Microsoft Advanced Threat Analytics (ATA)

By | 23/12/2016

Microsoft Advanced Threat Analytics (ATA)

Microsoft Advanced Threat Analytics ile ilgili görsel sonucu

ATA ürününden bahsetmeden önce siber saldırıları ile ilgili olarak kısaca bilgi vermek istiyorum. Siber saldırılar günümüzde artık tüm firmaların, bankaların hatta ülkelerin korkulu rüyası haline gelmiş durumda. Bunun en büyük sebebi siber tehditlerin geçmişe oranla her geçen gün daha fazla risk oluşturuyor olması. Saldırılar maddi zarar lar dışında , firmaların özellikle finans kuruluşlarının ve kamu kurumlarının itibarına zarar verebiliyor. Sadece maddi açıdan değerlendirecek olursak siber suçların küresel ekonomiye maliyetinin 500 milyar dolar olduğu tahmin ediliyor.

Tehdit bu kadar büyük boyutlara erişmişken kuruluşlar kendilerini korumak adına; açıklarını giderme, bilgi güvenliği sağlama, zafiyetlerin tespiti gibi konularda çok ciddi yatırımlar ve çalışmalar yapmak durumunda kalıyor. Tabi bu yatırımların ardından yapılandırılan güvenlik sistemleri , monitoring, log, raporlardan gelen onlarca sonucu inceleyip doğru bir şekilde değerlendirmekte ayrı bir efor gerektiriyor.

Yapılan araştırmalarda siber saldırıların ve ağa yapılan yetkisiz erişimlerin büyük oranda kullanıcı kimlikleri ile yapıldığı belirtilmekte. Diğer bir yöntem ise malware gibi zararlı yazılımlar. Saldırganların sistemlere girdikten sonra ortalama 140 günün üzerinde ağda kaldıkları belirtiliyor.

Microsoft Advanced Threat Analytics ile ilgili görsel sonucu

Microsoft Advanced Threat Analytics (ATA), Machine Learning teknolojisi kullanarak, normal ve anormal kullanıcı, aygıt ve kaynak davranışlarını otomatik olarak analiz eden, öğrenen,  tanımlayan ve uyaran bir üründür. Microsoft Adallom firmasını satın alarak Microsoft Advanced Threat Analytics (ATA) ürününü geliştirmiş ve ortaya çıkartmıştır diyebiliriz.

Microsoft Advanced Threat Analytics (ATA), davranışsal analiz yaparak bir kullanıcının karakteristik özelliklerini çıkarıyor ve bir norm altyapısı oluşturuyor. Bu normlara uymayan bir kimlik doğrulama talebi görürse bunu bir alarm olarak sunuyor. Örneğin bir kullanıcı normalde log in olmak için iki farklı cihaz kullanıyor ve zamanının çoğunu kurumsal portal kaynaklarında geçiriyor. ATA belirli bir süre sonunda bunu normal bir davranış olarak tanımlıyor. Aynı kullanıcı ile daha fazla cihazdan, başka lokasyonlardan veya ilgisiz kaynaklara erişim gerçekleşirse bu ATA için gözden geçirilmesi gereken bir tehdit olduğu anlamına geliyor. ATA kullanıcıyı yalnızca kendi davranışlarına göre değil, benzer kullanıcı profilleri üzerinden referanslar alarak da inceliyor ve buna göre bir sonuç çıkartıyor.

Microsoft Advanced Threat Analytics ile ilgili görsel sonucu

ATA ürünün ‘ün odaklandığı saldırı türleri;

  • Sunucular, oturumlar, kimlik bilgileri, DNS vs. hakkında bilgi toplanılmaya çalışılması
  • Kötü amaçlı replikasyon istekleri
  • Yetkilendirme için kullanılan ticket’ın Golden Ticket yöntemiyle manuel oluşturularak sisteme kabul ettirilmeye çalışılması
  • Skeleton Key Malware kullanılarak saldırganın yetkilendirilmesinin sağlanması
  • Kullanıcı kimlik bilgilerinde deneme yanılma yapılması (Brute Force)
  • Düz metin halinde gönderilen kullanıcı ve servis hesap bilgileri
  • Parola tabanlı verilerin saklandığı Data Protection API (DPAPI) servisine gönderilen kötü amaçlı bilgi istekleri
  • Pass the ticket, Pass the hash, Over-pass the hash gibi atak çeşitleriyle herhangi bir kullanıcı kimliğinin hash ya da ticket bilgisi ele geçirilip kullanılarak network kaynaklarına erişilmeye çalışılması
  • Ele geçirilmiş hesap bilgilerinin Forged PAC, Silver PAC gibi atak çeşitleriyle yetkisinin yükseltilmeye çalışılması
  • Domain Controller üzerinde uzaktan kod çalıştırılması

ADVANCED THREAT ANALYTICS AVANTAJLARI

  • Davranışsal analitikler ile tehditleri hızlı bir şekilde algılayın

Özel algoritmasıyla Microsoft Advanced Threat Analytics, ne aranması gerektiğinin profilini çıkararak ve bunları bilerek sistemlerinizdeki şüpheli etkinlikleri tam olarak bulmanız için durmadan çalışır. Ayrıca Advanced Threat Analytics bilinen ileri düzeyde ısrarcı tehditleri ve güvenlik sorunlarını da tanımlar.

  • Bilgisayar korsanları kadar hızlı bir şekilde uyum sağlayın

Advanced Threat Analytics kullanıcıların, cihazların ve kaynakların davranışlarından sürekli olarak öğrenir ve kendisini hızla değişen kurumunuzdaki değişiklikleri yansıtacak şekilde ayarlar. Taktikler daha karmaşık hale geldikçe, Advanced Threat Analytics uyum sağlayıp yanıt vermenize yardımcı olmak için davranışsal analitikleri kullanır.

  • Doğru uyarılara odaklanın

Geleneksel güvenlik araçlarının sürekli raporlama özelliği ile önemli ve alakalı uyarıları tespit etmek için bu raporları inceleyip elemek bunaltıcı olabilir. Saldırı zaman çizelgesi, doğru şeyleri bir zaman çizelgesinde ortaya koyan ve size kim, ne, ne zaman ve nasıl sorularına ilişkin bakış açısı sağlayan net, verimli ve kullanımı kolay bir kaynaktır. Advanced Threat Analytics ayrıca, her şüpheli etkinlik için denetleme ve düzeltmeye yönelik öneriler sunar.

  • Hatalı pozitif sonuçlar artık sizi yormasın

Geleneksel BT güvenlik araçları, genellikle artmakta olan veri miktarlarıyla başa çıkacak donanıma sahip değildir ve gereksiz uyarılarla dikkatinizi dağıtarak gerçek tehditleri gözden kaçırmanıza neden olurlar. Advanced Threat Analytic sayesinde şüpheli etkinlikler bağlamsal açıdan etkileşim yolundaki diğer davranışlarla birleştirilip size açık ve doğru uyarılar sağlanır.

Kaynaklar

https://docs.microsoft.com/en-us/advanced-threat-analytics/understand-explore/what-is-ata

https://www.microsoft.com/tr-tr/cloud-platform/advanced-threat-analytics

http://blog.microsoft.com.tr/?p=35721