Tehdit analizi, tehdit aktörlerinin veya yabancı istihbarat birimlerinin yeteneklerini ve faaliyetlerini tanımlar ve değerlendirir; kanun uygulamalarını ve karşı istihbarat soruşturmalarını veya faaliyetlerini başlatmaya veya desteklemeye yardımcı olacak bulgular üretir.
Tehdit Analizi Süreci ve Sorumlulukları: Tehdit analiz sürecinin adımlarını aşağıda verilen şekilde sayabiliriz:
- Tehditleri Belirleme: Yönetim ve güvenlik uzmanları bir plan yapmadan önce, karşılaşabilecekleri olası tehdit ve felaketleri tanımlamalıdırlar.
- Tehditleri profillemek: İkinci adım tespit edilen tehditlerin daha ayrıntılı bilgiler içeren profillere kategorize edilmesidir. Profil, tespit edilen tehditin türünü, ortaya çıkma olasılığını, ilgili tarifi ve sonuçları içermelidir.
- Topluluk Profili Geliştirmek: Tehdit profili oluşturulduktan sonra, benzer tasarımlı bir topluluk profili oluşturulur. Bilgiyi çapraz inceleyerek, potansiyel tehditlerin daha geniş bir görüntüsü elde edilebilir.
- Güvenlik Açığını Belirleme: Bu adımda acil durum yönetim uzmanları, tehdit profillerini analiz etmek ve müdahale edilmesi gereken sistemlerine öncelik vermek için topluluk profilleriyle birlikte tehdit profilleri kullanır. Analiz, topluluğun güvenlik açıklarını tehdidin zarar potansiyeli ile karşılaştırarak en mevcut tehditleri belirleyecektir.
- Senaryo Oluşturma ve Uygulama: Son adım, felaket senaryolarının oluşturulması ve uygulanmasını içerir. Bu senaryolar, gerçek bir olayı taklit edecek kadar karmaşık ve gerçekçidir. Bunu başarmak için senaryolar arasında ilk uyarı, öngörülen topluluk etkisi, olası sorun alanları, hasarın yanıtı, sınırlı kaynaklar ve olası sonuçlar bulunmaktadır. Bu senaryolar, farklı değişkenlerle tekrar tekrar test edilir ve yeni bilgilerle güncellenir, böylece tehdit analizi her zaman gerçek tehdidin önündedir.
Siber İstihbarat konusunda hazırlamış olduğumuz makalelerimize devam ediyoruz. “Veri Analizine Genel Bakış” başlığı ardından Siber Tehdit İstihbaratı makalemize “Tehdit Analizine Genel Bakış” ile devam ediyoruz.
Her siber tehdit analiz sürecinin sahip olduğu bazı sorumluluklar ve gerekçeler vardır. Bu sorumlulukları genel olarak ele alırsak aşağıdaki gibidir:
Maliyet: Gerçekleştirilen güvenlik aksiyonu çoğu zaman ek masraf getirir.
Verimlilik: Sürpriz güvenlik riski değerlendirmeleri, BT operasyonlarının, güvenlik ve denetimin verimliliğini arttırmalıdır. Bir incelemeyi resmileştirmek, bir inceleme yapısı oluşturmak, sistemin bilgi tabanında güvenlik bilgisi toplamak ve kendi kendine analiz özelliklerini uygulamak için adımlar atarak risk değerlendirmesi verimliliği artırabilir.
Engelleri Aşmak: Organizasyon yönetimi, organizasyon için uygun güvenlik seviyesine ilişkin kararlar almaktan sorumludur. Öte yandan, BT personeli sistemler, uygulamalar, veriler ve kontroller için belirli güvenlik gereksinimlerinin uygulanması ile ilgili kararların alınmasından sorumludur.
Kendi Kendini Analiz Etmek: Kurumsal güvenlik risk değerlendirme sistemi, herhangi bir güvenlik bilgisine veya BT uzmanlığına ihtiyaç duymadan kullanmak için her zaman basit olmalıdır. Bu, yönetimin kuruluşun sistemleri, uygulamaları ve verileri için güvenliğe sahip olmasını sağlar. Aynı zamanda güvenliğin bir organizasyon kültürünün daha önemli bir parçası haline gelmesini sağlar.
