Bir şeyleri izleyip, analiz etmeyi ve bu takibini gerçekleştirdiklerinizi kontrol altında tutmayı sever misiniz? Yanıtınız ‘evet’ ve siber güvenlikle de ilgiliyseniz, bu içeriği çok sevecekseniz. Neden mi? Çünkü tam olarak giriş cümlemde belirttiğim sualin dijitale yansımasını keşfedeceksiniz. Öyleyse hemen başlayalım.
Monitör Mod Nedir?
Monitör modu, siber güvenlik bağlamında bir ağ veya sistem konfigürasyonunun, herhangi bir etkinliği ya da süreci engellemeden ağ trafiğini “pasif” bir şekilde gözlemleyip analiz etmeye yönlendirildiği durumu ifade eder. Peki, ‘monitör modun mesai saatleri içerisindeki görev tanımı nedir’ diye sormayalım mı?
Bu mod genellikle izleme, analiz ve sorun giderme amaçları için kullanılmaktadır. Siber güvenlik ve network güvenliği uzmanlarına, ağ davranışı hakkında bilgi edinme, potansiyel güvenlik tehditlerini belirleme ve bir sistemin genel durumunu değerlendirme olanağı tanır. Böylece olası zafiyetlerin önüne geçilerek gerek bireysel gerek kurumsal boyutta zarar engellenmiş olur. Hadi gelin hep birlikte bu modun uygulamalarını göstermek için örneklerle inceleme yapalım, ne dersiniz?
Monitör Mod Nasıl Çalışır?
Pasif Gözlem:
Monitör modunda, ağ analizörleri, sızma tespit sistemleri (Intrusion Detection System – IDS) veya SIEM sistemleri gibi güvenlik araçları, ağ trafiğini pasif bir şekilde gözlemlemek üzere yapılandırılır. Bu araçlar trafiğe müdahale etmez. Bunun yerine, ağdaki veri paketlerini akarken yakalar ve analiz eder.
Paket Yakalama ve Analiz:
Bu elzem modda, araçlar ağı geçen paketleri yakalar ve bunları analiz için depolar. Bu analiz, paket başlıklarını, içerikleri ve diğer ilgili meta verileri inceleyerek trafiğin yapısını anlamak ve herhangi bir anormallik durumunu tespit etmektedir. Keza olası güvenlik zafiyeti oluşturabilecek potansiyel tehditleri de ayyuka çıkararak, erken müdahaleye zemin hazırlamaktadır.
Anormallikleri Algılama:
Monitör modunda, ağ faaliyetlerini gözlemleyerek, siber güvenlik profesyonelleri, anormal iletişim desenleri, beklenmeyen trafik hacimleri veya şüpheli davranışlar gibi anormallikleri tespit edebilirler. Bu anormallikler, malware injectionlar, yetkisiz erişim girişimleri veya diğer kötü amaçlı faaliyetleri işaret edebilmektedir. Örneğin, bir kişi kullanıcı adı kısmına “SELECT*FROM…” şeklinde sql komutu çalıştıracak bir kod yazıyorsa bunun amacı sizce nedir? ‘Kullanıcı adı’ kısmına girdiğinden siteye erişmek diyebiliriz ama farklı bir erişim. 🙂
Ağ Sorun Giderme:
Arabanızın servis bakımı geldiğini nasıl anlıyorsunuz? Kilometre veya yıllık bakımlarından belki de şüphelendiğiniz bir sesten… Benzer durum ağ trafiğinde de geçerlidir. Fakat bunun farkı, izleme sağlayabileceğimiz bir modun olmasıdır. Monitör modu, ağ sorunlarını gidermek için değerlidir. Network veya Bilgi güvenliği sorumluları, normal ağ operasyonlarını bozmadan ağ performansını etkileyen sorunları tanımlamak ve teşhis etmek için izleme araçlarını kullanabilirler. Çalışan bir arabanın motorundaki sorunu bulamayız ama iş dijitalde farklı yürüyor, değil mi?
Hadi gelin bir de bu modun uygulamalı senaryolarını inceleyelim. Ki böylece zihnimizde daha berrak bir görüntü oluşsun.
Monitör Modun Örnek Çalışma Senaryoları:
Senaryo #1: Sızma Tespit Sistemi (Intrusion Detection System – IDS)
Büyük bir şirket, IDS’yi monitör modunda kullanır ve ağ trafiğini pasif bir şekilde analiz eder. IDS, belirli bir IP adresinden tekrarlanan giriş başarısızlıklarını tespit eder. Böylece şirket ağına potansiyel bir brute force saldırısı olduğunu monitör mod ile keşfedilir. Kurumun bilgi güvenliği personeli bu verilere dayanarak daha fazla inceleme yapabilir ve koordineli olarak uygun önlemleri alabilir.
Senaryo #2: Ağ Analizörü
Bir ağ yöneticisi, ağ sunucuları arasındaki trafiği yakalamak ve analiz etmek için bir ağ analizörünü(network analyzer) monitör modunda kullanır. Paket içeriklerini inceleyerek, yönetici iki iç sistem arasındaki veri transfer hızında ani bir artış tespit eder. Bu, potansiyel olarak veri sızdırma girişimini gösterebilmektedir. Daha fazla inceleme ile kesin kanılara varılabilir. Ki kesin bir sonuca ulaşılmasa dahi böyle bir olasılığın söz konusu olması dahi güvenlik önlemlerini arttırmaya yöneltmektedir. Dolayısıyla veri kaybının önüne geçilerek kurumun maddi-manevi kaybı da engellenmiş olur.
