Siber Tehdit İstihbaratı
Siber tehdit istihbaratı (CTI), bir kurum veya kuruluşa karşı yapılacak olası saldırılar için güvenlik ekiplerinin tehdit aktörü davranışını anlamasına ve siber saldırıları önlemesine yardımcı olmak için verileri toplama, işleme ve analiz etme işlemlerinin geneline verilen bir isimdir.
İncelenen tehdit aktörü sayısının fazla olması ve her aktör için analiz işlemlerinin ayrıntılı bir şekilde yapılması olası saldırı riskinde daha hızlı önlem alınmasını sağlayacaktır.
Siber Tehdit Nedir?
Bir kuruluşun veya bireyin bilgisayar sistemine, ağlarına veya diğer dijital varlıklarına ciddi zarar verme potansiyeline sahip her şey siber tehdittir. Siber tehditler, potansiyel güvenlik açıklarını sistemler ve ağlar üzerinde gerçek saldırılara dönüştürmeyi amaçlamaktadır. Siber güvenlik tehditleri, truva atlarından, virüslerden, arka kapılardan ve daha birçok zararlı yazılım ve araçtan oluşmaktadır. Tehdit aktörleri tek bir siber tehdit ile birden çok açıktan yaralanabilmektedir. Siber tehditler, genel amaç olarak kurum veya kuruluşa ait verileri çalmayı, bilgi sistemlerine zarar vermeyi veya bilgisayar sistemlerini bozmayı hedef alan zararlı amaçlar ve kişiler tarafından nihai sonuçlar olarak isimlendirilebilmektedir.
Tehdit İstihbaratı Türleri
Dört çeşit tehdit istihbaratı vardır.
Stratejik Tehdit İstihbaratı
Stratejik tehdit istihbaratı, uzun vadeli planlamaya ve geniş eğilimleri belirlemeye odaklanmıştır. Bir kurum veya kuruluşun genel risk durumunu değerlendirmek ve bu riskleri azaltmak amacıyla stratejiler oluşturulabilen tehdit istihbarat türüdür. Kurum veya kuruluşların potansiyel tehditlerini, güvenlik açıklarını, tehdit aktörlerinin yeteneklerini ve saldırı amaçlarını anlamalarına yardımcı olmaktadır. Stratejik tehdit istihbaratı gelecekteki tehditler için kurum veya kuruluşlara uygun karşı önlemler geliştirebilmeye ve gelecekteki saldırıların etkisini azaltabilmeye olanak sağlamaktadır. Brifingler, raporlar, sunumlar şeklinde sunulmakta ve dünyanın dört bir yanında ortaya çıkan risklerin ve eğilimlerin ayrıntılı analizine dayanmaktadır.
Genel olarak, stratejik tehdit istihbaratı aşağıdaki bilgileri içermektedir:
Taktik Tehdit İstihbaratı
Taktiksel tehdit istihbaratı (TTI), bir kurum veya kuruluşa yönelik potansiyel tehditler hakkında bilgi toplanması ve analiz edilmesidir. Stratejik istihbarattan daha kısa vadeli ve daha fazla eylem yeteneğine sahiptir. Taktiksel tehdit istihbaratı, tehdit aktörünün yeteneklerinin, amaçlarının ve çalışma ortamının derinlemesine anlaşılmasını gerektirmektedir. Bu istihbarat türü hem insani hem de teknik olarak çeşitli kaynaklardan verilerin sürekli toplanmasını ve analiz edilmesini gerektirmektedir. Genellikle belirli operasyonları, araştırmaları desteklemek için kullanılmaktadır. BT ve veri kaynaklarının korunmasıyla doğrudan ilgili olanlar için tasarlanmıştır. Kullanılan en son yöntemlere ve saldırılara karşı savunmanın veya saldırıları hafifletmenin en iyi yollarına dayalı olarak bir kurum veya kuruluşun nasıl saldırıya uğrayabileceği hakkında ayrıntılar sağlamaktadır.
