Breach and Attack Simulation (BAS) teknolojisi
BAS teknolojisi, modern siber güvenlik süreçlerinin en kritik bileşenlerinden biri haline gelmiştir. BAS, gerçek dünyadaki siber saldırıları simüle ederek, güvenlik açıklarını belirlemeyi ve savunma kontrollerinin etkinliğini test etmeyi sağlar. Bu teknoloji, özellikle saldırganların kullanabileceği zayıf noktaları önceden tespit etme ve olası salddırılara karşı daha proaktif bir güvenlik stratejisi geliştirme amacı taşır.
Türkiye’de BAS teknolojisi, özellikle finans, kamu ve savunma sektörlerinde giderek daha fazla önem kazanmıştır. Bu kısımda, Türkiye çerçevesinde BAS teknolojisinin kullanımını, bu alanda faaliyet gösteren şirketleri ve bu teknolojilerin siber güvenlik ekosistemlerine katkılarını inceleyeceğiz.
BAS Teknolojisinin Temel İşlevleri ve Önemi
BAS teknolojisi, geleneksel güvenlik test yöntemlerinden farklı olarak sürekli ve otomatik testler sunar. Penetrasyon testi (pentest) gibi manuel ve sınırlı bir kapsamla yapılan testlerin aksine, BAS sürekli çalışan, gerçek saldırı senaryolarını tekrar eden ve güvenlik açıklarını anında raporlayan bir yapıya sahiptir. Bu, şirketlerin sadece belirli zamanlarda değil, sürekli olarak güvenlik altyapılarını kontrol altında tutmalarını sağlar.
BAS teknolojisinin Türkiye’de ön plana çıkan kullanım alanları şunlardır:
Savunma Sanayi: Kritik altyapıların korunması ve saldırılara karşı önlem alınması.
Finans Sektörü: Bankaların güvenlik kontrollerini test etmesi ve saldırı simülasyonları yaparak zayıf noktalarını belirlemesi.
Kamu Sektörü: Devlet kurumlarının güvenlik altyapılarını güçlendirmek ve olası siber saldırılara karşı hazırlıklı olmak.
Türkiye’de BAS Teknolojisini Kullanan Şirketler ve Çözümleri
Türkiye’de BAS teknolojisini sunan ve kullanan firmalar, bu alanda önemli yenilikler geliştirmekte ve global güvenlik standartlarına uygun çözümler sunmaktadır. İşte öne çıkan bazı firmalar ve sundukları BAS çözümleri:
Picus Security
Ürün: Picus Complete Security Validation Platform
Picus Security, Türkiye merkezli ve BAS teknolojisinde dünya genelinde öncü firmalardan biridir. Platformu, kurumların güvenlik kontrollerini sürekli olarak test eder ve gerçek siber saldırıları simüle eder.
Picus, MITRE ATT&CK çerçevesini kullanarak kurumların güvenlik açıklarını tespit eder ve güvenlik kontrollerini optimize eder (The Security Validation Platform) (Home | CSA).
Simülasyonları otomatik olarak gerçekleştirir ve zayıf noktaları bulup iyileştirme önerileri sunar.
Kullanıcıların güvenlik kontrollerinin etkinliğini ölçmelerine, güvenlik açıklarını anında görmelerine ve en kritik zayıflıkları önceliklendirmelerine olanak tanır (The Security Validation Platform).
Cyberwise
Ürün: Rasyonel Siber Güvenlik Operasyon Merkezi (SOC)
Cyberwise, güvenlik operasyonları için BAS özellikli çözümler sunar ve Türkiye’deki büyük kuruluşların güvenlik altyapılarını sürekli izler.
SOC hizmetleri kapsamında, tehdit tespiti ve saldırı simülasyonları gerçekleştirerek anlık güvenlik açıklarını raporlar.
Barikat Atar Labs (SOAR)
Ürün: Atar Labs (SOAR)
Atar Labs, BAS teknolojisini SOAR çözümleri ile birleştirerek saldırı simülasyonları ve otomatik güvenlik müdahalesi sunar.
Tehditlerin sürekli izlenmesi ve simüle edilmesi sayesinde, potansiyel saldırılara karşı hazırlıklı bir güvenlik sistemi oluşturur.
BAS Teknolojisinin Türkiye’deki Kullanım Alanları
Savunma Sanayi
Türkiye’nin savunma sanayiinde BAS teknolojisinin önemi giderek artmaktadır. Kritik askeri sistemler ve altyapılar, sürekli siber tehditlere maruz kalmaktadır. BAS teknolojisi, bu tehditlerin önceden simüle edilmesi ve güvenlik açıklarının bulunması için kullanılmaktadır. Örneğin, HAVELSAN gibi savunma sanayii firmaları, siber güvenlik çözümlerine BAS teknolojilerini entegre ederek, askeri sistemlerin güvenliğini sağlamaktadır.
Finans ve Bankacılık Sektörü
Bankalar, finansal kurumlar ve ödeme sistemleri, siber saldırılar için yüksek değerli hedeflerdir. Türkiye’de bankalar, güvenlik açıklarını tespit etmek ve güvenliklerini güçlendirmek için BAS teknolojisine yönelmektedir. Bu sayede, gerçek siber saldırı senaryoları simüle edilerek olası riskler minimize edilir. Özellikle Picus Security gibi firmaların bu sektördeki çalışmaları, bankaların güvenlik altyapılarını sürekli güncel tutmalarını sağlamaktadır.
Kamu ve Devlet Kurumları
Kamu sektörü, kritik altyapılarını ve vatandaşların verilerini korumak amacıyla BAS teknolojisine büyük önem vermektedir. Devlet kurumları, siber güvenlik süreçlerini sürekli güncellemek ve olası tehditlere karşı hazırlıklı olmak için bu teknolojiyi kullanmaktadır. Özellikle kamu altyapısında yer alan veri merkezleri, su ve enerji dağıtım sistemleri gibi kritik altyapılar, sürekli olarak BAS simülasyonları ile test edilmekte ve güvenlik açıkları kapatılmaktadır.
BAS Teknolojisinin Teknik Temelleri ve Algoritmalar
BAS teknolojisi, karmaşık saldırı senaryolarını modellemek için bir dizi gelişmiş algoritma ve teknik altyapı kullanır. Bu algoritmaların temel hedefi, tehditlerin gerçekçi bir şekilde simüle edilmesi ve güvenlik sistemlerinin bu tehditlere nasıl tepki verdiğini ölçmektir. BAS platformları genellikle şu teknik unsurları içerir:
Tehdit Modelleme ve Saldırı Simülasyonu: BAS platformları, gerçek dünyadaki saldırıları modellemek için MITRE ATT&CK gibi çerçeveleri kullanır. Bu modelleme, saldırı vektörlerini ve yollarını simüle ederek, zayıf noktaları tespit eder.
Makine Öğrenmesi: BAS platformları, makine öğrenmesi algoritmalarını kullanarak güvenlik açıklarını tespit eder ve saldırı simülasyonlarını optimize eder. Makine öğrenmesi, anormal davranışları ve potansiyel tehditleri tespit etmek için büyük miktarda veriyi analiz eder.
Otomatik Güvenlik İyileştirme: BAS çözümleri, saldırı simülasyonları sonucunda elde edilen verileri analiz ederek, güvenlik kontrollerini otomatik olarak iyileştirebilir. Bu sayede insan müdahalesine ihtiyaç duymadan güvenlik açıkları kapatılabilir.
Otomatik Saldırı Yüzeyi Validasyonu (ASV)
Otomatik saldırı yüzeyi validasyonu, bir kuruluşun dış dünyaya açık tüm varlıklarını, ağlarını ve uygulamalarını sürekli tarayarak, olası güvenlik açıklarını tespit etmeyi amaçlar. Bu süreç, genellikle aşağıdaki unsurları içerir:
Kullanılan Teknolojiler
Port Tarama ve Varlık Keşfi: Saldırı yüzeyinin bir parçası olarak, bir kuruluşun internete açık portları ve varlıkları keşfedilir. Bu, saldırganların kullanabileceği giriş noktalarını belirlemek için yapılır.
Zafiyet Yönetimi ve Tespiti: Sistemde yer alan yazılımların zafiyetleri (CVE – Common Vulnerabilities and Exposures) taranır ve güncellenmemiş ya da hatalı yapılandırılmış bileşenler tespit edilir.
Ağ Segmentasyonu ve Mikro Segmentasyon: Ağlar içindeki iletişim yolları analiz edilerek, yetkisiz erişimlerin önüne geçmek için ağ segmentasyonu sağlanır.
Algoritmalar ve Yaklaşımlar
Makine Öğrenmesi ve Anomali Tespiti: Makine öğrenmesi algoritmaları, saldırı yüzeyindeki anormal trafik veya yapılandırmaları belirleyerek potansiyel saldırı yollarını tespit eder. Örneğin, ağ trafiği analizi yapılarak anormal bağlantı talepleri ve veri akışları belirlenebilir.
