İstihbarat paylaşımı, özellikle aynı sektörde faaliyet gösteren şirketler ve kuruluşların karşı karşıya oldukları geniş tabanlı siber saldırılar hakkında bilgi paylaşabildiği durumlarda etkilidir. Fidye yazılımı , kötü amaçlı yazılım ya da mızrak avcılığı C seviye yöneticileri olsun, istihbarat paylaşımındaki basit bilgiler, uzmanların daha hızlı ve daha etkili şekilde yanıt vermelerini ve siber saldırıları engellemelerini sağlar.
Siber İstihbarat Raporlama Türleri konumuzu bitirdikten sonra Siber İstihbarat makale dizimize, Siber İstihbarat Paylaşımı ve Yaygınlaştırma konusu ile devam ediyoruz.
Siber İstihbarat Paylaşımının Yararları
Fikirleri Paylaşma
İnsanlar daha yaratıcı düşünmeye ve sorun çözme söz konusu olduğunda gruplarda daha fazla ilham alma eğilimindedirler. Siber güvenlik alanında, resmi veya gayrı resmi tartışmalara ve istihbarat paylaşımına katılmak (örneğin, kötü amaçlı yazılım örnekleri veya olası saldırı senaryoları) kuruluşların, meslektaşlarından ihlallerin nasıl önlenebileceğini öğrenmelerini sağlar .
Kaynakları Paylaşma
Güvenilir bir topluluk grubuna katılmak ayrıca oradaki kuruluşların ve şirketlerin komut dosyaları, iş akışları, runbook’lar, oyun kitapları vb. gibi kaynakları paylaşabileceği anlamına gelir. Üyeler belirli endişeler veya tehditlerle ilgili çeşitli teknik soruları sorabilir ve cevaplayabilir.
Başarılı İstihbarat Paylaşımı Modelleri
Bankacılık sektöründe resmi veya gayri resmi kanallar aracılığıyla güvenlik istihbaratının değişimi hüküm sürmektedir. En önde gelen gruplardan biri olan siber ve fiziksel tehdit istihbarat paylaşımı ve analizi için bir kaynak olan FS-ISAC (Finansal Hizmetler Bilgi Paylaşımı ve Analiz Merkezi).Bu merkez, üyelerin tüm sektörde anonim olarak bilgi paylaşmasını sağlar. Bir tehdit bildirimi aldıktan sonra, uzmanlar onu analiz edip doğrularlar ve daha sonra diğer üyelere haber vermeden önce çözümleri paylaşırlar.
Siber İstihbarat Paylaşımındaki Zorluklar
İşletmeler, veri hacmi, onaylama, kalite, hız ve saldırıların korelasyonu nedeniyle zarar gördüğünden tehdit istihbarat paylaşım çabalarıyla sürekli bir zorlukla karşı karşıyadır
Hacim: Çok büyük sinyal-gürültü problemi, güvenlik ekiplerinin yüksek öncelikli olaylara odaklanmasını engelleyebilir ve beklenmedik saldırıların gerçekleşmesine yol açabilir.
Onaylama: Saldırganlar tehdit istihbarat sistemlerini yanlış yönlendirmek çin sahte tehdit raporları sunabilir ve yasal olarak kullanılan kaynaklardan elde edilen verileri kötü amaçlı kurcalayabilir.
Kalite: Paylaşımcılar yalnızca daha fazla tehdit verisi toplamaya ve paylaşmaya odaklanırsa, çoğunun yinelenebilir olma riski vardır, bu da zaman ve çaba harcaması demektir.Sensörler, kalıcı saldırıların temel yapısal unsurlarını tanımlamaya yardımcı olmak için daha kaliteli veriler yakalamalıdır.
Hız: Güvenlik sensörleri ve sistemleri, saldırı hızlarını eşleştirmek için neredeyse gerçek zamanlı olarak tehdit istihbaratını paylaşmalıdır.
