Siber Tehdit İstihbaratı Veri Toplamasına Genel Bakış konusu ile Siber Tehdit İstihbaratı konumuza devam ediyoruz.
Veri toplama, araştırma problemine cevap bulmaki hipotezi test etmek ve sonuçları değerlendirmek için ilgili kaynaklardan bilgi toplama sürecidir. Veri toplama yöntemleri birincil ve ikincil veri toplama yöntemleri olarak ikiye ayrılabilir.
Siber Tehdit İstihbaratı Veri Toplama Yöntemleri
İkincil veri toplama türleri: İkincil veri toplama; kitaplarda, gazetelerde, dergilerde, çevrimiçi portallarda yayınlanmış veri türüdür. Bu kaynaklarda bolca veri bulunmaktadır. Bu nedenle araştırma yapılırken kısıtlamalar, kriterler belirleyerek çalışılması önerilir. Örneğin tarih, yazar, kaynağın güvenilirlik seviyesi, tartışmaların kalitesi, analizlerin ayrıntı ve derinliği gibi kriterler belirlenebilir.
Birincil veri toplama türleri: Bunlar kedi içinde nicel ve nitel veri toplama türleri olarak ayrılır.
Nicel veri toplama yöntemi: Nicel veri toplama ve analiz yöntemleri arasında kapalı uçlu sorular içeren anketler, korelasyon ve regrasyon yöntemleri, ortalama, mod, medyan gibi yöntemler sayılabilir.
Nitel veri toplama yöntemi: Nitel araştırmalar, derinlemesine anlayış ve nitel veri toplama yöntemlerinin daha yüksek düzeyde olmasını sağlamayı amaçlar; Röportajlar, açık uçlu sorular içeren anketler, gözlem çalışmaları gibi çalışmalar örnek gösterilebilir.
Nicel ve nitel veri toplama yöntemleri arasındaki seçimimiz, araştırma alanımıza ve araştırma amaç ve hedeflerine bağlıdır.
Veri Türleri
Sayısal Veri: Tüm sayı tiplerini içeren veri tipidir. Hesaplama işlemlerinde kullanılabilen tek veridir. Pozitif veya negatif sayılar, tam sayı veya reel sayı olarak kullanılabilirler. Uzaklık, ücret, yarıçap, matematiksel hesaplamalar gibi işlemlerde kullanılırlar.
Alfanümerik/Karakter Veri: Karakter veri setleridir. Bu veri setinde oluşan değerler tırnak içinde gösterilir. Bu değerler; sayılar, harfler ve karakterler olabilir. Büyük/küçük harf duyarlılığı vardır.
ASCII (American Standard Codefor Information Interchange) olarak adlandırılan karakter seti 256 karakterden oluşur. Bu karakterler hesaplama işlemlerinde kullanılamazlar.
Mantıksal Veri: Bu veri setinde sadece 2 tane değer vardır; “Evet” ve “Hayır”. Bu veri seti mantıksal karar verme süreçlerinde kullanılır.
Siber Tehdit İstihbaratı Veri Toplama Türleri
Big Data-Büyük Veri: İnsan ve makine tarafından üretilen, devasa bilgi haznelerinin neden olduğu, analiz ve işleme için standart bir veritabanına sığmayacak kadar büyük olan veri miktarıdır. İstihbaratın yapı taşlarını oluşturan makine öğrenmesi, büyük verilerden yararlanır.
Büyük veriler üzerinden araştırmalar yapılabilir, istatistikler ve sayısal veriler çıkarılabilir ve geleceğe yönelik stratejilerimizi buna göre şekillendirebiliriz.
Yapısal, Yapılandırılmamış, Yarı Yapılandırılmış Veri: Yapılandırılmış ve yapılandırılmamış veriler arasındaki en büyük fark; verinin önceden tanımlanmış bir veri modeline sahip olup olmamasına ve önceden tanımlanmış bir şekilde düzenlenmiş olup olmamasına bağlıdır.
Zaman Damgalı Veri: Zaman damgalı veriler, her bir veri noktasının yakalandığı ve toplandığı sırasını tanımlayan bir zaman sırası kavramı olan veri kümesidir.
Makine Verileri: Makine verileri modern işletmeleri destekleyen sistemler, teknolojiler ve altyapı tarafından oluşturulan dijital verilerdir. Bu veriler erişilebilir ve kullanılabilir hale getirilirse, kurumların sorunlarına çözüm üretmelerine, tehditleri tespit etmelerine ve gelecekteki sorunları tahmin etmelerine yardımcı olmak için kullanılabilir.
Spatiotemporal Veriler: Spatiotemporal veriler, aynı olay için hem yer hem de zaman açıklamasının bulunduğu verilerdir. Bir konumdaki olayın zaman içerisinde nasıl değiştiğini göstermeye yardımcı olur.
