Siber Tehdit İstihbaratı

siber tehdit istihbaratıSiber Tehdit İstibaratı günümüz teknoloji dünyasında saldırılara karşı yapılacak savunmada en önemli konular arasında yerini almaktadır. Siber Tehdit İstihbaratı yazımızda siber istihbaratın açıklaması, neden yapıldığı, nasıl yapıldığı, faydaları ve amacından bahsedilmiştir.

Veri, Enformasyon, Bilgi ve İstihbarat Ne Anlama Gelmektedir?

Siber Tehdit İstihbaratı konusunu anlatmadan önce veri, enformasyon, bilgi, istihbarat gibi temel kavramları açıklamak faydalı olacaktır.

Temel Kavramlar ve Kökenleri

Veri (Data): Veri (İng. ve Lat. datum; ç. data), ham (işlenmemiş) gerçek enformasyon parçacığına verilen addır.Veriler ölçüm, sayım, deney, gözlem ya da araştırma yolu ile elde edilmektedir.

Enformasyon (Information): Enformasyon (malumat) en genel anlamda belirli ve görece dar kapsamlı bir konuya (bağlama) ilişkin, derlenmiş bilgi parçasıdır. Derleme süreci ölçüm, deney, gözlem, araştırma ya da haber toplama (istihbarat) bulgularının özetlenmesi biçimini almaktadır. Bulgular, onların biçimlendirilmesi ve sunulmasında kullanılan sembollerin genel olarak kabul görmüş bir yaklaşımla yorumu ile anlamlandırılmaktadır.

Bilgi (Knowledge): En kısa tanımıyla bilgi, işlenmiş “veri”dir. Veri, olguların harf, sayı, renk gibi sembollerle ifade edilmesi iken, bilgi, herhangi bir konu ile ilgili verilerin bir araya gelmesi ile oluşan açıklayıcı ifadeler bütünüdür.

İstihbarat (Intelligence): İstihbarat, Türk Dil Kurumu’na göre “yeni öğrenilen bilgiler, haberler, duyumlar” ve “bilgi toplama, haber alma” olarak tanımlanmaktadır. Arapça kökeni “anlık yahut geniş zamana ait bilgi” anlamından gelir, istihbar etmek ise haber almak anlamına gelmektedir. İngilizce “Intelligence” yani “akıl, zekâ, anlayış, kavrama” anlamına gelen kelimeye karşılık kullanılmaktadır.

İstihbarat Döngüsü Nedir ve Hangi Adımları İçermektedir?

“Bilge hükümdarla, iyi bir komutanın normal askerlere oranla kolaylıkla savaş kazanıp, zafere ulaşması istihbarata bağlıdır.“ – Sun TZU

İstihbaratın sürekli olarak devam eden bir faaliyet olması sonucu işlemler bir döngü (çark) şeklinde anlatılabilir. Bu adımlar uygulanarak istihbaratın sürekli olarak planlanması, elde edilen tüm verilerin işlenmesi ve yönetilmesi amaçlanmaktadır.

1 ) Planlama ve Yönlendirme

Gereksinimlerin ve önceliklerin belirlendiği ilk adımdır. Bir istihbaratı oluşturmak eldeki kaynakların limiti ile sınırlıdır. Bu da üretimi eldeki kaynaklar ile maksimize etmek anlamına gelmektedir. Gereksinimleri ve ihtiyaçları belirlemek için kaynaklara “5N1K” metodolojisi kullanılabilir. 5N1K, “ne? ne zaman? nerede? nasıl? neden? kim?” sorularını sormaktadır. Aynı zamanda bu adım, hangi alanlarda istihbarat üretileceğinin belirlendiği adımdır. Planlama yaparken hangi istihbaratın en fazla etkiyi hangi alanda oluşturacağının belirlenmesi gereksiz ve yanlış istihbarat oluşturulmasını ve oluşturacağı kötü sonuçların önüne geçmektedir. Örneğin açık kaynak tehdit istihbaratı uygularken kaynakları kategorilere ayırmak, sıralamak ve değerlendirmek önemlidir. Döngünün devam edebilmesi için uygulanan roller ve sorumluluklar hassas bir şekilde uygulanmalıdır.

2) Toplama

İkinci adım, tanımlanan gereksinimleri karşılamak için verilerin toplanmasını içeren başta araştırma olmak üzere tüm farklı etkinlikleri içerir. Etkinlikler teknik veya insani yollarla yapılabilir ve çeşitli kaynaklardan veri toplamayı hedefler. Askeri alanda istihbarat servisi kaynak olarak insanları, nesneleri, sızıntıları, ortaya çıkan duyumları ve kayıtları kullanır. Bu kaynakları tespit etmek için HUMINT (insan istihbaratı), MASINT (ölçü ve imza İstihbaratı), SIGINT (sinyal istihbaratı), OSINT (açık kaynak istihbaratı) ve birçok farklı istihbarat yöntemi kullanılır. Veriler toplandıktan sonra sürecin devam etmesi için yönlendirilir.

3) İşleme ve Değerlendirme

Üçüncü adım, toplanmış ham veri yorumlanır, tercüme edilir ve istihbaratın müşterisinin anlayacağı bir forma dönüştürülür. Verinin işlenerek bilgiye dönüştüğü adımdır.

4) Analiz etme ve Üretim

Verinin enformasyona olan rafinesi yukarıdaki adımlarda gerçekleştirilir. Bu adım farklı istihbarat disiplinleri ile elde edilmiş farklı istihbaratları kaynaştırma aşamasıdır. Farklı disiplinler bu adımın anahtar görevleridir. Bunlar, bu adımda gerçekleştirilen kilit görevlerdir. Analiz, çalışma unsurunu tanımlayan, olayların ve sonuçların tahmini ve tahminine izin veren gerçekler ve bulgulardan oluşur. Analiz objektif, zamanında ve en önemlisi doğru olmalıdır. Objektif olarak istihbarat üretmek için analistler dört temel mantığı uygularlar. Bu analiz yöntemleri: İndüksiyon, indirgeme, abdüksiyon ve bilimsel yöntemdir. Ayrıca, ön yargı ve yanlış algılamalar analizi etkileyebileceğinden, analist farklı analitik tuzaklardan haberdar olmalıdır. Sonuç, belirli bir ihtiyaca göre uyarlanmış katma değerli kullanılabilir bilgilerdir. Örneğin, Amerika Birleşik Devletleri’nde, ulusal ve askeri amaçlarla bitmiş istihbarat yaratmak, CIA (Central Intelligence Agency – Merkezî İstihbarat Teşkilatı)‘nin rolüdür.

