Let’s Break the Cyber Kill Chain : Break to Pieces! |TR
Endpoint Shield
Endpoint koruması ilk adımda söz konusu olduğunda Exploitation, Installation, C2 ve Actions olarak tek tek ele alalım. Ve her adımda diğer makale de düşündüğümüz saldırgan stratejilerine karşı engelleme adımları dizayn etmeliyiz. 4. zincir halkasından 7. zincir halkasına ulaşana kadar süreçlerin bir üçgenin tabanından uç noktasına doğru oluşan dilimler halinde düşünebiliriz. Yine 4. adımdan itibaren incelemelerimize ve zincirin her bir halkasında bu zinciri nasıl kıracağımıza tek tek göz atalım;
4) Exploitation
Ilk olarak Exploitation’ı ele alarak ilerleyelim. Exploitation aşaması için kontrolü elimize alabileceğimiz ve engelleyebileceğimiz şu dört adımı ele alalım; Yama Takibi (Patching), Ağ Taramaları (Networking Scanning), Sömürü Önleme (Anti-Exploitation), Envanter (Inventory)’dir. Hadi bu adımlarda yapacaklarımıza bakalım;
a. Yamalandırma(Patching) and Inventory
Envanterimizde bulunan tüm yazılımların sürüm kontrollerini ve sürüme bağlı zafiyet kontrollerini devamlı kontrol etmeliyiz. Aslında bu akışı Continuous Vulnerability Management çerçevesinde de değerlendirebiliriz. Bu süreçte makinemizde kullandığımız Servislerin, OS’un, Programların ve bunların sürümlerine bağlı sahip olduğu güvenlik zafiyetlerinin kontrolünü sağlamamız aslında Sömürü noktasında bir nevi engelleme sağlayacaktır. Dış asset’lerden yapılan taramalarda bizi öne geçirecek ve Installation aşaması için de önlem almamızı sağlayacaktır.
b. Ağ Taramaları(Networking Scanning)
Önemli noktalardan biride endpoint’lerimizin ne durumda olduğunu bilmektir. Hangi servislerin çalıştığı, dış ortamdan birinin enumeration ettiğinde veya banner grabbing yaptığında neler elde edeceğini önceden bizim bilmemiz çok önemli bir noktadır. Bu sayede aksiyon alıp gözümüze batan noktaları düzenleyebiliriz. Ayrıca bu nokta da enum edildiğinde sağlanan loglamalar da önemlidir.
c. Sömürü Önleme(Anti-Exploitation)
Ne yaparsak yapalım saldırgan bir yolunu bulurda ister kendisi ister kullanıcı bir zararlı dosya çalıştırırsa bunu engelleme yollarını da göz ardı etmemeliyiz. Ilk olarak akla gelen Client’lar da USB politikası olacaktır. Bunu es geçemeyiz. Microsoft’un EMET( kaldırıldı :( ) ve Exploit Guard programları ile zararlı dosyaların yüklenme veya çalıştırılma anında müdahale edebilecek programlar etkili olacaktır.
Client’larda yine belirli Event Code’ların Windows Event Forwarding (WEF) gibi araçlarla bu doğrultuda loglanması ve merkezi bir sistemde korele edilerek alarmlar geliştirilmesi yine exploitation aşamasında etkili olacaktır.
Windows Defender Exploit Guard’ın dört bileşeni şunlardır:
- Attack Surface Reduction (ASR): İşletmelerin Office, komut dosyası ve e-posta tabanlı tehditleri engelleyerek kötü amaçlı yazılımların makineye girmesini önlemek için etkinleştirebileceği bir dizi denetim sağlar.
- Network protection: Windows Defender SmartScreen aracılığıyla cihazda; host’a / IP’ye giden gelen tüm güvenilmeyen işlemleri engelleyerek uç noktayı ağ tabanlı tehditlere karşı korur.
- Controlled folder access: Güvenilmeyen işlemlerin korumalı klasörlerinize erişmesini engelleyerek hassas verileri fidye yazılımlarından korur.
- Exploit protection: Sisteminizi ve uygulamalarınızı korumak için kolayca yapılandırılabilen bir dizi istismarı minimal eder.(EMET’in yerine gelmiştir)
5) Installation
Installation’ı ele alırken zararlı veriyi yüklemeye engel olabileceğimiz bu adım da; Zararlılardan Korunma Ürünlerini, Sıkılaştırma(Hardening), Beyaz Liste tabanlı etkileşim(Whitelisting)’i ele alabiliriz.
a.Zararlılardan Korunma Ürünleri
Dosyaları engelleme söz konusu olduğunda Antivirus’ler ilk akla gelen sistemlerdir. Imza tabanlı çalışma yetilerine sahiptirler. Çalışmadan önce dosyaları bu nedenle yakalama yetkisine sahiptirler. Listelerinde tanımsız olan veya Polimorfik zararlılarla karşılaştıklarında yüksek oranla etkisiz kalırlar. Ayrıca AV, zararlı diske yazılmadıkça programları analiz etmeyebilir, bu yüzden doğrudan saldırgan hedefini RAM’e yöneltecek saldırıları hedefleyecektir. Burda da devreye EDR gibi ürün portföyleri geçecektir.