Denetimli ve Denetimsiz Öğrenme: Sistemler üzerinde denetimli öğrenme (supervised learning) algoritmaları ile bilinen saldırı vektörleri üzerinden analiz yapılır, denetimsiz öğrenme (unsupervised learning) ise bilinmeyen zafiyetleri tespit etmek için kullanılır.
Kümelenme Algoritmaları: K-Means ve DBSCAN gibi kümelenme algoritmaları, bir sistemdeki cihazları veya uygulamaları gruplandırarak normal ve anormal davranışları ayırt edebilir.
Teknik Altyapı ve Programlama Dilleri
Python: Güvenlik analizi ve makine öğrenmesi tabanlı algoritmaların geliştirilmesi için Python sıklıkla tercih edilen bir dildir. Python, scikit-learn, TensorFlow ve Keras gibi kütüphanelerle güçlü bir makine öğrenmesi altyapısı sağlar.
Go (Golang): Go dili, yüksek performans ve güvenlik gerektiren uygulamalarda tercih edilir. Özellikle Go, hafif ve hızlı olduğu için mikroservis mimarilerinde güvenlik çözümlerinde yaygın olarak kullanılır.
C/C++: Düşük seviyeli yazılım geliştirme ve performans kritik bileşenlerin oluşturulmasında kullanılır. Özellikle ağ tarama araçları ve protokol analiz araçları gibi performans gerektiren sistemlerde tercih edilir.
Kubernetes ve Docker: Mikro hizmet mimarilerinde kullanılan bu konteynerizasyon platformları, otomatik saldırı yüzeyi validasyonunun daha ölçeklenebilir bir altyapı üzerinde gerçekleştirilmesine olanak tanır. Özellikle bulut ve hibrit bulut ortamlarında ASV için idealdir.
Araçlar ve Platformlar
Nmap: Ağ taraması ve saldırı yüzeyi tespiti için kullanılan en yaygın araçlardan biridir.
Shodan: İnternete bağlı cihazları ve servisleri tarayarak, saldırıya açık varlıkları tespit etmeye yarayan bir arama motoru.
Picus Security: Türkiye’deki önde gelen bir BAS (Breach and Attack Simulation) platformu olan Picus, ASV’yi optimize eden özellikler sunar. Platform, ağın iç ve dış varlıklarını analiz ederek riskli saldırı yollarını tespit eder ve bu yolları kapatmaya yönelik önerilerde bulunur (The Security Validation Platform) (The Security Validation Platform).
Bulut Güvenliği Validasyonu
Bulut güvenliği validasyonu, bulut ortamlarının ve bu ortamlarda çalışan uygulamaların güvenlik kontrollerinin sürekli olarak izlenmesi ve optimize edilmesi sürecidir. Bulut altyapıları, dağıtık yapıları ve çok sayıda bağımsız bileşeni nedeniyle özellikle güvenlik açığı riski taşır. Bulut güvenliği validasyonu, bu ortamların güvenliğini sağlamak için kullanılan bir dizi teknoloji ve algoritma içerir.
Kullanılan Teknolojiler
Cloud Security Posture Management (CSPM): Bulut altyapılarının güvenlik yapılandırmalarını sürekli izleyen ve olası yanlış yapılandırmaları tespit eden bir teknolojidir. CSPM çözümleri, bulut platformlarındaki güvenlik zafiyetlerini tespit eder ve öneriler sunar.
Cloud Workload Protection Platforms (CWPP): Bulut tabanlı iş yüklerini (workload) korumak için kullanılan bu platformlar, bulut üzerinde çalışan uygulamaların güvenliğini sağlar. Bu teknoloji, genellikle konteyner güvenliği, sunucusuz (serverless) iş yüklerinin korunması ve VM (sanal makineler) güvenliği üzerine yoğunlaşır.
IAM (Identity and Access Management): Bulut platformlarında kimlik ve erişim yönetimi, güvenliğin temel taşlarından biridir. Özellikle, kimlik doğrulama süreçlerinin güvenli bir şekilde yönetilmesi sağlanır.
Algoritmalar ve Yaklaşımlar
Politika Bazlı Güvenlik (Policy-Based Security): Bulut ortamlarında güvenlik politikalarının belirlenmesi ve bu politikaların sürekli olarak uygulanması için otomasyon teknolojileri kullanılır. Örneğin, IAM politikaları ile hangi kullanıcıların hangi kaynaklara erişebileceği belirlenir.
Saldırı Vektörleri Analizi: Bulut ortamlarında, saldırı yüzeylerinin ve potansiyel saldırı vektörlerinin sürekli analizi yapılır. Bu analizler, makine öğrenmesi algoritmaları ve davranışsal analizlerle desteklenir.
Yapay Zeka Tabanlı Zafiyet Tespiti: Yapay zeka ve makine öğrenmesi algoritmaları, bulut ortamındaki yapılandırma hatalarını ve güvenlik zafiyetlerini otomatik olarak tespit eder. Bu süreçte, hem denetimli hem de denetimsiz öğrenme yöntemleri kullanılır.
Teknik Altyapı ve Programlama Dilleri
Python ve Go: Python, güvenlik analizleri ve makine öğrenmesi algoritmalarının uygulanmasında yaygın olarak kullanılırken, Go dili, bulut tabanlı mikro hizmetlerin geliştirilmesinde performans avantajı sağlar.
Terraform: Bulut altyapılarının yönetimi için kullanılan bir altyapı otomasyon aracı olan Terraform, bulut güvenliği validasyonunun da bir parçasıdır. Güvenlik yapılandırmalarının “kod olarak altyapı” (Infrastructure as Code – IaC) yaklaşımıyla sürekli test edilmesi sağlanır.
AWS Lambda ve Azure Functions: Sunucusuz mimarilerde çalışan iş yüklerinin güvenliği için kullanılan bu platformlar, otomatik güvenlik testlerini gerçekleştirmek için sıklıkla kullanılır.
Kubernetes ve Docker: Konteyner tabanlı uygulamaların güvenliğini sağlamak için kullanılan bu teknolojiler, özellikle mikro hizmet mimarilerinin bulutta güvenli bir şekilde çalıştırılmasını sağlar.
Araçlar ve Platformlar
AWS Security Hub ve Azure Security Center: AWS ve Azure gibi bulut sağlayıcıları, bulut güvenliği validasyonu için yerleşik çözümler sunar. Bu çözümler, bulut ortamındaki güvenlik tehditlerini ve yapılandırma hatalarını sürekli izler ve raporlar.
Tenable.io: Bulut ortamları için zafiyet yönetimi ve güvenlik değerlendirme çözümleri sunan bir platformdur. Tenable, özellikle bulut iş yüklerinin zafiyet taramalarını gerçekleştirir.
Aqua Security: Kubernetes ve Docker konteynerlerinin güvenliğini sağlamak için kullanılan bir çözümdür. Konteyner iş yüklerini sürekli izler ve güvenlik açıklarını tespit eder.
Yapay Zeka Destekli Tehdit Profilleme ve Sürekli Tehdit Maruziyeti Yönetimi (CTEM – Continuous Threat Exposure Management),
siber güvenlik dünyasında proaktif savunma stratejilerinin bir parçası olarak hızla gelişmektedir. Bu teknolojiler, potansiyel tehditleri tespit etmek, güvenlik açıklarını sürekli olarak izlemek ve tehditlere karşı hızlı ve etkili önlemler almayı mümkün kılmaktadır. Bu çerçevede kullanılan teknolojiler, algoritmalar ve altyapı teknolojileri, hem yapay zeka (AI) hem de makine öğrenmesi (ML) tekniklerine dayanır.
Yapay Zeka Destekli Tehdit Profilleme
Yapay zeka destekli tehdit profilleme, bir sistemdeki tehditlerin türlerini, davranışlarını ve kaynaklarını analiz ederek, olası saldırı senaryolarını belirleyen bir tekniktir. Bu süreçte AI, geçmiş veri setleri ve saldırı örneklerinden öğrenerek potansiyel tehditleri otomatik olarak tespit eder ve önceliklendirir.
Kullanılan Teknolojiler
Anomali Tespiti: Yapay zeka, sistemdeki normalden sapmaları ve anormal davranışları belirlemek için anomali tespiti algoritmalarını kullanır. Bu algoritmalar, sistemdeki trafiği, kullanıcı davranışlarını ve veri akışını analiz ederek tehditleri profillemeyi sağlar.
Tehdit İstihbaratı (Threat Intelligence): Yapay zeka destekli tehdit profilleme, küresel tehdit istihbarat verileriyle sürekli olarak güncellenir. Bu veriler, tehditlerin nereden geldiğini ve hangi vektörleri kullandığını belirlemede yardımcı olur.