5) Dağıtım ve Entegrasyon

Aslında bu adım, bitmiş ürünü bilgiyi talep eden tüketicilere teslim etmekten ibarettir. Bu, çok çeşitli formatlar kullanılarak ve manuel veya otomatik bir şekilde yapılabilir.

Siber Tehdit Nedir?

Siber Tehdit, bir veri iletişim yolunu kullanarak bir kontrol sistemi cihazına ve / veya şebekesine yetkisiz erişime teşebbüs etme ya da bir bilgisayar ağını bozma veya bozma olasılığı olarak tanımlanmıştır. Kurum ve kuruluşlara yönelik tehditler, düşman hükümetler, hacktivist gruplar, terörist gruplar, hoşnutsuz çalışanlar ve kötü niyetli davetsiz misafirler de dahil olmak üzere çok sayıda kaynaktan gelebilir. Düşmanların strateji ve taktiklerini, kullandıkları silahları, lojistik ve savaş alanı hakkında bilgi sağlayan iletişim ve kontrol sistemlerinden bahsetmeden bir savaş tarif edemezsiniz. Aynı şey, siber tehditler için de geçerlidir. Anlaşılmasını zorlaştıran tek şey, etkilerinin genellikle daha az açık olmasıdır. Bununla birlikte, saldırıların amaçları, motivasyonları ve teknikleri çoğunlukla aynıdır.

Siber Tehdit Hedefleri

  • Güç
  • Kontrol
  • Sömürme
  • İntikam ve maddi kazanç.

Günümüz siber tehditleri çoğunlukla aşağıdaki türlerden oluşmaktadır:

Siber Tehdit Türleri

  • (Gelişmiş Kalıcı Tehditler / Hedef Odaklı Saldırı) – Advanced Persistent Threats
  • (Oltalama / Kimlik Avı) – Phishing
  • (Truva Atları) – Trojans
  • (Zombi Makineler / Botnet) – Botnets
  • (Fikri Mülkiyet Hırsızlığı) – Intellectual Property Theft
  • (Fidye Zararlıları) – Ransomware
  • (Servis dışı bırakma saldırıları) – Distributed Denial of Service (DDoS)
  • (Bulaştığı sistemde her şeyi silen zararlılar) – Wiper Attacks
  • (Casus Yazılım / Zararlı Yazılımlar) – Spyware / Malware
  • (Ortadaki Adam Saldırıları) – Man in the Middle (MITM)
  • (İzinsiz otomatik olarak yüklenen zararlılar) – Drive-By Downloads
  • (Reklamlara gömülmüş zararlı yazılımlar) – Malvertising
  • (Antivirüs olarak görünen ama aslında zararlı olan yazılımlar) – Rogue Software

Siber Tehditlerden bahsederken, saldırgan grupların kullandığı teknolojiyi ve teknik, taktik ve prosedürleri (TTP) bilmek çok önemlidir. Tehdit aktörlerinin TTP’leri sürekli olarak değişmektedir ancak tehdit kaynağında her zaman insan unsuru söz konusudur. Bu yüzden siber tehditlerde saldırganların motivasyonları en önemli şey olmaktadır. Kurum ve kuruluşlar bu tehditlere karşı bazı savunma çalışmaları yapmaktadır. Bunlardan başlıcaları kimlik avcı denemelerinin fark edilmesi gibi son kullanıcılara yönelik eğitimler, güncel yazılımlar kullanılması, güvenlik duvarı ve antivirüs kullanımları, ağ içerisinde olabilecek saldırıların tespiti için gerekli ürün veya yazılımların kullanılması, olay müdahale planları gibi birçok önleme sahip olsa da bu konuda tam olarak başarı sağlanamamıştır.

Siber Tehdit İstihbaratı Nedir?

Herhangi bir tanımlama yapmadan önce Google verilerini incelediğimizde “Threat Intelligence” (Tehdit İstihbaratı) terimi ile “Cyber Threat Intelligence” (Siber Tehdit İstihbaratı) terimini son 5 yıl içerisinde karşılaştırma yapıldığında aşağıdaki gibi bir grafik elde edilmiştir. Aynı anlama gelen bu iki kavram arasında tehdit istihbaratının daha fazla öne çıktığı görülmektedir.

Siber tehdit istihbaratı, kurum ve kuruluşlara herhangi bir seviyede iş unsurları ve güvenliğine zarar verebilecek tehditler hakkında tanımlanmış, toplanmış ve zenginleştirilmiş verilerin bir süreçten geçirilerek analiz edilmesi sonucu saldırganların “motivasyonlarını”, “niyetlerini” ve “metotlarını” tespit etmektir. Siber tehdit istihbaratının başlıca amacı ise kurum ve kuruluşlara dışarıdan gelen (harici) ve en yaygın ve tehlikeli tehdit risklerini anlamalarına yardımcı olmaktır. Bu saldırılar örneğin 0-day saldırıları, geliştirilmiş kalıcı tehdit APT (Advanced Persistent Threat) ve exploitler olabilir. Buna rağmen tehdit unsurları içeriden (dahili) saldırılar da olabilir. Bu tarz saldırılar kurum ve kuruluşların yapısına çok ciddi zararlar vermektedir. Tehdit istihbaratı, kurum ve kuruluşların kendilerini bu tarz saldırılardan korumasına yardımcı olmak için geniş kapsamlı ve derin bir veriye ihtiyaç duymaktadır. Günümüzden 10 yıl öncesine kadar IT sektörü en çok kitle saldırılarından(mass attack) korkmaktaydı; fakat artık hedef odaklı saldırıları tespit etmek oldukça güç olmakla birlikte kurum ağı içerisinde neredeyse sadece bir “parazit” gibi görülmektedir ve tespit etmek oldukça zorlaşmaktadır. Siber güvenlik şirketleri artık herhangi bir saldırıdan alınan ilk örnekler ile zararlı yazılım imzaları ve IP adresleri, md5 hash özetleri ve URL adresleri, botnet komuta merkezi domain isimleri gibi IOC(indicator of compromise) verilerini tespit etmekte ve paylaşmaktadır. Saldırılar ilk kez gerçekleştikten sonra kurum ve kuruluşların bazıları zarar gördükten sonra ilk örnekleri kurum ağları içerisinde gerekli yazılım ve mimariyle tespit etmek kolaylaşmaktadır.