Bağıntı: Tehdit verilerinde ilgili kalıpların ve kilit veri noktalarının tespit edilememesi, verilerin istihbarat ve güvenlik operasyon ekiplerini bilgilendirebilecek ve yönlendirebilecek bilgiye dönüştürülmesini imkansız hale getirir.
Bilgi Paylaşımı Kuralları
- Veri koruma mevzuatı ve insan hakları hukukunun bilgi paylaşım konusundaki engelleri ve insanların kişisel bilgilerinin hassasiyetine uygun paylaşımlarda bulunmak
- Bireylere, neden, ne, nasıl ve kiminle paylaşım yapıldığı, paylaşımın güven değeri gibi konularda dürüst olmak
- İlgili paylaşımla ilgili şüpheleriniz varsa, mümkün olduğu kadar bireylerin kimliğini açıklamadan paylaşım yapmak
- Mümkün olduğunda gizli bilgileri paylaşmaya razı olmayanların isteklerine saygı gösterin. Çok ciddi güvenlik risklerinin bulunması halinde, dava oluşması durumda gerekçe sunulabilecek düzeyde paylaşım yapılabilir. Bu paylaşımın hayati önem taşıdığından emin olmalısınız. İzin verilmiş olsa dahi bireylerin bilgilerinin paylaşılmasından memnun olmayacağını unutmamak gerekir.
- Güvenlik ve emniyeti her şeyden üstün tutmak gereklidir. Bilgi paylaşım kararlarınızı, bireylerin ve eylemden etkilenecek diğer varlıkların güvenlik anlayışları ile özdeşleştirmek gerekir.
- Paylaştığınız bilgilerin, paylaştığınız amaç için gerekli olduğundan, yalnızca sahip olması gereken kişilerle paylaşıldığından, doğru ve açık olduğundan emin olun
- Alınan kararların ve nedenlerinin kaydını tutun. Bilgi paylaşmaya karar verirseniz eğer, paylaşımınızı kiminle ve hangi amaçla paylaştığınızın kaydını tutun.
Siber Tehdit İstihbaratının Paylaşılmasına Genel Bakış
Stratejik Tehdit İstihbaratının Paylaşılması
Stratejik istihbarat tehdit aktörlerinin zaman içinde nasıl değişim gösterdiği ile ilgilenmektedir. Stratejik bilgi, bir saldırının arkasında kimin olduğuna dair tarihsel bilgiler, motivasyonları veye nitelikleri tanımlar. Sorulan sorular; “Size kim zarar vermek istiyor?”, “Neden bir saldırı altındasınız?”, “Başlıca trendler nelerdir?”. “Sektörel rakipler kimlerdir?”, “Risk profilinizi azaltmak için ne gibi önlemler almalısınız?” şeklindedir.
Düşmanlarınızın kim olduğunu ve nedenlerini bilmek size gelecekteki operasyonlar ve taktikleri ile ilgili ipuçları sağlar. Stratejik istihbarat hangi savunma yönteminin etkili olacağına karar vermek için başlangıç noktasını oluşturur.
Taktik Tehdit İstihbaratı Paylaşımı
Taktiksel tehdit istihbaratı analistler için referans materyallerini oluşturur. Bunun için IoC verilerine ihtiyaçları vardır.
IoC verileri, iyi niyetli olaylardan ve kötü amaçlı yazılımlardan elde edilir ve belirli bir kötü amaçlı yazılım örneği, kötü amaçlı yazılım ailesi, izinsiz giriş denemesi ve tehdit oyuncusu gibi belirli bir tehdidin örnekleri olarak, analistlere sunulur.
