Tehdit istihbaratı hakkında bazı yanlış anlaşılmalar duymuş olabilirsiniz-Tehdit istihbaratı yalnızca veri yayınları veya PDF raporlarıdır, olay müdahale ekipleri için bir araştırma hizmeti veya yüksek fiyatlı, seçkin analistlerden oluşan özel bir ekip- Bunlar dediğim gibi tamamen yanlış anlaşılmadır. Siber tehdit istihbaratı bize şunları gösterir:
- Zengin kaynaklardan analizler ve bilgiler sunar, bunları anlamak ve kullanmak için yollar sunar.
- Her güvenlik fonksiyonunun zamandan tasarruf etmesine yardımcı olur.
- Siber güvenlik organizasyonlarında son derece önemlidir.
- Mevcut güvenlik personelleri tarafından doğru araçlarla ve desteklerle idare edilebilir.
Siber Tehdit İstihbaratı: Siber tehdit istihbaratı, bir organizasyonun güvenliğini tehdit eden mevcut ve potansiyel saldırılar hakkında bilgilerin toplanmasına, analiz edilmesine odaklı siber güvenlik alanıdır. Hacker grupları tarafından düzenlenecek operasyonların, zararlı yazılımların ve APT gruplarının düzenlediği hedef odaklı saldırıların önceden tespit edilmesi üzerine kuruludur. Siber güvenlik tehditleri, tehdit aktörleri, istismar kodları, zararlı yazılımlar, zafiyetler, saldırı göstergeleri, tehditin kapasitesi, arkaplanı/altyapısı, motivasyonu, amacı, kaynağı gibi kritik unsurlara ait verilerin toplanıp değerlendirilmesi ve bunların bir saldırıya dönüşemeden savunma mekanizmalarının harekete geçirilmesi gibi süreçleri kapsar. Tehdit İstihbaratı güvenlikle ilgili alınacak kararlarda göz önünde bulundurulması gereken önemli bir operasyonel süreçtir.
5N1K'ya cevaplar arar:
- Kim saldırıyor: Bilinen grupların saldırı/zararlı davranışlarından yola çıkarak muhtemel saldırganları belirleme
- Neden saldırıyor: Saldırının arkasındakilerin motivasyon(ları) nedir(nelerdir)?
- Ne peşindeler: Siber saldırıların öncelikleri nedir?
- Nasıl yapıyorlar: Saldırıda kullanılan yöntemler, teknik, taktik, prosedürler(TTP'ler) nelerdir? Bir saldırganın bir süre sonra yapması muhtemel saldırıda kullanacağı TTP'leri biliyorsanız bunlara yönelik önleyici önlemler alınabilir, kurallar yazılabilir ve iyileştirmeler yapılabilir. Bu sayede saldırıyı atlatabilmek veya hasarını en aza indirgemek mümkün olabiliyor.
- Nasıl savunulabilir: IP, Hash, URL, Domain, Hostname gibi bilgilerden yola çıkarak tanımlama ve aksiyon alma
- Nereden geliyorlar: Saldırganların jeopolitik konumları
Seviyelerine göre üçe ayrılır:
- Operasyonel Tehdit İstihbaratı: Teknik
tehdit istihbaratı olarak da adlandırılır.Hangi atak vektörlerinin kullanıldığı,
hangi zafiyetlerin exploit edildiği,C&C domain’lerinin saldırganlar
tarafından kullanılıp kullanılmadığı gibi teknik bilgiler içerir.
- Stratejik Tehdit İstihbaratı: Düşmanı
tanımaya yöneliktir. Zarar verme potansiyeli olanların izlenmesi sonucu
oluşturur. Saldırganların niyetlerine, motivasyonlarına, taktik ve
stratejilerine, geçmişteki eylemlerine ve olması muhtemel saldırılarına yönelik
bilgi içerir.
- Taktiksel Tehdit İstihbaratı: Taktik istihbaratı yakın geleceğe odaklanır,doğası gereği tekniktir ve uzlaşma göstergelerini(IoC:Indicators of Compromise) tanımlar. IoC’ler, zararlı IP adresleri, URL’ler, dosya hashleri ve bilinen kötü amaçlı alan adları gibi şeylerdir.Makine tarafından okunabilir, yani güvenlik ürünleri bunu feedler(veri yayınları) veya API entegrasyonu yoluyla alabilir.
NEDEN ÖNEMLİDİR?
Günümüzde siber güvenlik endüstrisi birçok zorlukla karşı karşıya kalmaktadır.- Giderek daha ısrarcı ve aldatıcı olan tehdit aktörleri, güvenlik sistemleri arasındaki günlük yabancı bilgilerle ve yanlış alarmlarla dolu veri akışı ve yetenekli profesyonellerin ciddi anlamdaki eksikliği- 2019 yılında siber güvenlik ürünleri ve hizmetlerine "124 milyar $ " harcanmış olsa da maalesef bu zorlukları çözmeye yeterli olmayacaktır. Bu rakamın 2022'de 170.4 milyar $'a ulaşması beklenmektedir.
