Site icon BGA Cyber Security – Siber Güvenlik Çözümleri

Siber İstihbarat Paylaşımı ve Yaygınlaştırma

Siber İstihbarat Paylaşımı ve Yaygınlaştırma

Siber İstihbarat Paylaşımı ve Yaygınlaştırma

İstihbarat paylaşımı, özellikle aynı sektörde faaliyet gösteren şirketler ve kuruluşların karşı karşıya oldukları geniş tabanlı siber saldırılar hakkında bilgi paylaşabildiği durumlarda etkilidir. Fidye yazılımı , kötü amaçlı yazılım ya da mızrak avcılığı C seviye yöneticileri olsun, istihbarat paylaşımındaki basit bilgiler, uzmanların daha hızlı ve daha etkili şekilde yanıt vermelerini ve siber saldırıları engellemelerini sağlar.

Siber İstihbarat Raporlama Türleri konumuzu bitirdikten sonra Siber İstihbarat makale dizimize, Siber İstihbarat Paylaşımı ve Yaygınlaştırma konusu ile devam ediyoruz.

Siber İstihbarat Paylaşımının Yararları

Fikirleri Paylaşma

İnsanlar daha yaratıcı düşünmeye ve sorun çözme söz konusu olduğunda gruplarda daha fazla ilham alma eğilimindedirler. Siber güvenlik alanında, resmi veya gayrı resmi tartışmalara ve istihbarat paylaşımına katılmak (örneğin, kötü amaçlı yazılım örnekleri veya olası saldırı senaryoları) kuruluşların, meslektaşlarından ihlallerin nasıl önlenebileceğini öğrenmelerini sağlar .

Kaynakları Paylaşma

Güvenilir bir topluluk grubuna katılmak ayrıca oradaki kuruluşların ve şirketlerin komut dosyaları, iş akışları, runbook’lar, oyun kitapları vb. gibi kaynakları paylaşabileceği anlamına gelir. Üyeler belirli endişeler veya tehditlerle ilgili çeşitli teknik soruları sorabilir ve cevaplayabilir.

Başarılı İstihbarat Paylaşımı Modelleri

Bankacılık sektöründe resmi veya gayri resmi kanallar aracılığıyla güvenlik istihbaratının değişimi hüküm sürmektedir. En önde gelen gruplardan biri olan siber ve fiziksel tehdit istihbarat paylaşımı ve analizi için bir kaynak olan FS-ISAC (Finansal Hizmetler Bilgi Paylaşımı ve Analiz Merkezi).Bu merkez, üyelerin tüm sektörde anonim olarak bilgi paylaşmasını sağlar. Bir tehdit bildirimi aldıktan sonra, uzmanlar onu analiz edip doğrularlar ve daha sonra diğer üyelere haber vermeden önce çözümleri paylaşırlar.

Siber İstihbarat Paylaşımındaki Zorluklar

İşletmeler, veri hacmi, onaylama, kalite, hız ve saldırıların korelasyonu nedeniyle zarar gördüğünden tehdit istihbarat paylaşım çabalarıyla sürekli bir zorlukla karşı karşıyadır

Hacim: Çok büyük sinyal-gürültü problemi, güvenlik ekiplerinin yüksek öncelikli olaylara odaklanmasını engelleyebilir ve beklenmedik saldırıların gerçekleşmesine yol açabilir.

Onaylama: Saldırganlar tehdit istihbarat sistemlerini yanlış yönlendirmek çin sahte tehdit raporları sunabilir ve yasal olarak kullanılan kaynaklardan elde edilen verileri kötü amaçlı kurcalayabilir.

Kalite: Paylaşımcılar yalnızca daha fazla tehdit verisi toplamaya ve paylaşmaya odaklanırsa, çoğunun yinelenebilir olma riski vardır, bu da zaman ve çaba harcaması demektir.Sensörler, kalıcı saldırıların temel yapısal unsurlarını tanımlamaya yardımcı olmak için daha kaliteli veriler yakalamalıdır.

