Siber tehditleri tanımlamak için çoğu zaman birçok kaynaktan alınan bilgileri ilişkilendirerek bu bilgiyi analiz edilir. Bu işlem, Güvenlik Merkezi algılama yeteneklerinin bir parçasıdır. Güvenlik Merkezi bir tehdit tespit ettiğinde , düzeltme önerileri de dahil olmak üzere belirli bir olayla ilgili ayrıntılı bilgiler içeren bir rapor yazarlar. Olay müdahale ekiplerine yardımcı olmak, tehditleri araştırmak ve düzeltmek için Güvenlik Merkezi, aşağıdakiler de dahil olmak üzere, tespit edilen tehditle ilgili bilgileri içeren bir tehdit istihbarat raporu içerir.
Siber Tehdit İstihbaratı Araçlarına Genel Bakış konumuzdan sonra Siber İstihbarat Raporlama Türleri konusu ile devam ediyoruz.
- Saldırganın kimliği
- Saldırganların hedefleri
- Mevcut ve geçmiş saldırı kampanyaları
- Saldırganların taktikleri, araçları ve prosedürleri
- URL’ler ve dosya karmaları gibi ilişkili uzlaşma göstergeleri (IoC)
- Azaltma ve iyileştirme bilgileri
Siber Tehdit İstihbarat Raporları Türleri
Her rapordaki bilgi miktarı değişiklik gösterecektir. Ayrıntı düzeyi, kötü amaçlı yazılımın etkinliğine ve yaygınlığına bağlıdır.
Güvenlik Merkezi, saldırıya göre değişebilen üç tür tehdit raporuna sahiptir. Mevcut raporlar:
- Faaliyet Grubu Raporu: Saldırganlara, amaçlarına ve taktiklerine derinlemesine dalışlar sağlar.
- Kampanya Raporu: belirli saldırı kampanyalarının ayrıntılarına odaklanır.
- Tehdit Özeti Raporu: önceki iki rapordaki tüm maddeleri kapsar.
Tehdit İstihbarat Raporu Şablonu
Bir tehdit istihbarata raporu şablonu aşağıdaki gibidir;
Bu şablon, verileri yapılandırmak, tehdit istihdamı toplama çabalarını yönlendirmek ve olaya müdahale eylemlerini bilgilendirmek için siber tehdit istihbarat alanındaki (İzinsiz Giriş Öldürme Zinciri, Kampanya İlişkisi, Eylem Matrisi Dersleri ve Elmas Modeli gibi) çeşitli modellerden yararlanmaktadır.
Yönetici Özeti (Anahat)
İzinsiz girişle ilgili kilit gözlemlerinizi ve paket alımlarınızı açıklandığı kısımdır. Düşmanın taktiklerini, tekniklerini ve prosedürleri açıklanır. Saldırıya cevap verirken rakibe karşı savunmak için alınan en önemli eylem planlarını ana hatlarıyla belirtilir. Raporun geri kalanı bu özeti doğrulamalıdır.
Düşmanın Eylemleri ve Taktikleri (Anahat)
Bu paragrafta düşmanın eylemlerini ve taktiklerini ve izinsiz girişin kurbanlar üzerindeki etkilerini özetlenir. Raporun bu bölümü, kötü niyetli faaliyetlerin temel özelliklerini yakalamak için izinsiz giriş öldürme zincirinin elmas modeli köşeleri üzerindeki aşamalarını kapsar.
Düşmanın Açıklaması
İzinsiz girişin failleriyle ilgili olabilecek gözlem ve göstergeler tanımlanır. Potansiyel motivasyonları ve tanımlayıcı unsurların ana hatlarıyla belirtiidiği kısımdır. Bilgilerinizi, aşağıdaki tabloda yapılandırıldığı gibi izinsiz giriş öldürme zincirinin ilgili aşamasına göre kategorilere ayırın.
Kategoriler;
- Keşif
- Silahlandırma
- Teslim
- İstismar
- Kurulum
- Komuta Kontrol
- Hedeflere Yönelik Eylemler
Düşmanın Yetenekleri
Düşmanın taktikleri, teknikleri ve prosedürleri (TTP’ler) açısından yeteneklerini açıklandığı kısımdır. İzinsiz giriş failleri tarafından kullanılan, arka kapılardaki suistimaller, evreleme yöntemleri ve durumsal farkındalık gibi araçları ve ticari ürünleri ele alınır. Bilgilerinizi, aşağıdaki tabloda yapılandırıldığı gibi izinsiz giriş öldürme zincirinin ilgili aşamasına göre kategorilere ayırmalısınız.
Tablo Başlıkları;
- Keşif
- Silahlandırma
- Teslim
- İstismar
- Kurulum
- Komuta Kontrol
- Hedeflere Yönelik Eylemler
Rakip’in Altyapısı
Rakip tarafından kullanılan IP adresleri, etki alanı adları, program adları vb. Gibi altyapıların tanımlandığı kısımdır. Bilgilerinizi, aşağıdaki tabloda yapılandırıldığı gibi izinsiz giriş öldürme zincirinin ilgili aşamasına göre kategorilere ayırın.
