AWS’in Bilgi Güvenliğinden Sorumlu Başkanı CJ Moses, AWS’in veri güvenliğini sağlamak için kullandığı yöntemlerden bahsederek, tehdit istihbaratı için algoritmalar kullanan devasa dahili sinir ağı grafik modeli AWS Mithra’yı tanıttı.
Dünyanın dört bir yanındaki kuruluşların en hassas verilerinin korunması için Amazon Web Services’e (AWS)’e güvendiğini vurgulayan AWS’in Bilgi Güvenliğinden Sorumlu Başkanı CJ Moses, doğru, zamanında, eyleme geçirilebilir ve ölçeklenebilir tehdit istihbaratı oluşturmayı çok ciddiye aldıklarını ve buna önemli kaynak ayırdıklarını belirtti. Müşterilerin tehdit istihbaratlarının nereden geldiği, ne tür tehditlerle karşılaşıldığı, bunlar karşısında AWS’in neler yaptığı ve kendilerinin neler yapması gerektiğine yönelik soruları yanıtlayan CJ Moses, aynı zamanda müşterileri tehditlerden korumaya yardımcı olmak için alan adı güvenilirliğini derecelendiren sinir ağı grafik modeli AWS Mithra’yı da tanıttı.
Yalnızca AWS’in küresel ölçeğinde elde edilebilecek, doğruluk oranı yüksek tehdit istihbaratı
AWS, altyapısı genelinde her gün siber saldırıları tespit ediyor ve engelliyor. Tüm bulut sağlayıcıları arasında en büyük ağ ayak izine sahip olan AWS, internetteki belirli faaliyetler hakkında gerçek zamanlı benzersiz içgörüye sahip. Tehdit istihbaratının güvenliği fark yaratabilecek bir şekilde etkileyebilmesi için internetten büyük miktarda ham verinin toplanması, hızlı bir şekilde analiz edilmesi ve yanlış pozitiflerin temizlenmesi gerekiyor. Örneğin, tehdit istihbaratı bulguları, bir çalışanın mesai saatlerinden sonra hassas verilere erişmesi durumunda hatalı bir şekilde içeride bir tehdit olduğunu gösterebilir, oysa gerçekte bu çalışan bir son dakika projesiyle görevlendirilmiş ve gece boyunca çalışmak zorunda kalmış olabilir. Tehdit istihbaratı üretmek çok zaman alıcı ve önemli miktarda insan ve dijital kaynak gerektiriyor. Yapay zeka (AI) ve makine öğrenimi, analistlerin büyük miktarda veriyi gözden geçirmesine ve analiz etmesine yardımcı olabilir. Ancak, internet genelinde bilgi toplama ve analiz etme yeteneği olmadan, tehdit istihbaratı pek kullanışlı olmaz. Kendi başlarına, küresel ölçekli bulut altyapısına erişim olmadan, eyleme dönüştürülebilir tehdit istihbaratı toplayabilen kuruluşlar için bile, zamana duyarlı bilgilerin toplu olarak başkalarıyla büyük ölçekte paylaşılması zor veya imkansızdır.
AWS altyapısı, çok sayıda istihbarat sinyali (güvenlik araçları tarafından oluşturulan bildirimler) gözlemleyebilmesi sayesinde tehdit istihbaratı doğruluğunu (buna “doğruluk oranı yüksek” deniyor) önemli ölçüde artırabildiği için tehdit istihbaratını radikal bir şekilde dönüştürüyor. AWS ayrıca, otomatik yanıt yeteneklerine sahip, küresel olarak dağıtılmış tehdit sensörleri (bal tuzağı) ağı olan MadPot aracılığıyla potansiyel olarak zararlı faaliyetleri tespit edip izledikçe, siber saldırganların gelişen taktiklerini, tekniklerini ve prosedürlerini (TTP’ler) gözleme ve bunlara müdahale etme yeteneğini sürekli olarak geliştiriyor.
