Siber Tehdit İstihbaratı Nedir?

Siber Tehdit İstihbaratı Nedir?

Günümüz siber güvenlik şirketleri, giderek daha kalıcı  ve karmaşık tehdit aktörleri, bağlı olmayan çoklu güvenlik sistemleri arasında akan gereksiz bilgi seli ve yanlış alarmlar ve ciddi bir yetenekli profesyonel eksikliği gibi sayısız zorluklarla karşı karşıya. Modern siber saldırganlar sofistike, iyi finanse edilmiş, iyi organize olmuş ve yalnızca teknolojiye yönelik güvenlik stratejilerini açık bırakan yüksek hedefli teknikler kullanmaktadır. Saldırganları tanımlamak ve durdurmak için organizasyonlar, onların nasıl düşündüklerini, nasıl çalıştıklarını ve ne istediklerini anlamalıdır. Tam da bu nokta da Siber Tehdit İstihbaratı ortaya çıkmaktadır.

Siber Tehdit İstihbaratına giriş yapmadan önce “istihbarat, bilgi, enformasyon ve veri” gibi terimleri anlamamız gerekmektedir.

İstihbarat, Veri, Enformasyon ve Bilgi

İstihbarat, birleştirilmiş, değerlendirilmiş, çözümlenmiş, yorumlanmış ve ayıklanmış bilgi demektir. Sözlük anlamı olarak “yeni öğrenilen haber, bilgi” anlamına gelen istihbarat, kavram olarak bilginin toplanması, analiz edilmesi, raporlanması ve ilgili karar vericilere iletilmesi sürecidir.

Veri: Anlamlı hale getirilmek için işlenmesi, insan ve ya makine tarafından yorumlanması gereken ses, metin ve görüntü türündeki varlıkların organize edilmemiş anlamsız halidir.

Enformasyon:  Belirli bir konuya ilişkin olarak derlenmiş bilgiye verilen isimdir. Kayıt, depolama, sorgulama, düzenleme ve özetleme işlemlerinden geçirilerek biçimlendirilmiş ve anlamlandırılmış veriler olarak bir diğer tanımı yapılabilir.

Bilgi : Verilen gereksinime göre anlamlı bir şekilde işlenen veri kümesidir. Bilgiler, anlamlı ve yararlı olması için belirli bir bağlamda işlenir, yapılandırılır veya sunulur. Belirlenen amaca, istenen gereksinime göre kullanılan düzenlenmiş enforme edilmiş veriler bilgidir.

Siber Tehdit İstihbaratı

Siber tehdit istihbaratı, bir kurumun veya varlığın güvenliğini tehdit eden mevcut ve potansiyel saldırılar hakkındaki bilgilerin toplanmasına, analiz edilmesine odaklanan siber güvenlik alanıdır. Siber tehdit istihbaratının yararı, veri sızıntılarını önleme ve özellikle finansal maliyetlerden tasarruf sağlamasıdır. Amacı kurum/kuruluşlara kendilerine karşı oluşan tehditleri göstermek, anlamlandırılmasına yardım etmek ve korumaktır.

Siber tehdit istihbaratı, siber tehdit bilgilerinin toplandıktan, kaynağı ve güvenilirliği bağlamında değerlendirilmesinden ve önemli uzmanlığa ve tüm kaynak bilgilerine erişime sahip kişiler tarafından sıkı ve yapılandırılmış tradecraft teknikleriyle analiz edilmesinden sonra gelir. Tüm istihbarat gibi, siber tehdit istihbaratı da siber tehdit bilgisine değer katar, bu da tüketici için belirsizliği azaltırken, tüketiciye tehditleri ve fırsatları belirlemeye yardımcı olur. Doğru, zamanlı ve ilgili istihbarat üretmek, analistlerin çok miktarda bilgi arasındaki benzerlikleri ve farklılıkları tanımlamasını ve aldatmacaları tespit etmesini gerektirir.

