Anasayfa > Güvenlik, Makaleler > Microsoft Advanced Threat Analytics’i (ATA)

Microsoft Advanced Threat Analytics’i (ATA)

butunlesik_yaklasim_Advanced Threat Analytics

Microsoft Advanced Threat Analytics’i (ATA) tanımaya devam ederken bu ürünün kurumlara katma değer olarak ne gibi faydalar sağladığını biraz daha incelemeye çalışacağız.

BT dünyası olarak büyük bir değişim ve evrimden geçerken kurumlar, siber güvenlik saldırılarını önlemek konusunda hızlı reaksiyon göstermekte zorlanıyorlar. Değişim kavramını de facto olarak ele almakta, dolayısıyla gelişen eğilim ve metotlara uygun, bütünsel bir güvenlik politikasını benimsemekte fayda var. Güvenlik anlamında kurumlarda bütünsel bir vizyon oluşturma gereksinimi daha fazla ortaya çıkıyor ve endişelerimizi gidermek için pek çok mevcut yaklaşım ve teknoloji bulunuyor. Ancak güvenlik alanındaki bu dönüşümü yakalamak için Microsoft Advanced Threat Analytics, geleneksel yaklaşımların bir adım ötesinde güvenlik açıklarını farklı bir yöntemle tanımlamamızı, riskleri ortadan kaldırmak için doğru analizleri yapmamızı sağlayan bir model sunuyor.

Öncelikli olarak Microsoft Advanced Threat Analytics’in, kurum içinde çalışan ve kurumların kimlik doğrulama anlamında network içerisinde gerçekten ne olduğunu izlemelerini ve önlemler almasını sağlayan bir çözüm olduğunu tekrar belirtmekte fayda var. Güvenlik veya izleme (monitoring) yazılımlarını günlük işlerimizin bir parçası ve organizasyonun temel parçalarından biri haline getirmek için devamlı bakım yapmak ve yazılımları uygun şekilde optimize etmek gerekir. Gerekli bakımları yapılmayan her yazılım, ihtiyaçlarınıza göre hizmet alamadığınız ve analizleri bir süre sonra değerini kaybedecek bir konuma gelebiliyor. Bu problemi aşmak için Microsoft Advanced Threat Analytics, machine learning altyapısı sayesinde, kullanıcının herhangi bir Rule-Alert-Threshold belirlemesine gerek kalmadan davranışsal analiz yöntemini kullanarak sağlıklı ve false-positive (yanlış alarm) sayısı çok düşük bir ortam sağlamayı amaçlamaktadır.

butunlesik_yaklasim_ara1

Microsoft Advanced Threat Analytics, davranışsal analiz yaparak bir kullanıcının karakteristik özelliklerini çıkarıyor ve bir norm altyapısı oluşturuyor. Bu normlara uymayan bir kimlik doğrulama talebi görürse bunu bir alarm olarak sunuyor. Örneğin bir kullanıcı normalde log in olmak için iki farklı cihaz kullanıyor ve zamanının çoğunu Sharepoint kaynaklarında geçiriyor. Belirli bir zaman sonra ATA bunu normal bir davranış olarak tanımlıyor. Saldırı, daha fazla cihazdan, başka lokasyonlardan veya ilgisiz kaynaklara erişim şeklinde gerçekleşirse bu gözden geçirilmesi gereken bir tehdit olduğu anlamına geliyor. ATA kullanıcıyı yalnızca kendi davranış profiline göre değil, benzer kullanıcı profilleri üzerinden referanslar alarak da inceliyor ve buna göre bir sonuç çıkartıyor.

İleri seviyelerde gerçekleşen saldırılara karşı davranışsal analiz yönteminin yetersiz kaldığı senaryolar olabilir. Çoğu algoritmada, sistem anomaliyi fark eder; fakat saldırgan çoktan istediği kaynaklara ulaşmış ve ortamı terk etmiş olabilir. İşte bu nedenle, güvenlik risklerini, gerçek zamanlı saldırıları ve davranış analiz yöntemlerini machine learning algoritmalarıyla birleştirmek ve bütünsel bir yaklaşım oluşturmak gerekli hale geliyor.

Güvenlik sorunlarını ve risklerini daha iyi tanımlayabilmek için son dönemlerde gelişen saldırı yöntemlerine ve ATA’nın bu saldırıları nasıl tespit ettiğine biraz daha yakından bakalım;

1. Pass-the-Ticket (PtT)

PtT saldırı yöntemi, çalınan veya ele geçirilen bir kullanıcı hesabı ya da cihaz üzerinden TGT veya Service Ticket’ın elde edilmesi ilkesi ile çalışır. Aşağıdaki resimde Microsoft ATA’nın bir Pass-Ticket saldırısını nasıl tespit ettiğini ATA dashboard üzerinde görebilirsiniz:

butunlesik_yaklasim_ara2

2. Pass-the-Hash (PtH)

Normal bir authentication sürecinde kullanıcı, bir kaynağa erişmeye çalışır à sunucu authentication challenge gönderir à kullanıcı adı ve şifre sağlanır à şifre bir hash değerine dönüştürülür ve sunucuya gönderilir à sunucu değerleri karşılaştırır à kaynağa erişim sağlanır.