Davranışsal Analiz (Behavioral Analysis): Kullanıcıların veya cihazların normal davranışlarının modellenmesi ve anormal davranışların bu modellere göre tespit edilmesi, profilleme sürecinin önemli bir parçasıdır.
Algoritmalar
Denetimli Öğrenme (Supervised Learning): Geçmişte gerçekleşmiş tehditler ve siber saldırılar gibi etiketlenmiş veri setleri üzerinde eğitim yaparak tehditlerin profillemesi yapılır. Bu tür algoritmalar, belirli tehdit türlerini tanımada ve sınıflandırmada oldukça etkilidir. Kullanılan algoritmalara örnek olarak Random Forest ve Support Vector Machines (SVM) verilebilir.
Denetimsiz Öğrenme (Unsupervised Learning): Denetimsiz öğrenme, belirli etiketlenmiş veri olmadan tehditleri anlamak ve profillemek için kullanılır. K-Means ve DBSCAN gibi kümeleme algoritmaları, bilinmeyen tehditleri gruplandırarak olası tehdit profillerini belirler.
Derin Öğrenme (Deep Learning): Tehdit profilleme için daha karmaşık veri yapıları üzerinde eğitim yapılması gerektiğinde derin öğrenme algoritmaları kullanılır. Özellikle Convolutional Neural Networks (CNN) ve Recurrent Neural Networks (RNN), büyük veri setlerinde tehditlerin analiz edilmesi ve profillemesi için uygundur.
Teknik Altyapı ve Programlama Dilleri
Python: Yapay zeka ve makine öğrenmesi alanında en yaygın kullanılan dillerden biridir. Scikit-learn, TensorFlow, Keras gibi kütüphaneler, tehdit profilleme algoritmalarının geliştirilmesi için kullanılır.
R: Özellikle veri analizi ve istatistiksel modelleme için kullanılan R dili, siber güvenlik tehditlerinin analizi ve profillemesi için uygun bir ortam sunar.
Spark ve Hadoop: Büyük veri altyapıları için kullanılan bu teknolojiler, tehdit profilleme süreçlerinde büyük miktarda veri ile başa çıkabilmek için tercih edilir. Özellikle dağıtık sistemler üzerindeki büyük verilerin işlenmesi için idealdir.
Elasticsearch: Büyük veri kümelerini analiz etmek için kullanılan Elasticsearch, tehdit profilleme ve tehdit istihbaratı verilerinin aranması ve analiz edilmesinde yaygın olarak kullanılır.
Araçlar ve Platformlar
IBM QRadar: Tehdit profilleme için makine öğrenmesi ve yapay zeka tabanlı analizler sunan bir güvenlik bilgi ve olay yönetimi (SIEM) çözümüdür.
Splunk: Büyük veri analizini kolaylaştıran ve tehdit profilleme için kullanılan bir başka SIEM çözümüdür. AI ile tehditlerin otomatik olarak profillenmesi ve önceliklendirilmesini sağlar.
Darktrace: AI tabanlı anomali tespitine dayalı bir platform olan Darktrace, tehdit profilleme ve siber tehditlere karşı proaktif savunma sağlar.
Sürekli Tehdit Maruziyeti Yönetimi (CTEM)
CTEM, bir kuruluşun sürekli olarak tehditlere nasıl maruz kaldığını izleyen, analiz eden ve bu maruziyetlere karşı proaktif bir şekilde savunma önlemleri öneren bir yaklaşımdır. CTEM, tehditlerin dinamik yapısı nedeniyle sürekli izleme ve değerlendirme gerektirir. Bu süreçte AI ve makine öğrenmesi tabanlı teknolojiler yoğun olarak kullanılır.
Kullanılan Teknolojiler
Tehdit Modelleme ve Simülasyon: CTEM, tehditlerin modellenmesi ve simüle edilmesi için yapay zeka tabanlı çözümler kullanır. Bu simülasyonlar, mevcut güvenlik önlemlerini test eder ve zafiyetlerin nerede olduğunu gösterir.
Saldırı Yüzeyi Analizi (Attack Surface Analysis): CTEM, kuruluşun maruz kaldığı tüm saldırı yüzeylerini sürekli olarak analiz eder ve olası tehdit vektörlerini belirler. Bu analizler otomatik araçlar ve AI destekli sistemler ile gerçekleştirilir.
Risk Tabanlı Önceliklendirme: Yapay zeka, tespit edilen tehditleri ve zafiyetleri, riske dayalı olarak önceliklendirir. Bu, kuruluşların en kritik tehditlere odaklanmasını sağlar.
Algoritmalar
Bayes Ağları (Bayesian Networks): Risk ve tehdit olasılıklarının hesaplanmasında kullanılır. Bayes Ağları, sürekli değişen tehdit ortamında tehditlerin olasılıklarını hesaplar.
Markov Zincirleri: Sistemlerin olası durumlarının modellenmesi ve her durumun bir diğerine geçiş olasılığının hesaplanması için kullanılır. Markov zincirleri, tehdit senaryolarının zaman içindeki gelişimini modellemek için idealdir.
Genetik Algoritmalar (Genetic Algorithms): Tehditler ve risklerin optimize edilmesi gereken durumlarda kullanılan bu algoritmalar, olası en iyi savunma stratejilerini belirlemek için kullanılır.
Teknik Altyapı ve Programlama Dilleri
Python ve TensorFlow: CTEM’de kullanılan yapay zeka ve makine öğrenmesi modellerinin geliştirilmesinde TensorFlow, Keras gibi Python tabanlı araçlar yaygın olarak kullanılır.
Scala: Yüksek performanslı sistemlerde makine öğrenmesi algoritmalarının uygulanmasında kullanılan bir dil olan Scala, büyük veri analizi için Spark ile entegre çalışır.
Jupyter Notebooks: Makine öğrenmesi ve yapay zeka modellerinin geliştirilmesi, eğitilmesi ve sonuçlarının analiz edilmesi için kullanılan interaktif bir araçtır.
Araçlar ve Platformlar
MITRE ATT&CK: Tehdit modelleme için kullanılan bir bilgi tabanıdır. CTEM çözümleri, MITRE ATT&CK çerçevesini kullanarak, tehdit aktörlerinin hangi teknikleri kullandığını ve bu tekniklere karşı hangi savunmaların etkili olduğunu analiz eder.
Microsoft Defender for Cloud: Microsoft’un bulut güvenliği çözümü olan Defender, CTEM için sürekli izleme ve tehdit yönetimi özelliklerine sahiptir. Yapay zeka destekli tehdit tespiti ve maruziyet analizi sağlar.
Yapay Zeka Destekli Tehdit Profilleme ve CTEM’in Altyapısı
Yapay zeka destekli tehdit profilleme ve CTEM, genellikle bulut tabanlı altyapılar üzerinde çalıştırılan ölçeklenebilir ve dinamik sistemler gerektirir. Bu sistemlerin oluşturulmasında şu altyapı teknolojileri kullanılır:
Kubernetes ve Docker: CTEM ve yapay zeka tabanlı tehdit profilleme sistemleri, genellikle mikro hizmet mimarisi üzerinde çalışır. Kubernetes ve Docker, bu mikro hizmetlerin konteynerler içinde izole bir şekilde çalıştırılmasını sağlar.
Bulut Bilişim Platformları (AWS, Azure, GCP): Bu platformlar, büyük ölçekli veri işleme ve yapay zeka modellerinin eğitilmesi için esnek ve ölçeklenebilir bir altyapı sunar. Yapay zeka ve makine öğrenmesi çözümleri genellikle bulut üzerinde dağıtılır.
Big Data Çözümleri (Apache Kafka, Spark): Büyük veri akışlarını analiz etmek ve gerçek zamanlı tehdit tespiti yapmak için kullanılan bu çözümler, yapay zeka ve makine öğrenmesi süreçlerine veri sağlar.
DAST (Dynamic Application Security Testing)
Dynamic Application Security Testing (DAST), web uygulamalarının güvenliğini test etmek için kullanılan dinamik bir güvenlik testi yöntemidir. DAST, bir uygulamanın çalışır durumdaki haliyle dışarıdan analiz edilmesine ve olası güvenlik açıklarının tespit edilmesine olanak tanır. Bu yaklaşım, saldırı simülasyonları ve zafiyet taramaları yaparak, uygulamanın olası güvenlik açıklarını dinamik olarak test eder. Özellikle, SQL injection, cross-site scripting (XSS) ve kimlik doğrulama hataları gibi zafiyetlerin tespit edilmesinde oldukça etkilidir.
Bu bölümde, DAST teknolojisinin temel bileşenleri, kullanılan algoritmalar, altyapı teknolojileri, programlama dilleri ve siber güvenlik firmalarının bu alana olan yaklaşımlarını detaylı bir şekilde ele alacağız.
