Tehdit istihbaratı birçok işletme için, hızla, bir risk unsuru haline gelmeye başlamıştır. Bilgi güvenliğini en üst seviyelere ulaştığı son birkaç yılda, kurumlar güvenlik tehdit istihbaratı programlarına ağırlık vermeye başlamıştır. Bu önem çerçevesinde güvenlik ekipleri oluşturulmuş, birimlere ayrılmış ve tehdit istihbaratı ekipleri de bu birimlerden biridir. Bu tehdit istihbaratı ekiplerini oluştururken dikkat edilmesi gereken noktalar mevcuttur.
Siber Tehdit İstihbaratı Programını Planlama konusunu bitirdikten sonra Siber İstihbarat makale dizimize, Tehdit İstihbaratı Ekibi Oluşturmak başlığı ile devam ediyoruz.
Başarılı Bir Tehdit İstihbaratı Ekibi İçin Önemli Kurallar
1)Yetenek Kişiselleştirme
Tehdit istihbaratı ekipler insan/insanlar tarafından yönetilir. Bu nedenle doğru insanın doğru beceriye sahip olması çok önemlidir. Tehdit analizinin belirli kısımları, farklı ve uygulama beceri setleri gerektirmektedir. İstihbarat analizi, korelasyon ve verilere dayalı tehditler hakkında öngörüde bulunma, çok gelişmiş araştırma ve analitik beceriler ve örüntü tanıma gibi beceriler gerektirir.
Bir yönetici için ekip arkadaşı yalnızca sanal becerilerden değil, aynı zamanda insani becerileri de göz önünde bulundurmak gerekir. Yöneticini ekip içerisinde güven ve etkili iletişim kurduğundan emin olması gerekmektedir. Ekipler arasındaki etkileşim ve iş önceden planlanmalı ve paylaşımı, güvenlik kararları vermekten sorumlu ekipler için kolay entegrasyonu kolaylaştırmalıdır.
2) Savunma Sistemini Planlamak/Altyapı Planlanması
Kuruluşlar tutarlı, alakalı ve eyleme geçirilebilir tehdit verileri sağlayan şirket içi yazılımlar geliştirebilirler. Özel tehdit istihbarat platformları kuruluşun özel ihtiyaçlarına göre uyarlanma avantajına sahiptir ve çoğu zaman ticari, kullanıma hazır çözümlerden daha küçük bir fiyat etiketi ile birlikte gelir. Bu özel tasarlanmış çözümler, dış verileri otomatik olarak toplamak, depolamak, işlemek ve güvenlik günlükleri, DNS günlükleri, Web proxy günlükleri, Netflow ve IDS / IPS gibi dahili telemetri ile ilişkilendirmek için dış satıcı sistemleriyle bütünleşmelidir.
3) İş Kararlılığını etkinleştirmek
Her tehdit istihbaratı programının temel amacı, kurumu etkilemeden ortaya çıkan tehditleri bulmaktır. Doğrudan tehditlerin sayısının azaltılması riski azaltır, bu da karlılığı artırır. Tehdit istihbarat ekipleri bu nedenle, tehdit olaylarının ve kaynaklarının tanımlanmasına ve reddedilmesine öncelik vermek için işletmenin karlılık düzeyi olarak tanımladığını bilmelidir.
Kurumun merkezinde, işletmenin stratejik varlıkları (müşteriler, çalışanlar, altyapı, uygulamalar, satıcılar) bulunmaktadır. Stratejik varlıkların korunması bir numaralı önceliktir ve tehditlerin ortaya çıkması için savunma kontrollerinin yönetilmesi gerekir.
Önemli varlıkların korunmasını sağlamak için, tehdit analistleri daha büyük tehdit tablosunu inceleyebilmeli ve genel endüstri tehditleri, trendler, saldırgan TTP’ler ve kötü amaçlı yazılımları gibi şeyleri tanımlayabilmelidir.
4) Sürekli İletişim
İş kararlılığını sağlamak için, iş hedeflerinin ve yok haritasının ekip tarafından iyi anlaşılması gerekmektedir. Yol haritasını etkin bir şekilde belirlemek için, yürütme katmanının aynı zamanda mevcut ve gelecekteki tehditlerle ilgili görüş sahibi olması gerekir.
Bir yönetici,tehdit istihbaratı ekibinden, mevcut tehditlerin nedenleri, risk seviyesini, nasıl azaltılabileceğini öğrenmek ister. Ekipler gerekli bilgilendirmeleri yaparken, verilen bilgi belirsizlik içermemelidir. Eğer verilen rapor fazla teknik donanımı olmayan bir yöneticiye yapılıyorsa aşırıya kaçan teknik detaylarla karşı tarafı boğmamakta fayda vardır.
Tehdit İstihbaratı Analistlerinin Sahip Olması Gereken Alışkanlıklar
Tehdit istihbaratı analistleri aşağıdaki alışkanlıklarla daha etkin ve verimli olabilirler.
