Bugün sizlerle firmaların ihtiyaçlarına göre tehdit istihbarat özelliklerini nasıl değerlendireceklerini ve bunları güvenlik programlarına nasıl uygulayabileceklerini paylaşacağım.
Günden güne büyük işletmelerde siber tehdit istihbaratının yaygınlaşarak kullanıldığını görüyoruz. Siber tehdit istihbaratı, tehdit aktörlerinin kimlikleri, motivasyonları, yöntemleri ve özellikleri hakkında bizlere bazı bilgiler verebilmektedir. Bu bilgiler, teknik kaynaklardan, (örneğin, Ağ Trafikleri ve kötü amaçlı yazılım arşivlerinden alınan dosyalar) hacker’lardan, dolandırıcılık gruplarından sızan bilgiler, kolluk kuvvetleri ile yapılan ortak çalışmalarından ve endüstri gruplarıyla iş birliğinden elde edilebilmektedir. Güvenlik duvarı, uç nokta koruma yazılımları ve yönetilen güvenlik hizmetleri (MSS) gibi büyük ürün ve hizmet sağlayıcıları sayesinde Siber Tehdit İstihbaratı yeteneklerini geliştirilmiştir.
Güvenlik ve risk yönetimi (SRM) liderleri, Siber Tehdit İstihbaratı ürün ve hizmetleri tedarik etmek ve uygulamak için Siber Tehdit İstihbaratını şirketine değer katacak bir unsur olarak değerlendirmelidir. Güvenlik duvarları ve Birleşik tehdit yönetimi (UTM) sistemleri, Saldırı Tespit ve önleme (IDP), SWGs ve Güvenli E-posta ağ geçitleri (SEGs), uç nokta güvenliği (EPP) ve web uygulaması güvenlik duvarları (WAFs) gibi diğer güvenlik ürünleri ve hizmetleri bir API aracılığıyla Siber Tehdit istihbaratı ile entegre edildiğinde daha büyük istihbari bir sinerji elde edilmektedir. Güvenlik ürünlerine ve hizmetleriyle entegre olan Siber Tehdit İstihbaratı ürünlerini daha çok tercih etmelisiniz, çünkü mevcut tehdit durumunuzu ve olgunluğunuzu tahmin etmenizi, önlemenizi, tespit etmenizi ve yanıt vermenizi sağlayacaktır. Güvenlik orkestrasyon, otomasyon ve olaylara müdahale ürünleri (SOAR), SIEM ve diğer güvenlik çözümlerinden elde edilen veriler API aracılığıyla tehdit istihbaratından beslenebilir ve zenginleştirme ve analiz için kullanılabilir. Firmalar siber tehdit istihbaratı yazılımlarının özelliklerini sorgularken ihtiyaçlarına göre aşağıdaki gibi benzer soruları firmalara yöneltebilirsiniz.

  • Elimde bulunan bir IP adresindeki bağlantının kötü bir bağlantı olup olmadığını kontrol edebilir miyim ? Bu IP’nin sahibi kimdir ? Hangi internet servis sağlayıcısına bağlıdır ? Bu IP adresine ait şirketin başka hangi IP adresleri bulunmaktadır ?
  • Elimde bulunan bir URL adresinin tehlikeli olup olmadığını analiz edebilir miyim ? Domain kim tarafından kullanılıyor ? Bu adreste ne gibi tehditler bulunmaktadır ?
  • Siber dünyada benim sektörümde hangi güvenlik açıklarının olduğunu bilebiliyor muyum ? Bu güvenlik açıklarını satan veya kullanan tehdit aktörleri kimlerdir ? Bu güvenlik açıklarından yararlanılan kötü amaçlı yazılım ve tehditler nelerdir ? Bu tehditler sonucunda hangi organizasyonlar saldırıya uğramıştır ?
  • Saldırganlar, Dark Web’de organizasyonum ve personelim hakkında neler biliyor ? Sistemlerime veya fikri mülkiyet haklarıma olan erişimleri dark web’de satıyorlar mı ?
  • Herhangi bir hassas bilgim dışarıya sızdırılmış mı ?
  • Bir saldırıyı tahmin edebiliyor musunuz ? Ne zaman ? Nasıl ?
  • Şirketimin düşmanları kim ? Önümüzdeki aylarda hangi tehdit aktörleri kuruluşumu hedefliyor olabilir ?