Operasyonel istihbarat

Veri tanımlama, toplama, zenginleştirme ve analizler bilgisayarlar tarafından yapılmaktadır. Operasyonel tehdit istihbaratının ortak bir örneği saldırıları bir insan analistinin yapabileceğinden çok daha hızlı tespit etmektir. Indicator of compromise(Tehdit Göstergeleri) verilerinin ağ içerisinde kullanılan yazılımların örneğin IDS(Intrusion Detection System) göstergeleri karşılaştırılarak (DDoS) saldırılarının otomatik algılanmasıdır.

Stratejik istihbarat

Stratejik İstihbarat, bir kurumun çalışanlarını, müşterilerini, altyapısını, uygulamalarını ve tedarikçileri de dahil olmak üzere temel varlıklarına yönelik tehditleri tanımlama ve analiz etme konusunda daha zor ve yavaş bir süreç üzerine odaklanmaktadır. Bunu başarmak için, yetenekli insan analistlerinin dış ilişkiler ve mülkiyetle ilgili bilgi kaynakları geliştirmeleri gerekir; eğilimleri tanımlamak; çalışanları ve müşterileri eğitmek; saldırganın taktiklerini, tekniklerini ve prosedürlerini (TTP’ler) incelemek; ve sonuçta, savunma mimarisi tavsiyelerini tanımlanan tehditlerle mücadele etmek için oluşturmak gerekmektedir.

Bilişim teknolojileri görevlerinde herhangi bir süreç için stratejik, taktiksel ve operasyonel alanların her seviyesinde zorluklar bulunur. Bu zorluklara karşı siber tehdit istihbaratı, meydana getirdiği etkiler sayesinde avantajlar kazandırmaktadır.

Stratejik seviyede, CISO’lar (Chief Information Security Officer) ve bilişim teknolojisi yöneticileri için öncelikleri belirleme, bütçe planlaması ve personel ihtiyacına karar vermek adına yeterli bilgi bulunmamaktadır. Siber tehdit istihbaratı, stratejik seviyede iş risklerine ve muhtemel saldırılara karşı öncelikler belirlenmesine katkı sağlar. Bu sayede saldırganlara ve tehditlere karşı koyma imkanı sağlar.

Taktiksel seviyede, doğrulanmamış ve hatalı (false positive) IOC’ler tarafından kaynaklanan birçok alarm oluşmaktadır. Oluşan bu alarmlar adeta bir gürültüdür. Bu gürültü içerisinde SOC analistlerinin zarara sebep olacak gerçek tehditlere ait uyarıları bulması uzun zaman almakta ve tespit edilmesini zorlaştırmaktadır. Siber tehdit istihbaratı, taktiksel seviyede bulguların doğrulanmasını ve önceliklerin belirlenmesini sağlamaktadır. Bu sayede gerekli yama ve uyarıların önceliklendirilmesini sağlar.

Taktiksel Seviye Operasyonel Seviye Stratejik Seviye
BT Rolleri Ağ Operasyonları Merkezi (NOC)

Altyapı Operasyonları

Güvenlik Operasyonları Merkezi (SOC)

Olay Müdahale EkibiAdli Bilişim

Dolandırıcılık Tespiti

Baş Bilgi Güvenliği Görevlisi (CISO)BT Yönetimi
Görevler Bulguların güvenlik ürünlerine gönderilmesi

Zafiyet bulunduran sistemlere yama geçilmesi

Uyarıları izleme ve önceliklendirme

Saldırı detaylarını belirleme

İyileştirme

Kaynak tahsis edilmesi

Üst yönetim ile iletişim kurulması

Problemler Doğrulanmamış bulgular hatalı alarmlara neden olur

Yamaları önceliklendirmek zordur

İncelenmesi gereken çok fazla uyarı vardır

Başlangıçtaki bulgulardan saldırıları yeniden yapılandırmak zaman alırZararı ve ek ihlalleri tespit etmek zordur Yatırım için net öncelikler belli değildirYöneticiler teknik problemlerden anlamazlar
Siber Tehdit İstihbaratının Etkisi Bulguların geçerliliğinin ve önceliğinin belirlenmesi

Yamaların önceliklendirilmesi

Alarmların önceliklendirilmesi

Saldırıları hızlı bir şekilde yeniden tanımlamak için ilişki

Hasar ve ilgili ihlalleri tanımlamak için veri

İş risklerine ve muhtemelen saldırılara dayalı önceliklerin belirlenmesi

Saldırganlara ve tehditlere karşı koyma

Tablo 1. Siber saldırılara karşı savunmada yaşanan tipik problemler ve siber tehdit istihbaratının yararlı etkileri

Operasyonel seviyede, olay müdahalesi ekiplerinin tehditlerle ilgili bilgileri bulmasını, gerçekleşmiş olan saldırıların testinin yapılmasını ve bu saldırılara karşı müdahale yapılmasını uzun bir zamana yaymakla operasyonel seviyede zorluklar oluşmaktadır. Siber tehdit istihbaratı, operasyonel seviyede saldırıların testinin hızlı bir şekilde yapılabilmesini, ilişkilendirilebilmesini, olası hasar ve ihlalleri tanımlamak için fayda sağlamaktadır.