Burda Ürünlere ve Ürün teknolojilerine değinmeyeceğim zaten Gartner gibi kurumların değerlendirmelerini inceleyebilirsiniz.
b. Sıkılaştırma(Hardening)
Kullanıcıların çalışma portföyünü ve alanlarını belirleyip belirli profillerde endpoint’lerde çeşitli sıkılaştırmalar planlaması oldukça işe yarayacaktır. Moda departmanında çalışan bir çalışanın Powershell kullanımına ihtiyacı olmayacaktır. Veya kritik rollerde ve kritik verilerle işi olan kişilerin Data Leak Protection kapsamının dışında olup usb’lerinin açık olması veya kendi yetkisiyle bazı dosyaları backup alması yine riske neden olacaktır. Doğru kullanıcı grubuna uygulanacak doğru hardening teknikleri ve bunlara dahil olarak, çoğu kullanıcıda etkili olacak zararlı çalıştırma tekniklerine karşı yapılacak hardening çalışmaları oldukça etkili olacaktır.
c. Beyaz Liste tabanlı etkileşim(Whitelisting)
Oldukça katı bir politika olsa da belirli departmanlardan gelecek incident’ların önünü kesmek için tercih edilebilir bir saldırı yüzeyi daraltma yöntemidir. Belirli programların yalnızca çalıştırılması(yürütülmesini) sağlayan bu yöntem oldukça etkilidir. Burda Denetim modu ve engelleme modu vardır. Denetim modu aslında tercih edilebilir bir yöntemdir. Denetlenebilirlik aslında loglamayı sağlayacağından ilgili SOC birimleri doğrudan hakim olacak ve olayı hem inceleyip hemde takibinde olacaktır. Bu işi sağlayan araçlardan bazıları : Linux AppArmor, Windows AppLocker, macOS Gatekeeper’dir.
6) C&C
“Komuta ve Kontrol, düşmanların bir kurban ağı içinde kontrolleri altındaki sistemlerle iletişim kurmak için kullanabilecekleri tekniklerden oluşur. Düşmanlar, tespit edilmekten kaçınmak için genellikle normal, beklenen trafiği taklit etmeye çalışır. Bir düşmanın, kurbanın ağ yapısına ve savunmalarına bağlı olarak çeşitli gizlilik düzeyleriyle komuta ve kontrol kurmasının birçok yolu vardır.” — MITRE ATT&CK (https://attack.mitre.org/tactics/TA0011/)
C&C aktivitesini engellemek içinde en önemli üç silahımızı kullanacağız; HIDS ve Host firewalls
a. HIDS
Host Based IDS’in en önemli yanı logların daha kapsayıcı ve detaylı toplanmasını sağlamaktır. Wazuh gibi sistemlerin temelini de bu oluşturur.
Rootcheck: Bu süreç, rootkit’lerin, kötü amaçlı yazılımların ve sistem anormalliklerinin tespit edilmesiyle ilgili birden fazla görevi yerine getirir. Ayrıca, sistem yapılandırma dosyalarına karşı belirli temel güvenlik kontrollerini gerçekleştirir.
Log Collector: Bu aracın bileşeni, log dosyaları, standart Windows olay logları ve hatta Windows Olay Kanalları dahil olmak üzere işletim sistemi ve uygulama günlük mesajlarını okumak için kullanılır. Ayrıca, belirli komutların çıktılarını periyodik olarak çalıştırmak ve yakalamak üzere yapılandırılabilir.
Syscheck: Bu işlem, file integrity monitoring’i (FIM) gerçekleştirir ve ayrıca Windows sistemlerinde registery’leri izleyebilir. Bir dosyanın içeriğindeki, sahipliğindeki ve diğer özniteliklerindeki değişiklikleri algılamanın yanı sıra dosyaların oluşturulmasını ve silinmesini not edebilir. Varsayılan olarak periyodik FIM taramaları gerçekleştirirken, aynı zamanda dosya değişikliklerini gerçek zamanlı algılamak ve metin dosyalarının ayrıntılı bir değişiklik raporu (farkları) üretmek için işletim sistemi çekirdeği ile iletişim kuracak şekilde yapılandırılabilir.
OpenSCAP: Bu modül, yayınlanmış OVAL (Açık Güvenlik Açığı Değerlendirme Dili) ve XCCDF (Genişletilebilir Yapılandırma Kontrol Listesi Açıklama Formatı) temel güvenlik profillerini kullanır. Bir sistemi periyodik olarak tarayarak, CIS (Center for Internet Security) kıyaslamalarında tanımlananlar gibi iyi bilinen standartları takip etmeyen savunmasız uygulamaları veya yapılandırmaları bulabilir.
Agent Daemon: Bu, diğer tüm ajan bileşenleri tarafından oluşturulan veya toplanan verileri alan işlemdir. Verileri, kimliği doğrulanmış bir kanal aracılığıyla sıkıştırır, şifreler ve sunucuya iletir. Bu işlem, yalıtılmış bir “chroot” ortamında çalışır, yani izlenen sisteme sınırlı erişime sahiptir. Bu, ağa bağlanan tek işlem olduğu için aracının genel güvenliğini artırır.
b. Host firewalls
En yaygın olarak kullanılan portların loglanmasının sağlanması örneğin; HTTP / HTTPS, SMB, SSH ayrıca özel araçların özel portlarının denetlenmesi oldukça etkili olacaktır. Ayrıca çeşitli araçlarıda whitelist’e alarak yeni portların açılmasının ve denetiminin sağlanması oldukça etkili olacaktır.
7. Action
Aksiyon durumunda tanımlama ise aslında son anda çekilecek el freni gibidir. Bu durumda merkezi loglama ve tespit en önemli çıkış noktalarımız olacaktır. Bunu için loglama politikaları ve logların korele edilerek alarma dönüşmesi hedef olmalıdır.
Siber Güvenlik kariyerini SOC üzerine ilerleten biri olarak edindiğim bazı deneyimlerimi bu son bölümde paylaşmaya çalışacağım. Bunun için bu yazı serimin son bölümünde tam kapsamlı ele alacağım.
Okuduğunuz için teşekkür ederim. Görüşmek üzere…