Teknik Tehdit İstihbaratı
Teknik tehdit istihbaratı aktif bir saldırı öneren uzlaşma göstergelerine (IoC'ler) odaklanmaktadır. Açıklamak gerekirse bazı tehdit istihbaratı araçları, kimlik avı kampanyalarından e-posta içeriği, C2 altyapılarının IP adresleri veya bilinen zararlı yazılım örneklerinden eserler içerebilecek bu göstergeleri taramak için yapay zekâ kullanmaktadır. Teknik tehdit istihbaratının en yaygın kaynaklarını, istihbaratı paylaşan satıcılar ve topluluklar tarafından sağlanan tehdit istihbaratı akışları sağlamaktadır. Teknik tehdit istihbaratı büyük miktarlarda mevcut olduğundan ve kısa bir kullanım ömrüne sahip olduğundan, değerini en üst düzeye çıkarmak için teknik göstergelerin güvenlik duvarları ve içerik filtreleri gibi güvenlik çözümlerine otomatik olarak beslenmesi gerekmektedir. Operasyonel tehdit istihbaratı ile karıştırılan teknik tehdit istihbaratı ile arasındaki en temel fark teknik zekanın daha uyarlanabilir olması ve saldırganlar yeni saldırı fırsatlarından yararlanmak için taktiklerini değiştirdiğinde hızla uyum sağlamasından doğmaktadır.
Operasyonel Tehdit İstihbaratı
Operasyonel tehdit istihbaratı, devam eden bir tehdide veya saldırıya yanıt vermek için veri ve bilgi toplanmasını kullanmaktadır. Hemen kullanılması amaçlanmıştır ve güvenlik ekibinin bir saldırının kapsamını anlamasına ve ona karşı savunma yapmasına yardımcı olabilecek gerçek zamanlı uyarılar sağlamaktadır. Etkin tehditleri algılamanın ve bunlara hızlı bir şekilde yanıt vermenin kritik bir parçasıdır, böylece kurum veya kuruluşun minimum düzeyde zarar görmesi sağlanmaktadır.
İdeal olarak, bu bilgiler doğrudan saldırganlardan toplanır ve bu da elde edilmesini zorlaştırmaktadır.
Tehdit İstihbaratının Önemi
Tehdit istihbaratı, mevcut tehdit aktörleri ve tehditler hakkında çeşitli kaynaklardan veri toplamayı amaçlamaktadır. Bu sayede olası bir tehdit için zengin bir veri kaynağı imkânı sağlamaktadır.
Tehdit istihbaratının sağladığı kanıta dayalı bilgi sayesinde, kurum, kuruluşlar ve güvenlik ekipleri tehditlere yönelik eyleme dönüştürülebilir içgörüler elde eder. Bu sayede BT güvenlik personeline bir tehdidin ciddiyeti hakkında bilgi verilir, bu da olası zararlı faaliyetlere zamanında ve doğru bir şekilde yönelebilmeye imkan vermektedir.
Siber güvenlik ekipleri, zengin veri kaynaklarını kullanarak rakiplerin nasıl, nerede ve neden saldırdığına ilişkin bilgiler sağlayarak, siber saldırı önleme stratejilerini desteklemek için siber güvenlik tehdit istihbaratından yararlanmaktadır.
Bu bağlamda elde edilen verilerin zenginliği ve doğruluğu ile yanlış uyarıların önüne geçilmekte böylece zamandan tasarruf edilebilmektedir.
Tehdit istihbaratı düşmanı tanıyarak ona göre önlem almayı amaçlamaktadır.
Peki siz silahlarını bilmediğiniz bir düşmanla savaşabilir misiniz?
Siber Tehdit İstihbaratından Kimler Yararlanabilir?
Tehdit istihbaratı her düzeyden çalışanın yani herkesin yararlanabileceği bir araçtır. Seçkin analistler siber tehdit istihbaratını kullanmakta ve geçerli bir araç olarak görmektedir. Tehdit istihbaratı her sektörden ve her büyüklükte şirket için faydalı bir alandır.
Tehdit istihbaratı özellikle güvenlik ekipleri için çok önemlidir. Güvenlik ekipleri tek başına tüm verileri işleme şansına sahip değildir. Bu yüzden tehdit istihbaratı onların işini çok kolaylaştırmaktadır. İstihbarattan alınan veriler kullanılan siber güvenlik programları ve oltalama karşıtı çözümlerle bütünleştirilebilmektedir. Tehdit istihbaratı tehdit aktörlerinin kullandığı taktikler, oltalama saldırılarında sıkça yararlandıkları teknikler ve yöntemler hakkında benzersiz bilgiler sağlamaktadır. Bu sayede kurum veya kuruluşu ilgilendiren en önemli saldırı vektörleriyle hızlıca ve etkili bir şekilde ilgilenme imkânı sağlanmaktadır.