Siber Tehdit İstihbaratı Nasıl Toplanır?

Veri ve enformasyon istihbarat değildir fakat analiz edilerek istihbaratın üretilmesi gereken ham maddelerdir. Kurum ve kuruluşlar büyük veri tabanlarından ve loglarından binlerce siber tehdit istihbaratı verisine erişebilmektedir. IT grupları bu verilerden tam olarak faydalanamamaktadır. Ulus devletler, örgütlü siber suçlular ve siber casusluk aktörleri gibi gelişmiş tehdit aktörleri bugün işletmeler için en büyük bilgi güvenliği tehdidini temsil etmektedir. Birçok organizasyon bu tehlikeleri, gizliliklerine, kaynakların gelişmişliğine ve çabalarına rağmen algılama mücadelesi vermektedir. İşletmeler için organize ve devam eden tehdit aktörleri yalnızca geride bıraktıkları dijital izlerle görülmektedir. Bu nedenlerden dolayı işletmelerin ağ sınırlarının ötesinde, özellikle kuruluşlarını ve altyapılarını hedef alan gelişmiş tehditlere karşı görünürlüğe ihtiyaçları vardır. Burada tehdit istihbaratının önemi bir kez daha ortaya çıkmaktadır.

Seviye 1 Tehdit Aktörleri

Bir IOC (Indicator of compromise) ya da tehdit aktörü tehlikeye atılmış sistemleri araştırmak ve tanımlamak için kullanılabilen bilgi parçalarıdır. Bu bilgi parçaları, IT sektöründe uzun süredir var olmaktadır ancak bilgi güvenliği sektörü bu verileri daha yapısal ve tutarlı bir şekilde kullanmaktadır.

Dosya Özetleri (hash) ve İtibar (reputation) Değerleri

Bir zararlı yazılıma dosya özeti herhangi bir virüs, truva atı, rootkit, keylogger ya da diğer türlere ait eşsiz bir tanımlayıcıdır. Zararlı olduğu tespit edilen bir dosya çoğunlukla md5 ve sha1 algoritmaları kullanılarak bu dosyaların özetleri oluşturulur. Bu özetler zararlı yazılımların parmak izlerini oluşturmaktadır. Bir dosya özeti örneğin,“098f6bcd4621d373cade4e832627b4f6” şeklinde görünen bir metin ifadesidir. Dosya özetleri dışında bir zararlıya ait itibar verileri de kullanılmaktadır. Bu veriler IP adresi ve URL gibi internet ağı üzerinde web sayfalarının risk dereceleridir. Örneğin, Oltalama (Phishing) saldırı yapan bir web sitesinin risk skorları da oldukça yüksek olacaktır.

Yüksek skorlanacak durumlar:

Her türlü zararlı yazılımlar

  • Spam Emailler
  • Oltama (Phishing) adresler ve diğer dolandırıcılık sayfaları
  • Botnet komuta & kontrol merkezleri
  • Takip edilemeyen IP adresleri (TOR)
  • Anonimlik oluşturan Proxy hizmetleri

Teknik Kaynaklar

Kötü amaçlı yazılım imzaları oluşturmak için, siber güvenlik araştırmacıları önce vahşi ortamda dolaşan zararlı yazılımların bulaştırdığı virüsleri bulmaya çalışırlar. Bunu honeypot ağları, web sunucularının, e-posta sunucularının ve diğer sistemlerin faaliyetlerini taklit eden bilgisayarlar ve web’de gezinen bilgisayar kullanıcıları oluşturarak gerçekleştirirler. Bu sensörler, normal işlemler sırasında kurumsal sistemler ve kullanıcılar tarafından karşılaşılan mesajlar ve e-postalar toplamaktadır.

Zararlı yazılım araştırmacıları daha önce görülmemiş olan zararlıları alıp statik analizlere (program komutlarını ve kötü amaçlı yazılım ile ilişkili metin dizelerini ortaya çıkarmak için inceleyerek) ve dinamik veya davranış analizine (kodun kötü niyetli işlemleri gerçekleştirmesine ve gözlemlemesine izin verir) tabi tutulurlar. Her iki analiz türü de bir zararlı yazılım içerdiğini gösteriyorsa, araştırmacılar bir imza oluştururlar.

Endüstriyel Kaynaklar

Çok az sayıda işletme kendi tehdit araştırma gruplarını idame ettirecek kaynaklara sahiptir. Bunun yerine, çeşitli kaynaklardan zararlı yazılım imzaları ve alan adı servislerinden bu verileri alırlar.

Seviye 2 Tehdit Aktörleri

Tehdit istihbaratı veri yayınları(feeds) tehdit aktörlerini ilişkilendiren analiz bilgileri sağlamaktadır. Güvenlik ekiplerinin saldırılara ilişkin teknik, taktik ve prosedürleri tespit etmelerinde yardımcı olmaktadır. Bu rapor ve istatistikler, zararlı yazılım analizleri ve davranışlarını daha iyi anlamaya yardımcı olmaktadır.

Siber tehdit istatistikleri, raporları ve anketler

İstatistikler, raporlar ve anketler güvenlik ekiplerinin en yaygın saldırıları ve bunları ortaya çıkan tehditler konusunda uyarırlar. Endüstri kuruluşları ve siber güvenlik sağlayıcıları, zararlı yazılım, spam, botnet’ler ve siber saldırıların diğer öğeleri hakkında istatistik sağlamaktadır.