Bu soruların cevapları, Güvenlik ve risk yönetimi (SRM) liderlerinin;

  • güvenlik harcamalarını nerede hedeflemesi gerektiği ve nereleri sıkılaştırması gerektiğine,
  • tehdidi daha iyi tahmin etmek, önlemek, tespit etmek ve yanıtlamak için mimaride hangi iyileştirmeler yapılması gerektiğine,
  • Olay yanıtı ve teknik kontrol konfigürasyonları gibi işlemleri daha verimli bir şekilde nasıl gerçekleştirebileceğimizi,
  • daha düşük öncelikli konularda zaman harcamak yerine risklerin güvenilir kanıtlarına dayanarak daha bilinçli kararlar alabilir olup olmadığına,
  • tehditleri ve tehdit aktörlerini hesaba katmak için hangi güvenlik izleme yeteneklerini uygulanması gerektiğine,
  • iş stratejimizin doğasında bulunan stratejik ve taktik güvenlik risklerinin neler olduğunu anlamamız gerektiğine,

karar vermesini sağlayacaktır.
Tehdit istihbarat yazılımları arttıkça globalde kritik altyapılara sahip olan hava taşımacılığı, sigorta şirketleri, petrol ve gaz, ilaç, enerji ve kamu hizmetleri ve perakende, üretim gibi diğer dikey endüstriler de bu hizmetleri artık kullanmaya başladıklarını görüyoruz. Kullanım senaryolarına göre tehdit istihbaratı yazılımlarını 4 gruba ayırabiliriz. (Teknik, Taktiksel, Stratejik, İş)
Bu kullanım senaryolarına uygun olan ürünlerden “doğru” olarak nitelendirebileceğimiz bir çözüm yoktur. Şirketlerin kullanım durum ihtiyaçlarına ve olgunluğuna göre, sadece Teknik/Taktiksel tehdit istihbaratı kullanmaya karar verebilirler. Genel olarak, Stratejik/İş siber istihbaratı ürünleri, Teknik/Taktiksel siber istihbarat ürünlerinden daha pahalıdır. Kötü amaçlı alan adları için anlık güncelleştirme ihtiyacı olan firmalar Teknik/Taktiksel siber istihbarat ürünlerinden yararlanabilir. Risk yönetimi odaklı firmalar sadece Teknik tehdit istihbaratı ürünleri tercih edilebilir. Daha çok iş odak noktası (tedarik zinciri derecelendirmeleri) yapmak isteyen firmalar İş odaklı tehdit istihbaratı ürünleri tercih edilebilir. Diğer pazarlar ve coğrafyalarla ilgili olabilecek konularda iş odaklı ve stratejik tehdit istihbaratı ürünleri tercih edilebilir.
Mevcuttaki siber tehdit istihbaratı POC’lerini incelediğimde gözüme çarpan genel özellikleri aşağıda sizlerle paylaşarak bugünkü yazıma burada son vermek istiyorum.

  • Siber İstihbarat Ürününü Diğer Güvenlik İzleme ve Tespit etme yazılımları ile entegre ederek zenginleştirme (Bazı ürünlerde bu tip entegrasyonlar söz konusu değildir)
  • Oltalama Saldırısı Tespit Yeteneği
  • Zafiyet Önceliklendirme ve Güncel Zafiyet Takibi Özellikleri
  • Sosyal Medya Paylaşım Tespiti ve Gözlem Yeteneği
  • Deep ve Dark Web’de Arama Yapma, İstihbari Haberler ve Gözlem Yeteneği
  • Firma Markasının Kullanıldığı Yerlerin Gözlemlenmesi
  • Dolandırıcılık Tespiti
  • Tehdit Aktörlerinin İzlenmesi ve Aktivitelerinin Takibi
  • Sahte Mobil Uygulamalarının Takibi
  • Sahte Domain Takibi
  • Detaylı Zararlı Yazılım Analizi
  • Şirket çalışanları, bilgileri, IP adresleri belirtilerek istihbari bilgileri toplanması vb.