Tehdit İstihbaratının Örnek Kullanımları
Güvenlik Açığı Önceliği
Tehdit istihbaratının kullanımlarından biri, kuruluşun güvenlik açıklarını değerlendirmek için basit bir ölçüm olacak şekilde veri toplamak ve bu verilerin analizini yapmaktır. Bu ölçüm, bulunan zaman ve kaynaklar göz önüne alındığında, çözülebilecek sorunlar ile en büyük farkı yaratacak çözümler arasındaki birleşmenin bir ölçüsü olmaktadır.
Güvenlik açığı önceliği, kimsenin gerçekçi bir şekilde başaramayacağı "her şeyi, her zaman yamala" yaklaşımını benimsemekten, gerçek riske dayalı güvenlik açıklarına öncelik vermeye geçmek anlamına gelmektedir.
Deep Web, Dark Web İzleme
İyi bir tehdit istihbaratı çözümü, verilerini internetteki hem açık hem de kapalı kaynaklardan toplanmasıyla olmaktadır.
Açık kaynaklar, internetteki herkesin erişimine açıktır
Kapalı kaynaklar ise deep web veya dark web arasında bölünmüştür. Bu verilerin yaklaşık yüzde 90'ını oluşturan deep web, internetin güvenli girişlerin veya ödeme duvarlarının ardında kilitli olan ve onları arama motoru tarayıcılarının erişiminin dışında bırakan kısımlarını ifade etmektedir. Bu bilgilerin çoğu bilimsel, akademik veya devlet raporlarını, mali kayıtlar veya tıbbi geçmişler gibi kişisel bilgileri ve özel şirket veri tabanlarını içermektedir.
İnternetteki tüm verilerin geri kalanı oluşturan dark web, yalnızca Tor gibi şifreleme ve anonimlik sağlayan tarayıcılar aracılığıyla ulaşılabilen web sitelerinden oluşmaktadır. Durum yalnızca bu olmasa da dark webteki birçok web sitesi yasa dışı mal ve hizmetler için pazar yerleri sağlamaktadır. Güvenlik açıkları ve istismarları, hem onları güvende tutmak isteyen taraflar hem de tehdit aktörleri tarafından hem derin hem de dark webteki alanlarda yaygın olarak tartışılmakta ve ticareti yapılmaktadır. Bu, orada hangi tehditlerin olduğuna dair daha kapsamlı ve güncel bir resim elde etmek için bu kaynaklardan veri toplamayı zorunlu kılmaktadır.
Bu alanlara, özellikle de dark webtekilere erişmek daha fazla beceri gerektirdiğinden ve daha yüksek riskler içerdiğinden dolayı belirli tehdit istihbaratı çözümlerinin temel değerlerinden biri, bunu sizin için yapacak olmalarıdır.
Marka İtibarı Gözetleme
Güvenlik açıkları ve istismarlarla ilgili tartışmalar çoğunlukla internetin kapalı bölümlerinde gerçekleşecek olsa da başta sosyal medya kanalları olmak üzere açık kaynakları da izleyecek bir tehdit istihbaratı çözümü seçmekte hala büyük fayda vardır. Bu alandaki tehditleri belirlemek başlı başına bir beceri gerektirmektedir. Kurum veya kuruluşun markası ve bir tehdit aktörünün bundan yararlanmaya çalışabileceği birçok yol hakkında farkındalık gerektirmektedir. Bu tehditler kamusal alanlarda ortaya çıktıklarından ve daha geniş bir incelemeye tabi olduklarından, daha incelikli olabilmekte ve genellikle yazılım açıkları yerine sosyal mühendislik tekniklerine dayanmaktadır. Bu açıkların fark edilmesi bir dereceye kadar uzmanlık gerektirmektedir.
Tehdit Göstergesi Araştırması, Zenginleştirme ve Müdahale
Her saldırı önlenemez ve birçok tehdit istihbaratı çözümünün değerlerinden biri, olay yanıtınızın hızını ve doğruluğunu iyileştirme yetenekleri olarak bilinmektedir. Araştırmalara göre, önleme odaklanmaktan daha çok aynı zamanda hem algılamayı hem de müdahaleyi eşit şekilde içeren daha dengeli bir yaklaşıma geçilmesi gerekilmektedir.