AWS, küresel ağı ve MadPot gibi dahili araçlarıyla, binlerce farklı türde faaliyet sinyalini gerçek zamanlı olarak alıyor ve analiz ediyor. Örneğin, MadPot dünya çapında her gün 100 milyondan fazla potansiyel tehdidi gözlemliyor ve gözlemlenen bu faaliyetlerin yaklaşık 500.000’i kötü amaçlı olarak sınıflandırılıyor. Bu, doğruluğu yüksek bulguların, dünyanın dört bir yanındaki müşterileri zararlı ve kötü amaçlı çevrimiçi faaliyetlerden korumak için hızlı bir şekilde harekete geçilebilecek, değerli tehdit istihbaratı ürettiği anlamına geliyor. Doğruluğu yüksek istihbarat, milyonlarca AWS hesabı için tehditleri otomatik olarak algılayan akıllı tehdit algılama güvenlik servisi Amazon GuardDuty için de gerçek zamanlı bulgular üretiyor.
AWS Mithra, müşterileri tehditlerden korumaya yardımcı olmak için alan adı güvenilirliğini derecelendiriyor
Kötü amaçlı alan adlarının (internetteki fiziksel IP adresleri) belirlenmesi, etkili tehdit istihbaratı için büyük önem taşıyor. AWS müşterileri alan adlarıyla etkileşime girdiğinde, GuardDuty çeşitli bulgular (anormal davranışlar gibi olası güvenlik sorunları) oluşturuyor ve her alan adına güvenilirliği derecelendiren çeşitli ölçümlerden türetilen bir itibar puanı atıyor. Kötü amaçlı alan adlarının kaliteli bir listesinin tutulması, siber suçluların davranışlarının izlenerek müşterilerin korunması açısından önem taşıyor.
AWS, bunun için adını mitolojideki yükselen güneşten alan Mithra’yı geliştirdi. Mithra, tehdit istihbaratı için algoritmalar kullanan devasa bir dahili sinir ağı grafik modeli. 3,5 milyar düğümü ve 48 milyar ucu olan Mithra’nın itibar puanlama sistemi, müşterilerin karşılaştığı kötü amaçlı alan adlarını belirleyecek ve bu doğrultuda alan adlarını puanlayacak şekilde tasarlandı. Tek bir AWS Bölgesinde günde 200 trilyona kadar DNS isteği görülebiliyor ve Mithra günde ortalama 182.000 yeni kötü amaçlı alan adı tespit ediyor. Mithra’nın algoritmaları, AWS’te sorgulanan her alan adını sıralayan bir itibar puanı atayarak AWS’in ortaya çıkan tehditleri tespit etmek için üçüncü taraflara daha az güvenmesine yardımcı oluyor ve üçüncü bir taraf kullanıldığında üretilebilecek bilgiden daha hızlı bir şekilde daha iyi bilgi üretilmesini sağlıyor.
Mithra, kötü amaçlı alan adlarını olağanüstü bir doğrulukla ve daha az yanlış pozitifle tespit etmekle kalmıyor, aynı zamanda bu süper grafik, kötü amaçlı alan adlarını üçüncü taraflardan gelen tehdit istihbaratı akışlarında görünmeden günler, haftalar ve hatta bazen aylar önce tahmin edebiliyor. Bu derece bir yetenek, AWS’in her gün milyonlarca güvenlik olayını ve potansiyel tehdidi görebileceği ve bunlara karşı harekete geçebileceği anlamına geliyor.
Alan adlarını puanlayan Mithra’nın kullanılabileceği alanlar şöyle:
- Müşterileri korumaya yardımcı olmak için GuardDuty gibi güvenlik servislerinde daha önce bilinmeyen kötü amaçlı alan adlarının doğruluk oranı yüksek bir listesi kullanılabilir. GuardDuty ayrıca müşterilerin kötü amaçlı alan adlarını engellemesine ve olası tehditler için uyarılar almasına olanak tanır.
- Üçüncü taraf tehdit akışlarını kullanan hizmetler, yanlış pozitifleri önemli ölçüde azaltmak için Mithra’nın puanlarını kullanabilir.
- AWS güvenlik analistleri, güvenlik araştırmalarının bir parçası olarak Mithra’nın puanlarından faydalanabilir.