DAST Teknolojisinde Kullanılan Temel Bileşenler ve Teknolojiler
DAST araçları, uygulamayı çalışır durumda tarar ve dinamik olarak uygulamanın açıklarını keşfeder. DAST sürecinde kullanılan başlıca teknolojiler şunlardır:
HTTP/HTTPS Trafik Analizi
DAST araçları, uygulamaların HTTP ve HTTPS üzerinden gönderdiği istek ve yanıtları izleyerek olası zafiyetleri tespit eder. Özellikle web tabanlı uygulamalarda, DAST taramaları sırasında sunucu ile istemci arasında gerçekleşen tüm veri akışları detaylı olarak incelenir.
Güvenlik Açığı Tarama Motorları
DAST araçlarının en önemli parçası, uygulama üzerindeki güvenlik açıklarını belirlemek için kullanılan tarama motorlarıdır. Bu motorlar, OWASP Top 10 gibi bilinen güvenlik açıklarına karşı testler yaparak, saldırganların yararlanabileceği potansiyel açıkları belirler.
Fuzzing Teknolojisi
DAST testleri sırasında fuzzing teknikleri kullanılır. Fuzzing, uygulamanın beklemediği veya işleyemeyeceği verilerin gönderilmesi anlamına gelir. DAST araçları, girdilerde olası hataları tetiklemek için bu teknikleri kullanarak uygulamayı stres testine tabi tutar ve hatalı davranışlar veya güvenlik açıkları arar.
Saldırı Simülasyonu
DAST, gerçek dünyadaki saldırı tekniklerini simüle ederek, uygulamanın saldırılara karşı nasıl tepki vereceğini test eder. Bu simülasyonlar genellikle SQL injection, XSS ve command injection gibi yaygın saldırı tekniklerine dayanır.
DAST’ta Kullanılan Algoritmalar ve Yaklaşımlar
DAST teknolojisinin arkasındaki algoritmalar, uygulama katmanında yapılan testlerin verimliliğini ve doğruluğunu artırmak için tasarlanmıştır. İşte DAST testlerinde kullanılan bazı önemli algoritmalar:
Saldırı Vektörü Algoritmaları
DAST araçları, uygulama üzerinde kullanılabilecek saldırı vektörlerini analiz eder. Bu süreç, uygulamanın giriş noktalarını (input fields, URL parametreleri, headers gibi) belirler ve bu noktalarda olası güvenlik açıklarını tespit eder. Bu noktalar, saldırganların kullanabileceği zayıf yerleri işaret eder.
Statik Vektör Taraması: Test sırasında elde edilen sonuçlara göre saldırı vektörlerinin dinamik olarak değiştirilmesi ve genişletilmesi sağlanır.
Dinamik Vektör Taraması: Test sırasında elde edilen sonuçlara göre saldırı vektörlerinin dinamik olarak değiştirilmesi ve genişletilmesi sağlanır.
İstatistiksel Analiz
DAST araçları, test sırasında elde edilen veri üzerinde istatistiksel analizler yapar. Anormal davranışları, HTTP yanıt kodlarındaki farklılıkları ve veri akışındaki tutarsızlıkları analiz ederek zafiyet tespiti yapar. Örneğin, bir SQL injection saldırısı denendiğinde, uygulamanın nasıl yanıt verdiğini istatistiksel olarak analiz eder ve başarılı olup olmadığını belirler.
Kara Kutu (Black-box) Test Yaklaşımı
DAST, genellikle bir kara kutu (black-box) test yaklaşımı kullanır. Bu, testin uygulamanın iç yapısı hakkında bilgi sahibi olmadan yapıldığı anlamına gelir. Araç, sadece uygulamaya dışarıdan erişir ve kullanıcı gibi davranarak güvenlik açıklarını keşfetmeye çalışır. Bu yaklaşım, gerçek saldırganların perspektifinden uygulamayı test eder.
Makine Öğrenmesi
Son yıllarda bazı gelişmiş DAST araçları, makine öğrenmesi tekniklerini kullanarak test süreçlerini optimize etmektedir. Makine öğrenmesi ile daha önce yapılan taramalardan öğrenilen modeller, uygulamanın hangi bölümlerinde daha fazla güvenlik açığı bulunabileceğini tahmin edebilir ve taramaları bu doğrultuda yönlendirebilir.
DAST Altyapısında Kullanılan Teknolojiler ve Programlama Dilleri
DAST araçları, geniş bir yazılım yelpazesine ve altyapıya dayanır. Bu araçların oluşturulmasında kullanılan temel altyapı ve diller şunlardır:
Web Tarayıcı Entegrasyonu
DAST araçları, uygulamaları dinamik olarak taramak için genellikle tarayıcılar üzerinden çalışır. Tarayıcı tabanlı test araçları, istemci tarafındaki zafiyetleri ve yanıtları tespit etmek için oldukça kullanışlıdır.
Selenium: Test otomasyonu ve web tarayıcıları üzerinden uygulama tarama için yaygın olarak kullanılan bir araçtır.
Puppeteer: JavaScript tabanlı test araçları oluşturmak için kullanılan bir araç olup, DAST testlerinde kullanılır.
Veritabanı ve Veri Depolama
DAST testleri sırasında elde edilen sonuçların analiz edilmesi ve depolanması için veritabanı sistemleri kullanılır.
PostgreSQL, MySQL: Test sonuçlarının saklanması ve analiz edilmesi için kullanılan yaygın veritabanı çözümleridir.
Elasticsearch: Büyük ölçekli veriler üzerinde hızlı arama ve analiz yapmak için kullanılan bir veri depolama ve arama motorudur. DAST araçlarında zafiyet sonuçlarını analiz etmek için kullanılır.
API ve RESTful Hizmetler
DAST araçları, modern web uygulamaları üzerinde testler yaparken API tabanlı mimarileri de test eder. Özellikle RESTful ve SOAP tabanlı web servislerinin güvenlik testleri için DAST çözümleri genişletilmiştir.
Flask, Django: Python tabanlı web çerçeveleri, DAST araçlarının arka planındaki API’lerin oluşturulmasında kullanılır.
Node.js: Yüksek performans gerektiren DAST işlemlerinde Node.js tabanlı API’ler tercih edilebilir.
Programlama Dilleri
Python: Güvenlik araçlarının geliştirilmesinde yaygın olarak kullanılan bir dildir. Python, kolay anlaşılır ve güçlü kütüphaneleri ile zafiyet tarama ve otomasyon için sıklıkla tercih edilir.
Java: Java tabanlı uygulamaların test edilmesi için geliştirilmiş birçok DAST aracı bulunmaktadır. Java’nın platform bağımsız yapısı, DAST çözümlerinin geniş bir kullanıcı tabanına ulaşmasına yardımcı olur.
C/C++: Düşük seviyeli uygulamalar ve performans gerektiren DAST araçlarında kullanılan bir dildir. Özellikle fuzzing işlemlerinde yaygın olarak tercih edilir.
Go (Golang): Yüksek performanslı ve hafif yapılı DAST araçları geliştirmek için Go dili de popüler bir seçenektir.
DAST Kullanım Alanları
Finans Sektörü
Finans sektörü, yüksek güvenlik gereksinimlerinden dolayı DAST çözümlerini yaygın olarak kullanır. Bankalar ve finansal kuruluşlar, uygulamalarında bulunan güvenlik açıklarını belirlemek ve müşteri verilerini korumak için DAST testlerine başvururlar.
E-Ticaret
E-ticaret siteleri, sürekli olarak kullanıcı verilerini toplar ve işler. DAST araçları, bu sitelerin zafiyetlerini test ederek, özellikle kredi kartı bilgileri ve kişisel verilerin güvenliğini sağlar.
Sağlık Sektörü
Sağlık sektöründe kişisel sağlık bilgilerini (PHI) koruma zorunluluğu nedeniyle, DAST çözümleri hastane ve sağlık sistemleri üzerinde kullanılır. Özellikle HIPAA ve GDPR gibi düzenlemelere uygunluk açısından DAST testleri yapılır.
Kamu ve Devlet Kurumları
Kamu ve devlet kurumları, vatandaşların kişisel bilgilerini korumak amacıyla DAST testlerini kullanarak uygulama güvenliğini sağlar.
Siber Güvenlik Şirketlerinin DAST Ürünleri
Acunetix
Acunetix, dünya çapında tanınan bir DAST aracıdır. Web uygulamaları üzerinde derinlemesine güvenlik taramaları gerçekleştirir ve OWASP Top 10 gibi kritik zafiyetlere karşı koruma sağlar.
OWASP ZAP (Zed Attack Proxy)
OWASP ZAP, açık kaynak kodlu bir DAST aracıdır. Hem manuel hem de otomatik güvenlik testleri için kullanılan ZAP, web uygulamalarını test etmek için yaygın olarak tercih edilir.