İletişim: Bir organizasyonun birçok bölümünden bilgi alarak, bir kurumsal güvenlik riski değerlendirmesi iletişimi arttırır ve karar vermeyi hızlandırır.
Siber Öldürme Zinciri Metodolojisine Dayalı Tehdit Analizi
Tehdit istihbaratı verilerini Siber Öldürme Zinciri aracılığı ile sınıflandırma, söz konusu istismarın gerçekleştiği zincirleme sürecinin nerede olduğu konusunda bilgi verir.
Tehdit Modellemesi Gerçekleştirme
Tehdit modellemesi , yapısal güvenlik açıkları gibi potansiyel tehditlerin, varsayımsal bir saldırganın bakış açısından tamamlanabileceği, sayılabileceği ve önceliklendirilebileceği bir süreçtir. Tehdit modellemesinin amacı, savunuculara olası saldırganın profilini, en muhtemel saldırı vektörlerini ve bir saldırgan tarafından en çok istenen varlıkları sistematik bir şekilde analiz etmesini sağlamaktır. Tehdit modellemesi , “ Yüksek değerli varlıklar nerede ?” , “Saldırıya en çok ne kadar maruz kalıyorum?” , “En alakalı tehditler nelerdir?” Ve “Fark edilmeyecek bir saldırı vektörü var mı ?” gibi soruları yanıtlar.
Tehdit Modellemesi Metodolojileri
STRIDE; Geliştiricilerin ürünlerine karşı tehditleri bulmak için alarm oluşturan, Microsoft tarafından 1999 da geliştirilen bir tehdit modelleme yaklaşımıdır.
PASTA; Saldırı Simülasyonu ve Tehdit Analizi (PASTA) Süreci, yedi aşamalı, risk merkezli bir metodolojidir. Uyumluluk sorunlarını ve iş analizini dikkate alarak iş hedeflerini ve teknik gereklilikleri düzenlemek için yedi aşamalı bir süreç sunar. Yöntemin amacı dinamik bir tehdit belirleme, numaralandırma ve puanlama süreci sağlamaktır. Tehdit modeli tamamlandığında, güvenlik konusu uzmanları belirlenen tehditlerin detaylı bir analizini geliştirir. Son olarak, uygun güvenlik kontrolleri numaralandırılabilir. Bu metodolojinin, savunucuların varlık merkezli bir azaltma stratejisi geliştirebilecekleri uygulama ve altyapıya saldırgan merkezli bir bakış açısı sağlaması amaçlanmıştır.
TRIKE; Trike metodolojisinin odak noktası; risk modellerini bir risk yönetimi aracı olarak kullanmaktır. Bu çerçevede, güvenlik denetim sürecini yerine getirmek için tehdit modelleri kullanılmaktadır. Tehdit modelleri, bir “gereksinim modeline” dayanmaktadır. Gereksinim modeli, her varlık sınıfına atanan paydaşlar tarafından tanımlanmış “kabul edilebilir” risk seviyesini belirler. Gereksinim modelinin analizi, tehditlerin numaralandırıldığı ve risk değerleri atandığı bir tehdit modeli oluşturur. Tamamlanan tehdit modeli, varlık, roller, eylemler ve hesaplanan risk maruziyetine dayalı bir risk modeli oluşturmak için kullanılır.
VAST; Görsel, Çevik ve Basit Tehdit modelinin bir kısaltmasıdır. (Visual, Agile, and Simple Threat). Bu metodolojinin altında yatan prensip, tehdit modelleme sürecini altyapı ve tüm SDLC’ye ölçeklendirmek ve sorunsuz bir şekilde Çevik (Agile) bir yazılım geliştirme metodolojisine entegre etmek gerekliliğidir. Metodoloji, çeşitli paydaşların benzersiz ihtiyaçlarına yönelik uygulanabilir çıktılar sağlamayı amaçlamaktadır: Uygulama mimarları ve geliştiricileri, siber güvenlik personeli ve üst düzey yöneticiler. Metodoloji, tehdit modellerinin yaratılması ve kullanılması için özel güvenlik konusu uzmanlığı gerektirmeyen, benzersiz bir uygulama ve altyapı görselleştirme planı sunar.
