Bal küpü

Bal küpleri (İngilizce: honeypot), bilgi sistemlerine yetkisiz erişim sağlamaya çalışan saldırganlar veya kullanıcılar hakkında istihbarat toplamak amacıyla oluşturulan tuzak sistemlerdir. Bu sistemler, meşru ağ hizmetlerini taklit ederek saldırganların ilgisini çeker ve faaliyetlerini ayrıntılı biçimde kaydeder.

Köken

Honeypot terimi, köken olarak casusluk literatüründeki bal tuzağı kavramına dayanmaktadır. Casusluk dünyasında bu terim, romantik ilişkiler aracılığıyla bilgi sızdırmayı amaçlayan kişileri tanımlamak için kullanılır. Bilgisayar güvenliğinde ise aynı prensip, saldırganların dikkatini çekmek ve davranışlarını analiz etmek için dijital ortama uyarlanmıştır.

Çalışma prensibi

Bir bal küpü, saldırganlara meşru bir sistemmiş gibi görünen, ancak izole bir ortamda çalışan sahte bir bilgisayar sistemidir. Örneğin, bir bal küpü şirketin müşteri faturalama sistemini taklit ederek kredi kartı bilgilerini arayan saldırganları cezbedebilir. Saldırgan sisteme eriştiğinde tüm etkileşimleri kaydedilir ve bu bilgiler güvenlik açıklarını analiz etmekte kullanılır.

Bal küpleri genellikle kasıtlı olarak oluşturulmuş güvenlik açıkları içerir (örneğin açık bağlantı noktaları veya zayıf parolalar). Böylece saldırganların gerçek ağ yerine bal küpüne yönelmesi sağlanır. Ancak bir bal küpü, güvenlik duvarı veya antivirüs yazılımı gibi doğrudan koruma sağlamaz; esas işlevi tehditleri gözlemlemek, analiz etmek ve savunma stratejilerini geliştirmektir.

Türleri

Etkileşim düzeyine göre

Düşük etkileşimli bal küpleri: Az kaynak tüketir ve yalnızca temel TCP/IP protokollerini veya sınırlı ağ hizmetlerini simüle eder. Temel tehdit türleri ve kaynakları hakkında bilgi sağlar, ancak saldırganla uzun süreli etkileşim sunmaz.
Yüksek etkileşimli bal küpleri: Gerçek sistemlere yakın şekilde tasarlanmıştır. Saldırganların sistemde uzun süre kalmasını sağlayarak niyet, araç ve istismar yöntemleri hakkında ayrıntılı bilgi sağlar. Bununla birlikte, kurulumu ve bakımı daha maliyetlidir ve dikkatli şekilde izole edilmezse risk oluşturabilir.

İşlevine göre

Spam tuzakları: Gizli e-posta adresleri oluşturarak yalnızca spam gönderenlerin tespit edilmesini sağlar.
Decoy veritabanları: SQL enjeksiyonu veya yetki kötüye kullanımı gibi saldırıların tespitinde kullanılır.
Kötü amaçlı yazılım bal küpleri: API veya yazılım davranışlarını taklit ederek kötü amaçlı yazılımları çeker ve analiz eder.
Örümcek (spider) bal küpleri: Yalnızca web tarayıcılarının erişebildiği sayfalar oluşturarak kötü niyetli botları tespit etmeyi amaçlar.

Kullanım amaçları

Bal küpleri aracılığıyla aşağıdaki bilgiler elde edilebilir:

Saldırganların kaynak adresleri ve coğrafi konumları
Tehdit seviyesi ve saldırı yoğunluğu
Kullanılan yöntemler ve araçlar
Hedef alınan veri türleri
Mevcut savunma mekanizmalarının etkinliği

Bu veriler, ağ güvenliği sistemlerinin iyileştirilmesi ve yanlış pozitiflerin azaltılması için diğer güvenlik araçlarıyla ilişkilendirilebilir.

Faydaları

Düşük yanlış pozitif oranı: Bal küpleri normalde meşru trafik almadığı için tespit edilen faaliyetler büyük olasılıkla kötü amaçlıdır.
Kaynak verimliliği: Az donanım kaynağı gerektirir; eski sistemlerle dahi kurulabilir.
Tehdit istihbaratı: Yeni saldırı yöntemlerini ve kötü amaçlı yazılımları analiz etmeye olanak sağlar.
Eğitim aracı: Güvenlik ekipleri, saldırgan davranışlarını gerçek ağ trafiğinden bağımsız olarak inceleyebilir.
İç tehdit tespiti: İçeriden gelen kötü niyetli eylemleri de saptayabilir.

