Tehdit istihbaratı kaynaklarını değerlendirmek

Mayıs 27, 2019

Genişleyen saldırı alanı ve tehditlerin daha sofistike hale gelmesi nedeniyle artık yalnızca olaylara tepki vermek yeterli olmuyor. Gitgide karmaşıklaşan ortamlar, saldırganlara çok sayıda fırsat sunuyor. Her sektörün ve her kuruluşun koruması gereken kendine özgü verileri vardır ve her biri bunun için kendi uygulamalarını ve teknolojilerini kullanır. Tüm bunlar, olası saldırı yöntemleri geliştirmek için inanılmaz sayıda değişkenin ortaya çıkmasına neden olur ve her gün de yeni yöntemler belirir.


Son yıllarda tehdit türleri ve tehdit aktörü türleri arasındaki sınırların netliğini yitirdiğini gözlemliyoruz. Eskiden sınırlı sayıda kuruluş için tehdit olan yöntemler ve araçlar, artık daha geniş bir pazara yayıldı. Bunun bir örneği, gelişmiş güvenlik açıklarını normalde bu tür karmaşık kodlara erişemeyecek olan suçlu grupların kullanımına sunan Shadow Broker grubunun kod dökümüdür. Başka bir örnek ise, gelişmiş inatçı tehdit (APT) saldırılarıdır; bu saldırılar siber casusluğa değil, APT grubunun dahil olduğu diğer faaliyetleri finanse etmek için para çalma gibi hırsızlık faaliyetlerine odaklanır. Bu liste uzayıp gidiyor.

Yeni bir yaklaşım gerekli

Kuruluşların gitgide daha gelişmiş ve hedef gözeten saldırılara maruz kaldığı bu günlerde, başarılı bir savunmanın yeni yöntemler gerektirdiği aşikâr. İşletmeler, kendilerini korumak için proaktif bir yaklaşım benimseyerek güvenlik kontrollerini durmadan değişen tehdit ortamına aralıksız bir şekilde adapte etmelidir. Bu değişime ayak uydurabilmenin tek yolu, etkili bir tehdit istihbaratı programı oluşturmaktır.

Tehdit istihbaratı, her sektörden ve her coğrafyadan çeşitli boyuttaki şirketin uyguladığı güvenlik operasyonlarının kilit bileşeni haline geldi. İnsanların okuyabildiği ve makinelerin okuyabildiği formatlarda sağlanan tehdit istihbaratı, olay yönetimi döngüsü boyunca sağladığı anlamlı bilgilerle güvenlik ekiplerine yardım edebilir ve stratejik kararları etkileyebilir.

Ne var ki, harici tehdit istihbaratına talebin artması, her biri farklı hizmetler sunan çok sayıda tehdit istihbaratı satıcısının ortaya çıkmasına sebep oldu. Sayısız, karmaşık seçeneklere sahip kapsamlı ve rekabetçi bir pazar ortamında, şirketinizin ihtiyaçlarına uyan en doğru çözümü seçmeye çalışmak hem kafanızı karıştırabilir hem de oldukça canınızı sıkabilir.

Tehdit istihbaratı odaklı güvenlik operasyonları

Tehdit istihbaratı odaklı güvenlik operasyonları

İşletmenizin özel ihtiyaçlarına uyarlanmamış tehdit istihbaratı, sorunu daha da kötüleştirebilir. Günümüzde pek çok şirketteki güvenlik analistleri, zamanlarının çoğunu proaktif olarak tehdit avlamak ve yanıtlamak yerine yanlış pozitifleri ayıklayarak geçiriyor. Bu da tespit sürelerinde ciddi bir artışa sebep oluyor. Güvenlik operasyonlarınıza konuyla ilgisiz veya yanlış istihbarat sağlamak, yanlış alarm sayısını artırarak yanıtlama yetilerinizi ve şirketinizin genel güvenliğini ciddi anlamda olumsuz etkiler.

En iyi istihbarat nerede?

Peki, çok sayıdaki tehdit istihbaratı kaynağını neye göre değerlendirebilirsiniz? Organizasyonunuza en uygun olanları nasıl belirleyebilirsiniz? Bunları nasıl verimli biçimde kullanabilirsiniz? Neredeyse her satıcı en iyi istihbaratın kendisinde olduğunu iddia ederken, bu kadar çok miktarda anlamsız pazarlama malzemeleri arasında yolunuzu nasıl bulacaksınız?

Ne kadar geçerli sorular olsalar da bunlar kesinlikle ilk sormanız gereken sorular değil. Gösterişli mesajların ve büyük sözlerin cazibesine kapılan pek çok kuruluş, harici bir satıcının kendilerine x ışınlı bir tür süper görüş gücü sağlayabileceğine inanarak en değerli istihbaratın kendi kurumsal ağı çevresinde yattığını gözden kaçırır.