Operasyonel Tehdit İstihbaratının Paylaşılması
Başarılı bir savunmayı sürdürmek için, kuruluşlar yalnızca karşı karşıya kaldıkları düşmanlara cevap vermekten daha fazlasını gerekir.Aynı zamanda rakiplerin yeteneklerini de bilmek gerekir. Operasyonel tehdit istihbaratını bu işlemi gerçekleştirir. Operasyonel tehdit istihbaratı, güvenlik olayları ve savunucuların için şu işlemleri yapar;
- Potansiyel riskleri ortaya çıkarmak
- Aktör metodolojileri hakkında bilgi edinmek
- Daha önce keşfedilmemiş kötü amaçlı etkinlik takibi yapmak
- Kötü niyetli faaliyetlerle ilgili daha hızlı ve daha kapsamlı araştırmalar yapmak
IT-ISAC (Bilgi Teknolojisi – Bilgi Güvenliği ve Analiz Merkezi)
IT-ISAC (Bilgi Teknolojileri Bilgi Paylaşımı ve Analiz Merkezi), Ocak 2001’de, on dokuz önde gelen BT endüstrisi şirketi (Oracle, IBM, EDS ve Computer Sciences dahil) tarafından güvenlikle ilgili bilgilerin merkezi bir deposu olarak hizmet veren bir tesistir. Grubun amacı, her kuruluşun güvenlik saldırıları ve güvenlik açıkları hakkındaki bilgilerini tüm üyeler arasında paylaşmaktır. Üye şirketlerden, sahip oldukları güvenlik sorunları veya buldukları bu sorunlara çözümler hakkında bilgi vermeleri beklenir.
Makine Tarafından Okunabilen Tehdit İstihbaratı (MRTI)
Makine tarafından okunabilen tehdit zekası (MRTI), en son geçerli tehditlere ilişkin bağlamı sunarak birden fazla güvenlik kontrolüne ve işlemine yarar sağlayan bir yetenektir. Güvenlik liderleri, bu araştırmadaki rehberliği kullanarak tehditleri tespit etmek, önlemek ve bunlara müdahale etmek amacıyla MRTI’dan yararlanırlar.
Tehdit İstihbaratını Paylaşma Standartları ve Formatları
Tehdit istihbaratı da dahil olmak üzere diğer tüm konularda standartlar olamsının sebebi toplumun tamamında işbirliği ve iletişime olanak sağlamak için ortak terminoloji ve yapıların kullanımını geliştirmek ve genişletmektir
Bu çabalar arasında temel güvenlik verilerinin kayıt altına alınması, siber güvenlik bilgilerini doğru bir şekilde iletmek için standartlaştırılmış diller oluşturulması, siber güvenlik kavramlarının uygun kullanımını tanımlamak ve yaygın olarak kabul edilen siber güvenlik süreçleri için topluluk yaklaşımlarını desteklemek yer almaktadır.
Bunlara örnek vermek gerekirse;
Trafik Işık Protokolü (TLP)
Trafik Işığı Protokolü- Traffic Light Protocol (TLP) aslen İngiltere Hükümeti Ulusal Altyapı Güvenliği Koordinasyon Merkezi (NISCC Ulusal Altyapı Koruma şimdi Merkezi – CPNI) tarafından 2000’li yılların başında kurulmuştur.
Temel kavram, göndericinin, bilgilerinin derhal alıcının ötesine yayılmasını istediğini işaret etmesidir. Bireyler , kuruluşlar veya topluluklar arasındaki bilgi akışını kontrollü ve güvenilir bir şekilde geliştirmek için tasarlanmıştır . TLP etiketli iletişimleri yöneten herkesin protokolün kurallarını anlaması ve bunlara uyması önemlidir. Ancak o zaman güven tesis edilebilir ve bilgi paylaşımının faydaları sağlanabilir. TLP, daha fazla yayılmasının ne olduğunu belirtmek için bilgileri dört renkten biriyle etiketleyen gönderen kavramına dayanmaktadır.Varsa, alıcı tarafından üstlenilebilir. Daha geniş bir yayınıma ihtiyaç duyulursa, alıcının gönderene danışması gerekir.
TLP’nin dört rengi ve anlamı;
- KIRMIZI – Yalnızca Adlandırılmış Alıcılar İçin Kişisel
Bir toplantı bağlamında, örneğin, KIRMIZI bilgi toplantıda bulunanlarla sınırlıdır. Çoğu durumda, KIRMIZI bilgi sözlü olarak veya şahsen iletilir.
