Tehdit Aldatma ve Bal Küpü Teknolojilsi (HONEYPOT)

Bir tehditten korunmanın en başarılı yolu, var olan tehdidin atacağı adımlara aşina olmaktır. Tıpkı bir hırsızı yakalamak için organize edilen sahte bir olay mahalli gibi, hackerların da önüne saldırabilecekleri sahte bir bilgisayar sistemi koymaya “bal küpü” adı verilir.

 

Bal küpü, siber saldırganları cezbeden bir ortam oluşturur. Kendisini, saldırganlar için potansiyel bir hedef olarak gösterir ve bu sayede saldırılar hakkında bilgi toplar. Yetkisiz kullanıcılar tarafından bal küpüne erişim girişimleri hakkında savunucuları bilgilendirir.

 

Bir ağın parçası gibi görünmesinin aksine, aslında izole edilen ve yakından izlenen bir tuzaktır. Meşru kullanıcıların bal küpüne erişmede hiçbir nedeni olmayacağı için onunla iletişim kurma girişimleri düşmanca kabul edilir. Günlük analizler ve SIEM ile belirlenme ihtimali düşük olan kötü amaçlı davranışlar hakkında doğru ve tutarlı uyarılar verir.

 

Saldırganlar, ağda konuşlanan sahte BT varlıklarıyla etkileşim kurduğunda, güvenlik ekipleri gelişmiş tehditleri algılar, analiz eder ve bunlara karşı savunma geliştirir.

 

Bal küpleri, genellikle ağ üzerinde koruma önlemlerinden arındırılmış bir bölgeye (Demilitarized Zone-DMZ) yerleştirilir. Bu yaklaşım, onu ana üretim ağından izole ederken hâlâ ağın bir parçası olmasını sağlar. DMZ'de bulunan bir bal küpü, saldırganların ona eriştiği sırada uzaktan izlenir ve ana ağın ihlal edilme riskini minimuma indirir.

 

Bal küpleri, dâhili ağa girme girişimlerini algılamak için internete bakan harici güvenlik duvarının dışına da yerleştirilebilir. Bal küpünün tam yerleşimi ne kadar ayrıntılı olduğuna, çekmeyi amaçladığı trafiğe ve kurumsal ağ içindeki hassas kaynaklara ne kadar yakın olduğuna bağlı olarak değişir. Yerleşim ne olursa olsun, üretim ortamında her zaman bir dereceye kadar izolasyona sahip olacaktır.

 

Bal küpü sistemlerinde genellikle, tehditlere maruz kalma riskini minimuma indirmek için sertleştirilmiş işletim sistemleri (OS'ler) kullanır. Bunlar, ekstra güvenlik önlemlerinin alındığı sistemlerdir.

 

Bal küpünün çalışma düzeneği, saldırganların gözünde istismar edilebilir güvenlik açıkları olan bir sistem gibi gözükerek onları cezbetmektir. Örneğin, bal küpü sistemi, WannaCry fidye yazılımı saldırısı tarafından kullanılan Sunucu İleti Bloğu (Server Message Block-SMB) protokol isteklerine yanıt veriyor gibi görünebilir ve kendisini tüketici bilgilerini depolayan bir kurumsal veri tabanı sunucusu olarak temsil edebilir.

 

Sistemlere yönelik tehditler çok çeşitli faktörlerden kaynaklanabilir. Dışardan gelecek tehditler olabileceği gibi içeriden aktörler, yükleniciler ve tedarikçiler de risk yaratma potansiyeline sahiptir. İçeriden aktörler çevre içinde olduğundan, birçok geleneksel güvenlik önlemi bunları karşılamada etkisiz ve güvenilmezdir. Riskin çevre içinden gelmesi, davranışları öğrenme ve şüpheli davranışlara karşı uyarıda bulunma işlevlerini olumsuz etkiler.

 

Bal küpü, işleyişi gereği ağ içi algılamaya farklı bir açıdan yaklaşır. Buradan hareketle güvenlik kontrolleri, kötü niyetli politika ihlallerini ve insan hatasından kaynaklanan riskleri tespitte etkin ve doğru sonuçlar verir.

 

Olumsuz ve yetkilendirilmiş uygulamalar dışındaki davranışların uyarılmasında kritik bir rol oynar. Oynadığı bu önemli rol, yetkisiz erişim, BYOD cihazları, istenmeyen etkinlikler ve M&A entegrasyonlarına ilişkin bilgilerle alakalı olabilir. Aldatma ortamında yani bal küpü teknolojisinde yapılacak ufak bir dokunuş, yapılmaya çalışılan saldırının tüm ayrıntılarına hâkimiyeti ve doğru bir uyarı elde edilmesini sağlar. Yapılmaya teşebbüs edilen saldırı her yönüyle saptanır.

 

Çevre ve uç nokta güvenlik çözümlerinin yetersiz kaldığı tüm vektör ve çözümlerden gelen saldırıları karşılama becerisi, bal küpü teknolojisinde titizlikle yerine getirilir. Aldatma teknolojisi, mevcut ağı tehlikeye atmadan ağ içi saldırganın yanal hareketini erken ve doğru bir şekilde tespit eder.

 

Tehdit algılamada tuzak ve yemlerin kullanılması, çözümü veri tabanı aramasından bağımsız hale getirir. Bu sayede aldatma ölçeklenebilir bir hale gelir ve sistem, sürekli değişen saldırı yöntemlerine aşina olur ve onlardan korunabilecek hale gelir.

 

Bal küpü teknolojisi, bir kuruluşun verilerini, fikri mülkiyetini, patentlerini ve diğer işletim kontrollerini korumanın mükemmel bir yolunu sunar. Bunun yanında gerçekleşen ihlaller hakkında yasal işlem başlatmanın da kanıtı olma niteliği taşır.

 

Bal küpü teknolojisi ayrıca, siber güvenlik araştırmacıları için eşi bulunmaz bir bilgi kaynağıdır. Saldırganlara karşı aktif savunma geliştirme ve saldırganların araç ve teknikleri hakkında büyük kuruluşları bilgilendirme noktasında en doğru bilgiyi buradan hareketle elde ederler. Daha önce bahsedildiği üzere bir tehlikeden korunmanın en etkili yöntemi saldırganın olası eylemlerini bilmek ve onlara karşı önlem almaktır.

 

Maliyeti dolayısıyla çekincelere sebep olurken; en etkili korunma yöntemi olduğu akıllardan çıkartılmamalıdır.

 

 

Engin ŞEREF

 

İş Geliştirme Müdürü-BİLGİ GÜVENLİĞİ