Zararlı Yazılım Analizi

Zararlı yazılım analizi, örneklerinin davranışına ve bunların arkasındaki saldırganların niyetlerine ait değerli bilgiler sağlar. En ayrıntılı otomatik zararlı yazılım analizi, dinamik analiz veya sanal alan oluşturma (sandboxing) teknolojisi ile sağlanmaktadır. Sandboxing ile, şüpheli bir dosyanın, kurumsal ağdan izole edilmiş bir sanal yürütme ortamında çalıştırılmasına izin verilir. Korumalı alan, dosyanın aldığı ve aşağıdakiler gibi kötü amaçlı faaliyetler de dahil olmak üzere tüm eylemleri gözlemler ve belgelemektedir:

  • Kayıt defterine alışılmadık girişler yapma
  • Sistemdeki virüsten koruma yazılımını devre dışı bırakma
  • Ağda “admin” veya “password” adlarını içeren kişilerin aranması
  • Web’de sunucuları kumanda etmek ve kontrol etmek için göstergeler
  • Çalınan verileri yerleştirmek ve sızdırmak için kullanılan sunuculara bağlanma

Seviye 3 : Stratejik Siber Tehdit İstihbaratı

Stratejik siber tehdit istihbaratı, kurum ve kuruluşları hedefleyen spesifik düşmanlar ve yakın gelecekte getireceği tehlike hakkında bilgi vermektedir.

Yeraltı Dünyasını (Dark Web) Gözlemlemek

Siber suçlular, siber casusluk ajanları ve daha önce belirlediğimiz gruplar katılımcıların da katıldığı yer altı bir evreni geliştirdiler. Bu dark web/deep web ortamında bu gruplar aşağıdaki her türlü organizasyonu yürütmektedir:

  • Siber suç, siber casusluk ve hedefleri, taktikleri, araçları ve diğer yönleri hakkında fikir alışverişinde bulunmak
  • Zararlı yazılımlar, özel saldırılar oluşturma, phishing (oltalama) kampanyaları oluşturmak, DDoS saldırıları oluşturma ve kullanma konusunda uzmanlık paylaşmak
  • İdeolojik ve politik ilham kaynağı ve kampanyaları planlamak ve koordine etmek
  • Exploit kitleri, silahlı saldırılar, şaşırtmalar, zararlı yazılım koruma teknikleri ve araçları satmak/almak
  • Sahte web sitesi tasarımı, şifre kırma gibi altyapı ve karmaşık faaliyetler; kiralık hacker, kiralık botnet, hizmet olarak DDoS, hizmet olarak fidye yazılımları ve dış kaynak kullanımına kadar çeşitli tehdit aktörlerine hizmet vermek
  • Kredi kartı ve Sosyal Güvenlik numaraları, kişisel bilgiler ve giriş kimlik bilgilerini içeren dijital verileri satmak/almak

Deep web içerisinde çevrimiçi forumlar, e-posta sağlayıcıları, anında mesajlaşma platformları, sosyal medya ve hatta tam özellikli çevrimiçi mağazalar bulunmaktadır. Bu mekânların çoğu halka açık olsa da, en önemlileri yalnızca davetiye ile üyelik kabul etmektedir ve yabancılar için uyum sağlamak oldukça zordur.

Motivasyon ve Niyetler

Araştırmacılar, motivasyon ve niyetle başlayan bu çevrimiçi yeraltı dünyasında çok çeşitli bilgi toplayabilir. Motivasyon ve niyetler, hangi düşmanların endüstrinize, kuruluşunuza ve varlıklarınızdan hangilerinin en çok hedef atma olasılığı bulunduğuna dair kanıt sağlamaktadır.

Siber suçluların nedenleri genellikle açıktır: kazanç sağlamak. Ancak niyetleri değişebilir. Bazıları belirli bir mali veya kişisel veriyi hedeflemektedir; diğerleri belirli bir endüstriye odaklanır.

Rakipler ve siber casusluk ajanları, daha fazla motivasyon ve niyet sergilemektedir. Bunlar ürün tasarımlarını, fikri mülkiyet haklarını ve iş planlarını çalmak, tekliflerin ve tekliflerin detaylarını ortaya çıkarmak ve politik ve savunma ile ilgili istihbarat elde etmektir.

Teknik, Taktik ve Prosedürler

Düşmanların taktik, teknikler ve prosedürleri (TTP’ler) hakkında önceden bilgi sahibi olmak son derece değerlidir. Bu, yalnızca işletmelerin saldırıları tespit etmek için ne aramaları gerektiğini öğrenmelerine yardımcı olmakla kalmaz, güvenlik teknolojilerini nerede güçlendireceği konusunda bilgi vermektedir.

Araştırmacılar, çoğu zaman, web üzerindeki faaliyetlerini izleyerek, düşmanların TTP’leri hakkında çok şey bildirebilirler. Değerli kanıtlar şunları içerir:

  • Forumlarda ve sosyal medya sitelerinde plan ve taktik tartışmaları
  • Geliştirilen yeni exploitler ve araçlarla ilgili bilgi alışverişi
  • Alet ve hizmetlerin satın alınması
  • Kredi kartı numaraları, kişisel bilgiler ve diğer dijital varlıkların satışı
  • Leak (sızdırılmış) veriler ve detaylar

Siber Tehdit İstihbaratının Faydaları Nelerdir?

Siber tehdit istihbaratının taktiksel seviyedeki faydaları:

  • Yanlış alarm (false positive) üretilmemesi için geçersiz kuralların kaldırılmasını,
  • En tehlikeli zafiyetlerin düzeltilmesi için yamalara (patch) öncelik verilmesini,
  • Saldırıları daha hızlı ve doğru bir şekilde ilişkilendirerek otomatik olarak önleyebilmek için SIEM’lere (Security Information and Event Management) aktarılmasını,
  • Belirtileri önceliklendirerek SOC (Security Operation Center) analistlerinin alarmları hızlı bir şekilde tespit edebilmesini sağlamaktadır.

Siber tehdit istihbaratının stratejik seviyedeki faydaları:

  • Yöneticilere, işletme hakkında basındaki yanlış haberlerin aksine daha fiili tehditler hakkında bilgi vererek kritik varlıkları ve iş süreçlerini korumak için bütçe ve personel tahsis edebilme imkanı,
  • Bilgi güvenliği baş görevlilerinin (Chief Information Security Officer – CISO), üst yöneticilere ve yönetim kurulu üyelerine işle ilgili riskler, gelecekteki muhtemel saldırı eylemleri ve güvenlik yatırımları hakkında bilgi vermesini sağlamaktadır.