İzinsiz giriş tespiti ve önleme sistemlerinden, güvenlik duvarlarından, uygulama kayıtlarından ve diğer güvenlik kontrolü kayıtlarından gelen veriler, şirket ağı içerisinde neler olup bittiğine dair çok fazla ipucu verebilir. Kuruluşa özgü kötü amaçlı aktivite kalıplarını tespit edebilir. Normal bir kullanıcı ve ağ davranışı arasındaki farkı anlayabilir, veri erişimi aktivitesinin izini sürmeye yardımcı olabilir, veri akışında kapatılması gereken bir boşluk tespit edebilir ve bütün bunlardan çok daha fazlasını yapabilir. Bu görünürlüğe sahip olmak, şirketlerin harici tehdit istihbaratını içeride gözlemlenenlerle ilişkilendirerek kullanabilmesini sağlar. Bu olmadığı takdirde dışarıdan gelen kaynaklardan faydalanmak güçtür. Hatta bazı satıcılar, küresel varlıkları ve dünyanın farklı yerlerinden veri toplama, işleme ve ilişkilendirme becerileri sayesinde siber tehditleri daha iyi görebilir. Fakat bu durum, yalnızca içeride yeterince bağlam olduğu sürece işe yarar.

Harici tehdit istihbaratını faaliyete geçirme

Harici tehdit istihbaratını faaliyete geçirme

Saldırganlar gibi düşünün

Güvenlik operasyonları merkezi bulunan şirketler de dahil tüm şirketler, etkili bir tehdit istihbaratı programı oluşturmak için bir saldırgan gibi düşünerek hedef olması en muhtemel noktaları tespit etmeli ve koruma altına almalıdır. Bir tehdit istihbaratı programından gerçek değer elde etmek, kilit varlıkların neler olduğunu, hangi veri setlerinin ve iş süreçlerinin organizasyon hedeflerine ulaşmak için kritik önem taşıdığını çok iyi anlamaktan geçer. Bu kilit noktaları tespit etmek şirketlerin, toplanan verileri dışarıdan kullanılabilen tehdit bilgileriyle eşlemek amacıyla bu kilit noktalar etrafında veri toplama noktaları oluşturmalarına olanak sağlar. Veri güvenliği bölümlerinin çoğunlukla sahip olduğu kısıtlı kaynaklar düşünüldüğünde tüm organizasyonu profillemek çok büyük bir iştir. Çözüm, riske dayalı bir yaklaşım benimseyerek önce en hassas hedeflere odaklanmaktır.

İçerideki tehdit istihbaratı kaynakları belirlenip kullanılabilir hale getirildikten sonra şirket, mevcut iş akışlarına dışarıdan bilgi eklemeyi düşünebilir.

Bu bir güven meselesi

Harici tehdit istihbaratı kaynakları, güven düzeyleri açısından değişiklik gösterir:

  • Açık kaynaklar ücretsizdir, fakat çoğunlukla bağlamdan yoksunlardır ve ciddi sayıda yanlış pozitif sağlarlar.
  • Başlangıç olarak, Finansal Hizmetler Bilgi Paylaşımı ve Analiz Merkezi (FS-ISAC) gibi sektöre özgü istihbarat paylaşım topluluklarına erişebilirsiniz. Bu topluluklar, dışarıya kapalı olup erişim sağlamak için genellikle düzenli üyelik gerektirmelerine rağmen son derece değerli bilgiler sunmaktadır.
  • Her ne kadar erişim ücretleri pahalı olsa da ticari tehdit istihbarat kaynakları çok daha güvenilirdir.

Harici tehdit istihbarat kaynakları seçerken temel ilke, nicelikten ziyade nitelik olmalıdır. Bazı kuruluşlar, ne kadar çok tehdit istihbarat kaynağı entegre ederlerse o kadar çok görünürlük elde edeceklerini düşünmektedir. Bu bazı durumlarda doğru olabilir — örneğin, kuruluşların özel tehdit profiline uyacak şekilde tasarlanmış tehdit istihbaratı sağlayan, ticari kaynaklar dahil olmak üzere son derece güvenilir kaynaklar söz konusu olduğunda. Diğer durumlarda ise, güvenlik işlemlerinizi gereksiz bilgilerle doldurma gibi ciddi bir risk taşır.