Açık Veri: Açık veriler, kullanımları ve telif hakkı, patentler ve diğer kontrol mekanizmaları kısıtlama olmadan, yeniden yayınlama hakları açısından herkes tarafından ücretsiz olarak erişilebilen verilerdir.
Karanlık Veri: Karanlık veri kullanılmayan ve bir şekilde hareketsiz kalan veridir. Kuruluşun sürekli topladığı ve sakladığı ama kullanmadığı verilerdir.
Gerçek Zamanlı Veri: İnsanların algılayamayacağı kadar hızlı gerçekleşen anlık hesaplamalar için kullanılan verilerdir.
Yüksek Boyutlu Veriler: Yüksek boyutlu veriler, yüz tanıma teknolojilerine göre popüler hale gelen bir terimdir. Bir insan yüzündeki çok karmaşık kantür sayısı nedeniyle, yüz fizyolojisi içerisindeki tüm nüansları ve bireyleri tanımlayabilen hesaplamaları idare edebilecek kadar çok yönlü yeni bir veri türüdür.
Doğrulanmamış Eski Veriler: Bu veriler, toplandıktan sonra, doğru yapıda ve tipte olup olmadığı kimse tarafından bilinmeyen verilerdir.
Siber Tehdit İstihbarat Toplama Yönetimine Genel Bakış
Veri Toplama İçin Operasyonel Güvenliği Anlamak
Operasyon Güvenliği, bilgi varlıklarını sınıflandıran ve bu varlıkları korumak için gerekli kontrolleri belirleyen analitik bir süreçtir. Bu Operasyonel Güvenlik 5 aşamalıdır;
1-) Hassas Verilerin Tanımlanması: İlk adım bir rakip tarafından elde edilmesi halinde hangi verilerin kuruluşa zararlı olacağını kesin olarak belirlemektir.
2-) Tehditleri Belirleme: Bir sonra ki adım bu kritik bilgilere karşı kimin tehdit oluşturduğunu belirmektir.
3-) Güvenlik Açıklarının Analizi: Bu aşama organizasyonun potansiyel düşmanlarına karşı savunmasız bırakan zayıf noktalarını inceler.
4-) Risklerin Değerlendirilmesi: Güvenlik açıkları belirlendikten sonraki adım, her biri ile ilişkili tehdit seviyesini belirlemektir. Kurum riskleri, belirli bir saldırının meydana gelme olasılığı ve bu tür bir saldırının operasyonlara ne kadar zarar vereceği gibi faktörlere göre sıralamaktadır.
5-) Uygun Çözümlerin Uygulanması: Son adım riskleri en aza indiren bir plan oluşturmaktır. Burada amaç en büyük riskten başlayarak, kuruma karşı olan risklerin hepsini en aza indirmektir.
Veri Güvenilirliğini Anlama
İstatiksel bir analiz yaparken sorulması gereken ilk soru verilerin doğruluğudur. Veriler doğru değilse eğer, hangi konuda analiz yaptığınız, hangi yöntemleri kullandığınız yada analiz etme konusundaki uzmanlığınız önemli değildir. Çünkü elde edilen sonuçlar güvenilir olmayacaktır.
Veri Güvenliğini en üst düzeye çıkarmak için yapılabilecek 3 kritik eylem;
1-) 5N1K: veriler toplanırken sorulması gereken sorular vardır. Bu soruların cevapları verinin güvenilirliği hakkında bize fikir verecektir.
- Hangi veriler (Ne verisi)?
- Ne zaman elde edildi?
- Nerden elde edildi?
- Nasıl toplandı?
- Neden elde edildi?
- Kim topladı?
2-) Ölçüm Sisteminizin Test Edilmesi: Birçok kalite iyileştirme projesi, ağırlık, çap veya uzunluk ve genişlik gibi faktörler için ölçüm verisi gerektirir. Ölçümlerinizin doğruluğunu onaylayamamak, pratik olarak verilerinizin – ve dolayısıyla sonuçlarınızın – güvenilir olmadığını garanti eder.
3-) Karışık ve Gizlenen Verilere Dikkat Edilmesi: Veriler toplarken, karışık ve gizlenen değişkenleri analize eklemekten kaçınmamız gerekmektedir. Bu gizlenen değişkenler, en ayrıntılı toplanan verileri bile güvenilmez hale getirebilir.
Üçüncü Şahıs İstihbarat Kaynaklarının Kalitesinin ve Güvenilirliğinin Doğrulanması
Araştırmacıya veri bulma, kodlama veya şifreleme konusunda yardımcı olan çevrimiçi araçların kullanılması, potansiyel sızıntı kaynakları veya sosyal mühendislik olabilir. Araştırmacının, onları uyarmak suretiyle soruşturmaya yardımcı olabileceğine yardımcı olacak görünüşte güvenli ve kullanışlı çevrimiçi araçların mevcut olduğu düşünülemez. Ayrıca, bir üçüncü şahıs sevgili tarafından veri elde edildikten sonra, herhangi bir araştırmayı tehlikeye atacak şekilde yararlanılabilir. Bu olasılıkların bir sonucu olarak, araştırmacı, mümkünse gizli veya kritik verilerin doğrulanmamış bir üçüncü bölüme istemeden temin edilmemesini temin ederek bilgi sızıntısını dikkate almalıdır.
