DR Tehditleri

DR nedir, nasıl tespit edilir?

Drive-by download kategorisindeki kayıtlar; ziyaretçinin etkileşimi olmaksızın tarayıcı veya eklenti zafiyetlerinden faydalanarak otomatik olarak zararlı yük indiren sayfaları işaretler. Saldırı zinciri tipik olarak ele geçirilmiş yasal site → kötü amaçlı reklam (malvertising) → exploit kit → loader şeklindedir.

Tespit; tarayıcı process'inin yeni child process oluşturması, beklenmedik dosya indirme, IDS'de exploit kit landing page imzaları üzerinden sağlanır.

Savunma; tarayıcı sandbox'ları, isolation browser, plugin (Flash, Java, Silverlight) kaldırma politikası, eski tarayıcıların kurum içinden tamamen çıkarılması ve adblocker/uBlock Origin gibi kontroller ile sağlanır.

Kritiklik dağılımı

Toplam 0 DR göstergesinin operasyonel risk bandlarına dağılımı.

Önerilen Aksiyonlar

DR kategorisinde bir tehdit göstergesi tespit edildiğinde, aşağıdaki kurumsal müdahale adımları takip edilmelidir.

• 1 Bu göstergeyi mevcut güvenlik duvarı ve web proxy engelleme listelerine günlük senkronizasyonla ekleyin.
• 2 SIEM platformunda eşleştirme kuralı oluşturun; son 30 günlük log verisinde geriye dönük arama yapın.
• 3 Sınır yönlendiricilerinde bu IP/aralık için inbound ve outbound ACL kuralı tanımlayın; NetFlow telemetrisini etkinleştirin.
• 4 NDR/NTA çözümünüzde bu IP'ye yönelik bağlantı denemelerini yüksek-öncelikli alarm olarak işaretleyin.
• 5 Bu göstergeyi kurumsal tehdit istihbarat platformuna (TIP) kaynak atfı ile birlikte kaydedin; resmi kaynak: siberguvenlik.gov.tr · USOM. Orijinal kayıt: —

Filtre Matrisi