Siber tehdit istihbaratının operasyonel seviyedeki faydaları:

  • Olay müdahalesi ekiplerinin (Incident Response Team), durumsal farkındalık ve bağdaştırma sağlamak amacıyla; saldırganların niyetlerini, yöntemlerini ve hedeflerini tespit edebilmek için özel belirteçler geliştirebilmesini,
  • Olay müdahalesi ve adli bilişim ekiplerinin ihlallerin meydana getirdiği hasarları hızlı bir şekilde telafi etmesini ve gelecekte oluşabilecek saldırıları önlemesinde aksiyon almalarını sağlamaktadır.

Siber tehdit istihbaratı sadece BT güvenlik uzmanları için değil; yöneticilerin, risk seviyesini azaltmak için bütçeye ve insan kaynağına karar vermesini sağlamak konusunda da oldukça önemlidir.

Siber Tehdit İstihbaratı Neden Gereklidir?

Siber saldırılara karşı savunmada yaşanılan doğrulanmamış bulguların oluşturduğu alarmlar (false positive), incelenmesi gereken çok fazla alarmın oluşması, zararın ve olası ek ihlallerin tespit edilmesi, gerekli yamaların önceliklendirilmesi ve bunlara bağlı olarak yapılması gereken kaynak ve bütçe yapılandırmalarının belirsizliğini ortadan kaldırmak amacıyla siber tehdit istihbaratı gereklilik arz etmektedir.

Ponemon Enstitüsü tarafından 2015 yılının ocak ayında yayınlanan ve zararlı yazılımlardan korunma maliyeti üzerine yapılan bir araştırmada güvenlik uyarılarını takip etmenin oldukça zor olduğundan bahsedilmektedir.

Bu araştırmaya ve anket sonuçlarına göre:

  • Şirketlerin %40’ında son 24 ayda maddi bir güvenlik ihlali yaşanmıştır ve ihlallerin %80’i, tehdit istihbaratı ile engellenebileceği ya da hasarı en aza indirebileceği tespit edilmiştir.
  • Katılımcıların sadece %36’sı şirketlerinin savunmasını güçlü olarak değerlendirmiştir.
  • Katılımcıların neredeyse yarısı bir saldırının sonuçlarını önlemek veya azaltmak için aldıkları istihbarat verilerini artırmaktadır.
  • Bu kurumlar ortalama olarak haftada 16937 alarm almaktadır.
  • Alarmların sadece 3218’i (%19) güvenilir olarak değerlendirilmiştir.
  • Alarmların sadece 705’i (%4) araştırılabilmiştir.
  • Yanlış uyarılara karşılık yılda 1.27 milyon dolar harcandığı belirlenmiştir.

Aynı zamanda bu araştırmada güvenlik görevlileri tarafından zararlı yazılım uyarılarına karşı harcanan zamanın üçte ikisinin, istihbarat hatası nedeniyle harcandığı belirtilmektedir. Bu araştırmadan da anlaşıldığı üzere istihbarat hatası kurumlara hem personel tedariği hem de bütçe yapılandırması açısından fazlasıyla zarar vermektedir. Bu problemleri çözmek veya azaltmak için siber tehdit istihbaratı fazlasıyla gereklilik göstermektedir.

Siber Tehdit İstihbaratı Nasıl Kullanılır?

Siber tehdit istihbaratının en önemli özelliği “tüketilebilir” ve “kullanılabilir” olmasıdır. Bu temel kavramlar olmaksızın, dünyanın en iyi istihbaratı, en faydalı kaynaklardan elde edilmiş ve en bilinçli şekilde analiz edilmiş olsa bile kullanışlı bir şey değildir. Asıl soru giderek artmakta tehdit ortamında proaktif ve hızlı bir karar alma sürecinde siber tehdit istihbaratının nasıl kullanıldığıdır.

IT Operasyonları

Aciliyet, Patching ve Bloklama

Taktiksel düzeyde, siber tehdit istihbaratı bloklama teknolojilerinin etkinliğini artırır, yama aktivitelerine öncelik verilmesine yardımcı olur ve güvenlik operasyon merkezi (SOC) analistlerinin hangi uyarıların hızlı ve doğru bir şekilde karar vermesine izin verir.

Network Operasyonları

Çoğu kurum ve kuruluşlarda network operasyon merkezlerinde Gateway, Firewall, IDS/IPS gibi ürünler ve yazılımlar kullanılmaktadır. Bu ürünler, kötü niyetli etkinlikleri engellemek için (örneğin, gereksiz bağlantı noktalarını kapatarak, çalınan verileri taramak veya keşfetmek için kullanılamazlar) kuralları uygularlar ve tehdit aktörleri tarafından kontrol edildiği bilinen bilgisayarlara ve ağ trafiğini engellemek için tehdit göstergelerini kullanırlar. Bununla birlikte, tehdit göstergelerinin kalitesi (IOCs) zayıf olduğunda, NOC personeli genellikle normal dosyaların ve trafiğinin kesilmesi aşamasına kadar gelir. Siber tehdit istihbaratı, zararlı yazılım imzaları ve alan adı gibi tehdit göstergelerini doğrulayarak yanlış alarmları azaltabilir ve NOC personelinin engelleme teknolojilerini güvenle kullanmasına izin verebilir.

Patching (Yamalama)

Yama yönetimi, sunucuları, uç noktaları ve ağ ve güvenlik aygıtlarını yöneten gruplar için önemli bir görevdir. Düzeltme işlemi çok zaman alıcı bir süreçtir. Altyapı grupları, önceliklerini düzeltmek için bu istihbaratı kullanarak, acil tehditlerle ilgili pencereyi daha hızlı kapatabilir ve kuruluşları için önemsiz veya alakasız düşük güvenlik açıklarına daha az zaman harcayabilir.