- SARI– Sınırlı Dağıtım
Alıcı, SARI bilgisini kuruluşundaki diğer kişilerle paylaşabilir, ancak yalnızca “bilmesi gerekenler” temelinde paylaşabilir. Göndericiden, bu paylaşımın amaçlanan sınırlarını belirlemesi beklenebilir.
- YEŞİL – Topluluk Çapında
Bu kategorideki bilgiler belirli bir topluluk içinde geniş kapsamlı olarak dağıtılabilir. Ancak, bilgiler İnternet üzerinde kamuya açık olarak yayınlanamaz veya yayınlanamaz, ayrıca topluluk dışında yayınlanamaz.
- BEYAZ – Sınırsız
Standart telif hakkı kurallarına tabi olarak, BEYAZ bilgileri kısıtlama olmaksızın serbestçe dağıtılabilir.
MITRE Standartları
Güvenlik açıklarının adlandırılmasında standart olarak kabul edilen CVE, güvenlik ürünleri, hizmetler ve kuruluşlar arasında korelasyon sağlar. 75’ten fazla satıcının 100’den fazla ürün ve hizmeti CVE uyumluluğunu sağlamıştır.
İç Güvenlik Bakanlığı sponsorluğunda ve CVE Editör Kurulu ile işbirliği içinde olan MIRTE, CVE’yi ilerletmek, CVE listesini tutmak ve CVE’nin kamu yararına hizmet etmesini sağlamak için bağımsız üçüncü taraf olarak çalışmaktadır.
TAXII ve STIX
TAXII, siber tehditlerin gerçek zamanlı tespiti, önlenmesi ve azaltılması için siber tehdit bilgilerinin güvenli bir şekilde paylaşılması için bir dizi protokol tanımlar. STIX, siber gözlemciler, uzlaşma göstergeleri, olaylar, TTP’ler (teknikler, taktikler ve prosedürler) ve kampanyalar dahil olmak üzere siber tehdit bilgileri için ortak bir format sağlar.
TAXII ve STIX birlikte tehdit paylaşan toplulukların ortak savunmayı teşvik etmek için eyleme geçirilebilir, yapılandırılmış tehdit istihbarat alışverişinde bulunmalarını sağlayı hedefler.
CVE’e ek olarak,şunları içerir:
Siber Güvenlik Kayıtları
- Ortak Platform Numaralandırma-Common Platform Enumeration (CPE): Ortak platform tanımlayıcıları
- Ortak Konfigürasyon Numaralandırma-Common Configuration Enumeration (CCE): sistem konfigürasyonu
- Yaygın Saldırı Örneği Numaralandırma ve Sınıflandırma-Common Attack Pattern Enumeration and Classification (CAPEC ™) – Yaygın saldırı kalıpları
- Ortak Zayıflık Numaralandırma-Common Weakness Enumeration (CWE ™) – yazılım zayıflık tipleri
Siber Güvenlik Dilleri / Formatları ve Protokolleri
- Açık Güvenlik Açığı ve Değerlendirme Dili-Open Vulnerability and Assessment Language (OVAL®) — güvenlik açığı ve yapılandırma sorunlarını belirleme dili
- Güvenilir Otomatik Gösterge Bilgisinin Değişimi-Trusted Automated eXchange of Indicator Information (TAXII ™) – siber tehdit bilgilerinin güvenli otomatik değişimi için protokoller ve biçimler
- Yapılandırılmış Tehdit Bilgisi eXpression-Structured Threat Information eXpression (STIX ™) – yapısal tehdit bilgisini temsil etme dili
- Siber Gözlenebilir İfade-Cyber Observable Expression (CybOX ™) – siber gözlemlenebilir dil
- Kötü Amaçlı Yazılım Özelliği Numaralandırması ve Karakterizasyonu-Malware Attribute Enumeration and Characterization (MAEC ™) — özellik tabanlı kötü amaçlı yazılım karakterizasyonu için dil
- Yaygın Olay İfadesi-Common Event Expression (CEE): (MITRE arşivi) – bilgisayar olaylarının tanımlanma, kaydedilme ve paylaşılma şekli
