İçeriğe atla

Bal küpü

Bal küpleri (honeypot); bilgi sistemlerine yetkisiz erişen saldırganlar ya da kullanıcılar hakkında bilgi toplamaya yarayan tuzak sunuculardır.[1][2] Bal küpleri genelde bir ağın parçasıymış gibi görünen bilgisayar veya veri barındıran herhangi bir sunucu olabilir. Aslında saldırganlara göre, saldırmak için sebep olabilecek bilgi veya değer taşıyan bir hedef gibi duran, izole edilmiş ve hareketleri özellikle izlenen bir kaynaktır.[3]

Türler

Bal küpü türleri için belirlenmiş herhangi bir standart bulunmamaktadır. Bununla birlikte, bal küpleri temel olarak iki sınıfa ayrılmaktadırlar:

  1. Üretim bal küpleri (production honeypots)
  2. Araştırma bal küpleri (research honeypots)

Üretim bal küpleri genellikle iç ağlara yönelik aktif tehlikeleri belirlemeye odaklanır. Honeypotlar size ek izleme fırsatları sunduğundan ve ağ taramalarını ve yanal hareketleri tanımlama konusundaki yaygın tespit boşluklarını doldurduğundan, bilgi toplama hala bir önceliktir. Üretim bal noktaları, üretim sunucularınızın geri kalanıyla birlikte çalışır ve ortamınızda normalde çalışacak hizmetleri çalıştırır. Araştırma honeypotları, üretim honeypotlarına göre daha karmaşık olma ve daha fazla türde veri depolama eğilimindedir.

Üretim bal küpleri genellikle iç ağlara yönelik aktif tehlikeleri belirlemeye odaklanır. Bundan dolayı da genel olarak diğer üretim sunucuları (production servers) ile birlikte üretim ağına yerleştirilir ve üretim ağlarında yer alan normal sunucuların üzerine koşan servisleri çalıştırırlar. Üretim bal küpleri genelde düşük etkileşimli bal küpleridir ve bu yüzden de araştırma bal küplerine kıyasla daha az türde ve sayıda veri toplarlar. Sonuç olarak da saldırılar ve saldırganlar hakkında araştırma bal küplerine göre daha az bilgi elde ederler.

Araştırma bal küpleri, tehditlerin yalnızca iç ağınıza olan etkilerini değil, bu tehditlerin farklı ağları nasıl etkilediklerine dair bilgileri toplarlar. Örneğin: Saldırganların (hacker) eğilimleri, saldırganların saldırı örüntüleri (pattern) ve kötücül yazılım türleri. Elde edilen bu bilgiler doğrultusunda, organizasyonların bu tehditlere karşı korunma seviyelerini artırmak amacıyla kullanılırlar. Araştırma bal küpleri, üretim bal küplerine kıyasla çok daha fazla türde bilgi toplarlar.

Etkileşim Seviyelerine Göre Bal Küpleri

Üretim ve araştırma bal küpleri etkileşim seviyelerine göre de şu şekilde sınıflandırılabilir:

  1. Saf bal küpleri (pure honeypots)
  2. Yüksek etkileşimli bal küpleri (high-interaction honeypots)
  3. Orta etkileşimli bal küpleri (mid-interaction honeypots)
  4. Düşük etkileşimli bal küpleri (low-interaction honeypots)

Yüksek etkileşimli bal küpü teknolojisinde yapılan son araştırmalar sonucu, sanal makine kullanılarak birden fazla bal küpü tek bir fiziksel makinede çalıştırılabilmektedir. Bu sayede, bal küpü saldırıdan etkilense bile çok hızlı bir şekilde eski durumuna döndürülebilmektedir. Sanal makinenin kullanılabilir olmadığı durumlarda, her fiziksel makine için bir bal küpü çalıştırılır. Bu durumun da maliyeti çok yüksektir.

Saf bal küpleri tam teşekküllü sistemlerdir. Başka bir yazılımın yüklenmesine gerek yoktur. Saf bal küpü kullanışlı olmasına rağmen savunma mekanizmasının gizliliği genelde, daha gelişmiş bir mekanizma tarafından sağlanabilir.

Yüksek etkileşimli bal küpleri çeşitli servisler sağlayan gerçek sistemlerin hareketlerini taklit ederler, böylece saldırganın zamanını harcayabileceği birçok servisi kullanmasına izin verilir. Yüksek etkileşimli bal küpleri, düşük etkileşimli bal küplerine göre daha zor tespit edilebilmektedirler. Fakat idame maliyetleri düşük etkileşimli bal küplerine göre daha yüksektir.