Burp Suite
Burp Suite, web uygulamaları üzerinde DAST testleri gerçekleştiren popüler bir araçtır. Profesyonel sürümü, gelişmiş güvenlik testleri ve zafiyet tespiti sağlar.
Security Orchestration, Automation, and Response (SOAR) Teknolojisi
SOAR (Security Orchestration, Automation, and Response), siber güvenlik operasyonlarının verimliliğini artırmak ve tehditlere karşı hızlı tepki verebilmek için güvenlik süreçlerini otomatikleştiren ve bir araya getiren bir platformdur. SOAR platformları, güvenlik analistlerine tehditleri hızlı bir şekilde algılama, analiz etme ve müdahale etme olanağı tanırken, manuel süreçleri en aza indirerek zaman ve kaynak tasarrufu sağlar.
Bu bölümde, SOAR teknolojisinin temel bileşenlerini, kullanılan algoritmalar ve altyapı teknolojilerini, kullanım alanlarını, siber güvenlik şirketlerinin bu alana olan yaklaşımlarını ve teknik üretimde kullanılan programlama dillerini inceleyeceğiz.
SOAR Teknolojisinde Kullanılan Temel Bileşenler ve Teknolojiler
SOAR platformları, tehdit izleme, olay yanıtı, analiz, otomasyon ve güvenlik süreçlerinin orkestrasyonunu birleştiren bir yapı sunar. Bu çerçevede kullanılan başlıca teknolojiler şunlardır:
Orkestrasyon (Orchestration)
SOAR sistemleri, güvenlik araçlarının ve sistemlerinin birlikte çalışmasını sağlar. Bu, çeşitli güvenlik çözümlerinin (güvenlik bilgi ve olay yönetimi (SIEM), güvenlik duvarları, antivirüs yazılımları gibi) bir araya getirilip entegre edilmesi anlamına gelir.
API Entegrasyonları: Farklı güvenlik araçlarının birlikte çalışması için API entegrasyonları kullanılır. Bu, SOAR platformlarının diğer güvenlik sistemleriyle veri alışverişinde bulunmasını ve operasyonel süreçleri yönetmesini sağlar.
Playbook Otomasyonu: Güvenlik olaylarına yanıt vermek için önceden tanımlanmış işlem adımlarını otomatikleştiren “playbook” denilen senaryolar kullanılır. Bu senaryolar, bir olayın algılanmasından müdahaleye kadar tüm süreci kapsar.
Otomasyon (Automation)
Olay müdahale süreçlerinin çoğu, güvenlik analistlerinin manuel müdahalesine gerek kalmadan otomatikleştirilir. Otomasyon, tehditlerin hızlı bir şekilde tespit edilmesine ve olaylara yanıt verilmesine olanak tanır.
Tehdit İstihbaratı Entegrasyonu: Otomatik olarak tehdit istihbaratı kaynaklarından gelen veriler alınarak güvenlik olayları hakkında analiz yapılır.
Olay Müdahale Otomasyonu: Şüpheli bir olay tespit edildiğinde SOAR platformu, otomatik olarak güvenlik kontrollerini uygulayabilir, tehditleri izole edebilir veya güvenlik duvarı kurallarını güncelleyebilir.
Yanıt (Response)
SOAR sistemleri, olaylara hızla ve etkili bir şekilde yanıt verilmesi için süreçleri optimize eder. Olayın ciddiyetine bağlı olarak, olay yanıt adımları otomatik veya yarı otomatik olarak gerçekleştirilir.
Analiz ve Raporlama: Tehditlerin nasıl oluştuğunu ve nasıl önlendiğini analiz eden raporlar oluşturulur. Bu raporlar, gelecekteki tehditlere daha iyi yanıt vermek için kullanılır.
Olay İzolasyonu: Tespit edilen tehditler otomatik olarak izole edilerek daha fazla yayılmaları önlenir.
SOAR’da Kullanılan Algoritmalar ve Yaklaşımlar
SOAR platformları, olayların hızla analiz edilmesi ve tehditlere otomatik olarak yanıt verilmesi için gelişmiş algoritmalar kullanır. Aşağıda SOAR’da kullanılan bazı yaygın algoritmalar ve yaklaşımlar bulunmaktadır:
Kural Tabanlı Algoritmalar
SOAR sistemleri, olaylara yanıt verirken kural tabanlı algoritmalar kullanır. Bu algoritmalar, önceden tanımlanmış kurallara ve olay senaryolarına göre hareket eder. Kural tabanlı sistemler, SIEM verileri ve tehdit istihbaratından gelen bilgilere dayanarak belirli olay türlerine yanıt verir.
Makine Öğrenmesi ve Yapay Zeka
SOAR platformları, güvenlik tehditlerini daha etkili bir şekilde analiz etmek ve tanımlamak için makine öğrenmesi (ML) ve yapay zeka (AI) algoritmalarından yararlanır.
Anomali Tespiti: Makine öğrenmesi algoritmaları, sistemdeki anormal davranışları tespit eder. Normal sistem davranışlarıyla kıyaslandığında olağandışı aktiviteler tespit edilerek potansiyel tehditler belirlenir.
Tahminleme Modelleri: Yapay zeka, tehditlerin gelecekteki olasılıklarını ve hangi yollarla gelişebileceğini tahmin eder. Bu tahminler, olayların önceden tespit edilmesine ve hızlı yanıt verilmesine olanak tanır.
Playbook Optimizasyonu
Playbook’lar, SOAR platformlarının ana bileşenlerinden biridir. Olaylara nasıl yanıt verileceğini belirleyen bu senaryolar, belirli olaylar için en uygun müdahale yollarını içeren kural setleridir. Otomatik yanıt süreçlerini optimize etmek için geçmiş olaylardan elde edilen veriler kullanılarak sürekli güncellenir.
SOAR Altyapısında Kullanılan Teknolojiler ve Programlama Dilleri
SOAR platformları, güvenlik operasyonlarını ölçeklendirmek ve entegre etmek için güçlü bir altyapı gerektirir. Bu altyapı, farklı güvenlik araçlarının bir araya getirilmesini, otomatikleştirilmesini ve optimize edilmesini sağlayan çeşitli teknolojilerle desteklenir.
API Tabanlı Entegrasyonlar
SOAR sistemleri, diğer güvenlik araçları ile iletişim kurmak için geniş API entegrasyonlarına dayanır. API’ler, SIEM, IDS/IPS, tehdit istihbaratı platformları ve güvenlik duvarları gibi farklı güvenlik sistemleriyle verilerin paylaşılmasını ve süreçlerin yönetilmesini sağlar.
RESTful API: SOAR platformlarının diğer güvenlik araçlarıyla entegrasyonu için yaygın olarak kullanılan bir protokoldür. RESTful API, verilerin hızlı bir şekilde aktarılmasını ve komutların uygulanmasını sağlar.
Bulut Tabanlı Altyapı
Birçok SOAR platformu bulut üzerinde çalışır veya hibrit bir yapı kullanır. Bulut tabanlı altyapılar, büyük miktarda verinin analiz edilmesine ve daha hızlı olay müdahalesine olanak tanır.
AWS, Azure, GCP: Bu büyük bulut sağlayıcılar, SOAR platformlarının ölçeklenebilir ve güvenli bir ortamda çalışmasını sağlar. Ayrıca, tehdit verilerinin merkezi bir yerde saklanması ve işlenmesi kolaylaşır.
Kubernetes ve Docker: Konteyner tabanlı uygulamalar, SOAR platformlarının esnek ve hızlı bir şekilde dağıtılmasına olanak tanır. Mikro hizmet mimarisi ile farklı güvenlik modüllerinin izole edilmesi ve ölçeklendirilmesi sağlanır.
SOAR’ın Kullanım Alanları ve Siber Güvenlik Şirketlerinin Yaklaşımları
Finansal Kuruluşlar
Finansal kuruluşlar, siber saldırıların yüksek risk taşıdığı bir sektördür ve sürekli tehdit izleme ve müdahale gerektirir. SOAR platformları, bankaların ve finansal kuruluşların tehditlere hızlı yanıt vermesine olanak tanır ve müşteri verilerini korur.
E-Ticaret Sektörü
E-ticaret sektörü, sürekli olarak güvenlik riskleriyle karşı karşıya kalır. Müşteri verilerinin korunması ve saldırıların önlenmesi için SOAR çözümleri yaygın olarak kullanılır. Olaylara otomatik yanıt verilmesi, müşteri bilgilerinin çalınmasını önlemek için kritiktir.
Sağlık Sektörü
Sağlık sektörü, kişisel sağlık bilgilerinin (PHI) korunması gereken kritik bir alandır. SOAR çözümleri, bu bilgilerin güvenliğini sağlamak ve saldırılara karşı hızlı müdahale etmek için kullanılır.