Siber Tehdit İstihbaratının Sınıflandırılması

İstihbaratı kaynaklarına göre sınıflandıracak olursak;

  • Açık kaynak istihbaratı ( OSINT ) – Ayrıntılı bilgi için tıklayın.
  • İnsan istihbaratı ( HUMINT )
  • Sinyal istihbaratı ( SIGINT )
  • Coğrafik istihbarat ( GEOINT )
  • Ölçüm ve imza istihbaratı ( MASINT )

Siber Tehdit İstihbaratını seviyelerine göre sınıflandıracak olursak eğer 4 başlık altında sınıflandırılabilir.

  • Stratejik siber tehdit istihbarat
  • Operasyonel siber tehdit istihbarat
  • Taktiksel siber tehdit istihbarat
  • Teknik siber tehdit istihbaratı

Stratejik Siber Tehdit İstihbaratı

Stratejik siber tehdit istihbaratı, genellikle teknik olmayan bir kitleye ayrılmış daha geniş bir terimdir. Bir siber saldırının olası sonuçlarının genel bir resmini oluşturmak için eğilimlerin ve ortaya çıkan risklerin ayrıntılı analizlerini kullanır. Basitçe söylemek gerekirse şu soruyu sorar: “Teknik durum göz önüne alındığında, olabilecek en kötü şey nedir?” Bu bilgiler genellikle bir kurum içindeki yönetim kurulu üyeleri gibi üst düzey karar vericilere sunulur, bu nedenle daha geniş etkilere odaklanır. Bazı örnekler, teknik incelemeleri, politika belgelerini ve sektör içinde dağıtılan yayınları içerir.

Taktiksel Tehdit İstihbaratı

Taktiksel tehdit istihbaratı, TTP olarak da bilinen tehdit aktörü taktikleri, teknikleri ve prosedürleri hakkında daha spesifik ayrıntılar sunar. Ağırlıklı olarak teknik bir kitleye yöneliktir ve saldırganların hedeflerine ulaşmak için kullandıkları en son yöntemlere dayanarak ağlarının nasıl saldırıya uğradığını anlamalarına yardımcı olur. Taktik siber tehdit istihbaratı genellikle ağı korumakla doğrudan ilgilenen bir kuruluştaki insanlar için ayrılmıştır.

Teknik Tehdit İstihbaratı

Teknik tehdit istihbaratı, kimlik avı e-postalarına veya sahte URL’lere yönelik konu satırları gibi bir siber güvenlik tehdidinin göstergesi olan teknik ipuçlarına odaklanır. Bu tür tehdit istihbaratı önemlidir, çünkü insanlara ne arayacakları hakkında bir fikir verir ve sosyal mühendislik saldırılarını analiz etmek için yararlı kılar. Ancak, bilgisayar korsanları taktiklerini sık sık değiştirdiklerinden, teknik tehdit istihbaratının raf ömrü kısadır.

Operasyonel Tehdit İstihbaratı

Operasyonel tehdit istihbaratı, BT savunucularının sorumlu grubun doğası, amacı, zamanlaması ve karmaşıklığı gibi ilgili faktörleri detaylandırarak belirli siber saldırıların doğasını anlamalarına yardımcı olur. Operasyonel tehdit istihbaratı, hacker sohbet odalarına sızmak gibi gizli ajanlara girdiğiniz yerdir. Daha az deneyimli tehdit grupları şeytani eylemlerini çevrimiçi olarak tartışabilir, ancak iyi olanlar muhtemelen olmayacaktır, bu yüzden operasyonel zeka uzun oyunu oynamak anlamına gelebilir. Yine de, kapsamlı bir tehdit değerlendirmesi için siber tehdit istihbaratının tüm yönleri gereklidir.

Tehdit İstihbaratı Yaşam Döngüsü

İstihbarat sürekli devam eden bir faaliyettir. Bu nedenle bazı işlemler sürekli olarak tekrar etmektedir. Akıp gitmekte olan bu bilgi selinin işlenmesinde işlerin zorlaşmaması ve oluşacak karışıklığın önüne geçilmesi için işlemlerin belirli bir form içerisinde yapılması gerekmektedir. Bu nedenle Siber İstihbarat Yaşam Döngüsü oluşturulmuştur. Verilen şekilde bu yaşam döngüsünün adımları gösterilmiştir.

