Siber Tehdit İstihbaratı

Dünya çapındaki verilerin önümüzdeki 10 yıl içerisinde 163 ZetaByte boyutuna ulaşması bekleniyor. Bu kadar büyük bir veri içinde şirketinizin tüm işlemlerinin yapıldığı önemli dosyalar tehdit altında olabilir. Tüm resmi işlemlerin kayıt ve işleminin yapıldığı sistem kısa süre dursa neler yaşanır? Tüm bu soruların cevabı siber tehdit istihbaratı sayesinde verilebilir. Kurum ve kuruluşlara zarar verebilecek olası tehditlerin analiz edilmesi sonucunda saldırganların niyetleri, yöntemleri ve motivasyon kaynaklarının tespiti için siber tehdit istihbaratı gereklidir. Tehdit istihbaratı yeni öğrenilen bilgi, duyum ve haberle siber saldırıları azaltmayı ve önlemeyi amaçlamaktadır.

Siber Tehdit Nedir?

Kurum ve kuruluşlara karşı tehditler, art niyetli misafirler, kindar / mutsuz çalışanlar, siber teröristler, hacktivist topluluklar ve düşman devletlerden kaynaklanabilir. Düşmanın silah ve teçhizatı, stratejisi, taktiği ele alınmadan bir savaş tarif edilemez. Siber tehditler, anlaşılması zor olmasının dışında motivasyon kaynakları, saldırı amaçları ve teknikleri bakımından gerçek bir savaş ortamından farksızdır. Siber tehdit, bir veri kanalının kullanılarak cihaza ve şebekeye yetkisiz olarak erişme veya bilgisayar sistemini bozma olasılığıdır. Tehditler kontrolü ele geçirme, sömürme, güç elde etme, intikam ve maddi kazanç sağlamak maksadıyla hareket eder.

Sonicwall 2019 yılı verilerine göre 9.9 Bilyon Malware, 187.9 Milyon Ransomware, 34.3 Milyon IoT Malware Saldırısı, 4 Trilyon yetkisiz giriş denemesi tehdidiyle karşılaşılmıştır.

Siber Tehdit Türleri

APT – Advanced Persistent Threats (Gelişmiş Kalıcı Tehditler): Hedef odaklı saldırıda sistemde uzun süre gizlenerek veri hırsızlığı. İran’ın nükleer programını sekteye uğratan Stuxnet ve Hydraq bu türde bir tehdittir.

Phishing – Oltalama: Kimlik avı amacıyla gerçek dışı bağlantılar ve arayüzler kullanarak kullanıcıların kişisel bilgilerini çalmayı amaçlar. Kredi, DEBIT kart bilgileri, şifre, parola, hesap numaraları, internet bankacılığında kullanılan kodlar phishing saldırılarının hedefidir.

Trojan – Truva Atı: Sisteme girerek arka planda otomatik klavye ve Mouse hareketlerini kaydeder. Coronavirus Trojan gündemdeki COVID-19 virüsünü suiistimal ederek belleği kullanılmaz hale getirmektedir.

Botnet – Zombi makine: Cihazların başka kişiler tarafından yazılımla erişime açılarak farklı amaçlar için kullanılmasıdır.

Ransomware – Fidye Yazılımları: Kıymetli dosya ve klasörlerin şifrelenerek kullanım dışı hale getirilmesidir. Sorunun düzeltilmesi için fidye istenir.

DDOS – Servis Dışı Bırakma Saldırısı: Servis sağlayan sunuculara yoğun isteklerde bulunarak veri akışını yavaşlatmak veya durdurmaktır.

Fikri Mülkiyet Hırsızlığı: Telif hakları bulunan önemli ve değerli eser, bilgi saldırganlar tarafından çalınabilir. 2017 yılının Nisan ayında “Orange is the New Black” adlı dizinin 10 bölümünün yayımlanmadan internete sızması fikri mülkiyet hırsızlığına örnektir.

Spyware/Malware – Casus/Zararlı Yazılım: Kullanıcının rızası ve bilgisi olmadan verilerini aktaran art niyetli yazılımlardır.

Man in the Middle – Ortadaki Adam Saldırıları: İki bağlantı arasındaki veri akışının izlenmesi ve dinlenmesidir.

Drive By Downloads – Otomatik izinsiz yüklenen zararlı yazılım: Web sitelerinin kodlarına eklenen komutlarla zararlı yazılım izinsiz, gizli olarak yüklenir ve sistemde çalışır.