- Kendini kontrol altında tutmak
- Ufkunu genişletmek
- Aceleci hareket etmemek
- Karşı tarafı anlamaya çalışmak (tehditler, rakipler, teknolojiler)
- Ekibini tanımak
- Raporlamaya gereken önemi vermek
Farklı Tehdit İstihbarat Rolleri ve Sorumluluklarını Anlama
İstihbarat Analisti
Sİber tehdit istihbarat analistleri çeşitli kaynaklardan gelen ham, birincil ve ikincil tanımlanması, toplanması ve analiz edilmesi işlemlerin, gerçekleştirir. Hem sınıfladırılmış hemde sınıflandırılmamaış tehdit verileirndne sorumludur. Güvenlik danışma hizmetlerinin
Kötü Amaçlı Yazılım Analisti
Kötü amaçlı yazılım analistleri, solucanlar, truva atları, rootkitler gibi siber tehditlerin yapısını incelemek, tanımlamak ve anlamak konusunda uzaman analistlerdir. Kötü amaçlı yazılım, bir bilgisayarın veya ağın hem donanım hem de yazılım bütünlüğünü tehlikeye atabilir, ayrıca şirketin finansal kayıtları gibi özel verileri çalabilir.Bu profesyoneller dijital varlıkları tehditlerden korur ve ekiplerdeki diğer güvenlik uzmanlarıyla yakın çalışırlar. Kötü amaçlı yazılım analistlerinin ayrıca kötü amaçlı yazılımları ters çevirme becerisine sahip olmaları gerekir, böylece şirketler ikili ayak izlerini kullanarak savunma yapabilirler. Tersine mühendislik yönü nedeniyle, çoğu kötü amaçlı yazılım analisti bilgisayar dillerinde ve kod çözme programlarında uzmandır.
Olay Yanıtlayıcısı
Olay yanıtlayıcı bir kuruma gerçekleşebilecek olası saldırılara karşı sistemleri ve ağları aktif olarak izler.. Sorunu keşfedip, hasarı hafifletmeye ve tehditi ayrıntılı incelemeye çalışırlar. Bu süreçte adli araçlar kullanabilirler.
Güvenlik Operatörü
Güvenlik operatörleri saldırı analizi yapan, Blue-team’lere destek veren, Olay araştırması yapan, ağ ve sistemleri izleyen güvenlik çalışanlarıdır.
Güvenlik Açığı Yönetimi Analisti
Bir güvenlik açığı yönetin Analistinin sorumlulukları arasında güvenlik açıklarını keşfetme, bu güvenlik açıklarının önemini belirleme ve bir düzeltme planı geliştirme sayılabilir.
Sistem / Veri Mimarı
Veri mimarı, bir kurumun veri mimarisini tasarlama, yaratma, dağıtma ve yönetme işlemleriyle ilgilenir. Veri mimarları, verilerin, farklı veri varlıkları ve BT sistemleri tarafından nasıl depolanacağını, tüketileceğini, birleştirileceğini ve yönetileceğini ve aynı zamanda bu verileri bir şekilde kullanan veya işleyen herhangi bir uygulamayı tanımlar.
Tehdit İstihbaratı Ekipleri Başarısız Olma Nedenleri
Siber güvenlik ekipleri veya tehdit istihbaratı ekipleri donanımlı araçlara, en son teknoloji, güncel yazılımlara ve güvenlik çözümlerine, daha önceden kazanılmış uzun yıllar süren bilgi ve tecrübe birikimine sahip olabilirler. Ama bunlara rağmen başarısız olma ihtimali her zaman vardır. Aşağıda başarısızlığa sebep olabilecek nedenler listelenmiştir.
- Kurumun Değerlerini Yanlış Anlama: Kurum için hangi istihbarat bilgisinin daha önemli olduğuna yanlış karar vermek, İstihbarat programının başarısız olmasına sebep olabilir. Buna doğru karar vermek kurumu iyi tanımaktan geçmektedir. Örneğin risk derecelendirmesini yanlış yapmak kurum için hangi varlığın daha önemli olduğunu bilmemek demektir.
- Yanlış Bilgiyle İlgilenme: Alınan bilgi kaynağının güvenliğinden emin olmadan uygulamaya geçilmesi yanlış bir yol izlenmesine ve sonucunda kuruma zarar vermeye sebep olur. Bilgi alınan istihbarat servislerinin sıkı takip edilmeli, ayrıntılara gereken önem verilmeli, verilerin kaynağı araştırılmalı, doğruluğundan emin olunmalıdır.
- Çok Fazla Veride Boğulma: kurumun sahip olduğu kaynaklar sınırlıdır. Aynı zamanda istihbarat ekibindeki kişilerin sayısı da sınırlıdır. Kişi ve kaynakları aşan derecede veriye sahip olmak boğucu bir etki yaratır. Kritik olan noktalara odaklanmaya engel olur.
- Verileri Operasyonelleştirememe: Tek başına tehdit istihbaratı kurumu korumaya yetmez.Tehdit verinin yanında, bu verilerin neden önemli olduğu ve gerekli eylemi yürütmek için verileirn nasıl kullanılacağını bilmek gerekir.
Unutmayın! Proaktif bir savunma, doğru araçları, süreçleri ve insanları içerir.
Makalemize bir sonraki Bölüm 17 – Tehdit İstihbaratı Paylaşımına Genel Bakış ile devam edeceğiz.
Yazar: Cyber Intelligence Analyst Gurbet Başakçi
