Siber Terimler Sözlüğü

Uyarı, belirli bir olay (veya bir dizi olay) meydana geldiğinde tetiklenen bir uyarıdır. Uyarı genellikle harekete geçmeleri için sorumlu kişilere veya sisteme iletilir. Tipik bir kurumsal SOC (güvenlik operasyon merkezi), günde binlerce veya milyonlarca uyarı görür ve bunların yalnızca çok küçük bir kısmı gerçek tehditlerden kaynaklanır. Gerçek tehditler tarafından tetiklenmeyen uyarılara hatalı pozitifler denir. 

Uyarı yorgunluğu, SOC analistlerinin çok sayıda sık uyarıya karşı savunmasız kalması durumunda ortaya çıkar. Bu nedenle onlara karşı duyarsızlaşırlar.

Alarm yorgunluğu, uyarıların gözden kaçırılmasına veya göz ardı edilmesine ya da kötü amaçlı etkinliklere gecikmiş yanıtlara neden olur. Bu uyarıların büyük bir kısmı aslında gerçek tehditler değil, yanlış pozitif uyarılardır. Ancak uyarı yorgunluğu bir kuruluş veya kuruluş için çok tehlikeli olabilir çünkü gerçek tehditlerin yeterince araştırılmamasına yol açabilir. Bu tehditler sistemde daha uzun süre kalır ve bu da bir saldırının uzun süreli hasara neden olma olasılığını artırır.

Anomaliler, beklenmeyen davranışı işaret eden bir veya daha fazla parametrede normal kalıptan sapmalardır. Anormallikler tanım gereği iyi ya da kötü niyetli değildir. Bunlar sadece beklenmedik davranış biçimleridir. Bir anormallik, anormal derecede yüksek sayıda kullanıcının bir sisteme giriş yapması, bir kullanıcının beklenmedik derecede büyük miktarda veriyi bir pendrive'a taşıması veya bir kullanıcının beklenmedik bir konumdan sisteme giriş yapması gibi normalden sapan herhangi bir şey olabilir. 

Veri madenciliğinde aykırı değer tespiti olarak da bilinen anormallik tespiti, veri kümelerinin normal davranışından sapan olağandışı öğelerin, olayların veya gözlemlerin tanımlanmasıdır. Bu nadir oluşumlar, verilerin çoğunluğundan farklı özellikleri nedeniyle endişe vericidir. Bu anormalliklerin tespit edilmesi, kuruluşların şüpheli davranışlara işaret eden verileri geride bırakan güvenlik tehditlerini ve olayları tanımlamasına ve bunlara yanıt vermesine olanak tanır. Anormallik tespit tekniklerinin üç ana türü denetimli, yarı denetimli ve denetimsiz anormallik tespitidir. 

Otomatik uyarı önceliklendirmesi, diğer bir deyişle uyarı triyajı, çok sayıda uyarının üzerinden geçerek tehdidin ciddiyetini belirlemek için bunların araştırılmasını içeren otomatik işlemdir. Uyarı önceliklendirmesi, en önemli tehditlerin en yüksek düzeyde dikkat çekmesini sağlar. Bu, üst düzey tehditlerin işaretlenmesiyle gerçekleştirilir, böylece en önemli olaylara öncelik verilir. En kritik uyarıların önceliklendirilmesi, daha hızlı yanıt verilmesini ve dolayısıyla daha hızlı düzeltme yapılmasını sağlar. 

Otomatik tehdit tespiti, BT altyapısını tehlikeye atabilecek kötü amaçlı etkinlikleri tespit etmek için tüm güvenlik ekosisteminin otomatik olarak analiz edilmesi uygulamasıdır. Otomatik tehdit algılama çözümleri genellikle bu tür saldırıları tespit etmek için korumalı alan oluşturma, davranış analizi, otomatik izleme, makine öğrenimi ve diğer algılama mekanizmalarını içerir.

Algoritmaların insan yardımı olmadan 7/24 çalışabilmesi ve kuruluşların sistemlerinin sürekli olarak izlenmesini sağlaması nedeniyle otomasyon, tehdit tespitinde kritik öneme sahiptir. Bu, her tür saldırının her zaman, çok daha kısa sürede tanımlandığı ve daha hızlı yanıt verilmesine olanak sağladığı anlamına gelir.

Otomatik soruşturma, meydana gelen olayları belirlemek ve kanıt toplamak için bir uyarıyla ilgili verileri toplamanın otomatik sürecidir. Otomatik araştırma, analistlerin bir tehdidi ele alırken eksiksiz ve doğru bir veri kümesine sahip olmasını sağlar. Olası bir tehditle ilgili bağlamsal veriler otomatik olarak toplanıp analiz edilerek uyarı doğrulanabilir, sınıflandırılabilir ve olay müdahalesine iletilebilir. Otomatik inceleme, potansiyel ihlallerin bekleme süresini ve eski araçların neden olduğu uyarı yorgunluğunu önemli ölçüde azaltır. 

Otomatik yanıt, güvenlik tehditlerine sistematik yanıt vermek için önceden yapılandırılmış, otomatikleştirilmiş süreçleri ifade eder. Bu, algılama sistemi bir uyarıyı işaretlediği anda sistemin uyarıyı otomatik olarak kategorilere ayırdığı ve tehdide uygun eylemlerle yanıt verdiği anlamına gelir. İnsan müdahalesini ortadan kaldıran otomatik yanıt, kuruluşu daha iyi korumak için yanıt süresini önemli ölçüde azaltır. 