Kamu ve Devlet Kurumları
Kamu sektörü, ulusal güvenlik açısından kritik altyapıları korumak için SOAR çözümlerine başvurur. Devlet kurumları, siber tehditlere otomatik yanıt vererek ulusal güvenlik açıklarını kapatır ve kritik sistemleri korur.
Siber Tehdit Analizi
Siber tehdit analizi, büyük miktarda verinin işlenmesini ve bu verilerin tehditler açısından değerlendirilmesini gerektirir. Bu analiz sırasında kullanılan başlıca teknolojiler şunlardır:
Tehdit İstihbaratı (Threat Intelligence)
Tehdit istihbaratı, geçmiş tehdit verilerinin toplanmasını ve analiz edilmesini sağlayarak organizasyonların tehditlere karşı önlem almasına yardımcı olur. Siber tehdit istihbaratı, küresel tehdit aktörlerini ve tekniklerini analiz eder.
STIX (Structured Threat Information Expression): Siber tehdit bilgilerini paylaşmak ve standart hale getirmek için kullanılan bir dil ve veri formatıdır.
TAXII (Trusted Automated Exchange of Indicator Information): Tehdit istihbaratı paylaşımında kullanılan bir iletişim protokolüdür.
Güvenlik Bilgi ve Olay Yönetimi (SIEM)
SIEM platformları, tehdit verilerini toplar, analiz eder ve olası güvenlik ihlallerini tespit eder. SIEM sistemleri, tehdit analizinin merkezinde yer alır ve tehditler hakkında anlık bilgiler sağlar.
Splunk, IBM QRadar, ArcSight: SIEM çözümleri, tehdit verilerini toplar ve analiz eder. SIEM araçları, ağ trafiğini izleyerek potansiyel tehditleri tespit eder ve anlık uyarılar oluşturur.
Anomali Tespiti Sistemleri
Bu sistemler, normal davranıştan sapmaları tespit etmek için kullanılır. Siber tehditler genellikle sistemdeki normal işleyişe aykırı hareketlerle ortaya çıkar, bu yüzden anomali tespiti kritik bir bileşendir.
Makine Öğrenmesi Algoritmaları: Bu sistemler, verileri analiz ederek zaman içinde neyin “normal” olduğuna dair bir model oluşturur ve anormallikleri tespit eder.
IDS/IPS (Intrusion Detection/Prevention Systems): Bu sistemler, ağda gerçekleşen olağandışı davranışları ve potansiyel saldırıları tespit eder ve önler.
Uç Nokta Tespit ve Müdahale (EDR)
EDR teknolojileri, son kullanıcı cihazları (uç noktalar) üzerindeki tehditleri tespit eder ve bu tehditlere yanıt verir. EDR, kullanıcıların sistemlerinde çalışan süreçleri sürekli izler ve potansiyel tehditlere karşı hızlı müdahale sağlar.
CrowdStrike Falcon, SentinelOne: Bu EDR çözümleri, tehditleri tespit etmek ve bu tehditlere karşı otomatik müdahaleler sunmak için kullanılır.
Siber Tehdit Analizinde Kullanılan Algoritmalar ve Yaklaşımlar
Tehdit analizinde kullanılan algoritmalar, tehditlerin tespit edilmesi ve sınıflandırılmasında önemli rol oynar. Aşağıda siber tehdit analizinde kullanılan başlıca algoritmalar ve yaklaşımlar yer almaktadır:
Denetimli ve Denetimsiz Öğrenme
Denetimli Öğrenme (Supervised Learning): Etiketli veri kullanılarak tehditlerin tespit edilmesi sağlanır. Bu algoritmalar, bilinen saldırı tiplerini tanımak için eğitilir. Kullanılan yaygın algoritmalar arasında Random Forest, Support Vector Machines (SVM) ve Logistic Regression yer alır.
Denetimsiz Öğrenme (Unsupervised Learning): Etiketlenmemiş verilerde anomali tespiti yapılır. Özellikle bilinmeyen tehditlerin tespit edilmesi için kullanılır. K-Means ve DBSCAN gibi kümeleme algoritmaları bu amaçla yaygın olarak kullanılır.
Anomali Tespiti Algoritmaları
İstatistiksel Yöntemler: Bu yöntemler, bir sistemin normal davranışını istatistiksel olarak modelleyerek anormallikleri belirler. Örneğin, Gaussian Mixture Models (GMM) veya
Principal Component Analysis (PCA) kullanılarak verilerdeki normal dışı davranışlar tespit edilebilir.
Zaman Serisi Analizi: Ağ trafiği ve diğer zaman tabanlı veriler, zaman serisi analizi ile incelenir. Özellikle DDoS saldırıları gibi tehditlerin tespit edilmesinde kullanılır.
Tehdit Aktör Modelleme
Siber tehdit aktörlerinin davranışları ve teknikleri, özellikle saldırganların yöntemlerini anlamak için modelleme yapılır. Bu modelleme, tehdit aktörlerinin önceki saldırılarda nasıl davrandığını analiz eder ve gelecek saldırıları tahmin eder.
MITRE ATT&CK Çerçevesi: Tehdit aktörlerinin kullanabileceği tekniklerin tanımlanması için kullanılır. Bu çerçeve, tehditlerin kategorize edilmesi ve her bir saldırı aşamasına karşı uygun savunma stratejileri geliştirilmesine yardımcı olur.
Doğal Dil İşleme (NLP)
Tehdit raporları, saldırı logları ve sosyal medya gibi açık kaynaklardan gelen verileri analiz etmek için NLP teknikleri kullanılır. Özellikle tehdit istihbaratı verilerini toplarken önemli bir araçtır.
Named Entity Recognition (NER): Tehdit raporlarındaki kritik varlıkları (örneğin tehdit aktörleri, IP adresleri, zafiyetler) tanımak için kullanılır.
Siber Güvenlik Şirketlerinin Ürün Geliştirme Yaklaşımları
CrowdStrike
CrowdStrike, uç nokta güvenliği ve tehdit avcılığı (threat hunting) alanında önde gelen bir firmadır. Şirket, tehdit aktörlerinin davranışlarını analiz ederek tehditlere karşı hızlı müdahale sağlar. CrowdStrike’ın Falcon platformu, tehdit analizini makine öğrenmesi ile entegre ederek tehditleri önceden tespit eder ve kullanıcılarına raporlar sunar.
FireEye (Mandiant)
FireEye, siber tehdit analizinde özellikle tehdit istihbaratı ve tehdit aktör modellemesi alanında uzmanlaşmıştır. Mandiant, dünya genelinde büyük siber saldırıların analizinde kullanılır ve tehdit aktörlerinin tekniklerini anlamak için derinlemesine araştırmalar yapar.
IBM QRadar
IBM’in QRadar platformu, SIEM tabanlı tehdit analizi sunar ve büyük miktarda veri üzerinde tehdit tespiti sağlar. QRadar, tehditlerin sınıflandırılması ve önceliklendirilmesi için makine öğrenmesi algoritmalarını kullanır.
Palo Alto Networks
Palo Alto Networks, özellikle tehdit istihbaratı ve uç nokta güvenliği çözümleri ile tanınır. Cortex XDR platformu, tehdit analizi ve tehdit tespiti için gelişmiş makine öğrenmesi modelleri kullanır. Ayrıca, bulut tabanlı tehdit analizi hizmetleri de sunmaktadır.
WAF (Web Application Firewall) Teknolojisi
WAF Nedir?
Web Application Firewall (WAF), bir web uygulamasının önünde konumlanarak HTTP/HTTPS trafiğini izleyen ve güvenlik tehditlerine karşı koruma sağlayan bir güvenlik çözümüdür. WAF, özellikle SQL Injection, XSS gibi saldırılara karşı web uygulamalarını savunmak için kullanılır.
WAF Teknolojileri
WAF’ler genellikle üç ana modda çalışır:
Blacklisting (Kara Listeleme): Bilinen kötü niyetli IP adresleri, URL’ler ve kullanıcı ajanlarını engellemek için kullanılır. Kara listeleme, WAF’in potansiyel tehditlere karşı hızlı bir şekilde müdahale etmesini sağlar.
Whitelisting (Beyaz Listeleme): Sadece izin verilen trafik türlerine izin verir. Güvenli olarak tanımlanan trafik dışındaki tüm istekler engellenir.
Heuristic & Behavioral Analysis (Sezgisel ve Davranışsal Analiz): Anormal trafik ve tehdit tespiti için WAF, trafiği sürekli izleyerek saldırı denemelerini tespit edebilir. Bu süreçte makine öğrenmesi algoritmaları devreye girer.
Algoritmalar
WAF’lerde kullanılan algoritmalar şunlardır:
Saldırı İmzası Tabanlı Algoritmalar: Bilinen saldırı imzalarına dayalı olarak tehditlerin tespit edilmesini sağlar. Bu imzalar, geçmiş saldırılardan toplanan ve potansiyel tehditleri tanımlamak için kullanılan veri modelleridir.