- Ortak Zayıflık Puanlama Sistemi-Common Weakness Scoring System (CWSS ™) – aciliyeti ve önceliği belirlemeye yardımcı olmak için zayıflık şiddetini puanlama
- Ortak Zayıflık Risk Analizi Çerçevesi-Common Weakness Risk Analysis Framework (CWRAF ™) – bir kuruluşun işinin veya misyonunun özel ihtiyaçlarına göre özelleştirilmiş CWSS uygulaması için çalışma
Yönetilen Olay Hafif Değişim – Managed Incident Lightweight Exchange (MILE)
MILE, çalışma grubu, bilgisayar ve ağ güvenliği olay yönetimini desteklemek için standartlar geliştirmektedir. Olay, bir bilgi teknolojisi (BT) altyapısında meydana gelen planlanmamış bir olaydır. Bir olay, iyi huylu bir yapılandırma sorunu, BT olayı, sistemin tehlikeye attığı, sosyal olarak tasarlanan kimlik avı saldırısı veya hizmet reddi (DoS) saldırısı, vb. olabilir. Bir olay algılandığında ya da şüphelenildiğinde, işbirliği yapacak kuruluşlara ihtiyaç duyulabilir.. Bu işbirliği çabası ortak analiz, bilginin yayılması ve / veya koordineli bir operasyonel cevap gibi çeşitli biçimlerde olabilir. Yanıtın örnekleri arasında, bir raporun doldurulması, olayın kaynağının bildirilmesi, üçüncü bir tarafın olayı çözmesi / hafifletilmesi, belirli uzlaşma göstergelerinin paylaşılması talep edilmesi veya kaynağın bulunmasını istemek yer alabilir.
VERIS
Olay Kaydı ve Olay Paylaşımı için Kelime Bilgisi-The Vocabulary for Event Recording and Incident Sharing (VERIS), güvenlik olaylarını yapılandırılmış ve tekrarlanabilir bir şekilde tanımlamak için ortak bir dil sağlamak üzere tasarlanmış bir metrikler kümesidir. VERIS, güvenlik endüstrisindeki en kritik ve kalıcı zorluklardan birine cevap niteliğindedir ; kalite bilgisi eksikliği. VERIS, bu olayı kuruluşlara olaylarla ilgili yararlı bilgiler toplamalarına ve bu bilgileri (isimsiz ve sorumlu bir şekilde) başkalarıyla paylaşmalarına yardımcı olmayı hedefler. Genel amaç, riski daha iyi ölçmek ve yönetmek için deneyimlerimizden yapıcı ve işbirliğine dayalı olarak öğrenebileceğimiz bir temel oluşturmaktır.
IDMEF
Bilgisayar güvenliğinin bir parçası olarak kullanılan IDMEF ( İzinsiz Giriş Tespiti Mesajı Değişim Biçimi-Intrusion Detection Message Exchange Format ), izinsiz giriş tespiti, izinsiz giriş önleme, güvenlik bilgi toplama ve onlarla etkileşime girmesi gerekebilecek yönetim sistemleri arasında bilgi alışverişi için kullanılan bir veri biçimidir. IDMEF mesajları otomatik olarak işlenecek şekilde tasarlanmıştır.
IDMEF’in amacı, izinsiz giriş tespit ve yanıt sistemlerine ve bunlarla etkileşime girmesi gerekebilecek yönetim sistemlerine ilgi duyulan bilgileri paylaşmak için veri formatlarını ve değişim prosedürlerini tanımlamaktır . Bilgisayar güvenliğinde raporlama ve değişim olaylarında kullanılır .
Siber Tehdit İstihbaratı Paylaşma Platformlarını Anlamak
Blueliv Tehdit Değişim Ağı
Blueliv Tehdit Değişim Ağı siber güvenlik uzmanları, BT profesyonelleri ve akademisyenler için oluşturulmuş küresel bir topluluktur. Olay yanıtını hızlandırmak için en son haberleri, tehdit verilerini, IOC’leri ve daha fazlasını yayınlamayı amaçlamaktadır. Bu IOC’leri API ve sayısız SIEM eklentileri aracılığıyla dışa aktararak kendi istihbarat beslemenizi oluşturabilirsiniz.
