BGA Cyber Security – Siber Güvenlik Çözümleri

Siber Tehdit İstihbaratı Paylaşım Platformu MISP Nedir?

BT toplulukları her geçen gün yeni tehditlerle karşılaşmaktadırlar. Bu tehditler ve güvenlik olaylarıyla bireysel olarak savaşmak neredeyse imkansızdır. Bu nedenle topluluklar arası bilgi paylaşımı nerdeyse hayati önem taşıyan unsur haline gelmiştir. Bu yazıda Zararlı Yazılım Bilgi Paylaşım Platformu ve Tehdit Paylaşım Projesi olan MISP üzerinden önemli göstergelerin toplanmasını ve paylaşılmasını inceleyeceğiz.

Bu platform CIRCL’den bir grup geliştirici ve aynı zamanda Belçika Savunma ve NATO / NCIRC (Computer Incident Response Capability) tarafından geliştirilen, ücretsiz bir yazılım olan zararlı yazılım bilgi paylaşım platformudur.

Siber Tehdit İstihbaratı Amaç; 

Bu güvenlik platformun amacı, hedeflenen saldırılara karşı kullanılan karşı önlemlerin geliştirilmesine yardımcı olmak ve önleyici eylemler oluşturmaktır. MISP, siber güvenlik göstergeleri, siber güvenlik olayları analizi ve kötü amaçlı yazılım analizleri hakkında tehdit toplamak, depolamak, dağıtmak ve paylaşmak için geliştirilmiş açık kaynaklı yazılımdır. Yapılandırılmış bilgileri verimli bir şekilde paylaşmak için günlük operasyonları desteklemek üzere, olay analistleri, güvenlik ve ICT uzmanları tarafından tasarlanmaktadır. Asıl amacı güvenlik grupları arasında bilgilerin paylaşılmasını teşvik etmektir. Bilgi alışverişini desteklemek için işlevsellik sağlar. Aynı zamanda Network Detection Intrusion System (NIDS), LIDS, günlük analiz araçları, SIEM’ler için tüketilecek, işlenecek veri sağlamaktır.

Siber Tehdit İstihbaratı Özellikleri;

Erişim;

MISP, bir web arayüzü (analistler veya olay müdahale ekipleri için) üzerinden kullanılabilmektedir. Aynı zamanda REST API üzerinden de tehdit göstergelerini (IOCs) alıp gönderebilmektedir.

MİSP Kullanımı

Etkinlik Oluşturmak

Misp Etkinlik Oluşturmak

Date: Olayın gerçekleştiği tarih. Açılır pencereden tarih seçimi yapabiliyoruz.

Distribution: Olayı hangi kullanıcıların görebileceğine izin verilen yerdir. İçerisinde aşağıdaki seçenekler mevcuttur;

Threat Level: Bu alan olayın risk seviyesini gösterir. Olaylar üç farklı tehdit kategorisinde (düşük, orta, yüksek) kategorize edilebilir. Bu alan default değer olarak tanımsız bırakılabilir.

Analysis: Etkinliğin analizinin mevcut aşamasını belirtir. Seçenekler;

Event Info: Kötü amaçlı yazılımın / olayın dahili referansla başlayarak kısa bir açıklamasının yapıldığı alandır. Bu alan, mümkün olduğunca kısa ve öz olmalıdır.

Nitelik Eklemek

Category: Bu açılır menü, niteliğin kategorisini açıklar; bu niteliğin hangi açıklamasının tanımlandığını gösterir.

Type: Tür, kategorinin daha özel açıklamasıdır.

Distribution: Açılır liste ile bu niteliğin kimin görebileceğini kontrol etmemizi sağlar.

Contextual Comment: Özelliğe yorum eklenecek kısımdır.

Value: Niteliğin gerçek değeri, seçilen özellik türü için geçerli olan değere göre değer hakkında verilen kısımdır.

For Intrusion Detection System: Nitelik beyaz liste tarafından geçersiz sayılmadığı sürece , NDIS verilerini dışa aktarırken bir IDS imzası olarak kullanılmasına izin verir.

Batch import: Girilecek aynı türden birkaç özellik(IP adresleri listesi gibi) varsa, bunların tümünü her satırın arasındaki satır sonuyla ayrılmış olarak aynı değer alanına girmemize olanak tanır. Sistem, her bir özellik için ayrı satırlar oluşturur.

Paylaşım Grupları

General: Paylaşım grubunun amacını açıklayan meta verilerin olduğu sekmedir.

Organisations: Bu sekme, doğrudan paylaşım grubunun üyesi olarak adlandırılan tüm kuruluşların dağıtım listesini içerir.

Servers: Bu sekmede , MISP örneklerini, belirtilen paylaşım grubu ile işaretlenmiş verilerin senkronize edilmesine izin verdiğine dair açıklama bulunur.

örnekte yer alan her kuruluşu bilmesi gerekmediği anlamına gelir. Bu ayrıca dağıtım listesinin belirli gizlilik kurallarına duyarlı topluluklar için önemli bir anlam taşır.