Rogue Software – Antivirus görünümlü zararlı yazılım: Kullanıcıların sisteminde bir virüs olduğunu belirterek virüsün kaldırılması için ücret istemektedir. 2009 yılındaki MS-Antispyware, XP AntiVirus, Home Antivirus yazılımları bu kapsamdadır.

Malvertising – Reklam görünümlü zararlı yazılım: Malware ve Advertising kelimelerinin birleştirilmesiyle ifade edilir. Zararlı yazılımı yaymak için reklam kullanılmasıdır.

Wiper Attacks – Tüm dosyaları silen yazılım: Bulaştığı sistemin sürücüsünü silerek zarar verir.

Siber Tehdit İstihbaratı Nedir?

Genel anlamda istihbarat, problem çözme için yeterli, analiz edilmiş yoğun bilgidir. Enformasyon ise işlenmemiş, yetersiz, genel bilgi olarak tabir edilir. Siber tehdit istihbaratı, organizasyonun bilgi teknolojilerinde mevcut veya ortaya çıkacak bir tehdit veya tehlikenin tanımlanmış, toplanmış ve zenginleştirilmiş verilere dayalı göstergeler ve çıkarımlar yardımıyla saldırganın motivasyon kaynağının, yönteminin ve niyetinin anlaşılmasıdır. Tehdit istihbaratının ilk amacı kurum dışından gelebilecek en yaygın ve güncel saldırı senaryolarını oluşturabilmektir. Exploitler, Zeroday saldırıları, APT (Gelişmiş Kalıcı Tehditler) ilk bakılacak tehditler arasındadır. Bunun yanında en tehlikeli boyutta yer alan dahili tehditler, erişim izni kısıtlaması ve log kaydıyla takip edilebilmektedir.

Siber İstihbarat Hangi Sorulara Cevap Verir?
  1. Organizasyona niçin saldırılmış olabilir? (Neden)
  2. Nasıl saldırılmış olabilir? (Nasıl)
  3. Kim davetsiz misafir olabilir? (Kim)

Siber Tehdit İstihbarat Seviyeleri

Taktiksel İstihbarat: Saldırganların güncel teknikleri, araçları ve taktikleri bu seviyede takip edilir. İnsan istihbaratı, düşmanın hedefleri, dış kaynaktan istihbarat temini kavramları ön plandadır. Sistem ile ağ üzerindeki sıra dışı ve şüpheli IOC (Indicators of  Compromise) göstergeleri değerlendirilir. Kötü niyetli hareketleri tanımlayarak olası tehditlere karşı önlem alınır. Yamaların ve alarmların önceliklerinin belirlemesi, bulguların geçerliliği ve doğruluğunun ölçülmesi işlemleri bu seviyededir. SIEM, IDP/IPS, DLP yazılım ve uygulamalarıyla desteklenebilir.

Operasyonel İstihbarat: Saldırganın TTP (Taktik Teknik ve Prosedür) bilgilerini elde etmeye yönelik istihbarat seviyesidir. TTP, SOC adı verilen operasyon ekibine bildirilir. SOC olası saldırılara karşı önlem alır. Veri toplama ve analizi bilgisayarlarla yapılmaktadır. Tehdit göstergeleri yazılımlar aracılığıyla olası saldırıların alarmlarını verir. Yoğun gelen trafiğin DDOS saldırısı olarak değerlendirilmesi bu duruma örnektir. Saldırıları hızlı bir şekilde tanımlamak, hasarı ve bağlantılı ihlalleri değerlendirmek bu seviyede gerçekleşir.

Stratejik İstihbarat: Tehdit ortamındaki geçmiş, şimdiki ve gelecekteki eğilimlerin büyük resmi bu seviyede incelenir. Bilişim teknolojisi yöneticileri ve stratejik seviyedeki yönetici CISO, tehditlere karşı öncelikleri belirleme ve savunma bütçesine karar vermede kurumu ve düşmanlarını değerlendirmek için stratejik istihbarata ihtiyaç duyar. İş riskleri ve olası saldırılara bağlı kalarak önceliklerin ortaya koyulması, saldırganlara ve tehditlere karşı koymak bu seviyede görüşülür.

Siber Tehdit İstihbaratı Nasıl Toplanır?

Veri, haber, duyum istihbaratın hammaddeleridir. Kurum ve kuruluşların büyük boyuttaki veritabanları ve log kayıtları analiz edilerek önemli siber tehdit istihbaratına ulaşılabilir. Kurumların devletler, siber suç örgütleri, siber casuslar gibi ciddi sayılabilecek tehdit aktörleri mevcuttur. Kurumlar tehlikeli, gizli ve gelişmiş yapıda olmasına rağmen siber tehdit istihbaratı toplamak zorundadır.