Anomali STAXX
Anomali , tehdit zekası ve analiz platformu ile bilinen ABD merkezli bir siber güvenlik şirketidir
Anomali, ücretsiz bir Tehdit İstihbaratı beslemesi olan Limo ile donatılmış STIX ve TAXII’yi destekleyen ücretsiz bir yardımcı program olan STAXX’i oluşturmuştur.
MISP (Kötü Amaçlı Yazılım Bilgi Paylaşma Platformu)
MISP tehdit paylaşım platformu, siber güvenlik göstergeleri de dahil olmak üzere tehdit istihbaratının bilgi paylaşımına yardımcı olan ücretsiz ve açık kaynaklı bir yazılımdır.
Hedeflenen saldırıların uzlaşma göstergelerinin, tehdit istihbaratının, finansal dolandırıcılık bilgilerinin, güvenlik açığı bilgisinin ve hatta terörle mücadele bilgisinin toplanması, paylaşılması, depolanması ve ilişkilendirilmesi için bir tehdit istihbarat platformudur.
Soltra Edge
Soltra Edge®, siber tehdit istihbaratını paylaşma, alma, doğrulama ve işlem yapma süreçlerini otomatikleştiren, endüstri odaklı bir yazılımdır. Uçtan uca bir topluluk savunma modelini mümkün kılar ve siber güvenlik savunucularının duruşlarını reaktiften proaktifliğe değiştirir. Soltra Edge, akranlar, güven grupları, topluluklar ve hükümet arasında siber güvenlik bilgisinin iki yönlü paylaşımı için en yaygın kullanılan Siber Tehdit İletişim Platformu’dur.
Siber İstihbarat Paylaşma ve Koruma Yasası (CISPA)
2011 yılının Siber İstihbarat Paylaşımı ve Korunması Yasası-Cyber Intelligence Sharing and Protection Act (CISPA), Web verilerinin hükümet ve teknoloji şirketleri arasında paylaşılmasına olanak tanıyan bir Amerika Birleşik Devletleri federal yasasıdır. Tasarıdaki yazarlar, hükümetin siber terörizm ve siber savaşla mücadele etmesine yardımcı olma niteliğindedir..
CISPA, Symantec, Microsoft ve Facebook da dahil olmak üzere büyük şirketlerin yanı sıra, tümü uluslararası siber güvenlik hakkındaki endişelerini paylaşan çeşitli devlet kurumlarından da destek kazanmıştır.
CISPA, Elektronik Sınır Vakfı ve Amerikan Sivil Özgürlükler Birliği tarafından kişisel ve ticari iletişim gizliliğine yönelik bir tehdit olarak eleştirilmiştir. Bazı eleştirmenler, tasarıdaki açıklık eksikliğinin Web sitelerinin haksız yere kapatılmasına veya özel iletişimde büyük miktarda dinlenmeye yol açabileceğini savunmuştur.
Siber Güvenlik Bilgi Paylaşma Yasası -Cybersecurity Information Sharing Act (CISA)
CISA, ABD tarafından oluşturulmuş , ABD federal yasalarını iyileştirmek için kurulmuş ve siber güvenlik tehditleri hakkında bilgi toplamak ve paylaşmak için oluşturulmuştur.Y asa, İnternet trafiği bilgilerinin ABD hükümeti ile teknoloji ve imalat şirketleri arasında paylaşılmasına izin vermektedir.