Hız: Güvenlik sensörleri ve sistemleri, saldırı hızlarını eşleştirmek için neredeyse gerçek zamanlı olarak tehdit istihbaratını paylaşmalıdır.

Bağıntı: Tehdit verilerinde ilgili kalıpların ve kilit veri noktalarının tespit edilememesi, verilerin istihbarat ve güvenlik operasyon ekiplerini bilgilendirebilecek ve yönlendirebilecek bilgiye dönüştürülmesini imkansız hale getirir.

Bilgi Paylaşımı Kuralları

Siber Tehdit İstihbaratının Paylaşılmasına Genel Bakış

Stratejik Tehdit İstihbaratının Paylaşılması

Stratejik istihbarat tehdit aktörlerinin  zaman içinde nasıl değişim gösterdiği ile ilgilenmektedir. Stratejik bilgi, bir saldırının arkasında kimin olduğuna dair tarihsel bilgiler, motivasyonları veye nitelikleri tanımlar. Sorulan sorular; “Size kim zarar vermek istiyor?”, “Neden bir saldırı altındasınız?”, “Başlıca trendler nelerdir?”. “Sektörel rakipler kimlerdir?”, “Risk profilinizi azaltmak için ne gibi önlemler almalısınız?” şeklindedir.

Düşmanlarınızın kim olduğunu ve nedenlerini bilmek size gelecekteki operasyonlar ve taktikleri ile ilgili ipuçları sağlar. Stratejik istihbarat hangi savunma yönteminin etkili olacağına karar vermek için başlangıç noktasını oluşturur.

Taktik Tehdit İstihbaratı Paylaşımı

Taktiksel tehdit istihbaratı analistler için referans materyallerini oluşturur. Bunun için IoC verilerine ihtiyaçları vardır.

IoC verileri, iyi niyetli olaylardan ve kötü amaçlı yazılımlardan elde edilir ve belirli bir kötü amaçlı yazılım örneği, kötü amaçlı yazılım ailesi, izinsiz giriş denemesi ve tehdit oyuncusu gibi belirli bir tehdidin örnekleri olarak, analistlere sunulur.

Operasyonel Tehdit İstihbaratının Paylaşılması

Başarılı bir savunmayı sürdürmek için, kuruluşlar yalnızca karşı karşıya kaldıkları düşmanlara cevap vermekten daha fazlasını gerekir.Aynı zamanda rakiplerin yeteneklerini de bilmek gerekir. Operasyonel tehdit istihbaratını bu işlemi gerçekleştirir. Operasyonel tehdit istihbaratı, güvenlik olayları ve savunucuların için şu işlemleri yapar;

IT-ISAC (Bilgi Teknolojisi – Bilgi Güvenliği ve Analiz Merkezi)

IT-ISAC (Bilgi Teknolojileri Bilgi Paylaşımı ve Analiz Merkezi), Ocak 2001’de, on dokuz önde gelen BT endüstrisi şirketi (Oracle, IBM, EDS ve Computer Sciences dahil) tarafından güvenlikle ilgili bilgilerin merkezi bir deposu olarak hizmet veren bir tesistir. Grubun amacı, her kuruluşun güvenlik saldırıları ve güvenlik açıkları hakkındaki bilgilerini tüm üyeler arasında paylaşmaktır. Üye şirketlerden, sahip oldukları güvenlik sorunları veya buldukları bu sorunlara çözümler hakkında bilgi vermeleri beklenir.

Makine Tarafından Okunabilen Tehdit İstihbaratı (MRTI)

Makine tarafından okunabilen tehdit zekası (MRTI), en son geçerli tehditlere ilişkin bağlamı sunarak birden fazla güvenlik kontrolüne ve işlemine yarar sağlayan bir yetenektir. Güvenlik liderleri, bu araştırmadaki rehberliği kullanarak tehditleri tespit etmek, önlemek ve bunlara müdahale etmek amacıyla MRTI’dan yararlanırlar.

Tehdit İstihbaratını Paylaşma Standartları ve Formatları

Tehdit istihbaratı da dahil olmak üzere diğer tüm konularda standartlar olamsının sebebi toplumun tamamında işbirliği ve iletişime olanak sağlamak için ortak terminoloji ve yapıların kullanımını geliştirmek ve genişletmektir

Bu çabalar arasında temel güvenlik verilerinin kayıt altına alınması, siber güvenlik bilgilerini doğru bir şekilde iletmek için standartlaştırılmış diller oluşturulması, siber güvenlik kavramlarının uygun kullanımını tanımlamak ve yaygın olarak kabul edilen siber güvenlik süreçleri için topluluk yaklaşımlarını desteklemek yer almaktadır.

Bunlara örnek vermek gerekirse;

Trafik Işık Protokolü (TLP)

Trafik Işığı Protokolü- Traffic Light Protocol (TLP) aslen İngiltere Hükümeti Ulusal Altyapı Güvenliği Koordinasyon Merkezi (NISCC Ulusal Altyapı Koruma şimdi Merkezi – CPNI) tarafından 2000’li yılların başında kurulmuştur.

Temel kavram, göndericinin, bilgilerinin derhal alıcının ötesine yayılmasını istediğini işaret etmesidir. Bireyler , kuruluşlar veya topluluklar arasındaki bilgi akışını kontrollü ve güvenilir bir şekilde geliştirmek için tasarlanmıştır . TLP etiketli iletişimleri yöneten herkesin protokolün kurallarını anlaması ve bunlara uyması önemlidir. Ancak o zaman güven tesis edilebilir ve bilgi paylaşımının faydaları sağlanabilir. TLP, daha fazla yayılmasının ne olduğunu belirtmek için bilgileri dört renkten biriyle etiketleyen gönderen kavramına dayanmaktadır.Varsa, alıcı tarafından üstlenilebilir. Daha geniş bir yayınıma ihtiyaç duyulursa, alıcının gönderene danışması gerekir.

TLP’nin dört rengi ve anlamı;

Bir toplantı bağlamında, örneğin, KIRMIZI bilgi toplantıda bulunanlarla sınırlıdır. Çoğu durumda, KIRMIZI bilgi sözlü olarak veya şahsen iletilir.

Alıcı, SARI bilgisini kuruluşundaki diğer kişilerle paylaşabilir, ancak yalnızca “bilmesi gerekenler” temelinde paylaşabilir. Göndericiden, bu paylaşımın amaçlanan sınırlarını belirlemesi beklenebilir.

Bu kategorideki bilgiler belirli bir topluluk içinde geniş kapsamlı olarak dağıtılabilir. Ancak, bilgiler İnternet üzerinde kamuya açık olarak yayınlanamaz veya yayınlanamaz, ayrıca topluluk dışında yayınlanamaz.

Standart telif hakkı kurallarına tabi olarak, BEYAZ bilgileri kısıtlama olmaksızın serbestçe dağıtılabilir.

MITRE Standartları

Güvenlik açıklarının adlandırılmasında standart olarak kabul edilen CVE, güvenlik ürünleri, hizmetler ve kuruluşlar arasında korelasyon sağlar. 75’ten fazla satıcının 100’den fazla ürün ve hizmeti CVE uyumluluğunu sağlamıştır.

İç Güvenlik Bakanlığı sponsorluğunda ve CVE Editör Kurulu ile işbirliği içinde olan MIRTE, CVE’yi ilerletmek, CVE listesini tutmak ve CVE’nin kamu yararına hizmet etmesini sağlamak için bağımsız üçüncü taraf olarak çalışmaktadır.

TAXII ve STIX

TAXII, siber tehditlerin gerçek zamanlı tespiti, önlenmesi ve azaltılması için siber tehdit bilgilerinin güvenli bir şekilde paylaşılması için bir dizi protokol tanımlar. STIX, siber gözlemciler, uzlaşma göstergeleri, olaylar, TTP’ler (teknikler, taktikler ve prosedürler) ve kampanyalar dahil olmak üzere siber tehdit bilgileri için ortak bir format sağlar.