Düşük etkileşimli bal küpleri sadece saldırganlar tarafından sık kullanılan bazı servisleri taklit ederler. Yüksek etkileşimli bal küplerine kıyasla daha az kaynak harcadıkları için bir fiziksel makinede kolaylıkla birden fazla sanal makine çalışabilir.

İşlevlerine Göre Bal Küpleri

Bal küpleri ayrıca işlevlerine göre aşağıdaki gibi de sınıflandırılmışlardır:[4][5][6][7]

  1. Bal küpü ağı (Honeynet)
  2. Eposta bal küpleri (Email honeypots)
  3. "Honeybots"
  4. İstemci bal küpleri (Client honeypots)
  5. Kötücül yazılım bal küpleri (Malware honeypots)
  6. Örümcek bal küpleri (Spider honeypots)
  7. Spam bal küpleri
  8. Veri tabanı bal küpleri (Database honeypots)

Spam bal küpleri

Spam bal küpleri, spam gönderen kaynakları tespit etmeye ve engellemeye yardımcı olmak üzere tasarlanmış sahte e-posta adresleridir. Genellikle internet servis sağlayıcıları ve spam ile mücadele eden organizasyonlar tarafından kullanılırlar. Spam bal küpleri, mümkün olduğunca gerçek e-posta adreslerine benzer isimlerle veya finans kurumları veya devlet kurumları gibi yüksek değerli hedeflerle ilişkili olduklarını düşündüren isimlerle oluşturulurlar. Bu sayede spam kaynakları için daha çekici olurlar.

Bir spam göndericisi bir spam balküpüne e-posta gönderdiğinde bu e-posta, balküpünü oluşturan organizasyon tarafından yakalanır ve analiz edilir. Bu analizler sonucunda elde edilen bilgiler, spam gönderen kaynağı tanımlamak ve bu spam e-postalarının normal kullanıcılara ulaştırılmasını engellemek için kullanılırlar. Spam bal küpleri ayrıca spam kaynaklarının yöntemleri hakkında bilgi toplamak için de kullanılabilirler. Örneğin, gönderdikleri e-posta türleri ve spam filtrelerinden kaçınmak için kullandıkları teknikler gibi. Bu bilgiler spam filtreleme tekniklerini iyileştirmek ve spam ile mücadele etmek amacıyla yeni stratejiler geliştirmek için de kullanılır.[8][9]

Veri tabanı bal küpleri (Database honeypots)

Veri tabanı bal küpleri, gerçek veri tabanı sistemlerinizi hedef alan saldırganları çekmek ve tuzağa düşürmek için tasarlanmış sahte veri tabanlarıdır. Veri tabanı bal küpleri; müşteri bilgileri, finansal kayıtlar ve kişisel bilgiler gibi çeşitli hassas veriler içerir. Bu veri tabanı bal küpleri, kasıtlı olarak SQL Enjeksiyonu saldırısı gibi saldırılara karşı zafiyet (vulnerability) içerecek şekilde oluşturulurlar.

Bir saldırgan bal küpündeki verilere erişmeye veya bunları manipüle etmeye çalıştığında tespit edilir ve bu saldırganın veri tabanı üzerindeki hareketleri kaydedilir. Bu bilgiler daha sonra saldırganın taktiklerini, tekniklerini ve prosedürlerini (TTP: tactics, techniques, and procedures) anlamanın yanı sıra gerçek veri tabanı sistemlerinizdeki yeni güvenlik açıklarını belirlemek amacıyla da kullanılabilir.

Veri tabanı bal küplerinin bazı kullanım amaçları aşağıdaki gibidir: Saldırganları tespit etmek ve tanımlamak: Veri tabanı bal küpleri, saldırganları sahte bir veri tabanı üzerine çekerler. Böylece sistemlerinizi hedef alan saldırı türlerinin yöntem ve tekniklerini belirlemenize yardımcı olabilir. Bu bilgiler, organizasyonunuzun güvenlik seviyesini iyileştirmek için kullanılabilir. Yeni güvenlik açıklarını tespit etmek: Veri tabanı bal küpleri, gerçek veri tabanlarındaki yeni güvenlik açıklarını tespit etmenize yardımcı olabilir. Bal küpünü hedef alan saldırıları analiz ederek, saldırganların sistemlerinizi nasıl istismar ettiğine ve bu saldırıların gerçek verilerinize yapılmasını nasıl önleyebileceğinize dair ipuöları elde edebilirsiniz. Güvenlik kontrollerini doğrulamak: Veri tabanı bal küpleri, güvenlik kontrollerinizin etkinliğini doğrulamak için de kullanılabilir. Veri tabanı bal küpünü hedef alan saldırganların davranışlarını izleyerek, savunmalarınızın saldırıları caydırma ve önleme konusunda ne kadar etkili olduklarını görebilirsiniz.[10]