- Keşif
- Silahlandırma
- Teslim
- İstismar
- Kurulum
- Komuta Kontrol
- Hedeflere Yönelik Eylemler
Mağdurlar ve Etkilenen Varlıklar
Düşmanın eylemlerinden etkilenen mağdurların tanımlandığı kısımdır. Kişiler ve kuruluş adları gibi uygulanabilir mağdur tanımlayıcılarını ele alınır. Ayrıca, ağlar, sistemler ve uygulamalar gibi etkilenen mağdur varlıklarını da ana hatlarıyla belirtilir. Bilgilerinizi, aşağıdaki tabloda yapılandırıldığı gibi izinsiz giriş öldürme zincirinin ilgili aşamasına göre kategorilere ayırın.
- Keşif
- Silahlandırma
- Teslim
- İstismar
- Kurulum
- Komuta Kontrol
- Hedeflere Yönelik Eylemler
Olay Müdahalesinde Eylemin Süreci – Anahat
Aşağıdaki bölüm eylemlerinizi daha ayrıntılı olarak açıklamalıdır.
Keşif
Aşağıdaki tabloda, logların, ağ paketleyicinin yakaladığı, adli verilerin ve diğer kaynakların analizine dayanarak belirlendiği gibi, saldırganın bir parçası olarak muhalifin ne yaptığını belirlemek için attığınız adımları açıklanır.
- Keşif
- Silahlandırma
- Teslim
- İstismar
- Kurulum
- Komuta Kontrol
- Hedeflere Yönelik Eylemler
Sezmek
Aşağıdaki tabloda, rakibin ilgili izinsiz giriş aşaması ile ilgili gelecekteki etkinliklerini tanımlamak için uyguladığınız önlemleri açıklanır. Göstergeleri ve imzaları, ek sensörleri veya araçlar, güvenlik olay verileri monitörlerini vb. Nasıl tanımladığınızın ve kullandığınızın açıklandığı kısımdır.
- Keşif
- Silahlandırma
- Teslim
- İstismar
- Kurulum
- Komuta Kontrol
- Hedeflere Yönelik Eylemler
Reddetmek
Aşağıdaki tabloda, düşmanın kötü niyetli eylemlerde bulunmasını, bu raporda açıklanan izinsiz giriş aşaması kapsamında kalmasını engellemek için uyguladığınız önlemleri açıklanır. Örneğin, çevre güvenlik duvarındaki belirli IP’leri engellediniz mi, hedeflenmiş güvenlik açıklarını yamaladınız mı, belirli kalıplarla eşleşen e-postaları engellediniz mi?
- Keşif
- Silahlandırma
- Teslim
- İstismar
- Kurulum
- Komuta Kontrol
- Hedeflere Yönelik Eylemler
Bozmak
Aşağıdaki tabloda, düşmanın saldırısına müdahale etmek için devam etmesini engellemek için oluşturduğunuz önlemleri açıklanır. Örneğin, rakibin aktif ağ bağlantılarını, karantinaya alınmış şüpheli dosyaları, dağıtılmış güncellenmiş antivirüs imzalarını, vb. sonlandırmak için izinsiz giriş önleme sistemi veya güvenlik duvarı kullandınız mı?
- Keşif
- Silahlandırma
- Teslim
- İstismar
- Kurulum
- Komuta Kontrol
- Hedeflere Yönelik Eylemler
İndirgemek
Aşağıdaki tabloda, devam etmekte olan saldırıyı yavaşlatmak ya da başka bir şekilde azaltmak için gerçekleştirdiğiniz eylemler açıklanır. Bu tür önlemlere bir örnek, ağ ekipmanını, rakiplere atfedilen bağlantıları hızlandıracak şekilde yapılandırmak olabilir.
- Keşif
- Silahlandırma
- Teslim
- İstismar
- Kurulum
- Komuta Kontrol
- Hedeflere Yönelik Eylemler
Aldatmak
Aşağıdaki tabloda, düşmanı yanlış yönlendirmek için attığınız adımlar uygulanabilir izinsiz giriş aşaması bağlamında açıklanır. Aldatma, saldırganın ilgisini çekebilecek sahte varlıkların yerleştirilmesini, rakiplerin ağ bağlantılarının yönlendirilmesini, kötü amaçlı yazılımların hedeflenen sistemin zaten virüslü olduğuna inanmasını sağlamayı, honeypot kullanmayı (vb.) içerebilir.
- Keşif
- Silahlandırma
- Teslim
- İstismar
- Kurulum
- Komuta Kontrol
- Hedeflere Yönelik Eylemler
Yıkmak
Aşağıdaki tabloda, saldırıyı gerçekleştirme yeteneklerini azaltmak için, düşmana karşı gerçekleştirdiğiniz saldırgan eylemleri açıklanır.
