Tehdit İstihbaratı ve Risk Yönetimi
Bu yazımızda, tehdit istihbaratı ve risk yönetimi arasındaki ilişkiyi ele alacağız. Risk yönetiminde tehdit istihbaratı ne gibi rol oynar. Bileşenleri nelerdir? kullanım alanları nerelerdir? gibi soruların cevaplanacağı serimizin üçüncü yazısıdır.
Risk Yönetiminde Tehdit İstihbaratı
Risk yönetiminde tehdit istihbaratı fonksiyonları 4 ayrı unsura ayrılabilir. Aşağıda her bir unsurun açıklaması verilecektir.
Çerçeve (Frame): Tehdit istihbaratı, risk yönetimini gerçekleştirmek için gereken yönü ve operasyonları anlamak için kullanılır.
Değerlendirme (Assess): Tehdit istihbaratı, olası tehditleri ve güvenlik açıklarını belirlemek, değerlendirmek ve izlemek için kullanılır.
Müdahale (Response): Tehdit istihbaratı, risklerin belirlenmesinden sonra yapılacak eylem planlarını değerlendirmek ve uygulamak için kullanılır.
İzleme (Monitoring): Tehdit istihbaratı, güvenlik kararları ve uygulamalarına gerçek zamanlı destek sağlamak için devam eden tehdit değişikliklerini izlemek için kullanılır.
Risk yönetimi, kuruluşun risklerin potansiyel etkilerini nasıl yönettiğini kontrol eden faaliyetleri belirleme, değerlendirme, yanıt verme ve uygulama sürecidir.
Tehdit istihbaratına dayalı risk yönetimi, kuruluşa aşağıdaki faydaları sağlar:
- Bilgi güvencesi
- Güvenlik açıkları hakkında ayrıntılı bilgi
- Kuruluşa yönelik olası tehdit aktörlerinin belirlenmesi
- Yeni güvenlik açıklarının belirlenmesi
- TTP’leri ile birlikte ortaya çıkan olası tehditleri belirlemek için geçmişin analizi
Siber Güvenlik Risk Yönetimi Standartları
Temel zayıflıkları anlamak için yaygın olarak kabul edilen iki risk yönetimi standardını, yani bunlar ne oluyor? NIST SP800–30 ve ISO 27005:2011, CWE’yi dikkate alıyoruz. OWASP metodolojisi aynı zamanda risklerin etkisini belirlemek için de kullanılabiliyor çünkü riskleri teknik perspektiflerden tahmin eder ve aynı zamanda son derece uyarlanabilir ve her büyüklükteki çoğu kuruluşa best-practice de uygulanabilir.
Common Weakness Enumeration (CWE):
CTI, hedef alınması muhtemel güvenlik açıklarını, yanlış yapılandırmayı veya zayıflıkları anlamaya ve bunların özelliklerini anlamaya çalışır. Yazılım zayıflıklarını tutarlı, esnek ve açık bir şekilde önceliklendirmek için bir mekanizma sağlayan ortak zayıflık puanlama sistemini (CWSS) sunar. Zayıflıkları karakterize etmek için standartlaştırılmış bir yaklaşımdır ve böylece kuruluşların risk yönetimi aşamasında daha bilinçli kararlar almasına ve daha yüksek risklere dikkat etmesine olanak tanır.
NIST SP 800–30:
Risk değerlendirmeleri, risk yönetimi hiyerarşisinin farklı katmanlarında risk yanıt kararlarını destekler. Standart tarafından önerilen üç farklı katmanı uyguladık. Katmanlar, organizasyonel operasyonlara, varlıklara ve bireylere ve standart kontrollerin seçimine odaklanır. Ayrıca, kontrollerimizi önleyici, düzeltici veya tespit edici olarak sınıflandırmamıza yardımcı olması için standartta sunulan farklı kontrol kategorileri türlerini benimsiyoruz. Bu, kuruluşun önem risklerine dayalı olarak kontrolü önceliklendirmesine yardımcı olur.
ISO 27005:2011:
Risk yönetimini, kontrollerin etkinliğinin değerlendirilmesi de dahil olmak üzere, genel kurumsal süreçlerin ayrılmaz bir parçası olarak değerlendirir. Bu standardı izleyerek mevcut kontrolleri ve bunların etkinliğini tanımlamayı düşünüyoruz.
OWASP:
Risklerin ve etkilerinin tutarlılığını ve uygunluğunu sağlamak için OWASP risk metodolojisini benimsedik. Bu metodoloji, kuruluşların riski iş ve teknik bakış açılarından tahmin etmelerine yardımcı olur. Her bir riskin olasılığını ve etkisini oluşturan birçok faktör dahil edilmiştir; bu nedenle, riskin şiddeti belirlenir.
Bir sonraki yazımda sizlere CTI ve SIEM entegrasyonu ile birlikte olacağız. Sağlıcakla…
Resources:
Kure, H.I. & Islam, S.(2019), Cyber Threat Intelligence for Improving Cybersecurity and Risk Management in Critical Infrasturcture, Journal ofUniversal Computer Science. Access Date: 14.07.2022, https://repository.uel.ac.uk/download/6d60d8d3fea41c3f2aa9de57d900d4d1b03b7ae730cd0fa0ba3dc1d4dabeb5b3/962627/jucs_25_11_1478_1502_kure.pdf