Kaynakça

  1. ^ "What is a Honeypot?". 16 Mayıs 2016 tarihinde kaynağından arşivlendi. Erişim tarihi: 22 Eylül 2016. 
  2. ^ "Honeypot Guide". 22 Eylül 2016 tarihinde kaynağından arşivlendi. Erişim tarihi: 22 Eylül 2016. 
  3. ^ "Why Do We Need Honeypots?". 23 Eylül 2016 tarihinde kaynağından arşivlendi. Erişim tarihi: 22 Eylül 2016. 
  4. ^ "What Are Honeypots?". Fortinet. 18 Aralık 2023 tarihinde kaynağından arşivlendi. Erişim tarihi: 18 Aralık 2023. 
  5. ^ "Honeypots". Rapid7. 18 Aralık 2023 tarihinde kaynağından arşivlendi. Erişim tarihi: 18 Aralık 2023. 
  6. ^ "What is a honeypot and how does it work?". Norton. 6 Ekim 2023. 18 Aralık 2023 tarihinde kaynağından arşivlendi. Erişim tarihi: 18 Aralık 2023. 
  7. ^ "Honeypots in Cybersecurity Explained". Crowdstrike. 9 Mart 2022. 18 Aralık 2023 tarihinde kaynağından arşivlendi. Erişim tarihi: 18 Aralık 2023. 
  8. ^ "How to use Email Honeypot Traps to Fight Email and WordPress Spam". MailPoet. 2 Nisan 2018. 21 Aralık 2023 tarihinde kaynağından arşivlendi. Erişim tarihi: 21 Aralık 2023. 
  9. ^ "What Is a Honeypot Trap and How to Bypass It". ZenRows. 17 Kasım 2022. 21 Aralık 2023 tarihinde kaynağından arşivlendi. Erişim tarihi: 21 Aralık 2023. 
  10. ^ "MSSQL makes up 93% of all activity on honeypots tracking 10 databases". SC Media. 13 Haziran 2023. 21 Aralık 2023 tarihinde kaynağından arşivlendi. Erişim tarihi: 21 Aralık 2023. 

İlgili Araştırma Makaleleri

<span class="mw-page-title-main">Spam</span>

Spam ya da istenmeyen mesaj, e-posta, telefon, faks gibi elektronik ortamlarda çok sayıda alıcıya aynı anda gönderilen gereksiz veya uygunsuz iletidir. En yaygın spam türleri reklamlar ve ilanlardır. Elektronik posta (e-posta), internetin en eski iletişim araçlarından birisidir. E-posta, fiziksel, alışılagelmiş posta alımı ya da gönderiminin elektronik olanı ve internet üzerinden gerçekleştirilen, düşük maliyetli ve hızlı olanıdır. Güvenlik, kimlik denetimi gibi gereklilikler göz önünde bulundurulmamıştır ve bu yüzden e-posta altyapısı günümüzde internette büyük problemlere yol açmaktadır.

SMTP, bir e-posta göndermek için sunucu ile istemci arasındaki iletişim şeklini belirleyen protokoldür. Farklı işletim sistemleri için geliştirilmiş e-posta protokolleri bulunmaktadır. Bu e-posta protokollerinin SMTP'ye geçit yolu (gateway) vardır. SMTP, Aktarım Temsilcisi ve Kullanıcı Temsilcisi yazılımları arasındaki iletişimi sağlar. TCP'nin üst katmanında çalışır.

<span class="mw-page-title-main">Yönlendirici</span>

Yönlendirici, aynı ağ iletişim kurallarını kullanan iki bilgisayar ağı arasında veri çerçevelerinin iletimini sağlayan ağ donanımıdır. Yönlendirme için OSI yedi katman modelinin üçüncüsü olan ağ katmanı kullanılır. Genellikle bu iş için özel üretilmiş donanımlar varsa da birden çok arayüzü olan bilgisayarlar da yazılım desteğiyle yöneltici olarak çalışabilirler.