Summary: Her şey kurulduğunda, MISP, paylaşım grubunu vurgulanmış bir metin sayfasında özetleyecektir. Bu sekmenin gözden geçirilmesi tavsiye edilir. Paylaşım grubu ayarlarındaki hatalar; paylaşım grubunun erişim grubuna dahil edilmemesi gereken kuruluşlara veya paylaşım grubuna istenmeyen düzenleme hakları alan kuruluşlara yol açabilir.

Etkinliğe Bağlılık Eklemek

Kötü amaçlı yazılımın kendisi gibi ekleri, harici analizlerden rapor dosyalarını veya yalnızca kötü amaçlı yazılım tarafından atılan nesneleri de paylaşabiliriz. Karşımıza etkinliğe hızlıca bir dosya eklemenizi sağlayan bir form gelir. Doldurulması gereken alanlar;

Category: Yüklenen dosyanın ne anlama geldiğini açıklar.

Distribution: Açılan liste ile, bu eki kimin görebileceğini kontrol etmenizi sağlar.

Upload field: Dosya sisteminize göz atabilir ve yükleyiciyi, özelliğe eklemek istediğimiz dosyaya yönlendirebiliriz.

Malware: Bu onay kutusu dosyayı kötü amaçlı yazılım olarak işaretler ve sistem kullanıcılarının yanlışlıkla dosyayı indirmesini ve çalıştırmasını engeller. Dosyalamadan önce dosyaya bulaştığından şüpheleniyorsanız bu seçeneği işaretlediğinizden emin olun.

Contextual Comment: Korelasyon için kullanılmayacak olan özelliklere bazı yorumlar ekleyebilir, onun haricinde yalnızca bir bilgilendirme alanı olarak kullanabiliriz.

Etkinliği Yayınlamak

Etkinlikle birlikte eklemek istediğiniz tüm nitelikler ve ekler yüklendikten / oluşturulduktan sonra, etkinliği yayınlayarak oluşturulmasını sonlandırabiliriz.

Geçmiş Etkinlikleri Listelemek

MISP arayüzü, kullanıcının sistemde halihazırda depolanmış olan olaylar ve özellikler hakkında genel bilgi sahibi olmasını veya arama yapabilmemizi sağlar.

Tüm Etkinlikleri Listelemek

Olay Görünümü

Genel Olay Bilgisi:

Nitelik Listelenmesi

Nitelik Aramak

Bu sekme kategori ve türlere göre aramayı daraltmak için kullanılır. Tüm özelliklerin değerleri ile karşılaştırılacak bir veya birkaç arama dizesi girebileceğimiz bir form getirir. Girilen arama dizisi bir değerin alt dizesi ile tam eşleşmesi gerekmektedir.

Şablon Oluşturmak

MISP kullanmaya yeni başlayan kullanıcılar elle nitelik ekleme kısmında zorluk yaşayabilirler. Şablonlar, kullanıcıların etkinlikleri doldurmak için basit formlar kullanmasına izin verir. MISP birkaç varsayılan şablon ile birlikte gelse bile kullanıcılara kendi şablonlarını oluşturma imkanı verir.

Doldurulması gereken alanlar;

Tip Seçimi – ATTRİBUTE

Doldurulması zorunlu olan alanlar;

Tip Seçimi – File

Doldurulması zorunlu olan alanlar;

Tip Seçimi – TEXT

Doldurulması zorunlu olan alanlar;

Verileri Dışarı Aktarmak

Arka Planda Çalışan İşlemleri Engelleyerek Aktarım Yapmak

Bu sekme bir dosya olarak indirebileceğiniz dışa aktarma formatlarını listeler. İstediğiniz dışa aktarma formatını tıklamanız yeterlidir. Bu süreç biraz uzun sürebilir.

Arka Planda Çalışan İşlemler Etkin Durumdayken Aktarım Yapmak

Arka plandaki işlemler etkinse, dışa aktarma sayfasının farklı bir görünümüne yönlendirilirsiniz. Burada, tüm büyük dışa aktarma formatlarını ve önbelleğe alınmış dışa aktarma dosyalarının mevcut durumunu içeren bir tablo göreceksiniz. İstediğiniz dışa aktarma türü için “Generate” düğmesine tıklayabilirsiniz. Bu işlem arka planda çalışan işlemleri ön belleğinize getirmeye ve birleştirmeye başlar.Tamamlandığında, yeni oluşturulan önbellek dosyasını indirmek için “Download” butonuna tıklayabilirsiniz.Önbellek önceden güncellenmiş ise, önbelleği yenilemeniz gerekmez. sadece “Download” ‘a tıklamak yeterlidir

Arama Sonuçlarını ve Kişisel Etkinlikleri Aktarmak

Dışa aktarma sayfalarının sunduğu seçeneklerin yanı sıra, sol menü çubuğundaki “Sonuçları XML olarak indir” düğmesini kullanarak, arama özelliği sonuç tablosunda yer alan tüm etkinlikleri dışa aktarmak da mümkündür.

