SİBER TEHDİT İSTİHBARATI NASIL TOPLANIR?



Kurum ve kuruluşlar büyük veri tabanlarından ve loglarından binlerce siber tehdit istihbaratı verisine erişebilmektedir. IT grupları bu verilerden tam olarak faydalanamamaktadır. Ulus devletler, örgütlü siber suçlular ve siber casusluk aktörleri gibi gelişmiş tehdit aktörleri bugün organizasyonlar için en büyük bilgi güvenliği tehdidini temsil etmektedir. Birçok organizasyon bu tehlikeleri, gizliliklerine, kaynakların gelişmişliğine ve çabalarına rağmen algılama mücadelesi vermektedir. Organizasyonlar için organize ve devam eden tehdit aktörleri yalnızca geride bıraktıkları dijital izlerle görülmektedir. Bu nedenlerden dolayı işletmelerin ağ sınırlarının ötesinde, özellikle kuruluşlarını ve altyapılarını hedef alan gelişmiş tehditlere karşı görünürlüğe ihtiyaçları vardır. Burada tehdit istihbaratının önemi bir kez daha ortaya çıkmaktadır.

 

Tehdit Göstergeleri

Tehdit Veri Beslemeleri

Stratejik Siber Tehdit İstihbaratı

İçerik

Dosya hashleri ve reputasyon verisi

İstatistikler, trendler, anket verileri ve malware analizleri

Düşmanların motivasyonları, niyetleri, teknik, taktik ve prosedürleri hakkında bilgiler

Anahtar kullanım

Engelleme teknolojilerinin etkinliğini arttırmak ve uyarılar oluşturmak

SOC ve Incident Response takımlarının saldırılarla ilişkili patternları belirlemesine yardımcı olmak

Olay müdahale ve adli bilişim ekiplerinin saldırıları analiz etmesine, ihlalleri araştırmasına ve düzeltmesine yardımcı olmak; yöneticilerin savunmaları iyileştirmesine ve stratejik olarak yatırım yapmasına yardımcı olmak.

Birincil kaynaklar

Honeypotlar ve ağlardaki tarayıcılar

Göstergelerin istatistiksel analizleri, anketler ve sandbox ürünleri

Hacker web forumları, yer altı marketleri, kişisel bağlantılar


  Tehdit bilgisinin kategorileri




SEVİYE 1

Tehdit Aktörleri:
Bir IoC(Indicator of Compromise: uzlaşma göstergeleri) ya da tehdit aktörü tehlikeye atılmış sistemleri araştırmak ve tanımlamak için kullanılabilen bilgi parçalarıdır. Güvenlik uzmanlarının ağın tehlikeye girdiğini tespit etmesine ve tehlikenin ne olduğu, kim olduğu ve saldırının ne zaman gerçekleştiği hakkında ayrıntılı bilgi almalarına izin verir. En yaygın çeşitleri dosya hashleri, domainlerdeki reputasyon verisi ve saldırılarla ilişkili IP adresleridir.

Dosya Hashleri ve Reputasyon Değerleri:
Bir zararlı yazılımda dosya özeti(hash), herhangi bir virüs, Truva atı, rootkit, keylogger ya da diğer türlere ait eşsiz bir tanımlayıcıdır. Zararlı olduğu tespit edilen bir dosya çoğunlukla md5 ve sha1 algoritmaları kullanılarak bu dosyaların özetleri oluşturulur. Bu özetler zararlı yazılımların parmak izlerini oluşturmaktadır.

Domainler, IP adresleri ve URL reputasyonları, internetteki web sayfalarının ve bilgisayarların risk derecelendirmeleridir. Yüksek risk puanları aşağıdakilerle ilişkili web sitelerine ve sistemlere atanır:

  • Zararlı yazılımlar
  • Spam
  • Phishing( Oltalama) adresleri ve diğer dolandırıcılık sayfaları
  • P2P networking ve anonim proxy araçları
  • Botnet komuta kontrol sunucuları
  • Veri hırsızlık sunucuları
  • Takip edilemeyen IP adresleri( Darknet)

Reputasyon skorları bilgisayarlara ve tamamen kötü niyetli bir aktörün elinde olmasa bile güvenliği ihlal edilmiş web sitelerine atanabilir.

Teknik Kaynaklar: Honeypotlar ve Tarayıcılar

Zararlı Yazılım Bulma: Kötü amaçlı yazılım imzaları oluşturmak için, siber güvenlik araştırmacıları önce vahşi ortamda dolaşan zararlı yazılımların bulaştırdığı virüsleri bulmaya çalışırlar. Bunu honeypot ağları, web sunucularının, e-posta sunucularının ve diğer sistemlerin faaliyetlerini taklit eden bilgisayarlar ve webde gezinen bilgisayar kullanıcıları oluşturarak gerçekleştirirler. Bu sensörler, normal işlemler sırasında kurumsal sistemler ve kullanıcılar tarafından karşılaşılan mesajlar ve e-postalar toplamaktadır.

