Blue Team

Sessizliği Dinlemek: Geleneksel Savunma Neden Çöküyor ve Tehdit Avcılığı Bize Ne Anlatıyor?

Surların arkasında alarm beklemek yerine, sistemin içine sızmış düşmanı adli bilişim ve analitik zeka ile avlamayı hedefleyen proaktif Blue Team stratejisi.

Sessizliği Dinlemek: Geleneksel Savunma Neden Çöküyor ve Tehdit Avcılığı Bize Ne Anlatıyor?

Siber güvenliğe ilk adım attığımızda genellikle bize öğretilen temel bir mantık vardır: Sistemin etrafına kalın Güvenlik Duvarları (Firewall) ör, uç noktalara Antivirüs/EDR kur ve SIEM ekranında kırmızı bir alarmın çalmasını bekle. Ancak güncel siber olayları ve vaka analizlerini incelediğimizde, sadece bu "bekleme" stratejisine dayalı sistemlerin artık hızla çöktüğünü görüyoruz.

Çünkü günümüzdeki APT (Gelişmiş Kalıcı Tehdit) grupları, o kalın duvarları tırmanmakla veya gürültü çıkarmakla uğraşmıyor. Geçerli bir çalışanın kimlik bilgisini çalıyor, içeri ana kapıdan giriyor ve işletim sisteminin tamamen yasal araçlarını (LotL - Living off the Land teknikleri) kullanarak aylarca sessizce içeride yaşıyorlar. İzleme sistemleri, içerideki bu kişiyi yetkili bir "sistem yöneticisi" sandığı için hiçbir alarm çalmıyor.

İşte tam bu noktada, modern savunma mimarilerinin merkezine yerleşmesi gereken o kritik felsefe devreye giriyor: "Assume Breach" (Sistemin İhlal Edildiğini Varsay). Eğer ağınızın zaten hacklendiğini ve içeride sessiz bir düşman olduğunu varsayarsanız, artık bir alarmın çalmasını beklemezsiniz. Adli bilişim prensipleriyle hareket eder, karanlık ormana kendi avınızı bulmaya çıkarsınız. Siber güvenlikte bu proaktif analitik sürece Threat Hunting (Tehdit Avcılığı) diyoruz.

Kale Metaforu: Olay Müdahalesi (IR) ve Tehdit Avcılığı Farkı

Reaktif.webp

Bu konuyu somutlaştırmak için kalabalık bir bina düşünelim. Geleneksel Olay Müdahalesi (Incident Response - IR) ekibi, o binanın yangın alarmı çaldığında gelen itfaiyesidir. Ortada net bir yıkım, duman ve bilinen bir tehlike vardır; sadece yangını söndürmeye odaklanırlar.

Tehdit Avcısı (Threat Hunter) ise o yangının çıkmasını beklemez. O, binada dolaşıp "Acaba elektrik tesisatında bizim göremediğimiz gizli bir kısa devre var mı?" diyerek kabloları termal kamerayla inceleyen mühendistir. Amacı, o sessiz anormalliği yangın çıkmadan önce bulmaktır. Biri tamamen reaktif, diğeri ise %100 proaktiftir.

Avcılığın Matematiği: David Bianco'nun "Acı Piramidi"

piramit.webp

Peki bir avcı milyonlarca verinin içinde tam olarak neyi arar? Sadece internetten bulunan "Zararlı IP" veya "Virüs Hash" listelerini sisteme girmek gerçek bir avcılık değildir. David Bianco'nun literatüre kazandırdığı meşhur "Pyramid of Pain" (Acı Piramidi) bu işin mantığını harika bir şekilde özetler.

Piramidin en altındaki bir IP adresini engellerseniz, saldırgan sadece 5 saniye içinde yeni bir sunucu kiralayıp işine devam eder; ona hiçbir operasyonel zarar veremezsiniz. Ancak piramidin en tepesinde yer alan TTP'leri (Tactic, Technique, and Procedures) yani saldırganın davranış biçimini hedef alırsanız işler değişir. Örneğin, bir saldırganın ağ içinde yanal hareket (lateral movement) yaparken hangi spesifik komut dizilimini kullandığını çözer ve avlarsanız, onun tüm taktiğini yok edersiniz. Karşı tarafın yeni bir araç yazması ve baştan bir strateji kurması gerekir. Gerçek avcılık, saldırgana bu teknik "acıyı" yaşatmaktır.

Davranışsal Anormallik: Logların İçindeki İğneyi Bulmak

exetree.webp

İyi bir avcı, ekranına düşen devasa log yığınlarına boş boş bakmaz. Zekice ve ofansif bir hipotez kurar. Örneğin: "Eğer bir saldırgan EDR'a yakalanmamak için PowerShell üzerinden şifrelenmiş komutlar çalıştırsaydı, bu işletim sisteminde nasıl bir iz bırakırdı?"

İşletim sistemlerinin mimarisinde doğal ve öngörülebilir bir akış (Process Tree) vardır. Normal şartlarda Microsoft Word uygulamasının (WINWORD.EXE) çalıştıracağı alt süreç muhtemelen bir yazdırma işlemi (spoolsv.exe) olur. Ancak loglar arasında WINWORD.EXE'nin aniden arka planda bir komut satırı (cmd.exe) açtığını ve oradan da Base64 ile gizlenmiş bir powershell.exe kodu çalıştırdığını görürsek, bu devasa bir anormalliktir.

Kural tabanlı sistemler veya Antivirüsler "PowerShell Microsoft'un yasal bir aracıdır" diyerek bu hareketi es geçebilir. Ancak analitik mühendislik zekası, sistemin doğasına aykırı olan bu davranışı anında fark eder.

Geleceğin Savunması ve AI Faktörü

Geleceğin savunma mimarilerini inşa edecek mühendisler olarak, geleneksel sınırların artık eridiğini çok net görebiliyoruz. Blue Team olmak artık sadece gelen saldırıyı bloklamak değil; sistemin kendi zaaflarını bilerek, saldırganın ofansif zekasıyla onun kendi oyun alanında başa çıkmaktır.

Çok yakında Yapay Zeka (AI) ve Büyük Dil Modellerinin (LLM) SOC merkezlerine entegrasyonuyla bu avcılık süreci bambaşka bir hıza ulaşacak. Saniyeler içinde binlerce logu analiz eden AI ajanları bize şüpheli anormallikleri listeleyecek. Ancak yapay zeka ne kadar gelişirse gelişsin; o verinin zararsız bir sistem güncellemesi mi, yoksa uyuyan bir APT grubunun dijital ayak izi mi olduğunu yorumlayacak olan yine avcının şüpheci ve analitik insan zekası olacak.

Unutmayalım; modern siber güvenlikte savunma artık sadece bekleme sanatı değildir, düşmanı kendi evinde avlama sanatıdır.

Author

AltaySec Medya

Siber güvenlik operasyonları ve Red Team kültürü içerisinde bilgi yönetimi yapan çekirdek yayın ekibi. #OffensiveKnowledge