Otonom soruşturma, kapsamlı tehdit giderme sağlamak ve uzun süreli ihlalleri önlemek için gelişmiş tehdit algılama ve otomatik olay müdahalesi sağlayan bir teknolojidir. Bu teknoloji, tehdit algılama, araştırma ve iyileştirme sürecini geliştirmek için anında tüm güvenlik olaylarının tam kapsamını sağlar ve farklı uyarıları, olayları ve günlükleri tek bir anlatımda birleştirerek her siber olayın kapsamlı bir görünümünü oluşturur. Otonom soruşturma, yanlış pozitif uyarıların gürültüsünü azaltır ve otomatik olay incelemesi sağlar; bu da siber güvenlik ekiplerinin yanıt süresini önemli ölçüde kısaltır. Bu, gelişmiş genel koruma seviyeleri ve maliyet tasarrufuyla sonuçlanır. Otonom araştırma, savunmasız IoT cihazlarının ihlallerine ve özellikle dosyasız ve BIOS düzeyindeki saldırılar olmak üzere genellikle uç nokta tespitini atlayan kötü amaçlı yazılım tespitine ilişkin daha kapsamlı görünürlük sağlayarak siber savunmayı geliştirir. 

Bot ağları, bot ağlarının tamamı olarak tanımlanabilir; bu, görevleri işbirliği içinde gerçekleştirmek için benzer programlarla iletişim kuran, İnternet'e bağlı bir dizi program anlamına gelir. Bot ağları zararsız olabilir, ancak yaygın kullanımı olan "botnet", siber suçlular tarafından kötü amaçlı kullanımlar gerçekleştirmek üzere bir araya getirilen, kullanılan ve satılan yasa dışı bir botnet anlamına gelir. 

Komuta ve kontrol [C&C] sunucusu, bir saldırgan veya siber suçlu tarafından kontrol edilen, kötü amaçlı yazılımların ele geçirdiği sistemlere komutlar göndermek ve hedef ağdan çalınan verileri almak için kullanılan bir bilgisayardır.

Birçok kampanyanın, normal trafiğe uyum sağlamak ve tespit edilmekten kaçınmak için C&C sunucuları olarak web postası ve dosya paylaşım hizmetleri gibi bulut tabanlı hizmetleri kullandığı bulunmuştur.

Bulut izleme, bulut tabanlı uygulamalarda gerçekleşen operasyonel iş akışlarının ürettiği verilerin toplanması ve analiz edilmesi sürecini ifade eder. Bulut izleme, bulut altyapısındaki kalıpları tanımlamayı ve potansiyel güvenlik tehditlerini keşfetmeyi kolaylaştırır. 

Siber güvenlik bağlamında siber adli tıp, bir suiistimal veya suç eylemi soruşturmasında delil toplama amaçları ve amaçları için dijital materyalleri ve çeşitli cihazlar gibi bilgisayar yazılımlarını inceleme sürecidir.

Siber adli tıpta yer alan adımlar; edinme, inceleme, analiz ve raporlamadır. Kullanılan teknikler arasında çapraz sürücü analizi, canlı analiz, silinmiş dosyalar, stokastik adli tıp ve stenografi yer alır.

Veri ihlali, gizli veri ve bilgilerin bir BT altyapısından çalındığı bir olaydır. Veri ihlalleri genellikle kuruluşların itibarının zedelenmesine veya saldırganın çalınan veriler için talep ettiği fidye şeklinde mali zarara yol açar.

Avrupa Genel Veri Koruma Yönetmeliği (GDPR) nedeniyle yasalar, bir saldırı nedeniyle özel bilgileri koruyamayan kuruluşlara yüksek para cezaları uygulamaktadır. Bir veri ihlali aynı zamanda kuruluşun mevcut veya gelecekteki müşterilerine ve yatırımcılarına zarar verebilir ve kazançlarını uzun süre sınırlayabilir.

Veri şifreleme, verilerin şifrelendiği ve yalnızca doğru şifreleme anahtarına sahip bir kullanıcı tarafından şifresinin çözülebildiği bir güvenlik yöntemidir. Şifrelenmiş veriler, izinsiz olarak erişmeye çalışan kişiler tarafından okunamaz. Bu nedenle, hassas verileri kötü niyetli taraflardan korumak için veri şifreleme sıklıkla kullanılır. 

Veri hırsızlığı, kötü amaçlı yazılım veya kötü niyetli aktörlerin bir sunucudan veya bir kişinin bilgisayarından izinsiz olarak veri kopyalaması veya aktarması durumunda meydana gelen bir veri hırsızlığı biçimidir. Bu saldırıların ana hedefleri öncelikle büyük miktarda gizli, yüksek değerli veriye sahip olan daha büyük kuruluşlardır. Veri hırsızlığı hem harici saldırganlar hem de içerideki güvenilir kişiler tarafından gerçekleştirilebilir. 

DGA, esas itibarıyla çok sayıda alan adı üreten bir algoritma olarak sınıflandırılabilir. Etki alanı oluşturma algoritmaları genellikle etki alanı akışı olarak bilinen bir işlem sırasında kullanılır. Alan oluşturma algoritmaları (DGA), komut ve kontrol sunucuları ile buluşma noktaları olarak kullanılabilecek çok sayıda alan adını periyodik olarak oluşturmak ve dağıtmak için kullanılan, çeşitli gruplandırılmış kötü amaçlı yazılım kümelerinde görülen algoritmalardır.