Truva atı (Trojan), bilgisayar yazılımı bağlamında Truva atı zararlı program barındıran veya yükleyen programdır. Terim klasik Truva Atı mitinden türemiştir. Truva atları masum kullanıcıya kullanışlı veya ilginç programlar gibi görünebilir ancak yürütüldüklerinde zararlıdırlar.

<span class="mw-page-title-main">İnternet</span> elektronik iletişim ağı

İnternet, bilgisayar sistemlerini birbirine bağlayan elektronik iletişim ağıdır. TDK, internet sözcüğüne karşılık olarak genel ağı önermiştir. İnternet yerine zaman zaman sadece net sözcüğü de kullanılır.

ICMPv6(Internet Control Message Protocol Version 6 )

Honeyd, kullanıcıların, bir bilgisayar ağında birden fazla sanal konak oluşturmasına ve koşturmasına izin veren açık kaynak kodlu bir bilgisayar programıdır. Bu sanal konaklar, üzerinde farklı birçok taklit sunucular çalışacak şekilde yapılandırılabilirler, sonsuz sayıda bilgisayar ağı yapılandırmasının simule edilebilmesini sağlarlar. Honeyd ilk olarak, profesyoneller ve güvenlik meraklıları tarafından bilgisayar güvenliği alanında kullanıldı ve Knoppix tabanlı bir Linux canlı CD dağıtımı olan Knoppix STD 'de yer aldı.

Bilgisayar güvenliği'nde, bir DMZ veya sivil bölge ya da dizginleme bölgesi bir kuruluşun dış servislerini içeren ve bu servisleri daha büyük güvensiz bir ağa maruz bırakan fiziksel veya mantıksal bir alt ağdır. Genellikle BT profesyonelleri tarafından DMZ olarak adlandırılır. Bazen de Çevre Ağı olarak adlandırılır. Bir DMZ'nin amacı bir kuruluşun Yerel Alan Ağı (LAN)'a ek bir güvenlik katmanı eklemektir; dışarıdaki bir saldırganın ağın herhangi başka bir bölümünden ziyade yalnızca DMZ içindeki ekipmana erişimi vardır.

<span class="mw-page-title-main">Saldırı tespit sistemleri</span>

Saldırı Tespit Sistemleri (STS) (İngilizce: Intrusion Detection Systems (IDS)), ağlara veya sistemlere karşı yapılan kötü niyetli aktiviteleri ya da politika ihlallerini izlemeye yarayan cihaz ya da yazılımlardır. Tespit edilen herhangi bir aktivite veya ihlal, ya bir yöneticiye bildirilir ya da bir güvenlik bilgi ve olay yönetimi (SIEM) sistemi kullanılarak merkezi olarak toplanır. SIEM sistemi, çeşitli kaynaklardan gelen çıktıları birleştirir ve kötü niyetli alarmı yanlış alarmlardan ayırmak için alarm filtreleme teknikleri kullanır.

<span class="mw-page-title-main">Servis dışı bırakma saldırısı</span>

Servis dışı bırakma saldırısı , internete bağlı bir barındırma hizmetinin hizmetlerini geçici veya süresiz olarak aksatarak, bir makinenin veya ağ kaynaklarının asıl kullanıcılar tarafından ulaşılamamasını hedefleyen bir siber saldırıdır. DoS genellikle hedef makine veya kaynağın, gereksiz talepler ile aşırı yüklenmesi ve bazı ya da bütün meşru taleplere doluluktan kaynaklı engel olunması şeklinde gerçekleştirilir. DoS saldırısını; bir grup insanın, bir dükkân veya işyerindeki kapıları tıkayıp, meşru tarafların mağazaya veya işletmeye girmesine izin vermeyerek normal işlemleri aksatması şeklinde örnekleyebiliriz.

<span class="mw-page-title-main">Siber savaş</span>

Siber savaş, bir devletin, başka bir devletin bilgisayar sistemlerine veya ağlarına hasar vermek ya da kesinti yaratmak üzere gerçekleştirilen sızma faaliyetleridir.

Mobil güvenlik ya da mobil telefon güvenliği, mobil işlemenin öneminin ve kullanılan akıllı telefonların sayısının artması ile birlikte öne çıkmıştır. Genel olarak bakıldığında, mobil güvenlik, mobil cihazlarda saklanan bilgilerin ve servislerin koruma altına alınması olarak değerlendirilebilir.