DREAD; Daha önce Microsoft tarafından kullanılan bilgisayar güvenlik tehditlerini risk değerlendirme sisteminin bir parçası olmuştur. Şu an OpenStack ve diğer şirketler tarafından kullanılmasına rağmen yaratıcıları/geliştiricileri tarafından terk edilmiştir. Beş kategoriyi kullanarak risk derecelendirme yapmayı amaçlamaktadır.
Damage-Hasar: Bir saldırı ne kadar kötü olabilir?
Reproducibility -Tekrarlanabilirlik: Saldırının tekrarlanması ne derece kolay?
Exploitability-Sömürme: Bu saldırıyı başlatan olay nedir?
Affected users-Etkilenen Kullanıcılar: Kaç kişi etkilenir?
Discoverability -Keşfedilebilirlik: Tehdidi keşfetmek ne kadar kolay?
Belirli bir tehdit DREAD kullanılarak değerlendirildiğinde, her kategoriye 1 ile 10 arasında bir puan verilir. Belirli bir konu için tüm derecelendirmelerin toplamı farklı konular arasında öncelik sırasına koymak için kullanılabilir.
Tehdit Modelleme Araçları
Güçlü bir tehdit modelleme aracı, kilit paydaşların dış ve iç tehditler için tasarım yapma, görselleştirme, öngörme ve planlama yapmalarını sağlayan araçtır. Tehditleri tespit etmek ve ele almak, uzun vadede kurumları milyonlarca dolardan kurtarabilir.
Microsoft Tehdit Modelleme Aracı
Microsoft’un ücretsiz tehdit modelleme aracı – Tehdit Modelleme Aracı (eski adıyla SDL Tehdit Modelleme Aracı). Bu araç ayrıca Microsoft tehdit modelleme metodolojisini kullanır, DFD tabanlıdır ve STRIDE tehdit sınıflandırma şemasına dayalı tehditleri tanımlar. Öncelikle genel kullanım için tasarlanmıştır.
ThreatModeler
MyAppSecurity, ticari olarak temin edilebilir ilk tehdit modelleme aracını sunar – ThreatModeler VAST metodolojisini kullanır, PFD tabanlıdır ve özelleştirilebilir kapsamlı bir tehdit kütüphanesine dayalı tehditleri tanımlar. Tüm örgütsel paydaşlar arasında işbirliğine dayalı kullanım içindir.
securiCAD Profesyonel
securiCAD İskandinav şirketi için öngörülen bir tehdit modelleme ve risk yönetimi aracıdır. CISO’dan güvenlik mühendisine, teknisyene kadar şirket siber güvenlik yönetimi için tasarlanmıştır. securiCAD, mevcut ve gelecekteki BT mimarilerine otomatik saldırı simülasyonları yapar, yapısal güvenlik açıkları da dahil olmak üzere bütünsel olarak riskleri belirler ve ölçerek bulgulara dayanarak karar desteği sağlar. securiCAD hem ticari hem de topluluk basımlarında sunulmaktadır.
IriusRisk
IriusRisk; Bu araç, SDLC’nin tamamı boyunca canlı bir Tehdit Modelinin oluşturulması ve korunmasına odaklanmaktadır. Tamamen özelleştirilebilir anketler ve Risk Deseni Kitaplıkları kullanarak süreci yönlendirir ve otomasyonu güçlendirmek için diğer birkaç farklı araçla (OWASP ZAP, BDD-Security, Threadfix …) bağlantı kurar
Elmas Model Framework ile Tehdit Analizi Sürecini Geliştirme
Siber güvenlik ve tehdit istihbarat endüstrilerinde, gelişmiş tehdit oyuncuları tarafından siber saldırıların özelliklerini analiz etmek ve izlemek için kullanılan birkaç yaklaşım vardır. Popüler yaklaşımlardan biri, Elmas Modelidir. Bu model dört temel bileşenin ilişkilerini ve özelliklerini vurgulamaktadır: Düşman, Yetenekler, Altyapı ve Mağdurlar.
Bir tehdidin nasıl işlediğini bulmak, daha tutarlı bir resim oluşturmak için; Düşman, Altyapı, Yetenekler ve Mağdurlarla ilgili ek detayları ortaya çıkarmak gerekmektedir. Bu detaylar kötü niyetli aktiviteyi bir rakiple ilişkilendirmek için kullanılabilir.
