Siber güvenlik operasyonlarında sıkça yaşanan bir an: bir uyarıdan gelen IP adresine bakarsınız. EDR, proxy günlüğü, güvenlik duvarı olayı veya uzun süredir devre dışı kalmış bir tespit kuralından gelmiş olabilir. İlk soru basittir: Bu şey nedir? Geçen hafta neydi değil, başka birinin OSINT beslemesinde ne etiketi aldığı değil. Şu an ne yapıyor? İşte bu noktada birçok güvenlik operasyonu garip bir şekilde gayriresmî kalıyor. Kendi sistemlerimizden gelen telemetriye büyük paralar harcarken, sahibi olmadığımız internet için gevşek, bayat veya ödünç alınmış bağlamları kabul ediyoruz.
Bir besleme adresin kötü niyetli olduğunu söyler. Bir diğeri temiz olduğunu. Pasif bir DNS aracı üç ay öncesine ait bir alan adı gösterir. Bir kötü amaçlı yazılım kum havuzunda tek bir örnek vardır. Bir tarama sitesi açık bir bağlantı noktası gösterir, ancak yeterli geçmiş yoktur. Biri VirusTotal açar, biri Shodan, biri DNS kontrol eder, biri sertifikaları, biri ekran görüntülerini arar, biri o IP'nin günün erken saatlerinde Cobalt Strike çalıştırıp çalıştırmadığını sorgular. Bunların hiçbiri kötü bir analiz yöntemi değildir. Gerçek bilgi dağınık olduğunda iyi analistlerin yaptığı şey budur. Ancak sorun şu ki internet bu model için çok hızlı hale geldi.
Saldırganlar, altyapıyı kaydedip, dağıtıp, proxy'leyip, döndürüp ve terk edebiliyorlar; çoğu zenginleştirme hattının açıklayabileceğinden daha hızlı. Otomasyon, ölçeğin maliyetini düşürdü. Sınır modelleri giriş engelini düşürdü ve açık kaynak modeller de geride değil. Sonuç, sinematik bir siber kıyamet değil; daha sıradan ve operasyonel olarak daha sinir bozucu: daha fazla altyapı, daha hızlı değişiyor, 'ilk görülme' ile 'vahşi ortamda kullanılma' arasındaki süre kısalıyor. Bu, savunmacıların harici istihbarattan ne beklemeleri gerektiğini değiştiriyor.
Bir SOC, kamusal interneti bir dizi ikinci el söylenti olarak ele almak zorunda kalmamalı. Olay müdahalesi, üç farklı araçta hayatta kalan yapay izlerden tarihi yeniden inşa etmek zorunda kalmamalı. Tehdit avcıları, ham internet verileri ile uzman küratörlüğünde atıf arasında seçim yapmak zorunda kalmamalı. Tespit mühendisleri, altyapı modellerini tespitlere dönüştürebilmek için uç nokta telemetrisini beklemek zorunda kalmamalı. Üstelik artık kendi yapay zeka araçlarınız da var; internet meta verilerini büyük bir hızla işleyerek egzotik tehdit sinyalleri buluyorlar.
Önemli Gelişmeler
Savunmacıların canlı bir internet altyapı haritasına ihtiyacı var: ana bilgisayarlar, hizmetler, portlar, protokoller, sertifikalar, DNS, web siteleri, ekran görüntüleri, yazılımlar, güvenlik açıkları, etiketler, geçmiş ve saldırgan altyapı sinyalleri. SOC'nin internete doğrudan sorular sorabilmesi gerekiyor. Bu IP bu sabah Cobalt Strike çalıştırıyor muydu? Bu sertifikayı başka neler paylaştı? Bu alan adı gece boyunca altyapı değiştirdi mi? Bu ana bilgisayar, uyarı tetiklenmeden önce riskli bir hizmeti açığa çıkarıyor muydu? Bu tek seferlik bir gösterge mi, yoksa avlanabileceğimiz bir modelin parçası mı?
Bu sorular yalnızca triyaj için değil; olay müdahalesinde zaman ve geçmiş kapsamı belirler, tehdit avcılığında altyapı yeniden kullanımı bir operasyonu ortaya çıkarabilir, tespit mühendisliğinde en iyi tespitler genellikle uç nokta yükü görmemişken yukarı akışta başlar ve maruziyet yönetiminde kendi internet yönelik varlıklarınız, onlara yönelmiş saldırgan altyapısıyla aynı operasyonel resmin parçasıdır. Teslimat modeli de önemli. Bazı ekipler Censys web uygulamasında bir analist ister, bazıları SIEM'de zenginleştirme (Censys'in sınırsız sorgulama API'si var), bazıları özel beslemeler gibi davranan koleksiyonlar, bazıları SDK'lar, veri indirmeleri, webhook'lar, entegrasyonlar veya MCP ister ki kendi sistemleri ve AI iş akışları aynı soruları otomatik olarak sorabilsin. Esneklik, paketleme baş ağrıları pahasına gelmemeli. Bu, harici bağlamın bir bakış alışkanlığı olmaktan çıkıp güvenlik işletim sisteminin bir parçası haline gelmesini sağlar.
Hala elli sekme açabilirsiniz. İyi analistler her zaman yapacaktır. Ancak soru, günlüklerinizdeki altyapının bu sabah tehlikeli olup olmadığı olduğunda, cevap hangi sekmeye önce şans gittiğine bağlı olmamalıdır.
Kaynak: cybersecuritydive.com