Çok sayıda potansiyel buluşma noktası, kolluk kuvvetlerinin botnet'leri etkili bir şekilde kapatmasını zorlaştırabilir; çünkü virüs bulaşmış bilgisayarlar, sürekli olarak güncelleme veya komut almak için her gün bu alan adlarının bir kısmıyla iletişim kurmaya çalışacaktır. Kötü amaçlı yazılım kodunda genel anahtar şifrelemesinin kullanılması, bazı solucanların kötü amaçlı yazılım denetleyicileri tarafından imzalanmayan güncellemeleri otomatik olarak reddedeceğinden, kolluk kuvvetlerinin ve diğer aktörlerin kötü amaçlı yazılım denetleyicilerinden gelen komutları taklit etmesini imkansız hale getirir.

Dridex, sistemlere bulaşmak için Microsoft Office'teki makrolardan yararlanan bir tür bankacılık kötü amaçlı yazılımıdır. Bir bilgisayara virüs bulaştıktan sonra Dridex saldırganları, herhangi bir kullanıcının mali kayıtlarına erişim sağlamak için sistemdeki banka kimlik bilgilerini ve diğer kişisel bilgileri çalabilir. Dridex, öncelikle kullanıcının bilgisayarında, mesaja bir Microsoft Word belgesinin eklendiği kötü amaçlı bir spam e-postası olarak hayata geçerek çalışır.

Kullanıcı belgeyi açarsa, belgeye yerleştirilmiş bir makro gizlice Dridex bankacılık kötü amaçlı yazılımının indirilmesini teşvik ederek, önce bankacılık kimlik bilgilerini çalmasına ve ardından sahte finansal işlemler oluşturmaya çalışmasına olanak tanıyor. Bu kötü amaçlı yazılımın bu alt kümesinin kurbanları her zaman, Dridex'i etkinleştiren ve indiren makroları serbest bırakan Word veya Excel'de bir e-posta ekini açan Windows kullanıcıları olarak sınıflandırılır. Sonuç olarak bilgisayara virüs bulaşarak mağdurun banka hırsızlığına açılması ve felaket sonuçlara yol açması ortaya çıkıyor.

Uç nokta güvenliği, dizüstü bilgisayarlar, masaüstü bilgisayarlar ve mobil cihazlar gibi son kullanıcı cihazlarının uç noktalarını veya giriş noktalarını kötü niyetli aktörlerin veya kötü amaçlı yazılımların saldırılarına karşı koruma yaklaşımıdır. Uç nokta güvenlik sistemleri, bir ağdaki veya buluttaki bu uç noktaları siber güvenlik tehditlerine karşı korur. 

Uç nokta algılama ve yanıt (EDR), uç nokta verilerinin toplanmasını ve izlenmesini otomatik yanıt yetenekleriyle birleştiren bir güvenlik çözümüdür. EDR teknolojisi, uç noktalarda meydana gelen gelişmiş ve karmaşık tehditlere karşı sürekli izleme ve müdahale ihtiyacını karşılar. Uç nokta güvenlik teknolojilerinin bir alt kümesidir ve optimum güvenlik duruşunun önemli bir parçasıdır. Tüm EDR çözümleri aynı şekilde çalışmaz. Bazıları temsilci üzerinde analiz gerçekleştirirken, diğerleri daha çok arka uçta çalışır. Bu, tüm EDR türlerinin farklı yeteneklere sahip olduğu ve farklı ihtiyaçları karşıladığı anlamına gelir. 

E-posta ağ geçidi, bir kuruluştan gönderilen ve alınan e-postaları izlemek için kullanılan bir cihaz veya yazılımdır. Güvenli bir e-posta ağ geçidi, e-postaların kötü amaçlı iletişim içermesini önlemek için tasarlanmıştır. Güvenli e-posta ağ geçitlerinin genellikle engellediği ve 'güvensiz' olduğu düşünülen mesajlar arasında spam, kimlik avı saldırıları, kötü amaçlı yazılım veya sahte içerik yer alır. E-posta ağ geçidinin bir siber güvenlik tehdidini gözden kaçırması veya tespit edememesi durumunda kuruluş bir siber saldırının kurbanı olabilir. 

Yanlış pozitifler, yanlış etiketlenmiş güvenlik uyarılarıdır; bu, sistemin gerçekte olmadığı halde bir tehdit gösterdiği anlamına gelir. Yanlış pozitif uyarılar, zaten çok sayıda uyarı ve olaydan bunalan güvenlik ekibinin gürültüsünü artırıyor. Çoğu kurumsal SOC ekibi her gün binlerce hatta daha fazla hatalı pozitif uyarı alır. Çok sayıda yanlış pozitif, alarm yorgunluğuna yol açar; bu nedenle, yanlış pozitiflerin sayısını en aza indirebilecek bir tespit sistemi, her SOC için değerlidir. 

Güvenlik duvarı, gelen ve giden ağ trafiğini izleyen ve tanımlanmış bir dizi güvenlik kuralına göre belirli trafiğe izin verilmesine veya engellenmesine karar veren bir ağ güvenlik cihazıdır. Güvenlik duvarları uzun yıllardan beri ağ güvenliğinde ilk savunma hattı olmuştur ve güvenilebilen ve güvenilmeyen dış ağlar olan, güvenli ve kontrollü dahili ağlar arasında bir trafik bariyeri oluşturmaktadır. 

 Olay müdahalesi, bir kuruluş veya birey tarafından izinsiz girişlere, siber hırsızlığa, hizmet reddine, yangına, sel ve güvenlikle ilgili diğer sorunlara karşı geliştirilen bir eylem planıdır. Yanıt sürecini tamamlamak için birden fazla adım içerir. Olaya müdahalenin temel amacı, saldırıyla ilgili maliyetleri ve kurtarma süresini en aza indirmek, genel olarak olayın neden olabileceği hasarı sınırlamaktır. 

Infostealer, Symantec tarafından ele geçirilen bilgisayardan gizli bilgiler toplayan kötü amaçlı yazılım programlarını tanımlamak için kullanılan bir algılama adıdır. Belirli bir yük taşıma hedefi olan bir tür Truva atı programıdır. Bu Truva Atı bilgisayardan gizli bilgiler toplar ve bunları önceden belirlenmiş bir konuma gönderir. Bu bilgiler, ele geçirilen bilgisayarla veya çeşitli web sitelerinin kullanıcı kimlik bilgileriyle ilgili mali bilgiler olabilir. Çoğu zaman Truva atı üç tür hassas bilginin bir kombinasyonunu çalabilir. 

İçeriden gelen tehditler, bilerek veya bilmeyerek yetkili erişimini kullanarak kuruluşun veri tabanındaki hassas bilgileri ifşa eden, değiştiren veya silen bir kişinin oluşturduğu potansiyel tehditlerdir. İçeriden gelen tehditler söz konusu olduğunda, geleneksel önleyici güvenlik önlemleri, öncelikli olarak dış tehditleri hedef aldığından genellikle etkisizdir. Makine öğrenimini kullanan davranış analitiği, bu tür tehditlerin tespitinde etkili bir araç olabilir. 

İzinsiz Giriş Tespiti (ID), ağlar ve bilgisayarlar için bir güvenlik organizasyon sistemidir. Bir kimlik yönetimi platformu, kötüye kullanım ve istilalar da dahil olmak üzere potansiyel güvenlik ihlallerini belirlemek için bir bilgisayar veya ağdaki büyük miktarda veriyi toplar ve analiz eder.

Bu sistem, bir bilgisayar sisteminin/ağının güvenlik kalitesini değerlendirmek için geliştirilen bir teknoloji olarak kategorize edilen güvenlik açığı değerlendirmesini kullanır. İzinsiz giriş tespit sistemlerinin aralığı, bir bilgisayarın izlenmesinden tüm ağın izlenmesine kadar her yerdedir.

İzinsiz giriş tespit sistemi, bir ağı veya sistemleri kötü niyetli ve potansiyel olarak tehlikeli faaliyetlere ve politika suiistimallerine karşı izleyen bir cihaz veya yazılım uygulamasıdır. Herhangi bir kötü niyetli etkinlik veya ihlal genellikle bir yöneticiye rapor edilir veya güvenlik bilgileri ve olay yönetim sistemi aracılığıyla merkezi olarak toplanır.

Bazı izinsiz giriş tespit sistemleri, kötü niyetli trafiği çekmek ve sınıflandırmak için bal küpü gibi araçlarla zenginleştirilmiştir.

Mantık bombası, belirli koşullar karşılandığında kötü amaçlı bir işlevi tetiklemek için bir yazılım sistemine kasıtlı olarak yerleştirilen bir kod parçasıdır. Örneğin bir programcı, dosyaların şirketten çıkarılması durumunda dosyaları silmeye başlayan bir kodu gizleyebilir.

Çoğu zaman, kasıtlı olarak kötü amaçlı olan yazılımlar ve diğer tehditler, belirli bir yük veya önceden tanımlanmış başka bir koşul karşılandığında tetiklenen mantık bombaları içerir, ancak bir mantık bombası olarak kabul edilebilmesi için, yükün kullanıcı tarafından istenmeyen ve bilinmeyen olması gerekir.

Makine öğrenimi, yazılım uygulamalarının açıkça programlanmadan belirli sonuçları tahmin etmede daha doğru olmasını sağlayan Yapay Zekanın (AI) bir alt kümesidir. Makine öğrenimi algoritmaları, yeni çıktı değerlerini tahmin etmek için geçmiş verileri girdi olarak kullanır. Siber güvenlikte, tehditleri önlemede daha proaktif olmak ve tehditleri tespit etmede daha doğru olmak için makine öğrenimi kullanılıyor. 

Makine öğrenimi tabanlı tehdit tespiti, bir kuruluşun ağ güvenliğinde bir tehdide işaret edebilecek kalıpları bulmak ve tanımlamak için matematiksel algoritmalar ve istatistiksel modeller kullanır. Makine öğreniminin iki ana türü denetimli ve denetimsiz makine öğrenimidir. Denetimli makine öğrenimi tespiti insan geri bildirimlerine dayanırken, denetimsiz makine öğrenimi tespiti ilgili tüm kanıtları bir araya toplar ve ardından bunların bir saldırının göstergesi olup olmadığını öğrenmek için bunları araştırır. Her iki makine öğrenimi algılama türünün de artıları ve eksileri vardır. Bu nedenle her ikisinin de birbirini tamamlayacak şekilde kullanılması faydalı olabilir.

Denetimli makine öğrenimi, kimlik avını önleme, dolandırıcılık tespiti, ağ trafiği analizi ve dosya taraması için siber alanda yaygın olarak uygulanır. Algoritma, bilinen kötü amaçlı davranışlara dayalı olarak daha önce görülenlere benzer bilinen olayları otomatik olarak tespit edecek şekilde eğitilebilir. Denetimsiz makine öğrenimi algoritmaları, kullanıcılar ve hedef ana bilgisayarlar arasındaki bireysel ve kolektif davranışlardaki benzerliklere dayalı olarak farklı iletişimleri ilişkilendirebilir ve bir araya getirebilir. Algoritma, temel çizgileri ve sapmaları öğrenerek herhangi bir anormal davranışı ayırt edebilir ve tüm uyarıları düzenlemek ve gürültüyü azaltmak için benzer etkinlikleri bir araya getirebilir. Bilgisayar korsanlarının saldırılarında daha fazla yapay zeka (AI) kullanması nedeniyle makine öğrenimi tespiti siber güvenlik topluluğunda giderek daha popüler hale geliyor.

Kötü amaçlı yazılım, kötü amaçlı yazılım terimine verilen takma addır. Kötü amaçlı yazılım, bilgisayar işlemlerini kesintiye uğratmak veya bozmak, hassas bilgiler toplamak veya belirli dosya veya programlara erişim sağlamak için kullanılan ve düşmanca amaçlarla kullanılan herhangi bir yazılım olarak tanımlanır. Kötü amaçlı yazılım, virüslü yazılımlar, sürücüler, web sayfaları veya e-postalar yoluyla sisteme girebilir ve verilere erişimi sızdırabilir veya kilitleyebilir. En iyi bilinen kötü amaçlı yazılım türleri arasında virüsler (ILOVEYOU gibi), solucanlar (Conficker gibi), arka kapı (Emotet gibi), casus yazılımlar (CoolWebSearch gibi), fidye yazılımları (CryptoLocker ve WannaCry gibi) ve truva atları (örn. Zbot/Zeus gibi). 

Kötü amaçlı yazılım tespiti, bir ana bilgisayar sisteminde kötü amaçlı yazılım varlığının tespit edilmesi veya belirli bir programın kötü amaçlı veya iyi huylu olup olmadığının belirlenmesi anlamına gelir.  

Kötü amaçlı yazılım düzeltme, meşru dosyalara dokunulmadan ve zarar görmeden bir ağdaki tüm kötü amaçlı kod izlerini kaldırma işlemidir. Kötü amaçlı yazılımın tanımlandığı, değerlendirildiği, işaretlendiği, önceliklendirildiği ve çözüldüğü süreçtir. Kodun ağdan tamamen kaldırılmaması kısmi bir iyileştirmedir ve ağ güvenliğine zarar verir ve kötü amaçlı yazılımın sistemi etkilemeye devam etmesine izin verebilir. 

Kötü amaçlı yazılıma müdahale, bir kuruluşun ağına giren kötü amaçlı yazılımla nasıl başa çıktığını ifade eder. Müdahale eylemi, bir ihlal durumunda güvenlik ekibinin izleyeceği tüm prosedürleri ve politikaları ve kötü amaçlı yazılımı bulmak ve ihlali tamamen düzeltmek için tespit, araştırma ve yanıt sürecini içermelidir.

Kuruluşun verilerine ve itibarına minimum düzeyde zarar vererek kötü amaçlı yazılımı sistem ağından tamamen kaldırmak için yanıtın hızlı, doğru ve eksiksiz olması gerekir. En yaygın ve tehlikeli kötü amaçlı yazılım türlerinden biri fidye yazılımıdır; bu durumda bilgisayar korsanı, talep edilen fidye ödenene kadar kuruluşun verilerine erişimini engeller.

Gartner'ın orijinal olarak icat ettiği Ağ Trafiği Analizi veya NTA, güvenlik tehditlerini tespit etmek ve bunlara yanıt vermek için ağ trafiği iletişim kalıplarını yakalama, kaydetme ve analiz etme sürecidir. 

Gürültülü algılama, siber güvenlik ve çevredeki teknik alanlarda Güvenlik Bilgileri ve Olay Yönetimi'nin (SIEM) güvenlik operasyonları ekibine çok sayıda yanlış pozitif uyarı göndermesi durumlarını ifade etmek için kullanılan terimdir. Tipik bir kuruluş, her gün yüzlerce veya binlerce yanlış pozitif uyarıya dikkat etme sorumluluğuna sahiptir; bu, sistemde gürültü yaratır ve güvenlik ekibini, onları zararsız uyarıları araştırmaya zorlayarak gerçek kötü amaçlı tehditlere odaklanmasını engeller. Gürültülü tespit, siber güvenlik ekiplerinin dikkatini önemli tehditlerden uzaklaştırabilir ve gerçek tehditlerin kuruluşun sistemine sızmasına izin verebilir.

Bir kuruluşun her gün karşılaştığı yanlış pozitif uyarıların veya gürültünün sayısı çok fazla olabilir ve birçok güvenlik operasyon merkezinin karşılaştığı personel eksikliği gibi kaynak eksikliğini vurgulayabilir. Gürültüyü azaltabilecek bir algılama sistemine sahip olunması sayesinde güvenlik ekibi daha verimli ve etkili bir şekilde çalışabilir.

Orkestrasyon, bir SOAR platformunun, oyun kitaplarının yürütülmesini sağlamak için tanımlanmış konektörler aracılığıyla diğer teknolojileri yönetme veya kontrol etme yeteneğini ifade eder. Çoğu ticari SOAR platformu, orkestrasyon için gereken bağlantıyı kurmak için çeşitli yöntemler sunar. En yaygın yöntem, diğer teknolojilerin kullanıma sunduğu REST API'leridir. 