- Keşif
- Silahlandırma
- Teslim
- İstismar
- Kurulum
- Komuta Kontrol
- Hedeflere Yönelik Eylemler
İzinsiz Giriş Kampanyası Analizi (Anahat)
Bu paragrafta, varsa, raporda daha önce tartışılan izinsiz giriş ile birlikte alındığında bir kampanya oluşturan diğer ilgili izinsiz girişler arasındaki ilişkiyi özetlenir. Kampanya içindeki izinsiz girişlerde paylaşılan göstergeler ve davranışlardan bahsedilir. Düşmanın faaliyetlerini motive etmiş olabilecek ticari, jeopolitik veya diğer faktörleri ana hatlarıyla belirtilir.
Kampanyadaki Diğer İzinsiz Girişler
Raporda daha önce tartışılan izinsiz giriş ile ortaklıkları paylaşan diğer olayları veya izinsiz girişler açıklanır. Paylaşılan özelliklerin izinsiz girişlerin daha büyük bir kampanya oluşturma ihtimalinin düşük / orta / yüksek olduğunu gösterip göstermediğini açıklanır. Dahili ve harici izinsiz giriş isimlerini veya diğer ilgili tanımlayıcıları girilir. İlgili iç ve dış belgelere referanslar eklenir. Saldırıların gerçekleştiği zaman netleştirilir.
Paylaşılan Saldırı Nitelikleri
Kampanyadaki izinsiz girişler arasında tutarlı olan kilit göstergeleri ve davranış özelliklerini belirtilir. Öznitelikler, sergilendikleri sırada öldürme zinciri aşamasına ve bunların ters tanımı, saldırı altyapısı, yetenekleri (taktikleri, teknikleri ve prosedürleri) ve etkilenen mağdurlarla ilgilerine göre sınıflandırılır. Mümkün olan her yerde, öldürme zincirinin her geçerli aşamasında, Düşmanı, Altyapıyı, Yetenekleri ve Kurbanı hesaba katmak gereklidir.
- Keşif – Düşman / Altyapı / Yetenek / Kurban
- Silahlandırma – Düşman / Altyapı / Yetenek / Kurban
- Teslim – Düşman / Altyapı / Yetenek / Kurban
- İstismar – Düşman / Altyapı / Yetenek / Kurban
- Kurulum – Düşman / Altyapı / Yetenek / Kurban
- Komuta Kontrol – Düşman / Altyapı / Yetenek / Kurban
- Hedeflere Yönelik Eylemler – Düşman / Altyapı / Yetenek / Kurban
Kampanya Motivasyonları
İlgili ticari, jeopolitik veya diğer faktörler de dahil olmak üzere, saldırganın izinsiz giriş kampanyasındaki faaliyetleri için muhtemel motivasyonu ana hatlarıyla belirtilir. Mümkünse, kampanyanın belirli kişilere, gruplara veya ulus devletlere atfedilmesine ilişkin somut teoriler sunulur.
Üçüncü Şahıs Referansları
Bu raporda tartışılan izinsiz giriş, bir parçası olduğu kampanya veya ilgili rakiplerle ilgili üçüncü taraf verilere referanslar sağlar.
Siber İstihbarat Raporu Yazma Araçları
MagicTree
MagicTree bir penetrasyon test cihazı verimlilik aracıdır.Kolay ve anlaşılır veri konsolidasyonu, sorgulama, harici komut yürütme gibi işlemleri gerçekleştirir. Rapor oluşturmaya izin verecek şekilde tasarlanmıştır. “Tree” kelimesi, tüm verilerin bir ağaç yapısında saklanmasından ve “Magic” kelimesi ise, penetrasyon testinin en zahmetli ve sıkıcı bölümünü yapmak için tasarlanmasından gelmektedir.
KeepNote
KeepNote, Windows, Linux ve MacOS X’te çalışan bir not alma uygulamasıdır. KeepNote ile notlarınızı, listelerinizi, araştırma notlarını, günlük kayıtlarını, vb. zengin metin formatına sahip basit bir dizüstü bilgisayar hiyerarşisinde saklayabilirsiniz. Tam metin aramayı kullanarak daha sonra açmak üzere herhangi bir notu alabilirsiniz.
KeepNote, platformlar arası ( Python ve PyGTK’da uygulanır ) tasarlanmıştır ve notlarınızı dosya formatlarını (HTML ve XML) işlemek için basit ve kolay bir şekilde saklar. Notlarınızı arşivlemek ve aktarmak, bir klasörü sıkıştırmak veya kopyalamak kadar kolaydır.
Özellikler
- Zengin metin biçimlendirme
- Notlar için hiyerarşik organizasyon
- Web bağlantıları ve not defterine bağlantılar
- Tam metin araması
- Entegre ekran görüntüsü
- Dosya ekleri
- Yazım denetimi (gtkspell aracılığıyla)
- Otomatik olarak kaydediliyor
- Yerleşik yedekleme ve geri yükleme (zip dosyalarına arşivleme)
- Uzantılar (yani, “eklentiler”)
- Çapraz platform ( Linux, Windows, MacOS X )
Makalemize bir sonraki bölüm 14 Siber İstihbarat Yaygınlaştırma konusu ile devam edeceğiz.
Yazar: Cyber Intelligence Analyst Gurbet Başakçi