Bunun bir örneklemesi, bir araştırmacının coğrafi konum gibi değiştirilebilen görüntü dosyası formatı (EXIF) verilerini çıkarmak için üçüncü taraf bir foruma veya web uygulamasına bir görüntü sağlaması; benzer bir iş. Resim yüklendikten sonra, araştırmacıya o resmin nasıl kullanılabileceği belirsizdir.
Birçok şirket, karşısındaki riskleri küçümser ve third-party hizmetlerini abartılı bulur.
Kurumun karşılaşabileceği kötü sürpriz lerden korunmak ve önlemek için third-part kuruluşlarıyla işbirliği yapılabilir. Sağlam bir third-party durum tespiti prosedürü uygulanarak, kuruluşunuzu hem maddi hemde prestij zararlarından koruyabilirsiniz.
Üçüncü parti kuruluşlarla işbirliği yapmadan önce dikkat edilmesi gereken noktalar vardır;
- İşbirliği başlamadan önce birlikte çalıştığınız insanları ve varlıkları olabildiğince erken tanımalı ve kırmızı bayrakları mümkün olduğu kadar erken tespit etmek için sözleşme süresince gerekli riskleri izlemelisiniz.
- gerek iş ortamını ve özel iş gereksinimlerini dikkate alan güçlü bir third-party risk yönetim stratejisi uygulamalısınız.
- Hedeflerinize etkili bir şekilde ulaşmak için riskli bazı yaklaşımlarda bulunup kanıtlanmış metodolojiye sahip aralardan yararlanabilirisniz.
- Riskleri periyodik olarak ve sürekli izlemelisiniz. ,lk bulguların doğrulanması ve risk durumunuzun en son duruma göre yeniden belirlenmesi gerekebilir.
Yüksek düzeyde bir iş bütünlüğü sağlayın, risk seviyesini azaltın ve kuruluşunuzun yararına olacak şekilde genel uyumunuzu güçlendirin.
Bir Tehdit İstihbarat Toplama Planı Oluşturma
Bir tehdit istihbaratı programı ayrıntılı bir planlama olmadan gerçekleşemez. Tüm tehdit istihbaratı programlarının gerçekleştirilebilmesi için gereken temel yönlerden biri, istihbaratın şu şekilde analiz edilmiş ve işlenmiş veriler olmasıdır:
İlgili veriler: Bilgiler; işletme, sanayi, ağlar ve hedeflerinizle ilgili ve en azından potansiyel olarak ilgili olmalıdır.
İşlem yapılabilir: Elde edilen bilgiler ile verilecek kararlar, harekete geçmeye ve önlem almaya yönelik olmalıdır.
Değerli veriler: İlgili ve işlem yapılabilir olsa bile, veriler bir işletmeye katkıda bulunmuyor ise hiçbir değeri yoktur.
Güvenlik uzmanlarının ilgili, işlem yapılabilir ve değerli bilgileri nasıl elde edeceklerini bilemeleri önemlidir.
Bir Tehdit İstihbaratı programı için gereken yatırımın gerekçelendirilmesi sırasında, Tehdit İstihbaratı’nın tüm işletme üzerindeki etkisinin dikkate alınması gerekir.
Bilgi Güvenliği ve Siber Güvenlik ekipleri, sorumlu oldukları sistemleri güvence altına alan Tehdit İstihbaratı programlarından doğrudan etkilenir.
Bununla birlikte, Tehdit İstihbaratı programları diğer birçok örgütsel işlevi etkilemektedir. Bunlar şunları içerebilir:
- Yasal olması
- Uyumlu olması
- Fiziksel güvenlik
- Pazarlama ve marka
- İnsan kaynakları
Başarılı bir tehdit istihbaratı programı oluşturmak için yapılması zorunlu olan işlemleri sıralayabiliriz.
- Bilgi gereksinimleri
- Bilgi toplama sistemleri
- Bilgi toplama
- Sömürme
- Analiz
- Üretim
- Paylaşma
- Harekete geçme
- Tekrarlama
Projenin başarısını sağlamak için, yalnızca oluşturulması veya satın alınması gereken yazılımı değil, bu yazılımın genel kuruluşunuza nasıl uyuştuğunu da düşünmek zorundasınız. Örneğin, bu yazılımı çalıştıracak kişiler, amaçları ve uzmanlıkları, iş işlevleri, yazılımın yardım ettiği hedeflere ulaşma yeteneği ve benzeridir.
Yazar: Cyber Intelligence Analyst Gurbet Başakçi
Bölüm -8 “Tehdit İstihbarat Kaynakları ve Yayınlarına Genel Bakış“