Özelleştirilmiş tehdit istihbarat satıcılarının sağladığı bilgiler arasında çok az çakışma olabilmektedir. Çünkü kullandıkları istihbarat kaynakları ve toplama yöntemleri çeşitli olup sundukları öngörüler de bazı yönlerden eşsizdir. Örneğin, belirli bir bölgede önemli oranda varlık gösteren bir satıcı o bölgede ortaya çıkan tehditler konusunda daha ayrıntılı bilgi sunarken, diğer bir satıcı belirli tehdit türleri üzerine daha fazla ayrıntı sunacaktır. Her iki kaynağa da erişim sağlamak yararınıza olabilir; bu kaynaklar beraber kullanıldıklarında büyük resmi görmenize ve tehdit avcılığı ile olay yanıtlama görevlerini daha etkili şekilde yönlendirmenize yardımcı olabilir. Ancak unutulmamalıdır ki, sağladıkları istihbaratın kuruluşunuz özel ihtiyaçlarına uygun olduğundan ve güvenlik işlemleri, olay yanıtlama, risk yönetimi, güvenlik açığı yönetimi, red team (sızma testi) gibi durumları kullandıklarından emin olmak için bu tür güvenilir kaynakların dikkatli bir ön değerlendirmeden geçmesi gerekmektedir.

Ticari tehdit istihbaratı tekliflerini değerlendirirken dikkate alınacak noktalar

Çeşitli ticari tehdit istihbaratı tekliflerini değerlendirmek için henüz ortak bir kriter olmasa da bu değerlendirmeyi yaparken aşağıdaki noktaları göz önünde bulundurmak önemlidir:

  • Dünya geneline erişimi olan istihbarat hizmetini bulmaya çalışın. Saldırılar sınır tanımaz; Latin Amerika’daki bir şirketi hedefleyen bir saldırı Avrupa’dan başlatılabilir veya bunun tam tersi de yapılabilir. Satıcı bilgileri küresel olarak tedarik ediyor ve görünüşte alakasız olan faaliyetleri bağlı kampanyalar içerisinde bir araya getiriyor mu? Bu türden bir istihbarat doğru eylemi uygulamanıza yardımcı olacaktır.
  • Uzun vadeli güvenlik planlamanızı daha stratejik içeriklerle geliştirmek istiyorsanız şu özelliklerin peşinde olun:
    • Saldırı eğilimlerinin yüksek düzeyde bir görünümü,
    • Saldırganların kullandığı teknik ve yöntemler,
    • Saldırganların amaçları,
    • Saldırıyı bir gruba atfetme vs.

Ardından, bölgenizde veya sektörünüzde karmaşık tehditleri sürekli olarak açığa çıkarma ve araştırma konusunda başarılı bir geçmişe sahip tehdit istihbarat sağlayıcısı bulmaya çalışın. Sağlayıcının, araştırma kabiliyetlerini şirketinizin özellikleriyle uyumlu hale getirebilme özelliği son derece önemlidir.

  • Bağlam, veriyi istihbarata dönüştürür. Bağlamı olmayan tehdit göstergelerinin hiçbir değeri yoktur; son derece önemli olan “bu beni neden ilgilendiriyor?” sorusuna cevap vermenize yardımcı olacak sağlayıcılar bulmalısınız. İlişki bağlamı (örn. belirli bir dosyanın indirildiği tespit edilmiş IP adresleri veya URL’ler ile ilişkili etki alanları), olay soruşturmasını geliştirerek ve ağdaki yeni elde edilmiş Risk Göstergeleri’ni (IOC) ortaya çıkarma yoluyla daha iyi olay kapsamı belirlemeyi destekleyerek ilave değer sunar.
  • Şirketinizin, ilişkilendirilmiş süreçler tanımlanmış olarak halihazırda bazı güvenlik kontrollerine sahip olduğu ve halihazırda kullandığınız ve bildiğiniz araçlarla birlikte tehdit istihbaratını kullanmaya önem verdiğiniz varsayılmaktadır. Bu yüzden, tehdit istihbaratının mevcut güvenlik işlemlerinize sorunsuz entegre edilmesini destekleyecek teslim yöntemlerini, entegrasyon mekanizmaları ve biçimlerini bulmaya çalışın.

Kaspersky Lab’de yirmi yılı aşkın süredir tehdit araştırmalarına odaklanıyoruz. Araştırıp bulabileceğiniz petabaytlarca veri, gelişmiş makine öğrenme teknolojileri ve eşsiz bir küresel uzman havuzumuz ile dünyanın dört bir yanından en son tehdit istihbaratını sunarak sizleri daha önce hiç görülmemiş siber saldırılardan dahi muaf tutmak için çalışıyoruz. Daha fazla bilgi için lütfen Kaspersky for Security Operations Center sayfasını ziyaret edin.