Bu saldırı yönteminde, saldırganın kullanıcının Hash bilgisini çalması gerekmektedir.

butunlesik_yaklasim_ara3

3. Golden Ticket

Kullanıcının yetkilendirme için kullandığı ticket’ın tüm değerlerini manuel bir şekilde oluşturmak ve sisteme kabul ettirmek ilkesi üzerine oluşturulmuştur. Golden Ticket oluşturmak için, KDC Key (krbgt),  kullanıcı SID bilgisi ve domain ismi kullanılır.

Kerberos::golden
/domain:contoso.local Domain adı
/sid:S-1-5-21-130452501-2365100805-3685010670 Domain SID
/rc4:310b643c5316c8c3c70a100cfb17e2e1 NTLM Hash /  krbgt
/user:Administrator Kullanıcı adı
/id:500 RID of username
/groups:513,512… Grup adı
/ticket:Administrator.xx Ticket dosya ismi

 

Bu bilgiler ile yönetici hesabına saldırılar gerçekleştirerek etki alanı içerisinde kurum dışı kullanıcıların kaynaklarınıza erişmesi riski bulunmaktadır. Şirket kaynaklarına erişen kullanıcı ve cihaz sayısı arttıkça, daha fazla uç noktada saldırıya uğrama olasılığı artmaktadır. Mobilitenin norm haline gelmesi ile her noktada kimlik bilgilerinizi korumak için güvenlik bakış açımızı gözden geçirmek ve değerlendirmek gerekmektedir.

Daha fazla bilgi için CERT-EU’nun yayınladığı “Protection from Kerberos Golden Ticket” makalesini inceleyebilirsiniz.

4. Skeleton Key Malware

Tek faktörlü erişim sağlanan sistemlerde Directory’i bypass edebilme potansiyeline sahip, malware kullanımıyla gerçekleşen bir saldırı yöntemidir. Network trafiği oluşturmadığı için IPS ve IDS gibi güvenlik çözümlerinin tespit etmekte zorlandığı bir çalışma prensibine sahiptir.

5. Reconnaissance

Saldırı öncesinde network, sunucular, uygulamalar için bilgi toplama amacıyla yapılmaktadır.

Yukarıda bahsettiğimiz saldırılara karşı önleyici bir yöntem olarak çok faktörlü kimlik doğrulama yöntemleri günlük hayatımızda daha fazla konuştuğumuz bir konu haline gelmektedir. Kurumunuzun güvenliği için ek bir katman oluşturmak, daha güvenli bir altyapı sağlayarak risklerinizi azaltır ve uyumluluk gereksinimlerini minimize eder. Microsoft’un bulut platformu üzerinden servis olarak sunulan Azure Multi-Factor Authentication (MFA), telefon ve SMS OTP desteği ile biyometrik ve smart card gibi çözümlere göre hızlı kurulum, entegrasyon ve ölçeklenebilirlik gibi avantajlar sunmaktadır.

Sonuç

Bu saldırı yöntemlerinin birçoğu, ele geçirilmiş olan cihazın hafızasında bulunan kimlik bilgilerinin kullanılmasıyla gerçekleştirilebilmektedir. Son yıllarda artan kullanıcı/cihaz erişimiyle, kurum güvenliğini farklı bir model üzerinden değerlendirmek ve geleneksel yöntemlerimizi değiştirmemiz gerekiyor. Erişim yöntemleri, iş yapış modelleri, uygulama dünyasının getirdiği yenilikler, bizlerin ve BT organizasyonlarının değişimini zorunlu kılıyor. Microsoft Advanced Threat Analytics (ATA) ve Azure Multi-Factor Authentication (MFA), bu yeni dünyanın ihtiyaçlarını gidermek ve potansiyel sorunlarını çözmek için kullanıcıların hizmetindedir.

Umarım faydalı olmuştur.. Bir başka makalede görüşmek dileği ile….

Kategoriler:Güvenlik, Makaleler Etiketler:, , ,
  1. Henüz yorum yapılmamış.
  1. No trackbacks yet.

Bir Cevap Yazın

Aşağıya bilgilerinizi girin veya oturum açmak için bir simgeye tıklayın:

WordPress.com Logosu

WordPress.com hesabınızı kullanarak yorum yapıyorsunuz. Log Out / Değiştir )

Twitter resmi

Twitter hesabınızı kullanarak yorum yapıyorsunuz. Log Out / Değiştir )

Facebook fotoğrafı

Facebook hesabınızı kullanarak yorum yapıyorsunuz. Log Out / Değiştir )

Google+ fotoğrafı

Google+ hesabınızı kullanarak yorum yapıyorsunuz. Log Out / Değiştir )

Connecting to %s

%d blogcu bunu beğendi: