Siber Tehdit İstihbaratı Programını Planlama

Siber Tehdit İstihbaratı Programını Planlama

Bir tehdit istihbaratı programı oluştururken aşağıdaki 3 öğenin program planına göre hazırlanması gerekmektedir.

Siber İstihbarat Gereksinimleri, Planlama, Yön ve Gözden Geçirme konusunu bitirdikten sonra Siber İstihbarat makale dizimize, Siber Tehdit İstihbaratı Programını Planlama başlığı ile devam ediyoruz.

1-) İnsanlar

Süreçlerin ve teknolojinin çalışabilmesi için arkasında insan gücünün olması gerekmektedir. Bu insan gücü; doğru beceriye, uygun bilgi ve tecrübeye sahip olmalıdır. Siber tehdit istihbarat ekibin oluşturan kişilerin aşağıdaki özelliklere sahip olması gerekmektedir:

  • Sistemler üzerinden adl veriler toplayabilme,
  • Kötü amaçlı yazılım analizi yapma,
  • Tersine müdendislik çalışamalrı gerçekleştirme,
  • Siber tehdit istihbaratı operasyonlarını oluşturma ve yönetme,
  • Saldırı öncesi ve sonrası durum değerlendirme,
  • Tehdit bilgisinini sorgulanması, analizi ve paylaşılması,
  • Kurum içi güvenlik ekipleriyle işbirliği yapma,

2-) Süreçler

İnsan öğesinde yer alan işlerin gerçekleştirilebilmesi için işlemeye geçilmesi gerekir. Buda süreç aşamasıdır. Sonuçlara ulaşmak için eylemler ve gerekli adımlar atılmalıdır.

3-) Teknoloji

Teknoloji tek başına ele alındığında sorunları çözemez. Ancak doğru kullanılırsa ve açıkça ifade edilen hedefler, tanımlanmış süreçler ve iyi bilgilendirilmiş, eğitimli kişiler tarafından kullanıldığında sorunları çözmek için kullanılabilir. Tehdit istihbaratının doğru kullanılması, üreticilerin ve tehdit istihbarat tüketicisinin etkin kullanımını gerektirir. Tehdit istihbaratı üretici ve tüketicilerine örnek vermek gerekirse:

  • Ham veri üreticileri
  • Tehdit verisi tüketicileri
  • Tehdit istihbaratı tüketicileri
  • Tehdit istihbaratı üreticileri

Siber Tehdit İstihbaratında Bir Veri Toplama Planı Geliştirmek

Bir Veri Toplama Planı, hem temel verilerin hem de kök nedene ilişkin ipuçları sağlayabilecek verilerin toplanmasına yönelik  düşünülmüş bir yaklaşımdır . Planda nerede veri toplanacağı, nasıl toplanacağı, ne zaman toplanacağı ve toplamanın kim tarafından yapılacağı yer almaktadır. Veri toplama planı oluşturmayı 6 başlık altında madde madde inceleyebiliriz:

1) Cevaplanması gereken soruların tanımlanması

Veri toplama planı oluşturmanın ilk adımını cevaplamak istediğimiz sorular oluşturur. Üzerinde çalıştığımız veriler projeye ait veriler olmalıdır.

2) Kullanılabilir veri türünün belirlenmesi

Veri Toplama Planı oluşturmadaki ikinci adım, ne tür verilerin toplanabileceğini bulmaktır. Gerekli tüm cevapları bize verebilecek hangi veriler vardır? Bazen, belirli bir veri parçası bize birden fazla cevap verebilir.

3) Ne kadar verinin gerekli olduğunun belirlenmesi

Veri Toplama Planı oluşturmadaki üçüncü adım, ne kadar veriye ihtiyacımız olduğuna karar vermektir. Modelleri ve eğilimleri görebilmemiz için yeterli veriyi almamız gerekmektedir . Listedeki her veri öğesi için, gerçekte ne kadar veri gerekli olduğunu belirleyin.

4) Verilerin nasıl ölçüleceğinin belirlenmesi

Veri toplama planı oluşturmadaki dördüncü adım, verileri nasıl ölçeceğimizi görmektir. Veriler farklı şekillerde ölçülebilir. Ölçtüğümüz yöntem aradığımız veri türüne bağlı olacaktır.

5) Verileri kimin toplayacağına karar verilmesi

Veri toplama planı oluşturmadaki beşinci adım, verileri kimin toplayacağına karar vermektir. Günümüzde, veriler otomatik yazılım aracılığıyla da toplanabilir . Verilerin mevcut ve doğru biçimde olduğundan emin olmak için yazılımdan sorumlu kişiyle iletişim kurmamız gerekebilir.

6) Verilerin nereden toplanacağını belirlenmesi

Veri toplama planı oluşturmadaki altıncı adım, verilerin nereden toplanacağını kontrol etmektir. Veri yeri ve / veya kaynağına karar vermek demektir . Yer herhangi bir fiziksel yer anlamına gelmez. Süreç içindeki konumdur. Veri toplama planı, işlem verilerinin nereden alınacağı açıkça belirtilmelidir.