Anomali Tespiti Algoritmaları: Makine öğrenmesi algoritmaları kullanılarak, WAF bir web uygulamasındaki normalden sapmaları ve anormal davranışları tespit eder.
Pattern Matching: Girdi verilerinde SQL injection veya XSS gibi tehditleri tanımak için desen eşleştirme algoritmaları kullanılır.
WAF Kullanım Alanları
E-ticaret Siteleri: Özellikle kredi kartı bilgilerini ve müşteri verilerini korumak için WAF kullanılır.
Kamu ve Devlet Web Siteleri: Kritik devlet altyapılarına saldırı girişimlerini önlemek amacıyla WAF çözümleri uygulanır.
Finansal Kuruluşlar: Bankalar ve finansal uygulamalar, SQL injection ve XSS gibi tehditlere karşı WAF kullanarak müşterilerinin verilerini korur.
Altyapı Teknolojileri
Reverse Proxy: WAF çözümleri genellikle bir reverse proxy yapısı ile çalışır. Reverse proxy, gelen trafiği filtreleyip, yalnızca güvenli olan isteklerin web sunucusuna ulaşmasına izin verir.
Load Balancer (Yük Dengeleyici): Yük dengeleyiciler, WAF ile entegre edilerek gelen trafiği dengeler ve web uygulamasının sürekli erişilebilir olmasını sağlar.
CDN Entegrasyonu: Birçok modern WAF çözümü, CDN (Content Delivery Network) ile entegre çalışır ve saldırıları daha web sunucusuna ulaşmadan engeller.
Siber Güvenlik Şirketlerinin Yaklaşımları
Cloudflare WAF: Cloudflare, bulut tabanlı WAF çözümleri ile bilinir. Şirket, dünya genelinde geniş bir ağ üzerinde WAF sunarak web uygulamalarına hızlı ve etkili bir koruma sağlar.
F5 Networks BIG-IP WAF: F5, hem bulut hem de veri merkezlerinde çalışan WAF çözümleri sunar ve yüksek trafik hacmi olan uygulamalara ölçeklenebilir güvenlik sunar.
Akamai Kona Site Defender: Akamai, web uygulamalarını SQL Injection ve XSS gibi tehditlerden koruyan gelişmiş bir WAF çözümü sunar. Akamai’nin küresel ağı, büyük hacimli DDoS saldırılarına karşı da koruma sağlar.
IoT cihazları ve endüstriyel kontrol sistemlerinde güvenlik (ICS) çözümleri ve Algoritmalar
Şifreleme (Encryption) Teknolojileri
IoT cihazlarında veri güvenliğini sağlamak için kullanılan yaygın şifreleme yöntemleri arasında AES (Advanced Encryption Standard), RSA ve ECC (Elliptic Curve Cryptography) bulunmaktadır.
AES (Advanced Encryption Standard): AES, IoT cihazları ve ICS için güçlü bir simetrik şifreleme algoritmasıdır. Genellikle IoT cihazlarında hafif yapısı nedeniyle tercih edilir.
RSA (Rivest-Shamir-Adleman): Genellikle cihazlarda kimlik doğrulama ve veri güvenliği sağlamak için kullanılır. Ancak RSA, yoğun kaynak tüketen bir algoritma olduğu için daha çok güçlü cihazlarda tercih edilir.
ECC (Elliptic Curve Cryptography): Kaynakları sınırlı cihazlar için RSA’nın yerine tercih edilebilecek daha az kaynak tüketen bir algoritmadır. IoT cihazlarında verimli bir şekilde kullanılır.
Kimlik Doğrulama ve Erişim Kontrolü
IoT cihazları ve endüstriyel sistemlerde güvenli kimlik doğrulama ve erişim kontrolü, cihazların güvenliğini sağlamanın temel unsurlarındandır. PKI (Public Key Infrastructure) ve dijital imzalar sıkça kullanılır.
PKI (Public Key Infrastructure): IoT cihazlarının güvenli bir şekilde birbirine bağlanması ve kimlik doğrulama işlemleri için kullanılır. Dijital sertifikalar ile cihazların kimliklerini doğrulamak için bu teknoloji kullanılır.
TLS (Transport Layer Security): IoT cihazları arasında güvenli veri aktarımı için yaygın kullanılan bir protokoldür.
Saldırı Tespit ve Önleme Sistemleri (IDS/IPS)
Endüstriyel kontrol sistemlerinde ve IoT ağlarında saldırı tespit sistemleri, anormal trafik veya davranışları tespit etmek için kullanılır. Bu sistemlerde özellikle makine öğrenmesi tabanlı algoritmalar kullanılmaktadır.
Makine Öğrenmesi Algoritmaları: IDS/IPS çözümlerinde anormal ağ trafiğini ve cihaz davranışlarını tespit etmek için denetimli ve denetimsiz makine öğrenmesi algoritmaları (Random Forest, Support Vector Machines, K-Means gibi) kullanılır.
Anomali Tespiti: Anomalileri algılamak için kullanılan istatistiksel yöntemler veya makine öğrenmesi algoritmaları, özellikle IoT cihazları ve ICS ağlarında önemli bir rol oynar.
Blockchain Teknolojisi
IoT cihazları ve endüstriyel sistemlerde güvenli veri yönetimi için blockchain teknolojisi giderek daha fazla kullanılmaktadır. Blockchain, merkeziyetsiz bir yapı sunarak cihazlar arasında güvenli veri alışverişini sağlar ve aynı zamanda sahteciliği önler.
Algoritmalar
İletim Protokolleri
IoT cihazları ve ICS, geleneksel ağ protokollerinden farklı, hafif ve daha az kaynak tüketen iletişim protokollerini kullanır.
MQTT (Message Queuing Telemetry Transport): Düşük bant genişliği ve sınırlı enerji ile IoT cihazları arasında veri iletimi sağlamak için kullanılır.
CoAP (Constrained Application Protocol): Kaynakları sınırlı cihazlar için HTTP’nin daha hafif bir versiyonu olarak geliştirilmiştir. IoT cihazları için yaygın olarak kullanılır.
OPC-UA (Open Platform Communications Unified Architecture): Endüstriyel kontrol sistemlerinde cihazlar arası güvenli veri alışverişi için kullanılan bir protokoldür. Güvenlik katmanı, TLS ile entegre edilmiştir.
Makine Öğrenmesi ve Yapay Zeka
Güvenlik tehditlerini proaktif bir şekilde tespit edebilmek için IoT ve endüstriyel kontrol sistemlerinde makine öğrenmesi ve yapay zeka algoritmaları kullanılmaktadır.
Kümeleme Algoritmaları (Clustering): K-Means ve DBSCAN gibi algoritmalar, ağdaki normal ve anormal davranışları sınıflandırmak için kullanılır.
Derin Öğrenme Algoritmaları: IoT cihazlarından büyük miktarda veri toplanabildiği için bu veriler, derin öğrenme algoritmaları (örneğin, Convolutional Neural Networks) ile işlenip saldırı tespiti veya anomali analizi yapılabilir.
Kullanılan Bazı Altyapı Teknolojileri
Programlama Dilleri
IoT cihazları ve endüstriyel kontrol sistemlerinin güvenliği için kullanılan programlama dilleri genellikle performans odaklı ve hafif diller olmalıdır.
C/C++: Kaynak kısıtlamalı cihazlar için yaygın olarak kullanılan düşük seviyeli programlama dilleridir. Performans ve verimlilik açısından tercih edilir.
Python: Özellikle makine öğrenmesi ve güvenlik analizlerinde yaygın kullanılır. IoT ve ICS’deki güvenlik çözümlerinin geliştirilmesinde de rol oynar.
Java: Daha büyük endüstriyel sistemler ve IoT platformları için güçlü ve taşınabilir bir çözümdür. Java’nın IoT cihazları ile uyumluluğu yüksektir.
Bulut ve Edge Biişim
Bulut Bilişim: IoT cihazlarından büyük miktarda veri toplamak ve işlemek için bulut platformları (AWS IoT, Microsoft Azure IoT) kullanılır. Bulut bilişim, ölçeklenebilir güvenlik çözümleri sağlar.
Edge Bilişim: Verinin cihazlara yakın bir yerde işlenmesi, özellikle gecikme süresinin kritik olduğu endüstriyel kontrol sistemlerinde tercih edilir. Güvenlik çözümleri de edge cihazlarda dağıtılabilir.
Donanım Güvenlik Modülleri (HSM)
IoT ve endüstriyel kontrol sistemlerinde kullanılan HSM’ler (Hardware Security Module), kriptografik işlemleri hızlandırmak ve güvenli anahtar depolamak için kullanılır. Bu modüller, yüksek güvenlik gerektiren işlemlerde kriptografik anahtarları güvenli bir şekilde yönetir.