Senaryo #3: SIEM Sistemi
Bir SIEM sistemi monitör modunda çalışmaktadır. Bununla birlikte ağdaki çeşitli güvenlik cihazlarından log ve olayları(events) toplar. SIEM, bu olayları ilişkilendirme kabiliyeti ile yetkisiz erişim girişimlerinin bir algoritmasını tespit eder. Siber güvenlik uzmanları, girişimlerin kaynağını incelemek ve gerekli güvenlik önlemlerini uygulamak için anlık olarak uyarılmaktadır.(‘Ne teknoloji ama’ diye iç geçiriyor musunuz yoksa ‘olması gereken zaten bu muydu’ dersiniz?)
Senaryo #4: Kablosuz Ağ İzleme
Kablosuz bir ağda, network yöneticisi bir kablosuz sızma tespit sistemini(WIDS) monitör modunda çalışacak şekilde yapılandırır. WIDS, yetkisiz erişim noktalarını veya şüpheli cihazları, ağa bağlanmaya çalışanları tespit edip, stabil devam eden ağ operasyonlarını bozmadan işlem yapabilmektedir.
Senaryo #5: Performans İzleme:
Karmaşık ve büyük topolojiye sahip bir şirketin, ağ izleme araçlarını monitör modunda kullanarak kritik uygulamaların performansı değerlendirilebilmektedir. Yanıt sürelerini ve veri transfer hızlarını analiz eden ağ yöneticileri, ağ performansını optimize etmeye yardımcı olan bugları, gereksiz ya da (artık)kullanılmayan ağ objelerini veya gecikmeleri tanımlayabilirler.
Monitör Modun Avantajları Nelerdir?
Gerek teori ile gerek örnekli açıklamalar ile konunun pürüzlerini giderdik diyebilir miyiz? Yazının bu başlığına kadar geldiyseniz, ilginizi çektiğimi düşünüyorum. Bununla birlikte emin olduğum bir şey var ki, ‘siber güvenlik’ ile aranızda kuvvetli bir çekim var. Neden mi? Eğer ilginiz olmasaydı, bu mesleğin en elzem niteliği olan “araştırmacı ruha” sahip olmayıp buralara kadar gelmezdiniz… Konumuzu dağıtmadan, monitör modun avantajlarını da şöyle bir özetlemekte fayda var;
- Monitör modu, normal operasyonları etkilemeden ağ trafiğinin yalın bir şekilde analiz edilmesini sağlamaktadır. Sürekli gözlem için uygundur.
- Güvenlik tehditleri ve anormallikler erken tespit edilebilmektedir. Potansiyel güvenlik olaylarına proaktif bir yanıt imkanı tanır.
- Ağ sorunlarını tanımlamak ve çözmek, normal ağ etkinliklerini bozmadan gerçekleştirilebilmektedir. Problemler hızlı bir şekilde keşfedilir, analize gönderilir ve gerekli önlemler alınarak çözüme ulaştırılır.
Monitör Modun Dezavantajları:
Monitör mod, etkin olmayan bir şekilde çalıştığı için kötü amaçlı aktiviteleri engellemez veya bloke etmez. Tespit ve analiz aracı olarak hizmet verir. Dolayısıyla tek başına aktif bir blokaj yapamaz. Buradaki aslolan mesele, bu aracı iyi kullanan yetenekli ağ ve siber güvenlik uzmanlarının olmasıdır. Neşteri bir doktorun ve bir eczacının tutması arasında çok fark vardır, tahmin edebilirsiniz(Teşbihte hata olmaz arkadaşlar, kimse üzerine alınmasın.:)).
Monitör modu, gerçek zamanlı olarak tehditlere yanıt verme konusunda sınırlı yeteneklere sahiptir. Aktif yanıt mekanizmaları genellikle farklı bir işleme modu gerektirebilmektedir. Bu da aslında birkaç cümle önce söylediğim “aracı iyi kullanabilen ve yönetebilen” nitelikli kişi olgusuna itham ediyor.
Sonuç olarak monitör mod; ağ etkinliklerini gözlemleme, analiz etme ve müdahale etmeden anlama olanağı sağlayarak siber güvenlikte önemli bir rol oynar. Erken tehdit tespiti, ağ üzerindeki sorun(ları) giderme ve genel güvenlik izleme için çok kıymetli bir araçtır. Kurum ve kuruluşlar, siber tehditlere karşı tespit ve yanıt yeteneklerini artırmak için genellikle monitör modunun nimetlerini siber güvenlik stratejilerine entegre ederler.
Peki, sizin bu konu hakkındaki düşünceleriniz neler? Yorumlarda belirtebilirsiniz. Hatta eğer daha evvelinde monitör modu deneyimlediyseniz tecrübelerinizi paylaşabilirsiniz. Hayat, öğrendikçe güzel ama daha da güzeli, öğrettikçe gelen öğrenme isteği…