Müşterilerin kendilerini koruyabilmeleri için doğruluk oranı yüksek tehdit istihbaratı onlarla paylaşılıyor
AWS, tehdit istihbaratını hem kendi hem de müşterilerinin güvendiği güvenlik hizmetlerini sorunsuz bir şekilde zenginleştirmek için kullanılmakla kalmıyor, kötü niyetli kişiler tarafından hedef alınabileceğini veya potansiyel olarak tehlikeye atılabileceğini düşündüğü müşteriler ve diğer kuruluşlarla kritik bilgileri paylaşmak için proaktif olarak iletişime geçiyor. Tehdit istihbaratının paylaşılması, kuruluşların sağlanan bilgileri değerlendirmesine, risklerini azaltmak için adımlar atmasına olanak tanıyor ve işlerinin kesintiye uğramasını önlemeye yardımcı oluyor.
Örneğin, tehdit istihbaratını kullanarak, sistemlerinin siber saldırganlar tarafından potansiyel olarak tehlikeye atıldığını veya istismara ve kötüye kullanıma açık bir şekilde yanlış yapılandırılmış sistemler çalıştırdığını (açık veri tabanları gibi) tespit ettiği kuruluşlar bilgilendiriliyor. Siber suçlular, açık veri tabanları gibi güvenlik açıkları bulmak için sürekli olarak interneti tarıyor ve bir veri tabanı ne kadar uzun süre açıkta kalırsa, kötü niyetli kişilerin onu keşfetme ve istismar etme riski o kadar yüksek oluyor. Belirli durumlarda, üçüncü taraf (AWS müşterisi olmayan) bir kuruluşun güvenliğinin ihlal edilmiş olabileceğini gösteren sinyaller alındığında, AWS müşterisi olmamalarına rağmen onlar bilgilendiriliyor çünkü bunu yapmak daha fazla istismarın önüne geçilmesini sağlayarak, internetin genel olarak daha güvenli bir yer haline gelmesine yardımcı oluyor.
Çoğu zaman, AWS müşterileri ve diğer kuruluşlar bu tür sorunlar konusunda uyarıldıklarında potansiyel olarak tehlikeye girdiklerinin ilk kez farkına varıyorlar. Kuruluşlar bu durumu öğrendikten sonra kendilerini korumak için atmaları gereken adımları araştırıp belirleyebilir ve işlerinde aksamalara neden olabilecek veya daha fazla istismara yol açabilecek olayları önlemeye yardımcı olabilirler. AWS’in yaptığı bilgilendirmeler genellikle, güvenlik günlüklerini inceleyerek belirli alan adlarını engelleme, risk azaltma önlemleri uygulama, yapılandırmaları değiştirme, adli soruşturma yürütme, en son yamaları yükleme veya altyapıyı bir ağ güvenlik duvarının arkasına taşıma gibi kuruluşların gerçekleştirebileceği eylemlere ilişkin öneriler de içeriyor. Bu proaktif eylemler, kuruluşların yalnızca bir olay meydana geldikten sonra tepki vermeleri yerine potansiyel tehditlerin önüne geçmelerine yardımcı oluyor.
Bazen, AWS’in bilgilendirdiği müşteriler ve diğer kuruluşlar da başkalarına yardımcı olunmasına katkıda bulunacak bilgiler sağlayabiliyor. Bir soruşturmadan sonra, güvenlik ihlaline uğraşmış bir kuruluş AWS’e ilgili güvenlik ihlali göstergelerini (IOC’ler) sağlarsa, bu bilgiler bir tehlikenin nasıl meydana gelebileceğini anlama yeteneğinin geliştirilmesi için kullanılabiliyor. Bu yetenek, kuruluşlarla, güvenlik duruşlarını iyileştirmelerine yardımcı olmak amacıyla paylaşılabilecek kritik içgörülerin elde edilmesini sağlayabiliyor; böylece güvenliği artırmayı amaçlayan iş birliklerini teşvik eden erdemli bir döngü ortaya çıkıyor. Örneğin, alınan bilgiler, bir kuruluşun güvenliğini tehlikeye atarak sistemlerine kötü amaçlı yazılım yüklemek için sosyal mühendislik veya kimlik avı saldırılarının nasıl kullanıldığının öğrenilmesine yardımcı olabiliyor. Ya da izinsiz bir giriş gerçekleştirmek için kullanılan bir sıfır gün güvenlik açığı hakkında bilgi alınabiliyor veya bir uzaktan kod yürütme saldırısının (RCE) bir kuruluşun verilerini ele geçirmek amacıyla kötü amaçlı kod ve diğer kötü amaçlı yazılımları çalıştırmak için nasıl kullanıldığı öğrenilebiliyor. Daha sonra bu istihbarat, müşterileri ve diğer üçüncü tarafları korumak için kullanılıp paylaşılabiliyor. Bu tür iş birlikleri ve koordineli müdahale, kuruluşlar birlikte çalışarak kaynakları, zekayı ve uzmanlığı paylaştıklarında daha etkili oluyor.