Tehdit Göstergelerinin Doğrulanması ve Önceliklendirilmesi
Zelonis’e göre, güvenlik açığı risk yönetimi sürecinin dört ana adımı vardır:
- Varlık tanımlama
- Varlıkların sayımı
- Yamaların önceliklendirilmesi
- İyileştirme
Düzeltme önceliklerini atarken, güvenlik açıklarının ciddiyetini her bir varlık bağlamında incelemek önemlidir.
Örneğin, çok önemli olan bir varlıkta kritik bir güvenlik açığını gidermek en önemli önceliktir. Bununla birlikte, aynı güvenlik açığının, orta veya düşük önem arz eden bir varlıkta mevcut olması durumda yüksek önceliklendirme yapılamaz.
Fine-Tuning Tehdit Analizine Genel Bakış
Fine-Tuning Tehdit Analizi
Fine-Tuning, bir sonucu iyileştirmek veya optimize etmek için küçük değişiklikler yapma sürecini ifade eder. Genel olarak, Fine-Tuning işlemi bir işlem veya işlevin etkinliğini veya verimliliğini arttırmayı amaçlamaktadır. Fine-Tuning, yöntemi optimize edilen işleme bağlı olan çeşitli yollarla gerçekleştirilebilir.
Güvenlik ekipleri mevcut güvenlik çözümleri üzerinde Fine-Tuning yaptığında, yanlış alarmların yarattığı gereksiz durumları azaltacak, ve analistlerin asıl önemli ve kritik alarmlar üzerinde durmasına yardımcı olacaktır.
Tehdit Analizi Yazılımı için Kriterler Geliştirmek
Güvenlik analiz yazılımları, kuruluşların güvenlik duruşlarını iyileştirmelerine yardımcı olmak için uygulamalardan, uç nokta kontrollerinden ve ağ savunmasından gelen günlük ve olay verilerini analiz eder. İşletmelerin, saldırıları gerçekleşmeden önce engellemek için saldırı yöntemlerini ve sistem açıklarını daha iyi anlamalarına yardımcı olur, ayrıca bir saldırı gerçekleştiğinde hangi sistemlerin etkilendiğini görebilirler.
İşletmeler, güvenlik analitiği yazılımı ya da ürünlerini seçerken, kuruluşlar için kafa karıştırıcı kararlar verebilecekleri geniş bir seçenek yelpazesine sahiptir. Örneğin, farklı ürünler, dağıtım seçenekleri, analiz aralığı ve maliyet gibi farklı temel özellikleri vurgular. Güvenlik analizi araçlarını seçmenin ilk adımı kuruluşunuzun önceliklerini anlamaktır.
Kuruluşlar güvenlik analitiği yazılımı için önceliklerini değerlendirirken, değerlendirme için çeşitli kriterleri göz önünde bulundurmalılar. Bunlar;
- Dağıtım modelleri
- Modülarite
- Analizin kapsamı (tehdit türleri)
- Analiz derinliği (ağ katmanları)
- Adli destek
- İzleme, raporlama ve görselleştirme
Runbook’lar Geliştirme
Bir bilgisayar sisteminde veya ağda, runbook , sistem yöneticisinin veya operatörünün gerçekleştirdiği rutin prosedür ve işlemlerin bir derlemesidir. Sistem yöneticileri, güvenlik uzmanları, BT departmanları runbookları referans olarak kullanır. Runbook’lar elektronik veya fiziksel kitap formunda olabilir. Genellikle, bir runbook, sistemi başlatma, durdurma, denetleme ve hata ayıklama prosedürlerini içerir. Ayrıca, özel talepler ve beklenmedik durumlarla ilgili prosedürleri de tanımlayabilir. Etkili bir runbook, önkoşul uzmanlığına sahip diğer operatörlerin bir sistemi etkin bir şekilde yönetmesini ve sorunlarını gidermesini sağlar. Runbook otomasyonu sayesinde, bu işlemler önceden belirlenmiş bir şekilde yazılım araçları kullanılarak gerçekleştirilebilir.