Yönlendirme

Yönlendirme, tehdit istihbaratı programı için hedeflerin belirlendiği zamandır. Koruması gereken bilgi varlıkları ve iş süreçlerinin hesaplanması, bu varlıkları kaybetmenin ve ya bu süreçlerin kesintiye uğraması sonucunda oluşabilecek potansiyel etkilerin belirlenmesi, güvenlik kuruluşunun varlıkları korumak ve olası tehditlere yanıt vermek için ihtiyaç duyduğu istihbarat türlerinin belirlenmesi ve neyin korunacağı gibi önceliklerin planlandığı aşamadır.

Toplama

Toplama, tehdit istihbaratı programının ikinci aşamasıdır. Bu aşamada dahili ağlardan ve güvenlik cihazlarından metaveriler ve logların çekilmesi, haberler ve blogların taranması, web site ve forumlarda kazıma işlemi yapılması, darkWeb forumları gibi kapalı kaynaklara sızılması gibi işlemler yapılır. Teknik veya teknik olmayan yöntemler kullanılarak, gereksinimleri karşılamak için belirlenen hedeflere yönelik araştırma yapılır.

İşleme

İşleme, toplanan bilgilerin kuruluş tarafından kullanılabilir bir biçime dönüştürülmesidir. Toplanan neredeyse tüm ham verilerin, ister insanlar ister makineler tarafından olsun, bir şekilde işlenmesi gerekir. Farklı toplama yöntemleri genellikle farklı işleme yöntemleri gerektirir. İnsan raporlarının ilişkilendirilmesi ve sıralanması, tartışılması ve kontrol edilmesi gerekebilir.

Örnek olarak, bir güvenlik sağlayıcısının raporundan IP adresleri çıkarılabilir ve güvenlik bilgileri ve etkinlik yönetimi (SIEM) ürününe aktarılmak üzere bir CSV dosyasına eklenebilir. Daha teknik bir alanda işleme, e-postadan göstergelerin çıkarılmasını, diğer bilgilerle zenginleştirilmesini ve daha sonra otomatikleştirilmiş endpoint koruma araçlarıyla iletişim kurulmasını içerebilir.

Analiz ve Üretim

Analiz ve üretim, işlenmiş bilgiyi kararları bilgilendirebilen istihbarata dönüştüren insani bir süreçtir. Koşullara bağlı olarak, kararlar potansiyel bir tehdidin araştırılıp araştırılmayacağını, bir saldırıyı hemen engellemek için hangi önlemlerin alınacağını, güvenlik kontrollerinin nasıl güçlendirileceğini veya ek güvenlik kaynaklarına ne kadar yatırım yapılmasının haklı olduğunu içerebilir.

Bilgilerin sunulduğu form özellikle önemlidir. Bilgi toplamak ve işlemek, ardından karar verecek olan kimsenin anlayamayacağı ve kullanamayacağı bir biçimde teslim etmek yararsız ve zahmetlidir. Örneğin teknik olmayan bir liderlerle iletişim kurmak istendiğinde oluşturulacak rapor kısa ve öz olmalı, kafa karıştırıcı, aşırı teknik terim ve jargonlardan kaçınılmalı, konuları ticari terimlerle ifade etmeli ve son olarak bir aksiyon şekli tavsiye edilmelidir.

Yaygınlaştırma

Yaygınlaştırma, bitmiş istihbarat verisinin/raporunun gitmesi gereken yerlere ulaştırılması aşamasıdır. Oluşturulan bu raporlar öncelikli olarak müşterilere veya yöneticilere teslim edilir.