Diğer Olaylarla Bağlantı Kurmak

Başka Bir Sunucuyla Bağlantı kurmak

Kurulu Bir Sunucu ile Bağlantı Kurmak ve İncelemek

Misp Veri Modelleri

MISP sadece bir yazılım değil, aynı zamanda MISP topluluğu tarafından oluşturulan bir dizi veri modelidir. MISP, JSON içinde ifade edilen, MISP yazılımı veya herhangi bir başka yazılım ile kullanılabilecek basit ve pratik bir bilgi paylaşım formatı içerir.

Misp Nesneleri

MISP nesneleri, MISP veya diğer bilgi paylaşım platformlarının kullanıcıları tarafından sağlanan dinamik olarak kullanılan nesnelerdir. Amaç, MISP gibi işlevsel dağıtılmış paylaşım sistemlerinde nesnelerin tanımının dinamik olarak güncellenmesine izin vermektir. MISP nesneler modeli, MISP’in ya da onu kullanan diğer tehdit paylaşım platformunun altta yatan kod tabanını değiştirmeden, kullanımlarına dayalı yeni birleşik göstergeler formatı eklemeyi sağlar.  Nesnelerin tanımı daha sonra göstergelerin kendisiyle birlikte yayılabilir.

Bir MISP nesnesi JSON dosyasında aşağıdaki bilgileri içerir:

Misp Galaksisi

MISP Galaxy, MISP olaylarına veya öz niteliklerine eklenebilen küme adı verilen büyük bir nesneyi ifade etmenin basit bir yöntemidir. Bir küme, bir veya daha fazla elemandan oluşabilir. Öğeler anahtar / değer çifti olarak ifade edilir. MISP galaksisinde mevcut varsayılan kelime hazneleri vardır, ancak bunların üzerine yazılabilir, değiştirilebilir veya güncellenebilir. Mevcut kümeler ve kelimeler, olduğu gibi ya da bir şablon olarak kullanılabilir. Sınırlı veya daha geniş bir dağıtım şemasına izin vermek için her kümeye MISP dağıtımı uygulanabilir. Galaxy, web sitesi üzerinden taranabilir, PDF olarak veya doğrudan MISP yazılımı aracılığıyla indirilebilir.

Misp Taksonomisi

MISP taksonomileri, bir dizi önceden tanımlanmış sınıflandırma modelleme tahmini dilini, CSIRTs/CERTs sınıflandırmalarını, ulusal sınıflandırmaları veya tehdit modeli sınıflandırmasını sağlar. Sabit taksonomiler, taksonomilerin bir kurumun veya belirli bir paylaşım topluluğunun yerel gereksinimlerini karşılamak için genişletilebilen bir dizi MISP örneğinde etkin olayları ve nitelikleri etiketlemek için pratik bir yöntem sağlar. MISP taksonomileri topluluk uygulamalarına dayanarak serbestçe kullanılabilir.

Misp Çekirdek Formatı

MISP çekirdek formatı, MISP tarafından kullanılan basit bir JSON formatı ve olayları ve nitelikleri değiştirmek için kullanılan diğer araçlardır. JSON şeması 2.4 MISP çekirdek yazılımı üzerinde açıklanmıştır ve birçok örnek dosya OSINT beslemede mevcuttur.

MISP formatı misp-rfc’de Internet-Taslak olarak tanımlanmıştır. MISP çekirdek formatı, MISP formatını destekleyen (ithalat veya ihracat olarak) kendi aracını oluşturmak isteyen geliştirici veya organizasyonları desteklemek için tanımlanmıştır. Standart, pratik kullanım durumlarından ve MISP projesi içerisindeki uygulama referanslarından oluşturulmuştur. Standart MISP uygulamasının ardından hızla gelişmektedir.

Desteklediği Standartlar

MISP projesi farklı coğrafi bölgelerde ve farklı faaliyet sektörlerinde (siber güvenlik, istihbarat toplulukları, kolluk kuvvetleri ve STK’lar) kullanıldığı için projenin içerisinde yer alan yazılım, belge veya kütüphaneleri kullanırken uyumluluğu sağlamak için bir dizi yasal politika ve analiz mevcuttur.

GDPR – General Data Protection Regulation (Genel Veri Koruma Yönetmeliği)

ISO/IEC 27010:2015 – Sektörler arası ve kurumlar arası iletişim için bilgi güvenliği yönetimi

Siber tehdit istihbaratı bilgi paylaşımı toplulukları içinde bilgi güvenliği yönetiminin uygulanması için ISO / IEC 27000 standartlar ailesinde verilen kılavuza ek olarak kılavuz bilgiler sunmaktadır.

Sonuç

Birçok açık kaynak ve tescilli araç kendisini genişletmek için MISP desteğini (MISP formatı veya API) entegre eder. Birçok yazılım MISP projesi tarafından desteklenmekte ve işlenmektedir. MISP projesi tarafından desteklenen ek yazılımların, toplumun günlük operasyonlarını desteklemek için ek araçlara güvenmesi sağlanır. Amaç MISP çekirdek yazılımına daha sonra entegre edilebilecek yeni fikirleri, kavramları ve ya işlevsellikleri araştırmaktır.

Yazar: Gurbet Başakçi

Exit mobile version