- Güvenlik kuruluşlarının 3/4'ü beceri eksikliği sorunları yaşıyor.
- Güvenlik alarmlarının %44'ü araştırılmıyor.
- Şirketlerin %66'sı en az bir defa veri ihlaline maruz kalmıştır.
Dijital teknolojiler artık her sektörün merkezinde yer alıyor. Otomasyon ve daha da artan dijital sistemler dünyayı değiştiriyor fakat bunlar siber ataklara karşı artan zafiyetleri de beraberinde getirebiliyor. Tehdit istihbaratı bu dijital sistemlere yönelik siber atakları azaltmaya ve önlemeye yardımcı olur. Tehdit istihbaratı size kimin saldırdığı, saldırganların motivasyonları ve yetenekleri ve sistemlerinizde bakacağınız uzlaşma göstergeleri(Indicators of compromise: IoC) hakkında bilgiler verir. Güvenliğiniz hakkında bilinçli kararlar vermenize yardımcı olur.
FAYDALARI NELERDİR?
Siber saldırılara karşı savunmada yaşanılan
doğrulanmamış bulguların oluşturduğu alarmlar(false positive), incelenmesi
gereken çok fazla alarmın oluşması, zararın ve olası ek ihlallerin tespit
edilmesi, gerekli yamaların önceliklendirilmesi ve bunlara bağlı olarak
yapılması gereken kaynak ve bütçe yapılandırmalarının belirsizliğini ortadan
kaldırmak amacıyla siber tehdit istihbaratı gereklilik arz etmektedir.
Olası tehditler
hakkında farkındalık kazandırılması amacı taşımaktadır. Kurum içi istenmeyen
olaylara gerçekleşmeden önce müdahale edilmesi için gerekli bir alandır. Bu
şekilde güvenlik çözümleri en üst seviyeye çıkarılmış ve gerekli önlemler
alınmış olur.
Siber tehdit
istihbaratının faydaları arasında; veri kaybını önleme, veri ihlallerini tespit
etme, olay yanıtı, tehdit analizi, veri analizi, tehdit istihbarat paylaşımı
sayılabilir.
- Veri Kaybını Önleme: Bir siber tehdit istihbarat sistemi, kötü niyetli IP’ler ve domainler ile iletişim girişimlerini izleyebilir, çalışanlara yapılabilecek olası phishing saldırılarını algılayabilir. Bu verilerin toplanıp analiz edilmesi olası aynı durumlar için önlem niteliği oluşturabilmektedir.
- Veri İhlallerini Tespit Etme: Gerçekleşmiş veya gerçekleşmekte olan bir veri ihlali ne kadar erken tespit edilirse, kurum üzerindeki zararlı etkisi de o kadar az olur. Bu noktada veri ihlalleri ve sızıntıları tespiti hem maddi açıdan yaşanacak kayıplara, hep kurumun saygınlık kaybetmesine bir önlem niteliği taşımaktadır.
- Olay Yanıtı: Yukarıda bahsettiğimiz ver kaybı veya sızıntısının hangi cihazlar üzerinde gerçekleştiği/ gerçekleşmekte olduğu bilgisi tehlikeye giren sistemleri belirlemeye yardımcı olur. Böylelikle aynı ihlallerin gerçekleşmemesi adına alınacak önlemler daha bilinçli yapılandırılabilir.
- Tehdit Analizi: Tehdit analizi, gerekli savunma mekanizmaları ve alınabilecek önlemler hakkında fikir verir. Bu analiz, daha önce yapılmış saldırılar veya gerçekleşmeden önce tespit edilmiş saldırılar üzerinden gerçekleşmektedir. Amaç saldırganların teknik, taktik ve prosedürlerini anlamak, tehdit oluşturabilecek noktalara doğru çözüm önerilerini getirmektir.
- Veri Analizi: Toplanan verilerin analiz edilmesi saldırganların oluşturdukları/oluşturabilecekleri tehditlere karşı ek bilgiler elde edilmesine yardımcı olur.
- Tehdit İstihbaratı Paylaşımı: Bir saldırgan bir organizasyona saldırdığında; ve kurum bunu tespit edip aksiyon aldığında siber tehdit istihbaratı platformları aracılığıyla bu saldırıya ait teknik, taktik ve prosedürleri(TTP'leri) paylaşarak diğer organizasyonların aynı yöntemle gelebilecek saldırıya gerekli önlemleri almasına yardımcı olmak amaçlanmaktadır. Gerçekleşmekte olan tehditlerle bireysel olarak savaşmak neredeyse imkânsız olduğu için topluluklar arası bilgi paylaşımı hayati önem taşımaktadır.
Ayrıca saldırıları daha hızlı ilişkilendirerek otomatik olarak önleyebilmek için SIEM' lere aktarılmasını, belirtileri önceliklendirerek de SOC ekiplerinin alarmları hızlı bir şekilde tespit etmelerini sağlar.
%20-%20Copy.png)
.png)
0 Yorumlar