Riskler

Yüksek etkileşimli bal küpleri doğru şekilde izole edilmezse saldırganlar tarafından diğer sistemlere saldırı başlatmak için kullanılabilir. Ayrıca kurulumu ve yönetimi zaman ve uzmanlık gerektirir. Bu nedenle, bal küpleri genellikle dikkatle planlanmış güvenlik altyapılarının tamamlayıcı bir parçası olarak değerlendirilir.

Sonuç

Bal küpleri, siber güvenlik stratejilerinde önemli bir istihbarat kaynağıdır. Tehditleri anlamaya, savunmaları güçlendirmeye ve güvenlik önlemlerinin etkinliğini değerlendirmeye yardımcı olurlar. Düşük ve yüksek etkileşimli sistemlerin bir arada kullanılması, kapsamlı bir tehdit analizi ve savunma yaklaşımı sağlar.

Kaynakça

Spitzner, L. Honeypots: Tracking Hackers. Addison-Wesley, 2003.
Mokube, I., & Adams, M. (2007). Honeypots: Concepts, Approaches, and Challenges. Proceedings of the 45th Annual Southeast Regional Conference.
Provos, N., & Holz, T. Virtual Honeypots: From Botnet Tracking to Intrusion Detection. Addison-Wesley, 2007.

Türler

Bal küplerinin sınıflandırılması için belirlenmiş kesin bir standart bulunmamaktadır. Bununla birlikte, bal küpleri temel olarak iki sınıfa ayrılmaktadırlar:

Üretim bal küpleri (production honeypots)
Araştırma bal küpleri (research honeypots)

Üretim bal küpleri genellikle iç ağlara yönelik aktif tehlikeleri tespit etmeye odaklanır. Bu tür bal küpleri, ek izleme fırsatları sağlayarak ağ taramalarını ve yanal hareketleri belirleme konusunda mevcut tespit eksikliklerini gidermeye yardımcı olur. Üretim bal noktaları, üretim sunucularınızın geri kalanıyla birlikte çalışır ve ortamda normalde bulunan hizmetleri çalıştırır. Araştırma honeypotları, üretim honeypotlarına göre daha karmaşık olma ve daha fazla türde veri depolama eğilimindedir.

Üretim bal küpleri genellikle iç ağlara yönelik aktif tehlikeleri belirlemeye odaklanır. Bundan dolayı da genel olarak diğer üretim sunucuları (production servers) ile birlikte üretim ağına [en] yerleştirilir ve üretim ağlarında yer alan normal sunucuların üzerine koşan servisleri çalıştırırlar. Üretim bal küpleri genelde düşük etkileşimli bal küpleridir ve bu yüzden de araştırma bal küplerine kıyasla daha az türde ve sayıda veri toplarlar. Sonuç olarak da saldırılar ve saldırganlar hakkında araştırma bal küplerine göre daha az bilgi elde ederler.

Araştırma bal küpleri, tehditlerin yalnızca iç ağınıza olan etkilerini değil, bu tehditlerin farklı ağları nasıl etkilediklerine dair bilgileri toplarlar. Örneğin: Saldırganların (hacker) eğilimleri, saldırganların saldırı örüntüleri (pattern) ve kötücül yazılım türleri. Elde edilen bu bilgiler doğrultusunda, organizasyonların bu tehditlere karşı korunma seviyelerini artırmak amacıyla kullanılırlar. Araştırma bal küpleri, üretim bal küplerine kıyasla çok daha fazla türde bilgi toplarlar.

Etkileşim seviyelerine göre bal küpleri

Üretim ve araştırma bal küpleri etkileşim seviyelerine göre de şu şekilde sınıflandırılabilir:

Saf bal küpleri (pure honeypots)
Yüksek etkileşimli bal küpleri (high-interaction honeypots)
Orta etkileşimli bal küpleri (mid-interaction honeypots)
Düşük etkileşimli bal küpleri (low-interaction honeypots)

Yüksek etkileşimli bal küpü teknolojisinde yapılan son araştırmalar sonucu, sanal makine kullanılarak birden fazla bal küpü tek bir fiziksel makinede çalıştırılabilmektedir. Bu sayede, bal küpü saldırıdan etkilense bile çok hızlı bir şekilde eski durumuna döndürülebilmektedir. Sanal makinenin kullanılabilir olmadığı durumlarda, her fiziksel makine için bir bal küpü çalıştırılır. Bu durumun da maliyeti çok yüksektir.

