Güvenlik İhlali Göstergeleri nelerdir?

Güvenlik İhlali Göstergeleri (IoC), bir siber saldırının gerçekleştiğine ilişkin kanıtlardır. IoC, nelerin olup bittiğine ilişkin değerli bilgiler vermenin yanı sıra geleceğe hazırlanmak ve benzeri saldırıları önlemek için de kullanılabilir. Kötü amaçlı yazılım önleyici çözümler ve benzeri güvenlik teknolojileri, virüs imzaları gibi bilinen güvenlik ihlali göstergelerini kullanarak, tespiti zor tehditlere karşı proaktif koruma sağlar. Güvenlik ihlali göstergeleri, ayrıca bulma analizlerinde de kullanılabilir.

Bir kötü amaçlı yazılım saldırısı gerçekleştiğinde, sistemde ve günlük dosyalarında izler bırakabilir. Bu IoC’ler, ağınızda aksi halde gerçek zamanlı olarak göremeyeceğiniz ve kötü amaçlı bir faaliyetin gerçekleşmekte olduğuna işaret edebilecek belli faaliyetleri görmenizi sağlar. Bir güvenlik ihlalinin tespit edilmesi halinde, BT profesyonelleri tarafından bu dosyalardan IoC veya “adli veriler” toplanır. Modern kötü amaçlı yazılım önleme sistemleri, kötü amaçlı yazılım bulaşmasını, veri ihlallerini ve diğer güvenlik tehdidi faaliyetlerini erken aşamada tespit edip, kurumların saldırıları önleme ve veri ve BT sistemlerini koruma konusunda proaktif davranabilmesini sağlamak için bilinen güvenlik ihlali göstergelerinden yararlanır.

Forcepoint AMD çözümü, güvenlik etkinliği açısından rakipsizdir. Çeşitli seviyelerde faaliyetin, eylemsiz kodun ve geleneksel kum havuzu güvenliği teknolojileri tarafından çoğu zaman gözden kaçırılan diğer göstergelerin derin içerik denetlemesi sayesinde yakalanması en zor tehditler bile tespit edilir.

Güvenlik ihlalleri, pek çok farklı şekle bürünebilir: garip ağ davranışı kalıpları, alışılmadık hesap davranışları, beklenmeyen veya açıklanamayan yapılandırma değişiklikleri ve sistemlerdeki bilinmeyen yeni dosyaların her biri, bir ihlalin göstergesi olabilir.

İşte, günümüzde en sık kullanılmakta olan IoC’lerden bazıları:

Alışılmadık Dışarı Yönlü Ağ Trafiği

Güvenlik ihlallerinin en bariz işaretlerinden biri, ağ trafiği model ve hacimlerindeki anormalliklerdir. Ağınıza gelen trafiği analiz etmenin yanında, giden trafiği de takip etmeniz gerekir. Giden trafikteki değişiklikler, ağınızda bir saldırının gerçekleşmekte olduğunu belirtiyor olabilir. En iyi yaklaşım, ağınızda gelen ve giden yönde tüm faaliyetlerin takip edilmesidir.

Coğrafi Tutarsızlıklar

E-posta sağlayıcınızdan, posta kutunuza başka bir ülkeden erişildiğine dair bir uyarı mesajı aldıysanız, coğrafi tutarsızlığın ne olduğunu ve bu güvenlik ihlali göstergelerinin verilerinizi ve kişisel bilgilerinizi güvenlik altına almak için ne kadar faydalı olabileceğini anlayabilirsiniz.

Dolayısıyla, coğrafi tutarsızlıkları takip eden IoC’lerin işletmeniz için ne kadar değerli olabileceğini düşünün. Bu erişim ve oturum açma tutarsızlıkları, başka bir ülke veya kıtadaki saldırganların ipleri elinde tuttuğuna ilişkin faydalı kanıtlar sağlayabilir.

Ayrıcalıklı Kullanıcı Hesaplarındaki Anormallikler

Yüksek ayrıcalıkları olan bir hesaba erişebilmek, bir saldırgan için altın bulmak gibidir. Saldırganlar bunu genellikle yönetici ayrıcalıklarına sahip hesaplara erişim sağlayarak veya zaten erişebildikleri hesapların izin seviyelerini yükselterek yapar. Erişilen veya değiştirilen bilgilerin miktarı veya erişilen sistemlerin türü gibi hesap faaliyetlerindeki değişiklikler, izlenmesi gereken önemli IoC’lerdir.

Veri Tabanı Okuma Hacminde Ciddi bir Artış

Çoğu kurum, en gizli ve kişisel verilerini bir veri tabanı formatında saklar. Bu nedenle, veri tabanlarınız her zaman saldırganların ilk hedeflerinden biri olacaktır. Veri tabanı okuma hacmindeki büyük artışlar, bir saldırganın verilerinize sızmaya çalıştığına ilişkin ciddi bir gösterge olabilir.