Bilgi Tabanında Siber Tehdit Bilgilerini Düzenleme ve Depolama
Güvenlik ekiplerinin genellikle derin bir veri bilimi geçmişine sahip olmaları gerekmediğinden, güvenlik analizlerinde veri yönetiminin önemini küçümseme eğilimindedirler. Herhangi bir fonksiyon veya uygulamada olduğu gibi, zayıf veriler kötü sonuçlara yol açar. Bütün alanlarda olduğu gibi siber güvenlik içinde sağlam veri yönetimi önemlidir. Bunun için dikkat edilmesi gereken noktalar vardır;
Veri hacmi ve hızı: Organizasyonel ağlar, normal aktivitelerden saniyede petabayt veri üretebilir. Buna, ağa bağlı mobil cihazların, sensörlerin ve bulut tabanlı hizmetlerin büyümesiyle ilişkili tüm verilerin eklendiğini düşünürsek, veri noktaları çoğaldıkça saldırı yüzeyi de artar.
Birden fazla veri kaynağı: Bir güvenlik analizi programı binlerce veri öğesini birleştirebilir. İhtiyaç duyulan veriler, kullanıcı etkinliklerinin web ve sistem günlükleri, tehdit bildirimleri, kullanıcı meta verileri, kullanıcıların kara listeleri ve IP adresleri, yönlendirici ve anahtar günlükleri, ağ izleme sistemleri ve daha fazlası gibi birçok sistemde bulunur.
Veri çeşitliliği: Veri formatları, sistem kategorisine ve satıcıya göre değişebilir. Alan adları, değerler ve anlamları sistemler arasında farklılık gösterir. Aynı olay kodu iki yerde tamamen farklı bir şey anlamına gelebilir. Tüm bu eşitsizlikler, sürekli değişen bir güvenlik ortamında eşleştirilmeli ve uzlaştırılmalıdır.
Veri organizasyonu: Kendi doğal durumunda, siber güvenlik verileri, alma ve analiz kolaylığı için nadiren düzenlenir. Organize etme prensibi genellikle verilerin yaratıldığı zamandır. Uluslararası bir Analytics Enstitüsü web seminerinde SAS Veri Yönetiminde İş Danışmanlığı Başkan Yardımcısı Evan Levy, “Belirli verileri bulmak, kitapların alındıkları sırayla raflarda tutulduğu bir kütüphanede arama yapmak gibi olabilir” demiştir.
Benzersiz veri depolama gereksinimleri: Kaynak veriler birlikte yönetilebilir bir şekilde depolanmalıdır. Bu, yalnızca büyük miktarda içerik depolamak değil, aynı zamanda verileri ne kadar süre kullanacağınızı ve ne kadar süreyle saklayacağınızı da öngörmekle ilgilidir. Levy, “Taban çizgileri oluşturmak ve geçmişe yönelik incelemeler yapmak için analistler için yeterli tarihi tutmanız gerekir” demiştir. “Tüm ayrıntıları süresiz olarak saklamak istemezsiniz, ancak olaydan 100 gün sonra bir ihlal tespit edilirse, bir miktar tarihsel yeniden yapılanma yapabilmek istersiniz.”
Güvenlik araçlarından oluşan bir patchwork: Tipik bir büyük kuruluş, her biri resmin bir kısmına bakan ve her biri kendi veri ve raporlama formatlarına sahip düzinelerce güvenlik aracına sahip olabilir. Her yeni savunma katmanı, satıcı anahtarı veya hatta yeni sürüm ek karmaşıklık sağlayabilir.
Esnek olmayan raporlama ve sorgulama sistemleri: Siber güvenlik araçlarının çoğu, veri toplamak ve önceden belirlenmiş yöntemlerle işlemek için düzenlenen işlemsel sistemler gibidir. Ancak analistler verileri sorgulayabilmeli, veri kaynaklarını inceleyebilmeli ve araştırabilmelidirler. Sınırsız veri hazırlığı yapmak zorunda kalmadan büyük miktarda veriyi sorgulamak isteyebilirler.
Yazar: Cyber Intelligence Analyst Gurbet Başakçi
Bölüm 12 – “Tehdit İstihbaratı Araçlarına Genel Bakış” ile devam ediyoruz.