Saf bal küpleri tam teşekküllü sistemlerdir. Başka bir yazılımın yüklenmesine gerek yoktur. Saf bal küpü kullanışlı olmasına rağmen savunma mekanizmasının gizliliği genelde, daha gelişmiş bir mekanizma tarafından sağlanabilir.

Yüksek etkileşimli bal küpleri çeşitli servisler sağlayan gerçek sistemlerin hareketlerini taklit ederler, böylece saldırganın zamanını harcayabileceği birçok servisi kullanmasına izin verilir. Yüksek etkileşimli bal küpleri, düşük etkileşimli bal küplerine göre daha zor tespit edilebilmektedirler. Fakat idame maliyetleri düşük etkileşimli bal küplerine göre daha yüksektir.

Düşük etkileşimli bal küpleri sadece saldırganlar tarafından sık kullanılan bazı servisleri taklit ederler. Yüksek etkileşimli bal küplerine kıyasla daha az kaynak harcadıkları için bir fiziksel makinede kolaylıkla birden fazla sanal makine çalışabilir.

İşlevlerine göre bal küpleri

Bal küpleri ayrıca işlevlerine göre aşağıdaki gibi de sınıflandırılmışlardır:^[1]^[2]^[3]^[4]

Bal küpü ağı (Honeynet)
Eposta bal küpleri (Email honeypots)
"Honeybots"
İstemci bal küpleri (Client honeypots)
Kötücül yazılım bal küpleri (Malware honeypots)
Örümcek bal küpleri (Spider honeypots)
Spam bal küpleri
Veritabanı bal küpleri (Database honeypots)

Spam bal küpleri

Spam bal küpleri, spam gönderen kaynakları tespit etmeye ve engellemeye yardımcı olmak üzere tasarlanmış sahte e-posta adresleridir. Genellikle internet servis sağlayıcıları ve spam ile mücadele eden organizasyonlar tarafından kullanılırlar. Spam bal küpleri, mümkün olduğunca gerçek e-posta adreslerine benzer isimlerle veya finans kurumları veya devlet kurumları gibi yüksek değerli hedeflerle ilişkili olduklarını düşündüren isimlerle oluşturulurlar. Bu sayede spam kaynakları için daha çekici olurlar.

Bir spam göndericisi bir spam balküpüne e-posta gönderdiğinde bu e-posta, balküpünü oluşturan organizasyon tarafından yakalanır ve analiz edilir. Bu analizler sonucunda elde edilen bilgiler, spam gönderen kaynağı tanımlamak ve bu spam e-postalarının normal kullanıcılara ulaştırılmasını engellemek için kullanılırlar. Spam bal küpleri ayrıca spam kaynaklarının yöntemleri hakkında bilgi toplamak için de kullanılabilirler. Örneğin, gönderdikleri e-posta türleri ve spam filtrelerinden kaçınmak için kullandıkları teknikler gibi. Bu bilgiler spam filtreleme tekniklerini iyileştirmek ve spam ile mücadele etmek amacıyla yeni stratejiler geliştirmek için de kullanılır.^[5]^[6]

Veritabanı bal küpleri (Database honeypots)

Veritabanı bal küpleri, gerçek veritabanı sistemlerinizi hedef alan saldırganları çekmek ve tuzağa düşürmek için tasarlanmış sahte veritabanlarıdır. Veritabanı bal küpleri; müşteri bilgileri, finansal kayıtlar ve kişisel bilgiler gibi çeşitli hassas veriler içerir. Bu veritabanı bal küpleri, kasıtlı olarak SQL Enjeksiyonu saldırısı gibi saldırılara karşı zafiyet (vulnerability) içerecek şekilde oluşturulurlar.

Bir saldırgan bal küpündeki verilere erişmeye veya bunları manipüle etmeye çalıştığında tespit edilir ve bu saldırganın veritabanı üzerindeki hareketleri kaydedilir. Bu bilgiler daha sonra saldırganın taktiklerini, tekniklerini ve prosedürlerini (TTP: tactics, techniques, and procedures) anlamanın yanı sıra gerçek veritabanı sistemlerinizdeki yeni güvenlik açıklarını belirlemek amacıyla da kullanılabilir.

