İç Ağda (LAN) Port Taraması Yapan IP'yi Bulma ve İzole Etme

İç Ağdaki Casusu Yakalayın: Port Scanning

Bir siber saldırgan ağınıza tek bir kullanıcı bilgisayarı üzerinden girer. Oradan diğer bilgisayarlara ve sunuculara yayılmak için (Lateral Movement) önce ağda ne olduğunu keşfetmek zorundadır. Bu işi yapan araçlara (nmap vb.) port tarayıcı denir.

Nasıl Yakalanır?

Bir bilgisayarın saniyeler içinde onlarca farklı IP'ye ve porta (80, 443, 3389 vb.) bağlanmaya çalışması doğal bir hareket değildir. Switch veya Firewall loglarında peş peşe gelen 'Dropped' veya 'Denied' kayıtları bunun kanıtıdır.

ACKLOG Korelasyonu: ACKLOG, "Aynı IP'den 1 dakika içinde 100 farklı porta bağlantı girişimi" kuralını otomatik olarak çalıştırır. Saldırganın adımlarını daha ilk keşif aşamasında yakalayarak sistemlerinizi karantinaya alır. Tüm bu manuel kontroller yerine bir SIEM çözümü kullanarak, bu tür olaylar gerçekleştiği anda cep telefonunuza bildirim alabilir ve yasal olarak imzalanmış kanıtlar biriktirebilirsiniz.