Global Dünyada Siber Tehdit İstihbaratı

Global Siber Tehdit İstihbaratıGlobal Siber Tehdit İstihbaratı projesi siber saldırıların önceden tespiti ve erken önlem alınması konusunda kurumlara destek sağlamaya başladı.

Siber güvenlik uzmanlarımızın analizlerine göre ülkemiz şartlarında ortalama büyüklükteki bir kuruma aylık olarak 20.000’den fazla siber saldırı yapılıyor. Bu saldırıların büyük bir kısmı otomatize araçlar kullanılarak gerçekleştirilen ve risk seviyesi yüksek olmayan saldırılar olsa dahi, kurumların hassas verileri için büyük tehlike arz etmeye ve risk seviyesini yükseltmeye devam ediyor.

Yapılan analizlerde saldırıların büyük bir kısmının önceden hacklenmiş, zombi haline getirilmiş veya aynı ip adresleri üzerinden gerçekleştirilen saldırılar olduğu gözlemlenmektedir. Analiz sonuçlarına göre, siber tehdit istihbaratı kullanarak bu tip yaygın saldırılar için merkezi tespitler yapılabileceği ve engellenebileceği ispatlanmıştır. Bu noktada istihbarat servisleri kullanılarak saldırıların önceden tespit edilebileceğini rahatlıkla söyleyebiliriz.

İstihbarat “kişi, kurum, devletler veya diğer organizasyonlar hakkında açık veya kapalı kaynaklardan haber, doküman veya bilgi toplayıp, analiz ve değerlendirmeler eşliğinde sonuca ulaşılması” manasına gelmektedir. İngilizce ve Fransızca’ da “intelligence” olarak kullanılan istihbarat kelimesinin Türkçe’deki karşılığı “haber alma” olarak belirtilmiştir.

Siber Tehdit İstihbaratı

Siber tehdit istihbarat ise, bu değerlendirmelerin elektronik ortamlarda yapılarak; bir IP adresinin, sosyal mühendislik saldırılarının, kötücül bir yazılım dağıtımı veya hangi ip adreslerinin saldırı aldığı gibi tespitler ve analizleri üzerinden bilgi toplama işlemlerinin bütünü olarak tanımlanabilir.

İstihbarat Nasıl Toplanır?

İstihbarat faaliyeti geçmişten günümüze kadar devletlerin geleceğinde rol oynayan önemli faktörlerden biri olarak düşünülmüş ve uygulanmıştır. Geleceğe yönelik yorumlar yapabilmek, muhtemel sorunlar hakkında önceden bilgi sahibi olabilmek, ancak ve ancak sağlıklı istihbarat üretimi ile mümkün olabilir. İstihbarat kimi zaman savaşlarda, kimi zaman barışta, kimi zaman ülkemizi korumak için yapılırken, kimi zaman da hava tahminleri veya felaketlere karşı önlem alma noktasında büyük bir öneme sahiptir.

Felaket Tahminlerine Milyonlarca Dolar Aktarılıyor!

Bir olayı, saldırıyı veya felaketi önceden bilmek ve etkisini göstermeden önlem alabilmek insanlık tarihinin en zor ve en eski sorunlarından biri olarak karşımıza çıkıyor.

Hava Tahminleri!

Belirli bir yer veya bir ülkenin genelinde, belirlenen bir zaman dilimi içinde oluşabilecek meteorolojik olayların gözlem ve analizlere dayanılarak elde edilen sonuçları, önceden öngörülme çalışmaları ile yorumlanarak ortaya çıkartılan sonuçlar hava tahmini olarak adlandırılır.

Hava tahminleri Gözlemler, Analiz ve Tahmin olarak üç aşamadan oluşmaktadır.

Yer gözlemleri, gemi gözlemleri, yüksek atmosfer gözlemler, radar sistemleri, uydu görüntüleri ve benzeri birçok veri bir araya getirilerek gözlemler oluşturulur. Elde edilen bu gözlemler analiz aşamasından geçirilerek ortaya hava tahminleri çıkartılır.

Deprem Araştırmaları!

Bilim adamları; yakın bir gelecekte gözlem ve analizlere dayanılarak deprem tahminleri yapılabileceği ve başarılı sonuçlar alınarak insanları büyük felaketlerden koruyabileceklerine inanmaktadırlar.

Felaket durumlarına karşı önceden ön görebilme yeteneğine veya başarılı tahminlere ulaştığımız zaman felaketlere karşı önlemler alabiliriz.

Siber Saldırıların Tahminleri ve Siber Tehdit İstihbaratı

“Honeypot” yani tuzak sistemler, günümüz internet dünyasında en sık tercih edilen siber tehdit istihbaratı toplama sistemleri olarak kullanılmaktadır.

siber tehditler için erken uyarı

Tuzak sistemler (Honeypot) çeşitli güvenlik açıklarını barındıran servis, işletim sistemi, network cihazı, iot veya SCADA sistemleri olarak çalışarak saldırganların yöntem, araç ve kullandıkları ip/domainleri tespit etme amaçlı kullanılmaktadır.