Siber Tehdit İstihbaratı Entegrasyonuna Genel Bakış
Tehdit istihbaratı için bir kaynak seçmek çok önemlidir. İhtiyaçlarınıza ve ekibinizin yeteneklerine uygun bir kaynak seçmeniz gerekir. Ücretsiz / açık kaynaklı yayınlardan birini seçebilir veya bugün piyasadaki birkaç düzine satıcısından birinden bir yayın satın alabilirsiniz. Yüzden fazla serbest veya açık kaynaklı istihbarat beslemesi mevcut. Açık kaynaklı yayınların birçoğu göstergelerini aynı kaynaklardan alır ve aynı göstergeleri rapor eder; bu da büyük örtüşme alanları ve yönetilmesi gereken verilerin çoğaltılması alanlarını oluşturur.
Ayrıca düzinelerce ücretli yayın var. Her birinin kendi odak alanı vardır ve maliyetler büyük ölçüde değişir. Ücretli yayınların kalitesi çoğu zaman yüksek olsa da, istenen genişliği elde etmek için birden fazla yayın gerektiren çok daha dar bir odağa sahip olabilirler.
Son olarak, kaynakları seçerken, en önemli hususlardan biri, bu yayınları toplamak ve almak için desteklenen yöntemler olmalıdır. Bazıları diğerlerinden çok daha manuel. Bazıları metin veya veritabanı dosyalarının indirilmesi olarak göstergeler sağlayan entegrasyon aracıları sunarken, diğerleri koleksiyon için STIIX veya TAXII’yi desteklemektedir. Diğerleri basitçe listeleri bir web sayfasına gönderir ve kullanıcıların sayfayı komut dosyaları aracılığıyla çizmesini sağlar.
Yayın kaynaklarını seçtikten sonra entegrasyon yapmalısınız.
Satıcı desteğine bağlı olarak, güvenlik duvarları, proxy’ler, DNS, EDR, web ağ geçitleri ve IPS için doğrudan entegrasyonlar vardır. API çağrıları yapmayı destekleyen herhangi bir teknoloji için ek özel entegrasyonlar mümkündür.
Bir SIEM veya log yönetimi çözümüyle bütünleşirken, temel öncül, tehdit istihbarat beslemesinden gelen göstergelerin bir listesini almak, ardından bu göstergeleri ortamınızdaki çeşitli güvenlik teknolojilerinden gelen günlük mesajlarına karşı kontrol etmektir.
Bu çalışmayı yapmanız için gereken üç şey, göstergeleri kendileri, karşılaştırmak istediğiniz bilgileri içeren günlükleri ve karşılaştırma yapmak için gereken SIEM kaynaklarını (kurallar, raporlar, arama tabloları) almanın bir yoludur.
Göstergeleri almak için kullandığınız yöntem, seçtiğiniz istihbaratın kaynağına göre değişecektir. Öncelikle açık kaynak yayınları kullanıyorsanız, göstergeleri toplamak ve karşılaştırmak için kullanabileceğiniz bir liste halinde işlemek için bir sistem oluşturmanız gerekebilir. Bu yaklaşım, komut verilerinin bir web sayfasından yayın verilerini almasını veya toplandıktan sonra yerel bir veritabanından göstergeler çıkarmasını gerektirebilir. Ücretli bir yayın veya platform sağlayıcısı seçerseniz, sundukları göstergeleri toplamak ve almak için kendi araçlarını sağlayabilirler.
Göstergeleri aldığınızda, göstergelerle karşılaştırmak için kullanabileceğiniz herhangi bir bilgiyi yakalayıp yakalamadıklarını belirlemek için güvenlik cihazlarınızdaki günlükleri incelemelisiniz. Tehdit beslemelerinde en yaygın gösterge türleri IP adresleri, etki alanı adları, URL’ler ve kötü amaçlı yazılım karmaşasıdır. Genellikle bu tür bilgileri kaydeden teknolojiler arasında güvenlik duvarları, IDS, DNS, proxy’ler, EDR sistemleri, web ağ geçitleri ve posta sunucuları bulunur.
Makalemize bir sonraki bölüm 14 Siber Tehdit İstihbaratı Gereksinimler, Planlama, Yön ve Gözden Geçirme konusu ile devam edeceğiz.
Yazar: Cyber Intelligence Analyst Gurbet Başakçi