Paket yakalama, webdeki veya herhangi başka bir paket anahtarlamalı ağdaki bir kaynak ile hedef arasında yönlendirilen bir veri birimidir. Herhangi bir dosya (e-posta mesajı, HTML dosyası, Grafik Değişim Formatı dosyası, Tekdüzen Kaynak Konum Belirleyici isteği gibi) bir yerden yeni bir hedefe gönderildiğinde, TCP/IP'nin İletim Kontrol Protokolü (TCP) katmanı, dosyayı daha küçük parçalara ayırır. bu da onu daha optimize edilmiş ve yönlendirme için ideal hale getirir.

Paket yakalamaya dayalı geleneksel (veya eski ağ trafiği analizi diyeceğimiz) NTA çözümleri, gerekli özel sensör kurulumlarını hazırlayıp çalıştırmak için önemli miktarda zaman ve para yatırımı gerektirir.

“Paket yakalama, belirli bir bilgisayar ağından geçen veya taşınan bir veri paketinin ele geçirilmesi için kullanılan siber güvenlik ve dijital ağ terimidir. Bir paket zaten yakalandıktan sonra analiz edilebilmesi için saklanır. Paket, ağla ilgili sorunları çözmek ve ağ güvenliği politikalarına uyulup uyulmadığını belirlemek için tanıya yardımcı olmak üzere gözlemlenir ve araştırılır. Bilgisayar korsanları ağ üzerinden aktarılan verileri almak için paket yakalama tekniklerini de kullanabilirler.

Ağ yöneticileri veya SOC yöneticileri, genel ağ trafiğini ve performansını analiz eder ve yönetmekle görevlendirilir. Bir ağ üzerinden gerçek zamanlı olarak çalışan paketleri incelemek ve kavramak için adli tıp, paket kaybının belirlenmesi, sorun giderme ve son olarak güvenlik gibi bir dizi paket yakalama tekniği kullanılır. Paket yakalama iki yoldan biriyle kullanılabilir: meşru veya gayri meşru. Sniffing, verileri meşru kanallar aracılığıyla ele geçirir ve ardından etkili ağ iletişimini korumak için hataları iletir.

Siber azaltma, bir şirketin güvenlik olaylarını ve veri ihlallerini önlemek ve güvenlik saldırıları meydana geldiğinde hasarın boyutunu sınırlamak için uyguladığı politika ve süreçleri ifade eder. Azaltımın amacı güvenlik ihlallerini önlemek ve ihlal sonrasında oluşacak zararı sınırlamaktır. Kısmi hafifletme, genellikle bilgi eksikliği nedeniyle bir güvenlik ihlali sonrasında bu sürecin tam olarak tamamlanmaması ve şirketi gelecekte aynı tehdide karşı savunmasız bırakmasıdır. Siber azaltmanın üç ana yönü önleme, tanımlama ve çözüm/müdahaledir. Bu adımlardan herhangi birinin tam olarak tamamlanmaması durumunda buna kısmi hafifletme adı verilmektedir. 

Siber güvenlikte iyileştirme, kuruluşların sistemlerinde mevcut tehditleri belirleme ve çözme sürecini ifade eder. Başka bir deyişle riskin tanımlandığı, değerlendirildiği, işaretlendiği, önceliklendirildiği ve çözümlendiği süreçtir. Kısmi iyileştirme, bir tehdidin sistemden yalnızca kısmen kaldırılması ve bir kısmının ağda bırakılmasıdır.

Bu genellikle zayıf ağ görünürlüğünden ve mevcut bilgilerin eksikliğinden kaynaklanır. Bu, tehdidin kuruluşun ağına bulaşmaya devam edebileceği ve bilgi çalarak, operasyonlara zarar vererek veya yazılım ve donanıma zarar vererek kötü niyetli amacına ulaşmaya devam edebileceği anlamına gelir. Tehdidin bağlamını sağlamak, güvenlik ekibine tehditleri ve uyarıları önceliklendirirken rehberlik edebileceğinden kısmi düzeltmenin önlenmesine yardımcı olabilir. Uygun bağlam olmadan, vurgu kolayca yanlış yere yapılabilir ve sistem ağında bir tehdit bırakarak kısmi düzeltmeye neden olabilir.

Kimlik avı, güvenilir bir varlığın kimliğine bürünerek kullanıcı adları, şifreler ve kredi kartı bilgileri gibi hassas bilgileri elde etme girişimidir. Kimlik avı e-postaları, kötü amaçlı yazılım bulaşmış web sitelerine bağlantılar içerebilir. Kimlik avı genellikle e-posta sahtekarlığı veya anlık mesajlaşma yoluyla gerçekleştirilir ve genellikle kullanıcıları, görünümü meşru olanla neredeyse aynı olan sahte bir web sitesine ayrıntıları girmeye yönlendirir. 

Başucu kitapları, prosedürlerin otomasyonunu sağlamak için belirli koşullar karşılandığında gerçekleşen bir dizi eylemdir. Örneğin, bir taktik kitabı belirli bir güvenlik uyarısından tetiklenebilir ve tehdide otomatik olarak yanıt verebilir. Strateji kitaplarının temel faydaları, yanıt süresini hızlandırması ve SOC etkinliğini en üst düzeye çıkarmak için bilinen tehditlerin insan müdahalesi olmadan iyileştirilmesine izin vermesidir. 