Deprem veya Hava Tahminlerinde olduğu gibi Siber Tehdit İstihbaratında da gözlemler yapılmakta ve bilgi toplanarak başarılı tahminler yapılabilmektedir. Bu sayede saldırılar başlamadan önce Honeypot sistemleri üzerine gelen ataklar analiz edilir ve saldırganlar hakkında bilgi toplanır.

Toplanan bu veriler özel analiz mekanizmalarından geçirilerek saldırı yapılmadan önce güvenlik sistemlerine anlık olarak iletilir ve önlem alınması sağlanabilir.

GCTI (Global Cyber Threat Intelligence) projesi, Türkiye ve dünyadaki hosting firmalarının paydaş olarak katıldığı, siber istihbarat toplama amaçlı dağıtık bir honeypot sistemidir. Bu sistem açık kaynak kod sistemleri kullanılarak oluşturulmuş ve özel olarak dizayn edilerek siber saldırılara karşı uyarı sensörleri ile donatılmıştır.

Honeypot sistemleri bilgisayar bilgisi olan birçok kişinin kurabileceği ve bilgi toplayabileceği açık kod sistemler olarak internet üzerinden ulaşılabilir durumdadır. GCTI ise bu sistemleri kullanarak dünya genelinde 100’den fazla sensör oluşturduğumuz ve özel algoritmalarımız sayesinde verilerin işlenerek başarılı analizlerin yapıldığı bir proje olarak hayata geçirildi.

Kullanmış olduğumuz siber saldırı sensörleri ülkemizin farklı lokasyonlarında olduğu gibi birçok kıtada farklı datacenterlar üzerinden de bilgi toplayarak merkezi sunucularımıza alarmlar üretmektedir.

Türkiye’ye özel olarak geliştirdiğimiz GCTI projesi ile ülkemizdeki ve tüm dünyadaki saldırılar analiz edilerek merkezi sunucularımızda toplanmakta ve siber tehdit istihbaratı sağlamaktadır.

Honeypot (tuzak) sistemler aracılığı ile farklı lokasyonlardan toplanan istihbarat bilgisi merkezi olarak değerlendirilerek farklı formatlarda sponsor firmalarımıza ve ülkemizdeki kurumlarla paylaşılmaktadır. Ayrıca bu verileri sosyal sorumluluk projelerimiz kapsamına alarak ülkemizde bu alanda araştırma yapan değerli profesörlerimiz ile araştırma görevlilerine ücretsiz olarak sunmaya başlıyoruz.

Sponsorlarımızın desteğiyle aktif olarak Türkiye, Avrupa, Rusya ve Amerika’da 100 adet sensör 5 aylık bir süredir çalışmakta ve veri toplamaktadır.

Toplanan bu veriler ülkemizdeki merkezi sunucularımıza dünyanın dört bir tarafından anlık olarak gönderilmekte ve sensörlerimize gelen siber saldırılar analiz edilmektedir. 7/24 analizi gerçekleştirilen bu saldırılar ile saldırı yapan cihazların ip adresi, lokasyon bilgisi, saldırı tipi, kullanılan parolalar ve kullanıcı adları gibi veriler ortaya çıkartılmaktadır.

Sunmakta olduğumuz API aracılığı ile tehdit kaynağının belirlenerek ülkemizdeki kurum ve firmalarla paylaşılması sağlanıyor. Dünyanın bir ucunda herhangi bir tehdit oluşturan saldırganların ülkemizi veya ülkemiz kurumlarını hedeflemeden Honeypot sensörleri tarafından tespit edilmesi ve otomatik olarak engellenmesi amaçlanmaktadır.

Proje kapsamında hedeflediğimiz sensör sayısı 1.000 adettir.

Şu an itibari ile 100 sensöre sahip olduğumuz GCTI projemiz için 2018 yılı ikinci yarısında 1.000 adet sensöre çıkarmayı hedefliyoruz. Proje altyapısı için sunucu yatırımlarımız devam etmekte ve sponsorluk talepleri ile siber tehdit istihbaratını genişletmeye devam etmekteyiz.

Proje kapsamında öncelikli olarak Datacenterlar ve Hosting firmalarından gelen sponsorluk taleplerini kabul ediliyoruz. Hosting firmaları veya Datacenterlardan 5 adet Ubuntu 14.04 x64 işletim sistemine sahip sanal makineler talep edilmektedir. Bu sanal makineler için farklı lokasyonlarda konumlandırma proje için önem arz etmektedir.

Aktif olarak aşağıdaki firmalar tarafından sağlanan destekle toplamda 100 sensörlük bir sistem sahada 3 aydır çalışmakta ve istihbarat verisi toplamaktadır. Sizleri de bu projede paydaş olarak görmeyi arzuluyoruz. Projeye aktif katılım ve detay bilgi için bize honeybga@bga.com.tr adresinden iletişime geçebilirsiniz.