AWS’in doğruluk oranı yüksek tehdit istihbaratının kullanım örnekleri
1. Örnek: MadPot sensörleri, backscatter (genellikle bir siber saldırıyla ilgisi olan, istenmeyen ve amaçlanmayan ağ trafiği) olarak bilinen ve belirli bir tehditle ilişkili güvenlik ihlali göstergelerini (IOC’ler) içeren olağandışı ağ trafiğini gösterdiğinde şüpheli faaliyetin farkında vardı. Ağ trafiğinin, çok uluslu büyük bir gıda hizmeti sektörü kuruluşunun IP alanından kaynaklandığı ve Doğu Avrupa’ya aktığı ortaya çıktı, bu da potansiyel bir kötü amaçlı veri hırsızlığına işaret ediyordu. AWS tehdit istihbaratı ekibi, AWS müşterisi olmamalarına rağmen mağdur kuruluştaki güvenlik ekibiyle hemen iletişime geçti. Sorunun zaten farkındaydılar, ancak tehdidi başarıyla savuşturduklarını ve BT ortamlarından kaldırdıklarını düşünüyorlardı. Ancak sensörler tehdidin devam ettiğini ve çözülmediğini gösteriyordu, bu da kalıcı bir tehdidin devam ettiği anlamına geliyordu. AWS, durumun derhal ele alınmasını talep etti ve gece geç saatlerde yapılan bir telefon görüşmesi sırasında AWS CISO’su büyük miktarda verinin hâlâ şüpheli bir şekilde sızdırıldığını ve acil eylemin gerekli olduğunu göstermek için mağdur kuruluşun CISO’su ile gerçek zamanlı güvenlik günlüklerini paylaştı. Mağdur şirketin CISO’su durumu kabul ederek Olay Müdahale (IR) ekibini görevlendirdi ve AWS ile birlikte çalışarak tehdit başarıyla durduruldu.
2. Örnek: Bu yılın başlarında Volexity, Ivanti Connect Secure VPN’deki iki sıfır gün güvenlik açığını detaylandıran bir araştırma yayınladı ve bu da CVE-2023-46805 (bir kimlik doğrulamayı atlama güvenlik açığı) ve CVE-2024-21887‘nin (birden çok web bileşeninde bulunan bir komut enjeksiyonu güvenlik açığı) yayınlanmasına neden oldu. ABD Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA), 29 Şubat 2024 tarihinde bu konuda bir siber güvenlik tavsiyesi yayınladı. Bu yılın başlarında Amazon güvenlik ekipleri, kötü niyetli kişilerin bu güvenlik açıklarından yararlanma girişimlerini tespit etmek için MadPot sensörlerini geliştirdi. Amazon, MadPot sensörleri tarafından elde edilen bilgileri kullanarak, savunmasız Ivanti Connect Secure VPN’leri hedef alan çok sayıda aktif istismar girişimi belirledi. Ayrıca, GuardDuty’nin yaygın güvenlik zafiyetleri ve açıkları (CVE) akışında ilgili istihbarat yayınlayarak, bu hizmeti kullanan AWS müşterilerinin ortamlarında mevcutsa bu etkinliği tespit etmeleri ve durdurmaları sağlandı. (CVSS metrikleri hakkında daha fazla bilgi için Ulusal Standartlar ve Teknoloji Enstitüsü (NIST) Güvenlik Açığı Metrikleri adresini ziyaret edebilrsiniz).
CJ Moses, “AWS, var olan en güvenilir bulut altyapısını işletiyor ve bu da bize güvenlik ortamına ve müşterilerimizin her gün karşılaştığı tehditlere dair benzersiz bir bakış açısı sunuyor. Tehdit istihbaratımızı paylaşma çabalarımızın, müşterilerin ve diğer kuruluşların daha güvenli olmasına yardımcı olması bizi teşvik ediyor ve yardımcı olmanın daha fazla yolunu bulmaya yönelik kararlılığımızı artırıyor,” şeklinde konuştu.