TAXII ve STIX birlikte tehdit paylaşan toplulukların ortak savunmayı teşvik etmek için eyleme geçirilebilir, yapılandırılmış tehdit istihbarat alışverişinde bulunmalarını sağlayı hedefler.

CVE’e ek olarak,şunları içerir:

Siber Güvenlik Kayıtları

Siber Güvenlik Dilleri / Formatları ve Protokolleri

Yönetilen Olay Hafif Değişim – Managed Incident Lightweight Exchange (MILE)

MILE, çalışma grubu, bilgisayar ve ağ güvenliği olay yönetimini desteklemek için standartlar geliştirmektedir. Olay, bir bilgi teknolojisi (BT) altyapısında meydana gelen planlanmamış bir olaydır. Bir olay, iyi huylu bir yapılandırma sorunu, BT olayı, sistemin tehlikeye attığı, sosyal olarak tasarlanan kimlik avı saldırısı veya hizmet reddi (DoS) saldırısı, vb. olabilir. Bir olay algılandığında ya da şüphelenildiğinde, işbirliği yapacak kuruluşlara ihtiyaç duyulabilir.. Bu işbirliği çabası ortak analiz, bilginin yayılması ve / veya koordineli bir operasyonel cevap gibi çeşitli biçimlerde olabilir. Yanıtın örnekleri arasında, bir raporun doldurulması, olayın kaynağının bildirilmesi, üçüncü bir tarafın olayı çözmesi / hafifletilmesi, belirli uzlaşma göstergelerinin paylaşılması talep edilmesi veya kaynağın bulunmasını istemek yer alabilir.

VERIS

Olay Kaydı ve Olay Paylaşımı için Kelime Bilgisi-The Vocabulary for Event Recording and Incident Sharing (VERIS), güvenlik olaylarını yapılandırılmış ve tekrarlanabilir bir şekilde tanımlamak için ortak bir dil sağlamak üzere tasarlanmış bir metrikler kümesidir. VERIS, güvenlik endüstrisindeki en kritik ve kalıcı zorluklardan birine cevap niteliğindedir ; kalite bilgisi eksikliği. VERIS, bu olayı kuruluşlara olaylarla ilgili yararlı bilgiler toplamalarına ve bu bilgileri (isimsiz ve sorumlu bir şekilde) başkalarıyla paylaşmalarına yardımcı olmayı hedefler. Genel amaç, riski daha iyi ölçmek ve yönetmek için deneyimlerimizden yapıcı ve işbirliğine dayalı olarak öğrenebileceğimiz bir temel oluşturmaktır.

IDMEF

Bilgisayar güvenliğinin bir parçası olarak kullanılan IDMEF ( İzinsiz Giriş Tespiti Mesajı Değişim Biçimi-Intrusion Detection Message Exchange Format ), izinsiz giriş tespiti, izinsiz giriş önleme, güvenlik bilgi toplama ve onlarla etkileşime girmesi gerekebilecek yönetim sistemleri arasında bilgi alışverişi için kullanılan bir veri biçimidir. IDMEF mesajları otomatik olarak işlenecek şekilde tasarlanmıştır.

IDMEF’in amacı, izinsiz giriş tespit ve yanıt sistemlerine ve bunlarla etkileşime girmesi gerekebilecek yönetim sistemlerine ilgi duyulan bilgileri paylaşmak için veri formatlarını ve değişim prosedürlerini tanımlamaktır . Bilgisayar güvenliğinde raporlama ve değişim olaylarında kullanılır .

Siber Tehdit İstihbaratı Paylaşma Platformlarını Anlamak

Blueliv Tehdit Değişim Ağı

Blueliv Tehdit Değişim Ağı siber güvenlik uzmanları, BT profesyonelleri ve akademisyenler için oluşturulmuş küresel bir topluluktur. Olay yanıtını hızlandırmak için en son haberleri, tehdit verilerini, IOC’leri ve daha fazlasını yayınlamayı amaçlamaktadır. Bu IOC’leri API ve sayısız SIEM eklentileri aracılığıyla dışa aktararak kendi istihbarat beslemenizi oluşturabilirsiniz.

Anomali STAXX

Anomali , tehdit zekası ve analiz platformu ile bilinen ABD merkezli bir siber güvenlik şirketidir

Anomali, ücretsiz bir Tehdit İstihbaratı beslemesi olan Limo ile donatılmış STIX ve TAXII’yi destekleyen ücretsiz bir yardımcı program olan STAXX’i oluşturmuştur.

MISP (Kötü Amaçlı Yazılım Bilgi Paylaşma Platformu)

MISP tehdit paylaşım platformu, siber güvenlik göstergeleri de dahil olmak üzere tehdit istihbaratının bilgi paylaşımına yardımcı olan ücretsiz ve açık kaynaklı bir yazılımdır.

Hedeflenen saldırıların uzlaşma göstergelerinin, tehdit istihbaratının, finansal dolandırıcılık bilgilerinin, güvenlik açığı bilgisinin ve hatta terörle mücadele bilgisinin toplanması, paylaşılması, depolanması ve ilişkilendirilmesi için bir tehdit istihbarat platformudur.

Soltra Edge

Soltra Edge®, siber tehdit istihbaratını paylaşma, alma, doğrulama ve işlem yapma süreçlerini otomatikleştiren, endüstri odaklı bir yazılımdır. Uçtan uca bir topluluk savunma modelini mümkün kılar ve siber güvenlik savunucularının duruşlarını reaktiften proaktifliğe değiştirir. Soltra Edge, akranlar, güven grupları, topluluklar ve hükümet arasında siber güvenlik bilgisinin iki yönlü paylaşımı için en yaygın kullanılan Siber Tehdit İletişim Platformu’dur.

Siber İstihbarat Paylaşma ve Koruma Yasası (CISPA)

2011 yılının Siber İstihbarat Paylaşımı ve Korunması Yasası-Cyber Intelligence Sharing and Protection Act  (CISPA), Web verilerinin hükümet ve teknoloji şirketleri arasında paylaşılmasına olanak tanıyan bir Amerika Birleşik Devletleri federal yasasıdır. Tasarıdaki yazarlar, hükümetin siber terörizm ve siber savaşla mücadele etmesine yardımcı olma niteliğindedir..

CISPA, Symantec, Microsoft ve Facebook da dahil olmak üzere büyük şirketlerin yanı sıra, tümü uluslararası siber güvenlik hakkındaki endişelerini paylaşan çeşitli devlet kurumlarından da destek kazanmıştır.

CISPA, Elektronik Sınır Vakfı ve Amerikan Sivil Özgürlükler Birliği tarafından kişisel ve ticari iletişim gizliliğine yönelik bir tehdit olarak eleştirilmiştir. Bazı eleştirmenler, tasarıdaki açıklık eksikliğinin Web sitelerinin haksız yere kapatılmasına veya özel iletişimde büyük miktarda dinlenmeye yol açabileceğini savunmuştur.

Siber Güvenlik Bilgi Paylaşma Yasası -Cybersecurity Information Sharing Act (CISA)

CISA, ABD tarafından oluşturulmuş , ABD federal yasalarını iyileştirmek için kurulmuş ve siber güvenlik tehditleri hakkında bilgi toplamak ve paylaşmak için oluşturulmuştur.Y asa, İnternet trafiği bilgilerinin ABD hükümeti ile teknoloji ve imalat şirketleri arasında paylaşılmasına izin vermektedir.

Siber Tehdit İstihbaratı Entegrasyonuna Genel Bakış

Tehdit istihbaratı için bir kaynak seçmek çok önemlidir. İhtiyaçlarınıza ve ekibinizin yeteneklerine uygun bir kaynak seçmeniz gerekir. Ücretsiz / açık kaynaklı yayınlardan birini seçebilir veya bugün piyasadaki birkaç düzine satıcısından birinden bir yayın satın alabilirsiniz. Yüzden fazla serbest veya açık kaynaklı istihbarat beslemesi mevcut. Açık kaynaklı yayınların birçoğu göstergelerini aynı kaynaklardan alır ve aynı göstergeleri rapor eder; bu da büyük örtüşme alanları ve yönetilmesi gereken verilerin çoğaltılması alanlarını oluşturur.

Ayrıca düzinelerce ücretli yayın var. Her birinin kendi odak alanı vardır ve maliyetler büyük ölçüde değişir. Ücretli yayınların kalitesi çoğu zaman yüksek olsa da, istenen genişliği elde etmek için birden fazla yayın gerektiren çok daha dar bir odağa sahip olabilirler.

Son olarak, kaynakları seçerken, en önemli hususlardan biri, bu yayınları toplamak ve almak için desteklenen yöntemler olmalıdır. Bazıları diğerlerinden çok daha manuel. Bazıları metin veya veritabanı dosyalarının indirilmesi olarak göstergeler sağlayan entegrasyon aracıları sunarken, diğerleri koleksiyon için STIIX veya TAXII’yi desteklemektedir. Diğerleri basitçe listeleri bir web sayfasına gönderir ve kullanıcıların sayfayı komut dosyaları aracılığıyla çizmesini sağlar.

Yayın kaynaklarını seçtikten sonra entegrasyon yapmalısınız.

Satıcı desteğine bağlı olarak, güvenlik duvarları, proxy’ler, DNS, EDR, web ağ geçitleri ve IPS için doğrudan entegrasyonlar vardır. API çağrıları yapmayı destekleyen herhangi bir teknoloji için ek özel entegrasyonlar mümkündür.

Bir SIEM veya log yönetimi çözümüyle bütünleşirken, temel öncül, tehdit istihbarat beslemesinden gelen göstergelerin bir listesini almak, ardından bu göstergeleri ortamınızdaki çeşitli güvenlik teknolojilerinden gelen günlük mesajlarına karşı kontrol etmektir.

Bu çalışmayı yapmanız için gereken üç şey, göstergeleri kendileri, karşılaştırmak istediğiniz bilgileri içeren günlükleri ve karşılaştırma yapmak için gereken SIEM kaynaklarını (kurallar, raporlar, arama tabloları) almanın bir yoludur.

Göstergeleri almak için kullandığınız yöntem, seçtiğiniz istihbaratın kaynağına göre değişecektir. Öncelikle açık kaynak yayınları kullanıyorsanız, göstergeleri toplamak ve karşılaştırmak için kullanabileceğiniz bir liste halinde işlemek için bir sistem oluşturmanız gerekebilir. Bu yaklaşım, komut verilerinin bir web sayfasından yayın verilerini almasını veya toplandıktan sonra yerel bir veritabanından göstergeler çıkarmasını gerektirebilir. Ücretli bir yayın veya platform sağlayıcısı seçerseniz, sundukları göstergeleri toplamak ve almak için kendi araçlarını sağlayabilirler.

Göstergeleri aldığınızda, göstergelerle karşılaştırmak için kullanabileceğiniz herhangi bir bilgiyi yakalayıp yakalamadıklarını belirlemek için güvenlik cihazlarınızdaki günlükleri incelemelisiniz. Tehdit beslemelerinde en yaygın gösterge türleri IP adresleri, etki alanı adları, URL’ler ve kötü amaçlı yazılım karmaşasıdır. Genellikle bu tür bilgileri kaydeden teknolojiler arasında güvenlik duvarları, IDS, DNS, proxy’ler, EDR sistemleri, web ağ geçitleri ve posta sunucuları bulunur.

Makalemize bir sonraki bölüm 14 Siber Tehdit İstihbaratı Gereksinimler, Planlama, Yön ve Gözden Geçirme konusu ile devam edeceğiz.

Yazar: Cyber Intelligence Analyst Gurbet Başakçi

Exit mobile version