7) Bir numunenin mi yoksa tüm popülasyonun mu ölçüleceğine karar verilmesi

Veri toplama planı oluşturmadaki yedinci adım, verilerin örneklenip örneklenmeyeceğine karar vermektir . Bazen bütün bir veri popülasyonunu ölçmek pratik değildir. Böyle bir durumda, daha sonra bir veri örneği alırız. Proje ekibinin dikkat etmesi gereken soru şu olabilir: İstatistiksel olarak sağlam yargılarda bulunmak için örnekleme yöntemimiz ve örneklemizin boyutu ne olmalı?

8) Verilerin hangi formatta görüntüleneceğini belirleyin

Veri Toplama Planı oluşturmadaki sekizinci adım, verilerin görüntülenme biçimine karar vermektir.

Siber Tehdit İstihbaratında Bir Bütçe Planlayın

Teknoloji ve kurum içi gereklilikler değiştiği sürece güvenlik duruşları da değişmelidir. Modern siber güvenlik stratejileri uygulanmalı ve bütçe planlamaları da bu doğrultuda yapılmalıdır.

Bu planlamalar yapılırken önelikle dikkat edilmesi gereken noktalar bulunmaktadır.

Çalışan eğitimi: Kurum içi siber güvenlik stratejisini destekleyecek, çalışanlara yönelik eğitimler için bütçe ayrılması gerekmektedir.

Güvenlik politikası: Kurum içi güvenlik politikası şarttır ve çalışanların eğitimi ile sıkı sıkıya bağlantılı olmalıdır. Politikaların çok katı olmasına gerek yoktur ancak İnternet’in ve ona bağlı kaynakların kabul edilebilir kullanımı konusunda rehberlik sağlamalıdır. Sosyal medyada ve webte gezinimi engellemek sağlam bir politikaya sahip olduğunuzu göstermez. Politika dili, kabul edilebilir kullanım ile sonuçlar arasında açık bir ilişki kurmalıdır.

Çevre çözümleri:Burada, yeni nesil veri kaybı önleme, güvenlik duvarı ve izinsiz giriş önleme teknolojilerini örnek gösterilebilir.

Network farkındalığı: network farkındalığı siber güvenlik stratejisinin kritik bir bileşeni olmalıdır. Burada ağ farkındalığınızı daha iyi anlayabilmeniz için anahtarlama ve yönlendirme yazılımlarınızı ve donanımınızı sağlayan ekiple birlikte çalışmak önemlidir.

Güvenlik ekibi için özel eğitim: Her yıl en azındna asgari eğitim planları yapılmalı ve özellikle güvenlik ekipleri için özel eğitimler düzenlenmelidir. Bu eğitimler danışmanlık firmalarından veya benzeri eğitim kurumlarından olabileceği gibi şirket içi eğitimler de gerçekleştirilebilir.

Paydaşlara İlerlemeyi Güncellemek İçin İletişim Planı Geliştirin

Bir tehdit istihbarat programını yönetirken, tüm paydaşları tehdit istihbarat programının ilerleyişi hakkında bilgilendirmek önemlidir. Paydaşlarla bir iletişim yolu oluşturmak, projenin başarılı olması için gereklidir. Program durumunu bildirmek için yazılım kullanmak, durum raporları hazırlamak veya düzenli toplantılar düzenlemek gibi paydaşlarla iletişim kurmanın birçok yolu vardır.

Etkili bir iletişim planı geliştirmek, ilerlemeyi paydaşlara güncellemenin en etkili yollarından biridir. Etkili bir iletişim planı oluşturmak, ekibin her paydaşın ilerleme hakkında ne zaman ve nasıl bilgilendirildiğine bilmesine yardımcı olacaktır.

Toplanmış Siber Tehdit İstihbaratı

Veri kaynakları tanımlandıktan ve çeşitli istihbarat kaynaklarından veri toplandıktan sonra, ilk ve en önemli adım, toplu tehdit istihbaratının nereye depolanacağına karar vermektir. Mevcut güvenlik kontrolleri ile güvenli bir şekilde kolayca entegre edilebilmesi için bir yerde depolanması gerekir. Bir analistin veri kaynakları hakkındaki metrikleri toplayabilmesi, hedef kitlesinin optimizasyonunda en yararlı olduğu durumlarda, avantajlı olacaktır.

Bu konuda, aşağıdaki kilit soruların cevaplanması gerekmektedir:

Platform: Tehdit istihbarat platformu, tehdit istihbaratının arttırılmasında önemli bir rol oynamaktadır. Edinilen istihbaratın tek başına bir platforma ihtiyaç duyup duymadığına veya kuruluşun diğer son nokta tespit çözümlerini kullanıp kullanamayacağına karar vermek çok önemlidir.

