Microsoft Advanced Threat Analytics (ATA)

ata
PRO

Microsoft Advanced Threat Analytics (ATA)

Siber tehditler ve saldırılar günümüzde daha da çeşitlenmiş, sıklaşmış; artık daha fazla zarar verme potansiyeline ulaşmıştır. Bu noktada Microsoft Advanced Threat Analytics, davranışsal analiz kullanarak ihlal ve tehditleri belirlemeye yardımcı oluyor.

Siber Güvenlik konusu artık tüm firmaların, teknoloji üreticilerinin hatta ülkelerin en önemli gündem maddelerinin arasında yerini almış durumda. Bunda en büyük neden tabii ki siber tehditlerin çok daha fazla risk oluşturması ve siber saldırıların çeşitlenmesinden dolayı çok daha fazla maddi ve itibari zarar verebilecek durumda olmasıdır. Öyle ki siber suçların küresel ekonomiye maliyetinin 500 milyar dolar olduğu tahmin ediliyor.
Siber saldırıların ve ağa yetkisiz erişimlerin büyük oranda kullanıcı kimlikleri üzerinden yapıldığı değerlendirilmekte. Öte yandan saldırganların malware gibi zararlı yazılımların yanı sıra artık daha zor tespit edilen meşru IT araçlarını da kullandıkları biliniyor. Bu sayede saldırganlar fark edilmeden ağda ortalama 5 ay kalabilmektedir.
Kuruluşlar bu çapta tehdit ve risk taşıyan siber saldırılara karşı; zafiyetlerini tespit etme, açıkları giderme, bilgi güvenliğini sağlama ve saldırılara önlem alma konusunda ciddi çalışma ve yatırımlar yapmak durumunda kalıyor. Riskleri ve önlemleri tespit etmek için oldukça geniş bir perspektiften bakmak gerektiğinden, bu altyapıyı sağlama ve yönetmek de başlı başına komplike hale gelmektedir. Geleneksel IT Güvenlik çözümlerini sağlamak için ilk kurulum ve ince ayarların yapılması, kuralların yaratılması, threshold-baseline ayarlarının yapılması bu sebepten karmaşıklaşıyor ve uzun zaman alıyor. Oluşturulan güvenlik sistemleri, monitoring ve log raporlarından gelen yüzlerce sonuçları incelemek ve değerlendirmek de ayrı bir efor gerektiriyor. Çoğu zaman bu raporlarda gün içerisinde çok fazla hatalı pozitif sonuçların alınması; gerçek tehditlerin gözden kaçmasına neden olabiliyor. Bir diğer konu da Geleneksel IT Güvenlik çözümlerinin genelde dışardan gelecek ataklar için tasarlanmış durumda olması. Ancak bu durum kullanıcı kimlik bilgileri çalındığında ve saldırgan ağ içinde olduğu zaman sınırlı bir koruma sağlayabilmektedir.
Tüm bu bahsettiğimiz çerçevede Microsoft, gelişmiş atak ve iç tehditlerden organizasyonları koruma konusunda IT güvenlik profesyonellerine yardımcı olacak Advanced Threat Analytics (ATA) ürünü ile karşımıza çıkıyor. Microsoft Advanced Threat Analytics (ATA) genel olarak; gelişmiş Machine Learning teknolojisi kullanarak, normal ve anormal kullanıcı, aygıt ve kaynak davranışlarını otomatik olarak analiz eden, öğrenen,  tanımlayan ve uyaran on-premises bir ürün. Bu sayede bilinen zararlı ataklara, güvenlik açık ve risklerine karşı önlem almada yardımcı oluyor. Aslında Microsoft bu konuda UEBA (User and Entity Behavior Analytics ) teknolojisini geliştiren Adallom firmasını satın alarak Microsoft Advanced Threat Analytics (ATA) ürününü geliştirmiş ve ortaya çıkartmıştır diyebiliriz. Peki nedir bu anormal kullanıcı davranışı denilen olgu? Hemen hepimiz kredi kartı kullanıyoruzdur. Ve ne zaman normal, rutin harcama miktarımızın üzerinde bir harcama yapsak bankamız tarafından bu alışverişle ilgili bilgilendirme mesajı almışızdır. Bir şekilde banka yapılan bu harcamanın bizim tarafımızdan yapılıp yapılmadığı konusunda uyarmış oluyor. Tıpkı bu örnekte olduğu gibi Microsoft Advanced Threat Analytics (ATA) da kullanıcıların Active Directory Domain ortamı içerisinde rutinde gerçekleştirmiş olduğu oturumları, oturum lokasyonlarını, erişimlerini vs. analiz edip öğrenip; kullanıcıdan bunların dışında bir hareket tespit ettiğinde bizi uyarıyor. Bunu gerçekleştirmek için de sürekli arka planda çalışıyor ve izliyor.
ATA’nın neler yapabildiğine bakacak olursak:- Atak ve iç tehditleri tespit etme
– Machine Learning teknolojisini kullanan analiz motoruyla; paket tarama, log analizleri ve Active Directory’den bilgi çekerek kullanıcı ve varlık davranışlarını analiz etme
– Şüpheli hareketlerin tespiti
– Bilinen kötü amaçlı saldırı ve güvenlik sorunlarının algılanması
– Basit saldırı zaman çizelgesi kullanarak önemli ve doğru olana odaklama
– Şüpheli faaliyetlerin listelenmesi, öneriler eşliğinde güvenlik önlemlerinin alınması
– Organizasyon Güvenlik Grafiği oluşturma
– Hatalı pozitif sonuçlarda azalma
– Şirket içinden ya da mobil aygıtlardan organizasyon kaynaklarına erişimde gerçekleşen bütün kimlik denetleme ve yetkilendirmeleri analiz etme
– Security Information and Event Management (SIEM) olarak adlandırılan güvenlik bilgi ve kayıt yönetimi sistemlerinden veya Syslog sunucularından gelen olay günlüklerini alarak analiz edebilme
– Mevcut ağ topolojisini etkilemeden, herhangi bir agent kurulumu gerektirmeden fiziksel ya da sanal makineye kolay kurulum imkânı

