1. Ana Sayfa
  2. Siber Güvenlik
  3. Deception (Tuzak) Sistemler-Bölüm2

Deception (Tuzak) Sistemler-Bölüm2

Deception sistemlerin bileşenleri ve nasıl çalıştıkları

Deception_Security_Modern_Maturity

Deception (Tuzak) Sistemler- Bölüm2 – Deception sistemlerinin birinci bölümünde, genel amaçlarından ve neden ihtiyaç duyulduğundan bahsetmiştim. Şimdi biraz daha detaylara inerek deception sistemlerinin bileşenlerini ve nasıl çalıştıklarını detaya inmeden genel olarak anlatmaya çalışacağım.

Tuzak sistemler temelde iki amaç için kullanılabilir;

SOC ekibi olmayan küçük kurumlarda, saldırganın tespit edilmesi ve nasıl bir yöntem kullanılıyor, kaç kişiler gibi detaylara girmeden uzaklaştırılması için kullanılabilir. Ki bu durumda eğer saldırganlar APT grubu değilse muhtemelen kurum tehlikeyi uzaklaştırmış olacaktır. İkinci durumda ise SOC (Security Operations Center) ekibi bulunan kurumlarda saldırganın tespit edilmesi ve saldırı yöntemlerinin incelenmesi için kullanılır. Yani bir nevi sandbox (kum havuzu) gibi düşünülebilir. Fakat şu fark var ki deception sistemleri genelde yapay zeka tabanlı olduğu için saldırganın şüphelenmesi pek mümkün değildir.

Deception (Tuzak) Sistemler ve Bileşenleri

Decoy (Yem)

Saldırganın izleneceği sistemdir. Bu sistem gerçekten oluşturulur ve istenilen ağlara yansıtılır. Deception Farm denilen alanda birçok makine ayağa kaldırılıp istenilen WLAN’lara yansıtılır. Örneğin bir Redhat Server’ı biz Deception Farm’da ayağa kaldırıp hem İstanbul hem de Ankara ağımıza yansıtabiliriz. Bu iki farklı ağ üzerinde çalışan yansılar da gelen isteklere göre etkileşim seviyesini arttırabilir. Decoy’lar etkileşim yani interaction seviyelerine göre ayrılırlar. Hafıza ve güç ekonomisi açısından her sistem en üst seviyeye gelene kadar hep en düşük seviyede kalır.

-> Low Interactions Decoys: Ip sahibi olan, ping atılabilen server gibi düşünülebilir. Atılan pingleri tespit edip incidence oluşturur.

-> Medium Interactions Decoys: Artık server üzerinde çeşitli servisler de çalıştırabiliyoruz. Pinglere yanıt verebiliyor. Fakat servisler yalnızca çalışır gözüküyor. Mesela SSH ile gitmeye çalışıldığında login bilgilerini istiyor ancak login olmuyor. Bu seviye decoylar pingleri, port taramalarını, kaba kuvvet saldırılarını yakalamak için kullanılır.

-> High Interactions Decoys: Bu seviyedeki makineler, gerçek birer makine gibi davranıyorlar. Bu seviye decoylar üzerinde forensic ve analiz işlemi yapmak için kullanılır.

Örnek Senaryo: Ağımızda low interactions decoy olarak bir server olsun. Saldırgan bu server’a ping atınca yanıt oluşacaktır. Fakat port taraması yapmaya çalışırsa decoy medium seviyeye çıkacak ve tarama yapılmasına olanak sağlayacaktır. Medium seviyedeyken Rdp yapılmaya çalışıldığında ise high seviyeye çıkarak yanıt verecektir. Senaryoda görüldüğü gibi adaptif olarak çalışarak kaynak tasarrufu sağlar.

Lures (Cezbedici)

Saldırganın dikkatini çekmek ve gerçek makinelere erişimini önelemek için kasıtlı zafiyetler ve konfigürasyon hataları bırakılır.

Breadcrumbs (Ekmek Kırıntısı)

Saldırganın gerçek bir makineye sızması durumunda tekrar tuzak sisteme yönlenmesi için bırakılan küçük yemlerdir. Bu yemler gerçek makineler üzerine yerleştirilir. Mesela tuzak sistemimizin credential bilgileri gerçek bir makinede breadcrumbs olarak bırakılabilir. Böylece gerçek makine ele geçirilse bile saldırgan lateral movement yapmak isterken tuzak sistemimize yönelmiş olacaktır.

Tuzak Sistemler Bileşenlerinin Sonuncusu: Baits (Oltalamak)

Gerçek ve tuzak sistemlerimize içerisinde çok önemli bilgiler varmış gibi görünen dosyalara yerleştirilerek saldırgan tespit edilmeye çalışır. Eğer bu dosyaya erişim olursa sistem bize alarm verir. Hatta dosya ağdan çıkarılmış olsa bile X ip’de açıldı gibi bir incident oluşturabilir. Böylece saldırganın dosyayı açmış olduğu ip belirlenmiş olur.

tuzak sistemler - deception
Fotoğraf: @acalvio

Genel olarak bir deception sistemi yukarıdaki gibi kurulur. Tuzak sistemlerin bulunduğu bir ağ ve bu sistemlerin yansıtıldığı diğer ağlar. Yansıtılan ağlarda sensörler yardımıyla incidence’lar deception ağına aradaki güvenli bağlantıdan ulaşır. Yansıtma yapılan ağ üzerindeki makineler keşif yapmaya çalıştıklarında yansı makineleri kendi ağlarında görürler.

Kaynak

İnnovera Siber Güvenlik Teknolojileri Kampı Deception Teknolojileri Eğitimi

Yorum Yap

Yorum Yap