KAYNAKÇA
Jaber, A., & Fritsch, L. (2022, October). Towards ai-powered cybersecurity attack modeling with simulation tools: Review of attack simulators. In International Conference on P2P, Parallel, Grid, Cloud and Internet Computing (pp. 249-257). Cham: Springer International Publishing.
Barikat Siber Güvenlik. (n.d.). B-Labs’a üst düzey atama. Barikat. https://www.barikat.com.tr/haberler/b-labsa-ust-duzey-atama
Mell, P., & Grance, T. (2002). Use of the common vulnerabilities and exposures (cve) vulnerability naming scheme. NIST Special Publication, 800, 51.
Kanagala, H. K., & Krishnaiah, V. J. R. (2016, January). A comparative study of K-Means, DBSCAN and OPTICS. In 2016 International Conference on Computer Communication and Informatics (ICCCI) (pp. 1-6). IEEE.
Jaiswal, S., & Gupta, D. (2019). Security validation of cloud based storage. In Advances in Computing and Data Sciences: Third International Conference, ICACDS 2019, Ghaziabad, India, April 12–13, 2019, Revised Selected Papers, Part II 3 (pp. 588-596). Springer Singapore.
Loaiza Enriquez, R. (2021). Cloud Security Posture Management/CSPM) in Azure.
Sakon, T., & Nakamoto, Y. (2018, October). Structured Policy-Based Design Method for Cybersecurity of Automotive E/E System. In 2018 IEEE SmartWorld, Ubiquitous Intelligence & Computing, Advanced & Trusted Computing, Scalable Computing & Communications, Cloud & Big Data Computing, Internet of People and Smart City Innovation (SmartWorld/SCALCOM/UIC/ATC/CBDCom/IOP/SCI) (pp. 1617-1622). IEEE.
Ertem, M., & Ozcelık, İ. (2024). Siber ağların risk analizi: Saldırı-savunma ağaçlarıyla temellendirilmiş niceliksel bir yaklaşım. Journal of Innovative Engineering and Natural Science, 4(1), 113-125.
Ajish, D. A Review on the Benefits of Continuous Threat Exposure Management in the Banking Industry.
Chakrabarty, B., Patil, S. R., Shingornikar, S., Kothekar, A., Mujumdar, P., Raut, S., & Ukirde, D. (2021). Securing Data on Threat Detection by Using IBM Spectrum Scale and IBM QRadar: An Enhanced Cyber Resiliency Solution. IBM Redbooks.
Zaharia, M., Chowdhury, M., Das, T., Dave, A., Ma, J., Mccauley, M., … & Stoica, I. (2012). Fast and interactive analytics over Hadoop data with Spark. Usenix Login, 37(4), 45-51.
Ben‐Gal, I. (2008). Bayesian networks. Encyclopedia of statistics in quality and reliability.
Abraham, S., & Nair, S. (2014). Cyber security analytics: a stochastic model for security quantification using absorbing markov chains. Journal of Communications, 9(12), 899-907.
Singh, R., Gupta, M. K., Patil, D. R., & Patil, S. M. (2024, April). Analysis of Web Application Vulnerabilities using Dynamic Application Security Testing. In 2024 IEEE 9th International Conference for Convergence in Technology (I2CT) (pp. 1-6). IEEE.
Fowler, D. S., Bryans, J., Shaikh, S. A., & Wooderson, P. (2018, June). Fuzz testing for automotive cyber-security. In 2018 48th Annual IEEE/IFIP International Conference on Dependable Systems and Networks Workshops (DSN-W) (pp. 239-246). IEEE.
INNOSET, Picus Security | İhlal ve Saldırı Simülasyonu | Güvenlik Doğrulama Platformu https://www.innoset.net/picussecurity
Zhang, S., Xie, X., & Xu, Y. (2020). A brute-force black-box method to attack machine learning-based systems in cybersecurity. IEEE Access, 8, 128250-128263.
Chapagain, A. (2019). Hands-On Web Scraping with Python: Perform advanced scraping operations using various Python libraries and tools such as Selenium, Regex, and others. Packt Publishing Ltd.
Biehl, M. (2016). RESTful Api Design (Vol. 3). API-University Press.
Kinyua, J., & Awuah, L. (2021). AI/ML in Security Orchestration, Automation and Response: Future Research Directions. Intelligent Automation & Soft Computing, 28(2).
Rahman, A., Knudsen, S. R., Milonas, D. C., Fleming, D., & Clements, J. (2024). SOAR.
Qin, B., Xia, Y., Prabhakar, S., & Tu, Y. (2009, March). A rule-based classification algorithm for uncertain data. In 2009 IEEE 25th international conference on data engineering (pp. 1633-1640). IEEE.
Applebaum, A., Johnson, S., Limiero, M., & Smith, M. (2018, June). Playbook oriented cyber response. In 2018 National Cyber Summit (NCS) (pp. 8-15). IEEE.
Furfaro, A., Piccolo, A., Parise, A., Argento, L., & Saccà, D. (2018). A cloud-based platform for the emulation of complex cybersecurity scenarios. Future Generation Computer Systems, 89, 791-803.
Barnum, S. (2012). Standardizing cyber threat intelligence information with the structured threat information expression (stix). Mitre Corporation, 11, 1-22.
Connolly, J., Davidson, M., & Schmidt, C. (2014). The trusted automated exchange of indicator information (taxii). The MITRE Corporation, 1-20.
Kaur, H., SL, D. S., Paul, T., Thakur, R. K., Reddy, K. V. K., Mahato, J., & Naveen, K. (2024). Evolution of Endpoint Detection and Response (EDR) in Cyber Security: A Comprehensive Review. In E3S Web of Conferences (Vol. 556, p. 01006). EDP Sciences.
Thapa, S., & Mailewa, A. (2020, April). The role of intrusion detection/prevention systems in modern computer networks: A review. In Conference: Midwest Instruction and Computing Symposium (MICS) (Vol. 53, pp. 1-14).
Parizad, A., & Hatziadoniu, C. J. (2022). Cyber-attack detection using principal component analysis and noisy clustering algorithms: A collaborative machine learning-based framework. IEEE Transactions on Smart Grid, 13(6), 4848-4861.
Ahmed, M., Panda, S., Xenakis, C., & Panaousis, E. (2022, August). MITRE ATT&CK-driven cyber risk assessment. In Proceedings of the 17th International Conference on Availability, Reliability and Security (pp. 1-10).
Gao, C., Zhang, X., Han, M., & Liu, H. (2021). A review on cyber security named entity recognition. Frontiers of Information Technology & Electronic Engineering, 22(9), 1153-1168.
Beidel, E. (2012). Companies Rush to Tailor Products to New Cyber-Attacks. National Defense, 97(705), 30-33.
PALOALTO, Defend. Secure. Simplify. https://www.paloaltonetworks.com/
Ito, M., & Iyatomi, H. (2018, March). Web application firewall using character-level convolutional neural network. In 2018 IEEE 14th International Colloquium on Signal Processing & Its Applications (CSPA) (pp. 103-106). IEEE.
Bijjou, K. (2019, November). Web Application Firewall Bypassing: An Approach for Penetra. In In Depth Security Vol. III: Proceedings of the DeepSec Conferences (Vol. 3, p. 29). BoD–Books on Demand.
Wurzinger, P., Platzer, C., Ludl, C., Kirda, E., & Kruegel, C. (2009, May). SWAP: Mitigating XSS attacks using a reverse proxy. In 2009 ICSE Workshop on Software Engineering for Secure Systems (pp. 33-39). IEEE.
n No, A. Y. (2008). F5 Networks, Inc.
Korizis, I. (2024). BIG IP software (Configuration and deep Analysis) (Master’s thesis, Πανεπιστήμιο Πειραιώς).
Heron, S. (2009). Advanced encryption standard (AES). Network Security, 2009(12), 8-12.
Sihotang, H. T., Efendi, S., Zamzami, E. M., & Mawengkang, H. (2020, November). Design and implementation of Rivest Shamir Adleman’s (RSA) cryptography algorithm in text file data security. In Journal of Physics: Conference Series (Vol. 1641, No. 1, p. 012042). IOP Publishing.
Blake-Wilson, S., Nystrom, M., Hopwood, D., Mikkelsen, J., & Wright, T. (2006). Transport layer security (TLS) extensions (No. rfc4366).
Spies, T. (2017). Public key infrastructure. In Computer and Information Security Handbook (pp. 691-711). Morgan Kaufmann.
Abdelbasit, S. M. B. (2023). Cybersecurity Attacks Detection for MQTT-IoT Networks Using Machine Learning Ensemble Techniques. Rochester Institute of Technology.
Sommerhalder, M. (2023). Hardware Security Module. Trends in Data Protection and Encryption Technologies, 83-87.