Veritabanı bal küplerinin bazı kullanım amaçları aşağıdaki gibidir: Saldırganları tespit etmek ve tanımlamak: Veritabanı bal küpleri, saldırganları sahte bir veritabanı üzerine çekerler. Böylece sistemlerinizi hedef alan saldırı türlerinin yöntem ve tekniklerini belirlemenize yardımcı olabilir. Bu bilgiler, organizasyonunuzun güvenlik seviyesini iyileştirmek için kullanılabilir. Yeni güvenlik açıklarını tespit etmek: Veritabanı bal küpleri, gerçek veritabanlarındaki yeni güvenlik açıklarını tespit etmenize yardımcı olabilir. Bal küpünü hedef alan saldırıları analiz ederek, saldırganların sistemlerinizi nasıl istismar ettiğine ve bu saldırıların gerçek verilerinize yapılmasını nasıl önleyebileceğinize dair ipuçları elde edebilirsiniz. Güvenlik kontrollerini doğrulamak: Veritabanı bal küpleri, güvenlik kontrollerinizin etkinliğini doğrulamak için de kullanılabilir. Veritabanı bal küpünü hedef alan saldırganların davranışlarını izleyerek, savunmalarınızın saldırıları caydırma ve önleme konusunda ne kadar etkili olduklarını görebilirsiniz.^[7]

Kaynakça

^ "What Are Honeypots?". Fortinet. 18 Aralık 2023 tarihinde kaynağından arşivlendi. Erişim tarihi: 18 Aralık 2023.
^ "Honeypots". Rapid7. 18 Aralık 2023 tarihinde kaynağından arşivlendi. Erişim tarihi: 18 Aralık 2023.
^ "What is a honeypot and how does it work?". Norton. 6 Ekim 2023. 18 Aralık 2023 tarihinde kaynağından arşivlendi. Erişim tarihi: 18 Aralık 2023.
^ "Honeypots in Cybersecurity Explained". Crowdstrike. 9 Mart 2022. 18 Aralık 2023 tarihinde kaynağından arşivlendi. Erişim tarihi: 18 Aralık 2023.
^ "How to use Email Honeypot Traps to Fight Email and WordPress Spam". MailPoet. 2 Nisan 2018. 21 Aralık 2023 tarihinde kaynağından arşivlendi. Erişim tarihi: 21 Aralık 2023.
^ "What Is a Honeypot Trap and How to Bypass It". ZenRows. 17 Kasım 2022. 21 Aralık 2023 tarihinde kaynağından arşivlendi. Erişim tarihi: 21 Aralık 2023.
^ "MSSQL makes up 93% of all activity on honeypots tracking 10 databases". SC Media. 13 Haziran 2023. 21 Aralık 2023 tarihinde kaynağından arşivlendi. Erişim tarihi: 21 Aralık 2023.

[1] "What Are Honeypots?". Fortinet. 18 Aralık 2023 tarihinde kaynağından arşivlendi. Erişim tarihi: 18 Aralık 2023.

[2] "Honeypots". Rapid7. 18 Aralık 2023 tarihinde kaynağından arşivlendi. Erişim tarihi: 18 Aralık 2023.

[3] "What is a honeypot and how does it work?". Norton. 6 Ekim 2023. 18 Aralık 2023 tarihinde kaynağından arşivlendi. Erişim tarihi: 18 Aralık 2023.

[4] "Honeypots in Cybersecurity Explained". Crowdstrike. 9 Mart 2022. 18 Aralık 2023 tarihinde kaynağından arşivlendi. Erişim tarihi: 18 Aralık 2023.

[5] "How to use Email Honeypot Traps to Fight Email and WordPress Spam". MailPoet. 2 Nisan 2018. 21 Aralık 2023 tarihinde kaynağından arşivlendi. Erişim tarihi: 21 Aralık 2023.

[6] "What Is a Honeypot Trap and How to Bypass It". ZenRows. 17 Kasım 2022. 21 Aralık 2023 tarihinde kaynağından arşivlendi. Erişim tarihi: 21 Aralık 2023.

[7] "MSSQL makes up 93% of all activity on honeypots tracking 10 databases". SC Media. 13 Haziran 2023. 21 Aralık 2023 tarihinde kaynağından arşivlendi. Erişim tarihi: 21 Aralık 2023.

[1]

[2]

[3]

[4]

[5]

[6]

[7]