Zararlı yazılım araştırmacıları daha önce görülmemiş olan zararlıları alıp statik analizlere(program komutlarını ve kötü amaçlı yazılım ile ilişkili metin dizelerini ortaya çıkarmak için inceleyerek) ve dinamik veya davranış analizine(kodun kötü niyetli işlemleri gerçekleştirmesine ve gözlemlemesine izin verir)tabi tutulurlar. Her iki analiz türü de bir zararlı yazılım içerdiğini gösteriyorsa, araştırmacılar bir imza oluştururlar.

Domain ve IP Adresleri Reputasyonlarını Belirlemek: Araştırmacılar web sayfalarından ve honeypotlar tarafından toplanan e- maillerden URL’leri çıkarır. Kaynak domainler ve web siteleri bir tehdit aktörünün kontrolü altında göründüyse veya kötü amaçlı yazılımlar tarafından tehlikeye atılmışsa, bunları görmek için araştırırlar.

Honeypotlar tarafından bulunan e-postaları spam, kimlik avı saldırıları veya diğer dolandırıcılık göstergeleri içerip içermediğini analiz ederler. Bunlara dair ipuçları e-posta başlığındaki düzensizlikler, belirli anahtar kelimeler ve ifadeler ve bilinen spam ve phishing bağlantılarıdır.

Araştırmacılar; IP adresleri, URL’ler ve domainlerin reputasyon ve risk skorlarını tayin etmek için analiz sonuçlarını kullanırlar.

Endüstriyel Kaynaklar: Zararlı Yazılım ve Reputasyon Feedleri

Çok az sayıda işletmenin kendi tehdit araştırma grubu vardır. Bunun yerine çeşitli kaynaklardan zararlı yazılım imzaları ve domain reputasyonları elde ederler:

  • Antivirüs satıcıları ve domain reputasyon servisleri dahil olmak üzere siber güvenlik satıcıları
  • Siber tehdit istihbaratı firmaları
  • Bağımsız siber güvenlik laboratuarları ve araştırmacıları
  • Açık kaynak siber güvenlik projeleri, zararlı yazılımlar ve gerçek zamanlı kara liste sağlayıcıları
  • Tehdit bilgisi paylaşan hükümet ve endüstri grupları

Bazı siber güvenlik tedarikçileri ve siber tehdit istihbaratı firmaları birden çok kaynaktan gelen katkıları birleştirir.

SEVİYE 2

Tehdit Veri Yayınları(Feeds): Tehdit veri yayınları, tehdit göstergelerini analiz eder ve birbirleriyle ilişkili bilgiler sağlar. Güvenlik ekiplerinin saldırılarla alakalı modeller belirlemesine yardımcı olur. Olay müdahale ekiplerinin zararlı yazılım dosyalarının davranışlarını anlaması için yardımcı olur.

Siber Tehdit İstatistikleri, Raporları ve Anketler: İstatistikler, raporlar ve anketler güvenlik ekiplerine en yaygın saldırılar ve ortaya çıkan tehditler konusunda uyarır.

İstatistikler: Endüstri kuruluşları ve siber güvenlik satıcıları; malware, spam, botnet ve siber atakların diğer ögeleriyle ilgili istatistikler sunar.

Raporlar ve Anketler: Bazı satıcılar ve danışmanlık firmaları, siber tehditlerin ve siber güvenliğin çeşitli yönleri hakkında ayrıntılı raporlar yayınlar. Bu raporlar tipik olarak şunları içerir:

  • Farklı saldırı türleri hakkında istatistikler
  • Anket sonuçları
  • Uzmanlardan analizler

Anket verileri faydalı olabilir çünkü BT kuruluşlarının deneyimleri, başarıları, başarısızlıkları hakkında bilgiler verir.

Zararlı Yazılım Analizi: Zararlı yazılım analizi, örneklerinin davranışına ve bunların arkasındaki saldırganların niyetlerine ait değerli bilgiler sağlar. En ayrıntılı otomatik zararlı yazılım analizi, dinamik analiz veya sanal alan oluşturma(sandboxing) teknolojisi ile sağlanmaktadır. Sandboxing ile, şüpheli bir dosyanın, kurumsal ağdan izole edilmiş bir sanal yürütme ortamında çalıştırılmasına izin verilir. Korumalı alan, dosyanın aldığı ve aşağıdakiler gibi kötü amaçlı faaliyetler de dahil olmak üzere tüm eylemleri gözlemler ve belgelemektedir:

  • Kayıt defterine alışılmadık girişler yapma
  • Sistemdeki virüsten koruma yazılımını devre dışı bırakma
  • Ağda “admin” veya “password” adlarını içeren kişilerin aranması
  • Web’de sunucuları kumanda etmek ve kontrol etmek için göstergeler
  • Çalınan verileri yerleştirmek ve sızdırmak için kullanılan sunuculara bağlanma

SEVİYE 3

Stratejik Siber Tehdit İstihbaratı: Stratejik siber tehdit istihbaratı, kurum ve kuruluşları hedefleyen spesifik düşmanlar ve yakın gelecekte getireceği tehlike hakkında bilgi vermektedir.