 Fidye yazılımı, kurbanların bilgilerini, sırlarını ve verilerini yayınlamakla veya fidye ödenmediği takdirde erişimi sürekli olarak engellemekle tehdit eden, kriptoviroloji kaynaklı bir kötü amaçlı yazılım türüdür. Fidye yazılımı yasa dışıdır ve günümüzde para ve bilgi elde etmek amacıyla bireyleri veya kuruluşları şantaj yapmak ve tehdit etmek amacıyla çok çeşitli suçlarda kullanılmaktadır . 

Güvenlik analisti, bir kuruluşun özel ve hassas bilgilerinin korunmasında ve güvende tutulmasında önemli bir rol oynar. Şirketin güvenlik programları, çözümleri ve sistemlerindeki kusurları belirlemek ve düzeltmek için genellikle departmanlar arası çalışırlar ve genel güvenlik duruşunu iyileştirebilecek belirli önlemler için önerilerde bulunurlar. Güvenlik analistleri, şirketin dijital varlıklarının yetkisiz erişime karşı korunmasını sağlamaktan sorumludur. Bu, hem çevrimiçi hem de şirket içi altyapıların güvenliğini sağlamayı, olası kötü amaçlı etkinlikleri filtrelemek için ölçümleri ve verileri derinlemesine incelemeyi ve ihlaller meydana gelip hasara yol açmadan önce riskleri tespit edip azaltmayı içerir. SOC analistleri, bir ihlal meydana gelmesi durumunda ön saflarda yer alıyor ve saldırıya yanıt verme çabalarına öncülük ediyor. Güvenlik analistleri, güvenlik erişiminin izlenmesi, güvenlik açığı testi ve risk analizi yoluyla güvenlik testlerinin gerçekleştirilmesi, etik hackleme olarak da bilinen güvenlik ihlallerinin temel nedenini belirlemek için yürütülmesi, iç ve dış güvenlik denetimlerinin analiz edilmesi veya güncellenmesi dahil olmak üzere birçok görevden sorumlu olabilir. Şirketin olay müdahale süreçleri. 

Güvenlik Bilgileri ve Olay Yönetimi (SIEM), bir BT ortamındaki güvenlik olaylarının veya olaylarının sistem izlenmesini, tehdit tespitini ve uyarılmasını sağlayan bir çözümdür. SIEM, bulut sistemleri ve uygulamalardan ağ ve güvenlik duvarları ve anti-virüs yazılımı gibi güvenlik cihazlarına kadar tüm BT altyapısı boyunca oluşturulan günlük verilerini toplayarak güvenlik duruşunun kapsamlı ve merkezi bir görünümünü sağlar. SIEM, olayları ve olayları tanımlar, sınıflandırır ve analiz eder; SIEM analitiği, çeşitli iş ve yönetim birimlerine gerçek zamanlı uyarılar, gösterge tabloları ve raporlar sunar. Modern SIEM'ler ayrıca gelişmiş tehdit algılama ve müdahaleyi mümkün kılmak için denetimsiz makine öğrenimini de uygular. 

Güvenlik operasyonları merkezi, bir kuruluş içinde kuruluşu izleyen, analiz eden ve siber saldırılara karşı koruyan merkezi bir birimdir. SOC'ler, olaylara müdahale ederek ve tespit ve önleme süreçlerini iyileştirerek potansiyel bir siber saldırının maliyetlerini en aza indirmenin önemli bir parçasıdır. 

Güvenlik orkestrasyonu, otomasyonu ve müdahalesi (SOAR), olay müdahalesi, orkestrasyon ve otomasyon ile tehdit istihbaratı yönetimini tek bir platformda birleştiren bir çözümdür. Birden çok kaynaktan gelen güvenlik tehditleri verilerini ve uyarılarını toplayarak güvenlik ekiplerinin artan sayıda güvenlik uyarısına daha verimli yanıt vermesine yardımcı olur. SOAR'lar, güvenlik ekibindeki manuel işlemleri azaltarak güvenlik tehditlerini ve olaylarını otomatik olarak önceliklendirebilir ve bunlara yanıt verebilir. 

SOC otomasyonu, bir güvenlik operasyon merkezinin tespit, soruşturma ve yanıt gibi siber güvenlik savunmasını otomatikleştirmesidir. En yaygın SOC otomasyonu türü SOAR (güvenlik düzenleme otomasyonu ve yanıtı) aracılığıyla yapılır.

SOC otomasyonu, tespitten düzeltmeye kadar geçen süreyi hızlandırmak için SOC ekibini güçlendirmeyi amaçlamaktadır. Çoğu SOC, aldıkları uyarıların sayısını karşılamayı imkansız olmasa da çok zor hale getiren iş gücü eksikliğiyle karşı karşıyadır. Ekip, SOC'nin bazı yönlerini otomatikleştirerek karmaşık tehditlere odaklanabilir ve zararsız uyarılar veya bilinen tehditlerle zaman kaybetmeyebilir.