Security Operation Center (SOC)

Birçok şirkette SOC analistleri SIEM alarmlarını inceler ve onları aşağıdaki gibi kategorilere bölerler:

  • Olay Müdahale Ekibine acilen iletmek
  • Zaman kaldığında incelenecek olanlar
  • Gereksiz alarmlar

Ne yazık ki, bu kararı vermek pek zordur çünkü çoğu işletme, SOC ve IR ekiplerinin araştırabileceğinden çok daha fazla uyarı üretmektedir. Siber tehdit istihbaratı olay önceliğini ve durumsal farkındalığı iki şekilde artırabilir:

  • Risk puanlarını veya etiketlerini tehlike göstergelerine ekleyerek SIEM, uygun uyarıları yüksek önceliğe atamak
  • SIEM veya analistlerin tehdit istihbaratı veritabanını sorgulamasına ve uyarıları saldırılarla ilgili ek bağlamla ilişkilendirmesine (korelasyon) izin vererek

Örneğin bir işletme endüstriyel kontrol sistemi olan SCADA’ya yönelik olan bir saldırıyı SIEM’e sorabilir ve SIEM, zararlı yazılımlarla ilgili içeriğe dayalı bilgileri otomatik olarak geri döndürmek için istihbarat bilgi tabanına bir sorgu göndermek üzere de programlanabilir. Bu bilgi, saldırının arkasındaki düşmanı ve zararlı yazılımın diğer üreticileri hedef alıp almadığını içerebilir.

Olay Müdahale Ekipleri

Operasyonel düzeyde, siber tehdit istihbarat ekibi adli bilişim, güvenlik analizi ve dolandırıcılık tespit gruplarının yanı sıra olay müdahale ekiplerine karmaşık saldırıları daha hızlı ve daha kapsamlı bir şekilde analiz etmeye yardımcı olur.

Bir saldırı tespit edildiğinde, olay müdahale ekibi aşağıdaki gibi soruları cevaplamalıdır:

  • Saldırının arkasında kim var?
  • Hangi taktikleri kullanıyorlar?
  • Hangi veriyi hedefliyorlar?
  • Saldırı ne derece ilerledi, hangi sistemler ele geçirildi ve hangi verilere erişildi?
  • Hangi adımlar saldırıyı durdurabilir ve daha sonra düzeltebilir?

İlk başlarda, olay müdahale ekibinin ilk üretilen alarm dışında ilerleyebileceği bir yer olmamaktadır. Genellikle bu, tek bir zararlı yazılım örneğinden veya bilinen bir komuta ve kontrol (C&C) sunucusuna bağlantından başka bir şey değildir. E-postalar, uygulama logları, ağ trafiği, sistem yapılandırmaları, tehdit analizleri ve diğer farklı veri kaynaklarını arayarak parçaların bir araya getirilmesi analist günlerce uğraşmasına ihtiyaç duymaktadır.

Siber tehdit istihbaratı, ilk alarmın etrafında zengin içerik sağlayarak olay tepkisini hızlandırabilir. İstihbarat veritabanı, alarm hakkındaki teknik özellikleri, etkenleri ve geçmişte nerelerde gözlemlendiği gibi sorulara hızlı bir şekilde cevap verebilir. Olay müdahale ekibi, hangi düşmanların bu tekniği kullandıkları, hangi düşmanların hedeflediği ve hangi altyapı ve araçları kullandıkları gibi daha fazla bilgi için istihbarat veritabanını sorgulayabilir. Bu bilgi, olay müdahale ekibinin ihtiyaç duydukları ayrıntıyı hızlıca bulması için başlangıç alarmına dönmesine izin verir.

Siber Tehdit İstihbaratı Yatırımı Yapmalı mıyım?

CISO’lar (Chief Information Security Officer) ve BT yöneticileri, yeni teknolojilere ve işyerine nerede yatırım yapacakları konusunda çok karışık kararlarla karşı karşıya kalmaktadır. Siber tehdit istihbaratı birçok tehdit ve satıcılar tarafından öne sürülen pek çok güvenlik ürününden hangilerinin öncelikli olması gerektiğini belirlemenize yardımcı olabilir. İstihbarat, ayrıca, üst düzey yöneticiler ve yönetim kurulu üyeleri ile üretken tartışmalara imkân verebilmek için, CISO ve BT yöneticilerinin tehditleri iş ortamında açıklamalarına yardımcı olmaktadır.

  • Endüstrilerinde işletmelerin hedefine yönelen yeni düşmanlar
  • Mevcut güvenlik savunmalarındaki zayıf noktaları sömüren yeni taktik ve teknikler
  • Mobil cihazlar, bulutta barındırılan veriler ve sosyal paylaşım ağlarında yayınlanan çalışan bilgileri gibi yeni “saldırı yüzeyleri”

BT grupları, ele alınması gereken teknik saldırıları (APT’ler, DDoS saldırıları, sosyal mühendislik) ve edinilmesi gereken teknolojiler (NGFW’ler, güvenlik analiz platformları, uç nokta güvenliği) konularını belirlediklerinde, yöneticilerle birlikte siber güvenlikle ilgili anlamlı tartışmalar yapmayı oldukça zor bulmaktadır. Bu bilgiler, CISO’lara ve BT yöneticilerine, yeni bir veri ihlalini açıklayan her bir başlıkta tepki vermeye zorlanmak yerine, muhtemel saldırganlara ve tehditlere karşı para yatırımı yapmalarını sağlar.

Siber tehdit istihbaratı, BT yöneticilerinin şirketi mahcup etmek saldırganlar, siyasi aktivistler, iş planlarını ortaya çıkarmaya çalışan yabancı rakipler veya siber suç örgütü, çalınan sosyal güvenlik numaralarından para kazanmaya çalışan grupları ve diğer tüm düşmanları insani açıdan açıklamalarına yardımcı olur.

Siber Tehdit İstihbaratı Partneri Seçerken Neye Dikkat Edilmelidir?