Geri Bildirim

Geri bildirim, tehdit istihbaratı yaşam döngüsü sürekli devam etmesi gereken bir döngüdür. Bir döngü bitip diğer bir döngü başladığı zaman geri bildirimlerin göz önünde bulundurulması bir sonraki aşamaları hızlandırabilme özelliği taşımaktadır. Bu aşama bir sonraki döngü için temel bilgileri belirleyecektir. Önceki süreçlerin başarısına dayanarak, daha doğru, ilgili ve zamanında değerlendirmeler üretmek amacı taşımaktadır.

Siber Tehdit İstihbaratı Neden Gereklidir?

Olay Müdahalesi

Siber olayların oranı son yirmi yılda sürekli olarak artış göstermekte ve günlük gelen uyarıların büyük bir kısmı false positivelerden oluşmakta. Gerçek olaylarla uğraşırken analistler, sorunu  değerlendirmek için verileri manuel olarak titizlikle sıralayarak zaman harcamalıdır. Bu noktada tehdit istihbaratı,

false positiveleri otomatik olarak tanımlayarak reddetme,

uyarıları, gerçek zamanlı içeriklerle zenginleştirme,

iç ve dış kaynaklardan gelen bilgileri karşılaştırma gibi yollarla baskıyı azaltmaktadır. Tespit edilen uyarıların hangi cihazlar üzerinde gerçekleştiği bilgisi ile de tehlikede olan sistemlerin belirlenmesinde rol oynayarak daha bilinçli bir şekilde yapılandırılmış önlemler alınmasında yardımcı olur.

Güvenlik Operasyonları

Güvenlik operasyon merkezi (SOC) ekiplerinin çoğu, izledikleri ağlar tarafından üretilen büyük hacimli uyarılarla ilgilenmelidir. “Uyarı yorgunluğu” analistlerin uyarıları olması gerekenden daha az ciddiye almasına yol açmaktadır. Tehdit istihbaratı bu sorunların çoğunu çözer – tehditler hakkında daha hızlı ve doğru bilgi toplamaya, yanlış alarmları filtrelemeye, triyajı hızlandırmaya ve olay analizini basitleştirmeye yardımcı olur. Bununla birlikte kötü amaçlı olmaktan ziyade zararsız olma olasılığı yüksek olan işlemlerin, kurum ile ilgili olmayan saldırıların ve savunma ve kontrollerinin halihazırla mevcut olduğu saldırıların getirdiği uyarıları takip etme gereksinimini ortadan kaldırarak zaman kaybını önlemektedir.

Zafiyet Yönetimi

Güvenlik açıkları ve tehditlerin sayısı her yıl artmasına rağmen, araştırmalar çoğu tehdidin aynı güvenlik açıklarının küçük bir kısmını hedeflediğini göstermektedir. Tehdit istihbaratı, dahili güvenlik açığı tarama verilerini, harici verileri ve tehdit aktörlerinin TTP’leri hakkında ek bağlamı birleştirerek CVE puanlamasının ötesine geçerek gerçek bir risk oluşturan güvenlik açıklarının belirlenmesine yardımcı olmaktadır.

Risk Analizi

Risk analizi kısmı, oluşabilecek tehdit faktörlerinin ve olası zararın hesaplanmasının senaryolaştırılmasıdır. Burada hangi tehdit aktörlerinin söz konusu kuruluşu hedefleyebileceği, spesifik olarak düşünülen bir saldırının son zamanlarda benzer kuruluşların hedefi olup olmadığı, saldırının hangi güvenlik açıklarından faydalandığı ve bu açığın kuruluşta bulunup bulunmadığı ve son olarak saldırı halinde ne tür teknik ve finansal zararların ortaya çıkabileceği gibi sorular ile analiz gerçekleştirilir. Tehdit istihbaratı ise, risk modellerinin tanımlanmış risk ölçümleri yapmasına ve varsayımları, değişkenleri ve sonuçları hakkında daha şeffaf olmalarına yardımcı olan bağlam sağlar.

