HYAS ile Gerçek Zamanlı Davranışsal Profilleme: Geleneksel IOC’lerin Ötesi

Siber güvenlikte zamanlama her şeydir. Bir tehdit akışında listelenen kötü amaçlı bir alan adını engellediğiniz anda, saldırgan çoğu zaman aynı anda onlarca yeni alanı devreye almış olur. Benzer şekilde, yalnızca kötü amaçlı yazılımı çalıştırıp ortaya çıkan telemetriye bakarak komuta-kontrol (C2) adreslerini engellemek, altyapısını sizden daha hızlı yenileyen tehdit aktörlerine karşı yetersiz kalır. Saldırganlar asla yerinde durmaz; altyapılarını sürekli değiştirir, tıpkı polis kontrolünden kaçmak için plakalarını değiştiren bir suçlu gibi. Bundan ötürü genişleyen zaafiyet yüzeyi için çözüm; altyapı istihbaratı ve gerçek zamanlı davranışsal profilleme.

Davranışsal Profilleme Nedir?

Davranışsal profillemeyi suçlu profillemesinin dijital karşılığı olarak düşünebilirsiniz. Ancak burada odak, kişilerde değil saldırgan altyapısının yaşam döngüsünde.

Yalnızca alan adlarını, IP adreslerini veya ASN’leri listelemek yerine, altyapının zaman içerisindeki ritmini, değişim hızını ve karakteristik davranışlarını inceliyoruz:

• Alan adları ne zaman ve nasıl kaydediliyor?

• Hangi kimlik göstergeleri kullanılıyor?

• IP adresleri ne hızla değişiyor?

• Kullanılan registrar, barındırma sağlayıcısı veya DDNS hizmetlerinde bir örüntü var mı?

• Erişim davranışları nasıl?

• Altyapının gerçek konumu ile gizlenmek istenen konum arasındaki tutarsızlıklar neler?

Bu davranışları haritaladığımızda, saldırganın yalnızca hangi altyapıyı kullandığını değil, nasıl çalıştığını da anlayabiliyoruz.

Neden Statik Göstergeler Artık Yeterli Değil?

Birçok kurum hâlâ anlık tehdit göstergelerine, listelere-akışlara-IOC’lere, ağırlık veriyor. Ancak bu göstergeler çok hızlı eskir. İyi fonlanmış bir tehdit aktörü, altyapısını saatler, hatta dakikalar içinde yenileyebilir.

Buna karşılık altyapı davranışı, taklit edilmesi en zor veridir. Bir saldırgan alan adını değiştirebilir ama altyapıyı kurma şekli, kayıt paternleri, barındırma tercihleri ve operasyonel alışkanlıkları çoğu zaman sabit kalır. İşte bu nedenle davranışsal altyapı istihbaratı, tehdit aktörlerinin “zayıf noktası”dır.

Dikkat Edilmesi Gereken Paternler

Gerçek zamanlı profilleme, sadece “ne olduğuna” değil, nasıl olduğuna odaklanır:

• Kayıt Patlamaları: Bir kampanya öncesi, kısa sürede toplu alan adı tescilleri.

• IP Atlama: Hızlı IP/netblock geçişleri ile engel listelerinden kaçma girişimleri.

• Altyapı Kümeleşmesi: Yeni alanların bilinen kötü amaçlı altyapılarla ortak SSL sertifikası, WHOIS bilgisi veya JARM imzası paylaşması.

• Hazırlık Göstergeleri: Henüz saldırıda kullanılmayan ancak tehdit aktörünün tipik hazırlık davranışlarına uyan alanlar.

• Coğrafi Oynama: Hukuki engelleri aşmak için konumun anlık olarak ülkeler arasında değiştirilmesi.

• Benzer Lokasyon Paternleri: VPN/TOR maskesine rağmen gerçekte aynı coğrafi lokasyonun tekrar tekrar kullanılması.

Kazanç: Erken Uyarı ve Proaktif Savunma

Davranışsal profilleme sayesinde tehdit sinyallerini ilk saldırı gerçekleşmeden günler, haftalar, hatta aylar önce görebilmek mümkün.

Bu yaklaşım kurumlara şu avantajları sağlar:

• Proaktif savunma: Erken tespit, erken aksiyon demektir.

• Yüksek doğrulukta ilişkilendirme: Davranış paternleri taklit edilmesi en zor göstergelerdir.

• Daha verimli kaynak kullanımı: Güvenlik ekipleri en kritik altyapıya odaklanabilir, gürültü azalır.

Gerçek Bir Örnek

HYAS geçtiğimiz aylarda sağlık sektörünü hedef alan bir tehdit aktörünü izlerken ilginç bir düzen fark etti:
Her gece 03:00 UTC’de, düşük maliyetli bir registrar üzerinden bir grup alan adı tescil ediliyor ve bunlar suistimal geçmişi olan belirli VPS sağlayıcılarında barındırılıyordu. 72 saat içinde 20 yeni alan adı kaydedildi.

HYAS’ın gerçek zamanlı profilleme motoru bu paterni anında algıladı. HYAS Protect kullanıcıları, bu alanlar henüz saldırı amaçlı kullanılmadan otomatik olarak engellenerek korunmuş oldu.

HYAS Bu Yeteneği Nasıl Sağlıyor?

HYAS, tehdit ortamının durağan bir fotoğrafına bakmak yerine, saldırgan altyapısını gerçek zamanlı olarak izleyen ve sürekli güncelleyen bir istihbarat platformu sunuyor.

HYAS Adversary Infrastructure Platform:

• IOC’leri tek tek değil, birlikte, bağlamsal ve davranışsal olarak ilişkilendirir.

• Güvenlik ekiplerine anlık, uygulanabilir istihbarat sağlar.

• SIEM, SOAR, XDR, Firewall gibi tüm güvenlik katmanlarına gerçek zamanlı içerik aktarır.

• Sadece siber suçları değil, finansal usulsüzlük, kara para aklama, dolandırıcılık ve insan ticareti gibi kritik vakaları da ortaya çıkarmaya yardımcı olur.

En iyi savunma, başlamak üzere olan saldırıyı daha başlamadan görebilmektir. HYAS’ın altyapı istihbaratı yaklaşımı, kurumların saldırganın hamlesinden önce harekete geçebilmesini sağlar.

HYAS’ın neleri görünür kıldığını ve rakiplerin asla fark edemeyeceği sinyalleri nasıl yakaladığını teknik detaylarıyla birlikte anlamak ve kendi ortamınızda deneyimlemek için Quasys uzmanlarına info@quasys.com.tr üzerinden her zaman ulaşabilirsiniz.