Sadece bir avuç büyük ticari firma, devlet kurumları ve askeri örgütler, siber tehdit istihbaratının tüm yönlerini dahili olarak ele alacak kaynaklara sahip olmaktadır. Birinci sınıf siber tehdit istihbaratı, dünya çapında bir sensör ağı, bir siber tehdit araştırma laboratuarı, güçlü araştırmacı ve uzmanlar ile güçlü dil ve iletişim becerilerine sahip analistleri ve tehdit verileri toplamak ve yaymak için bir platform gerektiriyor. Bu nedenle, işletmelerin büyük çoğunluğu bilgi toplama ve analiz görevleri için bir ya da daha fazla ortağa katılır. Ancak ne tür ortaklıklar mevcuttur? Kurumunuz için doğru olanı seçmenin en iyi yolu nedir?

Siber tehdit istihbaratının bazı unsurlarını içeren oldukça çeşitli ürün ve hizmet tedarikçileri genellikle üç kategoriden oluşmaktadır. Tehdit göstergelerine (IOCs) odaklanan şirketler, tehdit göstergelerini tehdit verileri ile birleştiren şirketler ve kapsamlı siber tehdit istihbarat hizmetleri sağlayan şirketler.

Tehdit Aktörlerini Paylaşan Şirketler

Birinci tip tehdit istihbaratı sağlayıcıları güvenlik duvarları, antimalware yazılımları, IDS / IPS, tehdit yönetimi sistemleri ve diğer ürünlerine güç sağlamak için raporlar, imzalar ve kurallar sağlamaktadır. Bazı durumlarda, veriler ham olarak teslim edilir; bazı şirketler ise risk veya itibar puanları ekleyerek bu verileri sunmaktadır.

Tehdit verileri, engelleme teknolojilerinin etkinliğini en üst düzeye çıkarmak için taktiksel düzeyde kritik öneme sahip olmaktadır. Bununla birlikte, olay müdahale ekibi için içerik oluşturmamaktadır. Bu veriler onaylanmadıkça, yanlış alarm ve anlamsız uyarılar oluşturarak zaman kaybetme ihtimali oluşturmaktadır.

Tehdit İstihbaratı Beslemelerini(Feed) Paylaşan Şirketler

Birçok siber güvenlik şirketi, tehdit veri beslemeleri (feed) sunmaktadır. Bunlar arasında, geçerliliği doğrulanmış ve önceliklendirilmiş tehdit göstergeleri, zararlı yazılım örnekleri, botnet’ler, DDoS saldırı yöntemleri ve diğer zararlı araçların detaylı teknik analizleri bulunmaktadır. Top 10 gibi listeler oluşturup, zararlı yazılım türlerine ait yüzdelik dilimleri ve spam saldırıların kaynakları, botnetlerin bulunduğu yerler gibi istatistiksel raporlar sunmaktadır. Bu tarz beslemeler paylaşan şirketler güvenlik operasyon merkezi (SOC) çalışanlarına saldırı araçları ve saldırganlar hakkında temel verileri sağlayarak taktiksel ve operasyonel seviyelerde yardımcı olmaktadır. Bununla birlikte detaylı bir analizden saldırganların niyeti ve taktikleri hakkına bilgi edinebilmektedir.

Kapsamlı Siber Tehdit İstihbaratı Paylaşan Şirketler

Az sayıda firma, üç tür tehdit istihbaratı sunmaktadır:

  • Onaylanmış tehdit göstergeleri (Validated Indicator of Compromise)
  • Tehdit verileri besleme kaynakları (Threat Intelligence Feeds)
  • Stratejik Tehdit istihbaratı

Bunlarla birlikte iyi bir siber tehdit istihbaratı sağlayıcısında şu hizmetleri sağlamaktadır:

  • Doğrulanmış Tehdit Göstergeleri (Validated Indicator of Compromise)
  • Saldırı araçlarının detaylı teknik analizleri
  • Deep web sitelerinden ve özel kaynaklardan toplanan verilerle düşmanlar üzerine kapsamlı araştırma
  • Mevcut ve ortaya çıkan tehdit aktörlerinin ayrıntılı raporları
  • Endüstrilere ve bireysel işletmelere yönelik tehditlerin değerlendirilmesi
  • Siber tehdit istihbarat gereksinimlerini geliştirme konusunda yardımcı olmak
  • Farklı müşteriler için farklı seviyelerde taktiksel, operasyonel ve stratejik siber tehdit istihbaratı sunmak

Günümüzde birçok işletme, teknoloji odaklı güvenlik (technology-driven security) olarak adlandırılabilecek bir şeye takılıyor; yani, en son güvenlik ürünlerini edinmek ve uygulamak için uğraşıyorlar. İyi bir siber tehdit istihbarat şirketi, bu işletmelerin “istihbarat odaklı güvenlik” geçişi yapmalarına yardımcı olabilir ve onlara en tehlikeli düşmanları yenmek için en iyi riskleri yönetmek ve kaynaklarını nasıl yatırım yapacakları konusunda stratejik düşünmeye yönlendirir. Yalnızca bu geçişi gerçekleştiren işletmelerin önümüzdeki birkaç yıl içinde ortaya çıkacak giderek karmaşıklaşan hedefli saldırılara karşı hazırlıklı olacaktır.

Referanslar

[Hiyerarşi] : http://tugrulturhan.blogspot.com.tr/2014/03/bilgelik-makamna.html
[1] : https://tr.wikipedia.org/wiki/Veri
[2] : https://tr.wikipedia.org/wiki/Enformasyon
[3] : http://iibf.erciyes.edu.tr/guven/veri/bilgi_nedir.pdf
[4] : https://www.ponemon.org/local/upload/file/Damballa%20Malware%20Containment%20FINAL%203.pdf
[5] https://en.wikipedia.org/wiki/Intelligence_cycle
[6] https://countuponsecurity.com/2015/08/15/the-5-steps-of-the-intelligence-cycle/
[7] https://cryptome.org/2015/09/cti-guide.pdf