Bilgi güvenliği ve özellikle ağ güvenliği bağlamında, bir sahtecilik saldırısı, bir kişinin veya programın, yasa dışı bir fayda elde etmek için verileri çarpıtarak başarılı bir şekilde başka bir kimlik olarak tanımlandığı bir durumdur.

Beyaz liste, belirli bir ayrıcalığın, hizmetin, hareketliliğin, erişimin veya tanımın sağlandığı varlıkların listesi ya da kaydıdır. Listedeki varlıklar uygun bulunmuş ve/veya tanınacaktır. Beyaz liste; reddedilen, tanınmayan veya dışlanmış varlıkları belirleme uygulaması olan kara listeye alınmanın tersidir.

Saldırı ağaçları, bir varlık veya hedefe nasıl saldırılabileceğini gösteren kavramsal diyagramlardır. Saldırı ağaçları birçok farklı uygulamada kullanılmıştır. Bilgi teknolojileri alanında, bilgisayar sistemlerindeki tehditleri ve bu tehditleri gerçek kılacak alternatif saldırıları tanımlamak için kullanılmışlardır. Ancak, saldırı ağaçlarının kullanımı sadece bilgi sistemlerinin analizi ile sınırlı değildir. Saldırı ağaçları, savunma ve havacılık alanında kurcalamaya karşı korumalı elektronik sistemlerde tehdit analizi için de sıklıkla kullanılmaktadır. Saldırı ağaçları artan bir oranda bilgisayar kontrol sistemlerinde de kullanılmaktadır. Saldırı ağaçları fiziki sistemlere saldırıları anlamak için de kullanılmıştır.

Sahte güvenlik yazılımı, kullanıcıları bilgisayarlarında bir virüs olduğuna inandıran ve sonrasında virüs kaldırma aracı için para isteyen bir çeşit zararlı yazılım ve internet dolandırıcılığıdır. Scareware ve bir çeşit ransomware olarak da değerlendirilebilir. Sahte güvenlik yazılımları 2008'den beri bilgisayarlar için önemli bir tehdit oluşturuyor. AdDestroyer ve VirtualBouncer sahte güvenlik yazılımlarının tanınmasını sağlamış olan, 2004'te var olmuş iki eski örnektir.

Beyaz şapkalı hacker, bilişim suçları işleyen hackerların kullandıkları teknik ve yöntemleri bilen ve hackerların eylemleri sırasında kullandıkları araçları ve yazılımları tanıyan, iyi niyetli hackerlardır.

Siyah şapkalı hacker, sistemlere zarar veren, sistemdeki bilgileri çalan ve sisteme izinsiz erişim sağlayan kötü amaçlı hackerlardır.

Ağ güvenliği, bilgisayar ağının ve ağdan erişilebilen kaynakların yetkisiz erişimini, kötüye kullanımını, değiştirilmesini veya reddedilmesini önlemek, tespit etmek ve izlemek için benimsenen politika, süreç ve uygulamalardan oluşur .Ağ güvenliği, ağ yöneticisi tarafından kontrol edilen bir ağdaki verilere erişim yetkisini içerir. Kullanıcılar atanmış bir ID ve şifre veya yetkileri dahilindeki bilgilere ve programlara erişmelerine izin veren diğer kimlik doğrulama bilgilerini seçer .Ağ güvenliği, günlük işlerde kullanılan hem genel hem de özel çeşitli bilgisayar ağlarını kapsar: işletmeler, devlet kurumları ve bireyler arasında işlem ve ilişki yürütmek. Ağ güvenliği bir şirket gibi özel veya genel erişime açık olabilir. Ağ güvenliği, kuruluşlarda, işletmelerde ve diğer kurum türlerinde yer alır. Bir ağ kaynağını korumanın en yaygın ve basit yolu, ona benzersiz bir ad ve buna karşılık gelen bir parola atamaktır.

Rekabetçi Bilgi Erişimi, bilgi erişim sistemlerine yönelik saldırıları veya manipülasyonları tanımlayan bir kavramdır. Bu saldırılar genellikle bilgi arama motorlarını, web spamini ve arama motoru optimizasyonunu (SEO) hedef alır. Rekabetçi bilgi erişimi, bu tür manipülasyonları tespit etmek, izole etmek ve engellemek için çeşitli tekniklerin araştırıldığı bir alandır.


Bu sayfa, bu Vikipedi makalesine dayanmaktadır.
Metin, CC BY-SA 4.0 lisansı altında mevcuttur; ek koşullar uygulanabilir.
Görseller, videolar ve sesler kendi lisansları altında mevcuttur.