Sahtekarlık Önleme

Yalnızca bilinen tehditlerin tespit edilmesi ve bunlara yanıt verilmesi yeterli olmamaktadır. Ayrıca verilerin ve markanın başka kişiler tarafından  başka amaçlarla kullanımının önlenmesi gerekmektedir. Yeraltı suç topluluklarından toplanan tehdit istihbaratı, özellikle bu istihbarat teknik beslemeler ve göstergeler de dahil olmak üzere yüzey ağındaki bilgilerle ilişkilendirildiğinde tehdit aktörlerinin motivasyonlarına, yöntemlerine ve taktiklerine ilişkin bilgi edinilmesine olanak sağlar. Bu sayede tehdit istihbaratı ile, ödeme sahtekarlığı, yeraltı pazarlarında sızmış kişisel yada kurumsal verilerin satılması, siber suçlular tarafından marka taklidi ile dolandırıcılık yapılması gibi durumlarda gerçek zamanlı olarak uyarılar alınması mümkündür.

Güvenlik Liderliği

CISO’lar ve diğer güvenlik liderleri, mevcut kaynakları sınırlı organizasyonlardan sürekli gelişen tehditlerden korumakla dengeleyerek riski yönetmelidir. Tehdit istihbaratı, tehdit ortamının haritasını çıkarmaya, riski hesaplamaya yardımcı olabilir ve güvenlik personeline daha iyi ve daha hızlı kararlar vermeleri için istihbarat ve içerik sağlayabilir. Tehdit istihbaratı, etki yaratacak yeni tehditler ve bilinen ve bilinmeyen dahil olmak üzere ticari ve teknik risklerin değerlendirilmesi, riskleri azaltmak için uygulanabilecek doğru stratejilerin ve teknolojilerin belirlenmesi, savunma önlemleri için gereken yatırımların gerekçelendirilmesi gibi hususlarda kritik bir kaynak olabilir.

Siber Tehdit İstihbaratı Örnekleri

Ponemon Enstitüsü tarafından 2015 yılının yapılan bir ankete göre; Şirketlerin %40’ında son 24 ayda maddi bir güvenlik ihlali yaşanmıştır ve ihlallerin %80’ninin, tehdit istihbaratı ile engellenebileceği ya da hasarı en aza indirebileceği tespit edilmiştir.

 Katılımcıların sadece %36’sı şirketlerinin savunmasını güçlü olarak değerlendirmiştir. Katılımcıların neredeyse yarısı bir saldırının sonuçlarını önlemek veya azaltmak için aldıkları istihbarat verilerini artırmaktadır.

Bu kurumlar ortalama olarak haftada 16937 alarm almaktadır. Alarmların sadece 3218’i (%19) güvenilir olarak değerlendirilmiştir. Alarmların sadece 705’i (%4) araştırılabilmiştir. Yanlış uyarılara karşılık yılda 1,27 milyon dolar harcadığı belirlenmiştir. Bu bahsedilen problemler doğru siber tehdit istihbaratı yöntemleri ile minimuma indirgenebilir.

Sonuç

Bu yazıda Siber Tehdit İstihbaratı’nın ne olduğundan, türlerinden ve gerçek hayatta kurumlara sağladığı faydalardan bahsettik. Siber tehdit istihbaratı, olası tehditler hakkında farkındalık kazandırılması amacı taşımaktadır. Bahsi geçen yöntemler ile toplanan verilerin ilgili olanları seçilerek anlamlandırılmasıyla kurum içi istenmeyen olaylara gerçekleşmeden önce müdahale edilmesi için gerekli bir alandır. Bu şekilde güvenlik çözümleri en üst seviyeye çıkarılmış ve gerekli önlemler alınmış olur.

Kaynak:

https://en.wikipedia.org/wiki/Information
https://www.guru99.com/difference-information-data.html
https://en.wikipedia.org/wiki/List_of_intelligence_gathering_disciplines
https://www.digitalshadows.com/blog-and-research/threat-intelligence-a-deep-dive/

https://www.webroot.com/shared/pdf/CyberThreatIntelligenceReport2015.pdf

Related Posts

Facebook Comments