indirmeleri, webhook'lar, entegrasyonlar veya MCP ister, böylece kendi sistemleri ve yapay zeka iş akışları aynı soruları otomatik olarak sorabilir. Esneklik, paketleme baş ağrıları pahasına gelmemeli. Bu, dış bağlamın bir arama alışkanlığı olmaktan çıkıp güvenlik işletim sisteminin bir parçası haline gelmesini sağlar. Hâlâ elli sekme açabilirsiniz; iyi analistler her zaman açacaktır. Ancak soru, günlüklerinizdeki altyapının bu sabah tehlikeli olup olmadığı olduğunda, cevap hangi sekmenin önce şanslı olduğuna bağlı olmamalıdır.
Censys gibi araçlar, bu sorunları çözmek için tasarlanmıştır. Sürekli güncellenen bir İnternet taraması sayesinde, herhangi bir IP veya alan adı hakkında anlık ve geçmiş veriler sunar. Analistler, bir IP'nin hangi hizmetleri çalıştırdığını, hangi sertifikaları kullandığını, hangi yazılımların çalıştığını ve bunların zaman içinde nasıl değiştiğini görebilir. Ayrıca, Censys'in tehdit istihbaratı etiketleri, bilinen kötü amaçlı altyapıyı işaretler. Bu, bir SOC'nin bir IP'yi araştırırken farklı kaynaklardan parça parça bilgi toplamak yerine tek bir yerden kapsamlı bir profil elde etmesini sağlar. Örneğin, bir IP'nin daha önce Cobalt Strike çalıştırıp çalıştırmadığını, hangi alan adlarıyla ilişkili olduğunu ve bu alan adlarının ne zaman değiştiğini sorgulayabilirsiniz. Bu tür bilgiler, bir uyarının önceliklendirilmesinde veya bir saldırının yayılmasının önlenmesinde hayati önem taşır.
Detaylar ve Etkileri
Siber güvenlik ekipleri için pratik çıkarımlar açıktır: Dış bağlamı gerçek zamanlı ve bütünleşik bir şekilde kullanmak, artık bir lüks değil, bir gerekliliktir. Saldırganların hızına ayak uyduramayan bir SOC, sürekli olarak geride kalacaktır. Bu nedenle, Censys gibi platformların API'lerini SIEM, SOAR veya tehdit istihbaratı platformlarına entegre etmek, analistlerin manuel sekme açma işlemlerini azaltır ve yanıt sürelerini kısaltır. Ayrıca, tehdit avcılığı ekipleri, Censys'in geçmiş verilerini kullanarak altyapı modellerini analiz edebilir ve henüz saldırıya dönüşmemiş tehditleri proaktif olarak tespit edebilir. Tespit mühendisleri ise, Censys'ten alınan sinyallerle uç nokta tabanlı tespitlerin ötesine geçen, ağ tabanlı ve altyapı odaklı tespit kuralları geliştirebilir. Sonuç olarak, güvenlik operasyonlarının merkezine canlı bir İnternet haritası koymak, savunmacıların saldırganlarla aynı hızda hareket etmesini sağlar ve 'acaba bu IP tehlikeli mi?' sorusunun cevabını şansa bırakmaz.
Kaynak: cybersecuritydive.com