Deep Web/Dark Web’i Gözlemlemek: Siber suçlular, siber casusluk ajanları ve daha önce belirlediğimiz gruplar katılımcıların da katıldığı yer altı bir evreni geliştirdiler.

  • Siber suç, siber casusluk ve hedefleri, taktikleri, araçları ve diğer yönleri hakkında fikir alışverinde bulunmak
  • Zararlı yazılımlar, özel saldırılar oluşturma, phishing(oltalama) kampanyaları oluşturmak, DDoS saldırıları oluşturma ve kullanma konusunda uzmanlık paylaşmak
  • İdeolojik ve politik ilham kaynağı ve kampanyaları planlamak ve koordine etmek
  • Exploit kitleri, silahlı saldırılar,şaşırtmalar,zararlı yazılım koruma teknikleri ve araçları satmak/almak
  • Sahte web sitesi tasarımı, şifre kırma gibi altyapı ve karmaşık faaliyetler;kiralık hacker,kiralık botnet,hizmet olarak DDoS,hizmet olarak fidye yazılımları ve dış kaynak kullanımına kadar çeşitli tehdit aktörlerine hizmet vermek
  • Kredi kartı ve Sosyal Güvenlik numaraları, kişisel bilgiler ve giriş kimlik bilgilerini içeren dijital verileri satmak/almak

Deep web içinde çevrimiçi forumlar, e-posta sağlayıcıları, anında mesajlaşma platformları, sosyal medya ve hatta tam özellikli çevrimiçi mağazalar bulunmaktadır. Bu mekanların çoğu halka açık olsa da, en önemlileri yalnızca davetiye ile üyelik kabul etmektedir ve yabancılar için uyum sağlamak oldukça zordur.

Bu siteleri ziyaret etmek istiyorsanız yabancı dil becerilerinizi geliştirmelisiniz. RAND şirketine göre deep web/dark web siteleri Rusça, Almanca, Ukraynaca, Vietnamca gibi İngilizceden farklı dillerde de iş yapar. Ayrıca sofistike gruplar iyi bir operasyonel güvenlik antrenmanları yapar, bu yüzden buralara erişim sağlamak büyük bir çaba gerektirir.

Motivasyon ve Niyetler: Araştırmacılar, motivasyon ve niyetle başlayan bu çevrimiçi yer altı dünyasında çok çeşitli bilgi toplayabilir. Motivasyon ve niyetler, hangi düşmanların endüstrinize, kuruluşunuza ve varlıklarınızdan hangilerinin en çok hedef olma olasılığı bulunduğuna dair kanıt sağlamaktadır.

Siber suçların nedenleri genellikle açıktır: Kazanç sağlamak. Ancak niyetleri değişebilir. Bazıları belirli bir mali veya kişisel veriyi hedeflemektedir; diğerleri belirli bir endüstriye odaklanır.

Rakipler ve siber casusluk ajanları, daha fazla motivasyon ve niyet sergilemektedir. Bunlar ürün tasarımlarını, fikri mülkiyet haklarını ve iş planlarını çalmak, tekliflerin detaylarını ortaya çıkarmak ve politik ve savunma ile ilgili istihbarat elde etmektir.

Deep Web/Dark Web forumlarını izlemek tehdit aktörlerinin planları hakkında bilgi verir. Bazı bilgisayar korsanları tanıtım amaçlı olarak yaklaşan eylemlerini çevrimiçi olarak duyururlar.

Teknik, Taktik ve Prosedürler(TTPs): Düşmanların taktik, teknikler ve prosedürleri (TTP’ler) hakkında önceden bilgi sahibi olmak son derece değerlidir. Bu, yalnızca işletmelerin saldırıları tespit etmek için ne aramaları gerektiğini öğrenmelerine yardımcı olmakla kalmaz, güvenlik teknolojilerini nerede güçlendireceği konusunda bilgi vermektedir. Araştırmacılar, çoğu zaman, web üzerindeki faaliyetlerini izleyerek, düşmanların TTPleri hakkında çok şey bildirebilirler. Değerli kanıtlar şunları içerir:

  • Forumlarda ve sosyal medya sitelerinde plan ve taktik tartışmaları
  • Geliştirilen yeni exploitler ve araçlarla ilgili bilgi alışverişi
  • Araç ve hizmetlerin satın alınması
  • Satışa sunulan kötü amaçlı yazılımların ve araçların davranışları
  • Kredi kartı numaraları, kişisel bilgiler ve diğer dijital varlıkların satışı, sızdırılmış veriler ve detaylar

Kaynak: https://cyber-edge.com/wp-content/uploads/2016/08/Definitive-Guide-to-CTI.pdf

Yorum Gönder

2 Yorumlar