Indicator of compromise (IOC) , ağ veya sistemdeki cihazlara izinsiz giriş işlemine ait göstergeler anlamına gelmektedir. Bu kavram, saldırganların işlerini zorlaştırmak için uygulanan bir tasarımdır. Analistler saldırganların izlerini sürmek için sistemdeki IOC’leri arar. Pyramid of Pain, IOC göstergelerini 6 farklı seviyeye ayırarak siber güvenlik tehditlerinin daha iyi anlaşılmasına yönelik hazırlanan bir modeldir. 2013 yılında David J. Bianco tarafından tasarlanmıştır.
Hash Values
Hash değerleri, dosyaların çeşitli kriptografik algoritmalarla (Sha, Md5…) hesaplanan çıktısıdır (Dosyanın imzası). Karma değerler 1genellikle belirli kötü amaçlı yazılım örneklerine veya izinsiz girişte yer alan dosyalara benzersiz referanslar sağlamak için kullanılır.
IP Address
Cihazların ağ üzerinde iletişim kurmak için kullandıkları adresler.
Domain Names
Alan adları veya alt alan adları
Network/Host Artifacts
Kurum ağında veya cihazlarındaki etkinlikler. Tipik örnekler arasında URI kalıpları, ağ protokollerine gömülü C2 bilgileri, ayırt edici HTTP Kullanıcı Aracısı veya SMTP Posta Göndericisi değerleri vb. yer alır.
Tools
Saldırganlar tarafından kullanılan araçlar. Bu, hedef odaklı kimlik avı için kötü amaçlı belgeler oluşturmak üzere tasarlanmış yardımcı programları, C2 veya şifre kırıcıları oluşturmak için kullanılan arka kapıları veya diğer ana bilgisayar tabanlı yardımcı programları içerir.
TTPs:
Saldırganların teknik taktik ve prosedürleri.
The Pyramind of Pain, işletmelerdeki ağ savunucuları için yararlı bir referans sağlar. Örneğin, Piramit bize, bir saldırgan saldırı zincirindeki bir uç noktaya bulaşmak için kötü amaçlı yazılım kullanıyorsa, bir savunucunun bu tür davranışları algılamak için dosya hash değerlerinden daha fazlasını kullanması gerektiğini bileceğini söyler. Bunun nedeni, saldırganların tekniği atlatmasının ‘önemsiz’ olmasıdır
(savunucunun orijinal örneği algılamak için kullandığı dosya karma değerinin işe yaramaz hale gelmesi için kötü amaçlı yazılım örneğini yeniden derleyebilirler.
Tehdit Tespit Türleri Nelerdir?
Pyramid of Pain üzerindeki IOC’ler, tehdit tespitinde kullanılan gösterge türlerinden
yalnızca biridir. Buna karşılık göstergeler, siber güvenlikte tehdit algılamanın yalnızca bir
biçimidir.
Konfigürasyon : Tehdidi tespitinde analistler, bir cihazın bilinen bir standart
konfigürasyondan saptığına dair işaretler arar.
Modelleme :Konfigürasyon değişikliklerinin ötesinde, analistler matematiksel modellemeyi kullanarak
önceden tanımlanmış bir taban çizgisinden sapmalar arayabilirler.
Göstergeler: Bir gösterge, bir cihazın durumu veya bağlamı hakkında bazı ipuçları sağlayan “iyi” veya
“kötü” bir bilgi parçasıdır. IOC’ler, kötü niyetli bir aktörün sisteme erişim kazandığına dair
kanıt sunan en yaygın göstergelerdir.
Davranışlar: Davranışsal tehdit analizi, kötü niyetli bir aktör tarafından kullanılan soyut, üst düzey
teknikleri ve yöntemleri arar.
- Hash values ↩︎
Bu kategorimizdeki diğer yazılarımıza buradan ulaşabilirsiniz.