Dosyaları veya nesneleri göndermek için isteğe bağlı erişime izin veren ve şüpheli dosya karmaları, alan adları veya adresler gibi uzlaşma göstergelerini arayan ve bunları bazı çözümlerin koruduğu büyük veri kümeleriyle karşılaştıran bir tehdit istihbaratı çözümüne sahip olmak da yararlı olabilmekte ve kurum veya kuruluşun verilerini zenginleştirmektedir.
Olay yanıtı, tanımı gereği tepkisel bir süreç olsa da daha gelişmiş çözümler tehditleri söz konusu kurum veya kuruluşa karşı fiilen uygulanmadan önce tespit edebilmektedir. Tehdit avcılığı, sistemlerini güncel tutmak ve kendi ağını yakından izlemek gibi güvenlik duruşunun temellerini halihazırda koruyan ancak bunu etkili bir şekilde yapabilen kurum veya kuruluşlar için paha biçilmez bir ek güvenlik katmanı gerektirmektedir.
Tehdit İstihbaratını Entegre Ederek Diğer Güvenlik Teknolojilerini Zenginleştirme
Tehdit istihbaratını zaten var olan güvenlik süreçlerinize entegre etmek, olay müdahalesi ve politika uygulaması için karar vermeyi geliştirmektedir. Araştırmalara göre belirli bir sektördeki müşterilere bir ürün veya hizmet satan kurumların olay yönetimi (SIEM), güvenlik duvarları ve birleşik tehdit yönetim sistemleri, izinsiz giriş tespiti ve önleme, güvenli web ağ geçitleri ve güvenli e-posta ağ geçitleri, uç nokta koruma, web uygulaması koruması, dağıtılmış hizmet reddi, güvenlik açığı yönetimi, güvenlik düzenlemesi de dahil olmak üzere tehdit istihbaratını çoğu güvenlik teknolojilerine entegre etmeye başlamıştır. Kurum veya kuruluşun halihazırda güvenlik programına tehdit istihbaratını dahil edilmemekte ise, halihazırda ne kullanıldığına bakmak ve tehdit istihbaratının onu nasıl daha etkili hale getirebileceğini görmek iyi bir başlangıç noktası olmaktadır. Pek çok tehdit istihbaratı çözümü, halihazırda kullanılan güvenlik ürünleriyle sorunsuz bir şekilde entegre olabilen, makine tarafından okunabilir zekâ sunmakta ve artan sayıda çözüm açık kaynak standartlarını kullanarak platformlar arasında veri paylaşımını her zamankinden daha kolay hale getirmektedir.
Tehdit İstihbarat Ürünü Kullanmanın Avantajları
Daha az risk
Tehdit aktörleri, her zaman kurumsal ağlara sinsice girmenin yeni yollarını aramaktadır. Siber tehdit istihbaratı, işletmelerin yeni güvenlik açıklarını ortaya çıktıkları anda belirlemelerine olanak tanıyarak veri kaybı riskini veya günlük operasyonlardaki kesintileri azaltmaktadır.
Veri ihlallerinden kaçınma
Kapsamlı bir siber tehdit istihbaratı sistemi, veri ihlallerinin önüne geçilmesine yardımcı olacaktır. Bir kuruluşun sistemleriyle iletişim kurmaya çalışan şüpheli etki alanlarını veya IP adreslerini izleyerek bu koruma sağlanmaktadır. İyi bir CTI sistemi, önlenmemesi durumunda verilerinizi çalabilecek olan şüpheli IP adreslerinin ağınıza ulaşmasını engellemektedir. Kuruluş bünyesinde bir CTI sistemi olmazsa tehdit aktörleri, Dağıtılmış Hizmet Reddi (DDoS) saldırısı gerçekleştirmek için ağı sahte trafikle doldurabilmektedir.
Daha Az Maliyet
Veri ihlalleri pahalıya mal olur. 2021 yılında bir veri ihlalinin dünya genelindeki ortalama maliyeti 4,24 milyon ABD doları olmuştur (bu sayı sektöre göre değişse de en yükseği sağlık sektöründedir). Bu maliyetlere yasal ücretler ve para cezalarının yanı sıra olay sonrası yenileme maliyetleri gibi unsurlar da dâhildir. Siber tehdit istihbaratı, veri ihlali riskini azaltarak maddi açıdan tasarruf etmenize yardımcı olmaktadır.
Aslında tehdit istihbaratı, bir kuruluşun siber riskleri ve bu riskleri azaltmak için atılması gereken adımların anlamasına yardımcı olmaktadır.