Portal: Bir kuruluşun, sağlayıcı portalına güvenmesi gerekiyor mu? Tehdit istihbarat sağlayıcıları tarafından sunulan portal, organizasyonun uyarılar göndermesini ve verileri yönetmesini sağlar. Bir kuruluşun portallarla ilgili olarak alması gereken çok çeşitli kararlar vardır:

Entegrasyon: Verilerin mevcut güvenlik sistemlerine entegrasyonu organizasyon için esastır ve kuruluş tarafından alınacak kararların alınmasını gerektirir.

Bir Tehdit İstihbarat Platformu seçin

Tehdit istihbaratı platformları seçerken dikkat edilmesi gereken noktalar:

Özelleştirme: Kurum için tercih edilen siber tehdit istihbaratı platformu kuruma özel olmalıdır. Özelleştirilmemiş çözümler faydadan çok zarar verebilir ve zamanı verimli kullanmaya engel oluşturabilir. Özelleştirilmiş bir tehdit istihbaratı platformu, kullanacağınız öğeleri seçmenize, kullanmayacağınız özellikleri devre dışı bırakmaya olanak sağlar.

Hizmet: Saldırıların hedefinde genellikle küçük ve orta ölçekli kurumlar bulunmaktadır. Çünkü bu tarz kurumlar tehlikelere karşı daha savunmasız olabilmekte ve gerekli çözümleri gerçekleştirmiş olabilmektedirler. Siber güvenlik ekiplerinin olmaması ve zayıf bi ekibe sahip olmaları, danışmanlık hizmeti almamaları ve bu hizmete bütçe ayırmamaları, çalışanlarına gerekli farkındalık eğitimlerinin verilmemesi saldırıların hedeflerinde olma nedenleri arasında sayılabilir.

Hız: Büyük saldırılar, aylarca deneme ve gizlenme, uzun süren uğraşlar gerektirirken; veri ihaleleri aksine çok hızlı gerçekleşen işlemlerdir. Veri ihalelerinin gerçekleşmesi durumunda olaya gerçek zamanlı mudahele ağ savunması ve tehdit analizi hayati önem taşımaktadır. Yüksek kaliteli Tehdit istihbaratı platformu şüpheli aktiviteyi algılar ve gerçek zamanlı cevap verilir.

Bildirimlerin doğruluğu: Tehdit istihbarat platformu uyarılarının şüpheli etkinliklere duyarlı olması gerekir.Ama bu hassasiyet çizgisi yeterince iyi ayarlanmazsa olumsuz etki oluşturabilir. Örneğin false-pozitif değer döndürülmesi gibi. Bu değerlerin güvenlik ekipleri gereksiz meşgul etmesi, asıl odaklanılması gereken noktaların kaçırılmasına sebep olması da aynı şekilde felaket etkisi yatabilir.

Tepkilerin kalitesi: Saldırı altında olduğunuzu öğrenmek, harekete geçmek için çok önemli bir adımdır. Tehdit istihbarat platformunuz, tehditleri hızlı bir şekilde çözmede de etkili olmalıdır.

Veri paylaşımı: Tehdit istihbarat verilerinin geleceği, işletmelerin tehdit verilerinin siber istihbarat büyüklüğüne güvenli bir şekilde katkıda bulunmalarına dayanır.

Farklı Hedefler İçin Tüketici istihbaratı

Genel olarak, birçok tehdit istihbarat programı kötü niyetli web sitelerinin izlenmesi ile ilgili göstergelerin tanımlanmasında kullanılan güvenlik verilerine odaklanmaktadır. Bu tehdit algısı kurumun çevresi için nasıl faydalıdır? Tehdit istihbaratının çeşitli iş stratejilerine uygulanabilmesi için, organizasyon ve araştırmacıların, organizasyonla ilgili daha genel verilere odaklanan bağlamsal istihbaratı çıkarması gerekir.

Paydaşların Bilgilendirilmesi İçin Metriklerin İzlenmesi

Aşağıda, göz önünde bulundurulması gereken önemli ölçülerden bazıları verilmiştir:

  • Olayı tespit etmek için geçen süre
  • Karşılaşma oranı
  • False-positive oran
  • Tehdit sınıflandırması
  • Tehdit artış hızı
  • İç ve dış olay oranı
  • Tehdit istihbaratının başarı oranı
  • Geri bildirim ve açıklamalar

Makalemize bir sonraki Bölüm 16 – Bir Tehdit İstihbarat Ekibi Oluşturma ile devam edeceğiz.

Yazar: Cyber Intelligence Analyst Gurbet Başakçi

Eğitime hemen kayıt olun, %30 indirim fırsatını kaçırmayın!
Kıdemli eğitmenlerimiz ve EC-Council akredite eğitim kurumu olarak karşınızdayız...

Yorum Yaz

E-posta hesabınız yayımlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir

*
*

19 − 3 =

Mail listemize üye olarak eğitim fırsatlarını kaçırmayın!
Eğitim ve ücretsiz etkinliklerizden haberdar olmak için e-posta listesimize üye olun!.