Tehdit tespiti, temel güvenlik analizinin ötesine geçen bir güvenlik türü olarak sınıflandırılır. Ağ geçidinin günlüklerini analiz amacıyla almak için cihazlara yerleşik olarak bulunur veya web ağ geçitleri gibi mevcut güvenlik altyapılarına entegre olur. Tehdit algılama, dosyaları kilitlemek veya verilere sızmak gibi kötü niyetli amaçlarla bir kuruluşun ağına girmeye çalışan kötü amaçlı yazılımları veya diğer uzaktan erişim tehditlerini bulmak için büyük veri analitiğini kullanır. Tehdit tespit çözümleri genellikle kümeleme, davranış analizi ve otomatik araştırma gibi yetenekleri içerir. Tehdit tespiti siber güvenliğin temelidir çünkü tehditleri ve kötü amaçlı iletişimleri tanımlar ve güvenlik duvarları ve antivirüsler gibi önleyici cihazları güncellemek için kritik bilgiler sağlar. 

 Tehdit avcılığı dinamik ve proaktif bir siber savunma görevidir. Mevcut güvenlik çözümlerinden kaçan gelişmiş tehditleri tespit etmek ve izole etmek için ağlarda proaktif ve yinelemeli arama yapma sürecini ifade eder. Bu siber güvenlik yöntemi, bir tehdidi bir uyarı verildikten sonra araştıran geleneksel tehdit yönetimi yöntemleriyle tam bir tezat oluşturuyor. Tehdit avcılığının üç ana kategorisi analitik odaklı, durumsal farkındalık odaklı ve istihbarat odaklıdır. 

Tehdit istihbaratı (TI), bir kuruluşun, kuruluşu hedef alabilecek tehditleri anlamak için kullandığı bilgilerdir. Bu bilgiler olası tehditleri önlemek ve tanımlamak için kullanılır. TI, kötü amaçlı yazılımın özellikleri veya bir tehdit aktörünün değerli verileri çalmak için kullandığı herhangi bir özel teknik hakkında bilgi gibi kanıta dayalı bilgiler sağlar. TI, çok çeşitli güvenilir kaynaklardan en son tehditlere ilişkin verileri toplar ve analiz eder. Bilgiler, SOC'lerin BT altyapısına yönelik siber saldırıları önlemesine ve hafifletmesine yardımcı olan bağlamı, mekanizmaları ve göstergeleri içerir. Her tehdide karşı hazırlıklı olmak imkansızdır; potansiyel tehditler hakkında ne kadar çok bilgi olursa, savunma da o kadar kapsamlı olur. 

Kullanıcı ve varlık davranışı analitiği (UEBA), anormal ve riskli davranışları keşfetmek için kullanıcıların ve varlıkların davranışlarını izleyen ve analiz eden bir güvenlik aracıdır. UEBA, önceden tanımlanmış korelasyon kurallarını veya saldırı modellerini kullanmadıkları için geleneksel araçların gözden kaçırdığı olayları tespit edebilir. Bunun yerine UEBA, anormal davranış olarak adlandırılan, normalden sapan şüpheli davranışları tespit etmek amacıyla her kullanıcı ve varlık için temel oluşturmak amacıyla makine öğrenimini kullanır. 

Tespit edilemeyen tehditler, SOC ekibinin ağda tespit edemediği kötü amaçlı iletişimler ve faaliyetlerdir. Bu başarısızlığa yanlış negatif de denir. Tespit edilemeyen tehditler ağda uzun süreli ihlallere neden olabilir ve kuruluşa zarar verebilir. Tespit edilmeyen tehditler veri sızmasına neden olabilir ve itibarın zarar görmesi durumunda şirketi yüksek para cezaları ödemeye zorlayabilir. 

Güvenli bir web ağ geçidi, şirket güvenlik politikalarını uygulayarak ve kötü amaçlı internet trafiğini gerçek zamanlı olarak filtreleyerek çevrimiçi güvenlik tehditlerine karşı koruma sağlar. Bir web ağ geçidi, güvenli olmayan ve potansiyel olarak kötü amaçlı trafiğin bir kuruluşun ağına girmesini önlemeyi amaçlar. Kuruluşlar, çalışanlarının kötü amaçlı web trafiğine, web sitelerine ve virüslere/kötü amaçlı yazılımlara erişmesini ve bunlardan etkilenmesini önlemek için web ağ geçitlerini kullanır. Web ağ geçidi bir siber güvenlik tehdidini gözden kaçırırsa veya tespit edemezse kuruluş bir siber saldırının kurbanı olabilir. 

İş Akışı Otomasyonu, insanlar veya sistemler arasında yönlendirilmesi gereken insan görevleri, veriler veya dosyalar arasındaki iş akışı kurallarına dayalı süreçlerin tasarımını, yürütülmesini ve otomasyonunu otomatikleştirme sürecidir. Zamana göre önceden tanımlanmış iş kurallarına göre çalışır ve süreçleri daha verimli hale getirir. İş akışı otomasyonu, günlük görevlerin otomatikleştirilmesine ek olarak SOC'lerdeki veya MSSP'lerdeki oyun kitaplarının otomatikleştirilmesinde de kullanılabilir. 

Genişletilmiş algılama ve yanıt (XDR), birleşik bir güvenlik olayı algılama ve yanıt platformudur. XDR teklifleri, uç nokta algılama ve yanıt araçlarının doğal bir gelişimidir. Birden fazla özel güvenlik bileşeninden gelen verileri otomatik olarak toplar ve ilişkilendirir. XDR araçları, işlev açısından SIEM ve SOAR araçlarına benzer, ancak ürünlerinin dağıtım sırasındaki entegrasyon düzeyi ve tehdit algılama ve olay müdahalesi kullanım senaryolarına odaklanmaları bakımından farklılık gösterirler.