28 Ağu 2020

Aldatma Teknolojisi

Bu makalemizde aldatma (Deception) teknolojisiyle ilgili aldatma teknolojisi nedir, ne değildir, neden kullanmalıyız ve faydalarını anlatacağız. Öncelikle aldatma (Deception) teknolojisi nedir ’in cevabı olarak; kurumsal ağımıza internet ortamından ve bağlantılı olduğumuz farklı ağlardan gelebilecek saldırılarda, saldırganlara güvenlik açıkları olan sahte ve kolay hedefler göstererek, ağımızdan yalıtılmış, izole bir ortama yönlendirmek, saldırganların ilgisini kullanmakta olduğumuz sistemler yerine, güvenlik önlemleri zayıf olan bu sistemler üzerinde tutmak, saldırganların geliş ve çıkış yöntemlerini, kullandığı metotları, zararlıları, araçları ve aktivitelerini keşfetmek,  bu sonuçlara göre, güvenlik önlemlerini sıkılaştırmak, olası güvenlik ihlallerini gerçekleşmeden önce tespit ederek önlem almak amacıyla geliştirilmiş bir teknolojidir.   Aldatma (Deception) teknolojisi “ne değildir” in cevabı olarak; gelişmiş zararlıları tespit etmek için kullanılan “kum havuzu” (Sandbox), uç nokta sistemleri üzerinde olabilecek zararlı ve şüpheli aktiviteleri tespit etmek için kullanılan “uç nokta tespit ve yanıt” (EDR) çözümleri, ağ trafiklerinde paket analizi yaparak ağ tabanlı tehdit tespiti (NTA), ağ tabanlı tehdit tespit ve yanıtlama (NDR) platformları değildir. Belirtmiş olduğumuz bu çözümler farklı yöntemler ve farklı amaçlar için tasarlanmış olup, dizayn ve yapılandırma açısından da farklılık göstermekte, güvenlik önlemleri açısından ise her birinin katkısı farklı olmaktadır. Gerek Türkiye gerek dünya üzerinde pek çok kurum bahsetmiş olduğumuz bu tip farklı çözümleri kullanmalarına karşın, siber saldırılardan paylarına düşeni almış ve almaya da devam ediyorlar. Hiçbir teknolojinin tek başına yeterli olmadığını anlamak ve bu noktada, olabildiğince yardımcı olabilecek farklı teknolojilerin de kullanılması gerekmektedir. Unutmamak gerekir ki yapılan ve yapılmakta olan güvenlik yatırımlarının tek amacı saldırganların başarılı olmasını önlemektir! Yapılan yatırımlar ve alınan güvenlik önlemlerine karşın, saldırganların, mevcut işletim sistemleri ve uygulamaları suiistimal ederek güvenlik önlemlerini aştığı gerçeğinden hareketle, aldatma (Deception) teknolojisiyle saldırganlara tuzak kurulması, saldırganların bu sistemler üzerinde başarılı olduğunu sanmasını, saldırganlara ve tehditlere ait istihbaratın ve önlemlerin %100 doğru olacak şekilde alınması hedeflenmektedir. F1 Teknoloji olarak aldatma teknolojilerinde kurumların yapısına göre tasarım ve dizaynı belirlemekte ve en doğru çözümle ilerlemekteyiz. Sunduğumuz çözümler; iç ve dış tehdit aktörlerini kandırmak, ortaya çıkarmak ve bu tehditleri zamanında fark ederek engellemek için dizayn edilmiştir.
Aldatma teknolojisiyle iç ve dış tehditleri ortaya çıkartmak için kurumsal bilgi teknolojileri yapınıza uygun tasarım yapılmaktadır. Aldatma teknolojisi merkezi bir yönetim ile sunulmakta ve kurumunuzda bulunan işletim sistemleri, uygulamaları birebir taklit edebilmektedir. Gerçek varlıklardan farklı olmayan Windows, Linux, MAC işletim sistemleri ile çeşitli uygulamalar (Active Directory, SQL, Web, Mail vb.) ile birlikte, üretim ortamlarında bulunan OT ağları için (PLC, SCADA, el terminali vb.) sanal sistemler sunulmaktadır. Belirtmiş olduğumuz bu sistemler üzerinde, saldırganların yaptığı tüm aktiviteler kayıt altına alınmakta ve raporlanmaktadır.

Aldatma (Deception) teknolojisiyle, saldırganların ele geçirme (Hack) prosedürleri, bilgi sızdırma (data leakage) eylemleri, gelişmiş zararlı (APT) vb. aktivitelerini erken ve isabetli tespitler ile ortaya çıkarın. Tespit edilen olayları eyleme geçirilebilir uyarılar ile zamanında öğrenin.  Mevcut kullanmakta olduğunuz SIEM çözümüyle entegre olarak bilgi güvenliğinize katkıda bulunun.

Aldatma (Deception) teknolojisinin faydaları:

  • Gerçek sistemlerin korunması için erken uyarı işlevi görür.
  • Yanlış tespit (False positive/False Negative) oranı 0.
  • Gerçek sistemler yerine, hedef şaşırtma ve saldırganı yavaşlatma gibi amaçlarla kurgulanan zaafiyet içeren sistem ve uygulamalardan oluşur.
  • Gelişmiş işletim sistemleri (MS Windows, Linux, macOS) ve zengin uygulama (Active Directory, SQL, Web, Mail vb.) desteği sağlar.
  • Saldırıya uğrayan kurumların saldırı sonrası yüksek ücretler ödeyerek yaptırdığı vaka analizlerini, saldırı esnasında ve sonrasında %100 doğru bir şekilde gerçekleştirir.
  • İçerdikleri zaafiyetler ile hem pasif bilgi toplama sağlarlar, hem de saldırganı kendilerine çekerler.
  • Honeypot’lardan toplanan veriler tehdit istihbaratı hizmetinde kullanılabilir ve genel güvenlik seviyesinin artırılması için çıktı sağlar.
  • İç ağda kullanıcı, sunucu ve DMZ gibi farklı segmentlerde konumlandırılarak farklı ortamlardan gelebilecek saldırıların tespitine olanak sağlar.
  • Honeypot’lar docker ortamlarının güvenliğini sağlayabilmek adına container olarak çalıştırılabilmektedirler.

Seçkin Demir

Bilgi için lütfen satis@f1teknoloji.com.tr iletişime geçiniz.