ATA çeşitli kademelerde gelişmiş bilinen kötü amaçlı atakları ve risk taşıyan zafiyetleri, organizasyona zarar vermeden önce algılar. ATA’nın odaklandığı bu tehditlerin neler olduğuna bakalım:- Sunucular, oturumlar, kimlik bilgileri, DNS vs. hakkında bilgi toplanılmaya çalışılması
– Kullanıcı kimlik bilgilerinde deneme yanılma yapılması (Brute Force)
– Düz metin halinde gönderilen kullanıcı ve servis hesap bilgileri
– Parola tabanlı verilerin saklandığı Data Protection API (DPAPI) servisine gönderilen kötü amaçlı bilgi istekleri
– Pass the ticket, Pass the hash, Over-pass the hash gibi atak çeşitleriyle herhangi bir kullanıcı kimliğinin hash ya da ticket bilgisi ele geçirilip kullanılarak network kaynaklarına erişilmeye çalışılması
– Ele geçirilmiş hesap bilgilerinin Forged PAC, Silver PAC gibi atak çeşitleriyle yetkisinin yükseltilmeye çalışılması
– Skeleton Key Malware kullanılarak saldırganın yetkilendirilmesinin sağlanması
– Yetkilendirme için kullanılan ticket’ın Golden Ticket yöntemiyle manuel oluşturularak sisteme kabul ettirilmeye çalışılması
– Domain Controller üzerinde uzaktan kod çalıştırılması
– Kötü amaçlı replikasyon istekleri

Sonuç olarak Microsoft Advanced Threat Analytics (ATA)’nın neler yapabildiği ve odaklandığı tehditler çerçevesinde nasıl çalıştığını 4 adımlı yaklaşımda görebiliriz:1- Analiz: Active Directory’den gelen bütün trafiğin ve SIEM, Syslog gibi diğer kaynaklardan gelen bilgilerin analizi
2- Öğrenme: Kullanıcı, cihaz ve kaynak davranışlarını öğrenme ve bunların profillerini çıkarma
3- Algılama: Gerçek zamanlı bir şekilde şüpheli etkinlikleri, bilinen güvenlik sorunlarını ve kötü amaçlı saldırıları algılama
4- Uyarı: Tespit edilen şüpheli etkinlik, atak ve güvenlik sorunlarını net, işlevsel ve üzerinde işlem yapılabilen basit bir saldırı zaman çizelgesi ile uyarma

Kaynaklar:https://www.microsoft.com/tr-tr/server-cloud/products/advanced-threat-analytics/
https://docs.microsoft.com/en-us/advanced-threat-analytics/
http://blog.microsoft.com.tr/?p=35721
https://www.microsoft.com/en-us/evalcenter/evaluate-microsoft-advanced-threat-analytics

 

Arşivler