Bilgi kaynaklarından toplanan veriler analiz edilerek çeşitli riskler tanımlanır ve azaltılır. Bilinmeyen tehditler bilinen tehdide dönüştürülmelidir. Güvenli veri paylaşımı ve verinin işlenmesinde istihbarat kullanılmalıdır.

Stratejik seviyede siber istihbarat toplamak için;

Devlet veya sivil toplum kuruluşlarının yayımladığı politikalar

Yerel ve ulusal basın, endüstri ve alanında lider uzmanlardan haberler

Teknik incelemeler, araştırma raporları ve güvenlik kuruluşlarının gözlemleri gibi bilgi kaynakları incelenir.

Taktik seviyede siber istihbarat toplamak için;

Siber güvenlik şirketlerinin yayımladığı raporlarda saldırganların kullandığı saldırı araçları ve altyapılarından bahsedilir. Hangi güvenlik zafiyetlerinin hedef alındığı, saldırganların kullandığı özellikler, saldırıları engellemek veya geciktirmek için stratejiler bilgi kaynağı olarak incelenir.

Operasyonel seviyede siber istihbarat toplamak için;

Sosyal medya hesapları ve sohbet odaları

Saldırı yapan toplulukların forum siteleri

Exploit yayımlayan bloglar takip edilebilir. Bu aşamada şifreli kanallar üzerinden konuşan tehdit aktörlerine erişim problemi vardır. Sohbet odalarının yüksek boyutta iletişim trafiğinin bulunması istihbarat toplamayı zorlaştırmaktadır. Tehdit aktörleri, algıyı değiştirmek için gizleme taktiği olarak farklı isim kullanabilirler.

Siber Tehdit İstihbaratının Faydaları
  1. Siber tehditlere karşı daha net ve geniş bir bakış açısı kazandırır.
  2. Veri sızıntısını azaltarak veri kaybını önler.
  3. Gelişen olaylarda rehberlik yapar.
  4. Sömürüye açık veriyi tanımlamak için veri analizi yapar.
  5. Uygulanabilir strateji ve taktiksel seçenekleri sağlar.
  6. Gelecekteki gelişmiş tehditler için tehdit analizinde ileri görüş kazandırır.
  7. Yaygın bilinen siber farkındalıkları paylaşır.
  8. Muhtemel saldırılar için taktik ve teknik yöntemler keşfeder.
  9. Tehdidi erkenden tespit ederek kaybı azaltır.
  10. Aktif savunma için göstergeleri kullanır.
  11. Sömürülecek zafiyetleri üzerinde odaklanarak önceliklendirir.
  12. Durumsal farkındalık kazandırır.
  13. Siber olaylara tepki süresini azaltır.
  14. İletişimi güçlendirir.
  15. Temel seviyedeki güvenlik sistemlerini geliştirir.
Tehdit İstihbaratının Kapsamı ve Özellikleri

Bilgi kaynaklarından veri toplamak

Öncelikli alarmlar oluşturmak

Saldırının ilk göstergesinin belirlenmesi

Yeni savunma stratejileri geliştirmek

Kurumda ve kuruluştaki mevcut tehdit oluşumlarının tespiti

Muhtemel riskleri belirlemek

Saldırının gerçekleşmesi durumunda riski azaltan çözümler önermek tehdit istihbaratının kapsamına girer.

Tehdit İstihbaratının Aşamaları
  1. Unknowns – Unknowns: Tehditler hakkında hiçbir fikri yok. Hangisinin tehdit olabileceğini dahi bilmiyor. Tehditleri bilmediğinin farkında değil.
  2. Known – Unknowns: Tehditler hakkında bilgi elde etme aşaması. Ne tür tehditlerle karşılaşılabilir farkında. Tehditleri bilmediğinin farkında.
  3. Known – Known: Toplanan bilgiyi analiz etme. Sistemdeki mevcut ve olası tehditleri anlama aşaması. Tehditleri bildiğinin farkında ve önlem alıyor.

İlgili Yazılar : https://savunma-sanayi.com/siber-tehdit-aktorleri-kimler-siber-saldirida-bulunur/

 

 

 

 

About Author

1 Yorum

  1. Pingback: Siber Güvenlik Hizmeti Alırken Dikkat Edilmesi Gereken Unsurlar | Savunma Sanayi

Cevap Bırakın

%d blogcu bunu beğendi: