Tehdit İstihbaratı Yaşam Döngüsü
Tehdit istihbaratı yaşam döngüsü, kuruluşların ortaya çıkan riskleri ve tehditleri önlemek için savunma mekanizması geliştirmelerini destekleyen, ham verilerden istihbarat geliştirmenin sürekli bir sürecidir. Kuruluşların üst düzey yöneticileri, her aşamada değerlendirip geri bildirim vererek istihbarat ekibine sürekli destek sağlayacaktır.
Tehdit istihbaratı 5 aşamayı kapsamaktadır. Planlama ve yönlendirme, toplama, işleme, analiz ve üretim, yaygınlaştırma ve entegrasyon.
- Planlama ve Yönlendirme
Bu aşamada, stratejik istihbarat ihtiyacına göre uygun plan geliştirilmiştir, örneğin tehdit istihbaratının geliştirilmesi için gereklilikler nelerdir, hangi istihbarat bilgilerine öncelik verilmelidir vb.
Bu aşama, veri toplamadan nihai istihbarat ürününün teslimine kadar tüm istihbarat programını tanımlar ve tüm istihbarat süreci için bir temel görevi görür.
Ayrıca, veri toplamak için kullanılacak veri yöntemlerinin gereksinimlerinin belirlenmesini ve bir toplama planının oluşturulmasını içerir. Gereksinimler, çeşitli açık istihbarat kaynaklarından (OSINT) sabit sayıda kaynak kullanılarak etkili ve gerçek istihbarat verilerinin toplanabileceği şekilde belirlenir.
Gereksinimlerle birlikte çeşitli iç ve dış kaynaklardan veri toplamaya istekler gönderilir. Bu aşamada bir istihbarat ekibi oluşturulur ve kilit rolleri ve sorumlulukları da formüle edilir. Ayrıca, döngünün işleyişi için uygun desteği sağlamak için döngünün sonraki aşamaları için planlama ve gereksinimler belirlenir.
2. Toplama
Bu aşamada istenen istihbaratı toplamaya daha fazla odaklanılmaktadır. İstihbarat teknik veya insani istihbarat olarak farklı şekillerde toplanılabilir. İstihbaratın tipine göre doğrudan ya da gizli bir şekilde toplanılabilmektedir.
Doğrudan insandan toplanan istihbarata (HUMINT), fotoğraf istihbaratı (IMINT), ölçme ve imza istihbaratı (MASINT), sinyal istihbaratı (SIGINT), açık kaynak istihbaratı (OSINT), ve buna ek olarak yeni bir terim olan SOCINT yani sosyal medya istihbaratı ve IoC’ler buna ek olarak üçüncü partiler olmak koşuluyla toplanılabilir.
Bu, kritik uygulamalardan, ağ altyapısından, güvenlik altyapısından vb. veri toplamayı içerir. Toplama işlemi tamamlandıktan sonra, veriler bir sonraki aşamada işlenmek üzere aktarılır.
3. İşleme
Bu aşamaya kadar, veride herhangi bir işleme gerçekleştirilmemiş ve veri ham haldedir. Önceki aşamalardan elde edilen veriler, kullanılmakta ve tüketiciler tarafından anlaşılabilecek faydalı bilgilere dönüştürülmektedir. İlgili ham veri, alanında uzman kişilerce ve veri analizi yapılabilen efektif araçlarla bu ham veri, anlamlı bir hale çevrilmektedir.
Bu yorumlanan veriler, doğrudan veri analizi aşamasında kullanılabilir bir formata dönüştürülür. İşlemenin etkili olması için veri toplama planının, tüketicinin gereksinimlerinin, analitik stratejinin ve işlenmekte olan veri türlerinin doğru anlaşılması gerekir. Şifre çözme yapılandırması, dil çevirisi, ayrıştırma, veri azaltma, filtreleme, veri korelasyonu ve veri toplama gibi veri işleme işlevlerini uygulamak için birçok otomatik araç kullanılır.
4. Analiz ve Üretim
İstihbaratın uygun bir formatta işlenmesinden sonra, istihbaratın rafine bilgi elde etmek için analizi bu aşamada gerçekleştirilir. Analiz, saldırıların ve sonuçların tahmin edilmesini sağlayan gerçekleri, bulguları ve öngörüleri içerir. Analiz nesnel, zamanında, doğru ve uygulanabilir olmalıdır. Zamanında ve doğru bilgi elde etmek için analistlerin, tümdengelim, tümevarım, kaçırma (Abduction) ve güvene dayalı bilimsel yöntemi içeren dört tür akıl yürütme tekniği uygulaması gerekir. Bilgiler farklı kaynaklardan elde edildiğinden, analistler bu aşamada bu çeşitli kaynakları tek bir varlıkta birleştirmeye çalışırlar.
5. Yaygınlaştırma ve Entegrasyon
Analiz edilen bilgiler daha sonra otomatik araçlarla veya manuel yöntemlerle yapılan entegrasyon ve hedef tüketicilere dağıtım için hazır hale gelir.
Yaygınlaştırma için genellikle kullanılan başlıca tehdit bilgisi türleri arasında tehdit göstergeleri, düşman TTP’leri, güvenlik uyarıları, tehdit istihbarat raporları ve tehdit istihbaratının tüm aşamalarını otomatikleştirmek için araçları kullanmak için araç yapılandırma bilgileri yer alır. Yönetim ve üst düzey yöneticilerin stratejik, operasyonel, taktik ve teknik düzeydeki ihtiyaçlarını karşılamak için farklı istihbarat raporları oluşturulur.
Üst düzey yöneticiler ve yönetim tarafından tüketilen stratejik tehdit istihbaratı, üst düzey iş stratejilerine odaklanır. Operasyonel tehdit istihbaratı, güvenlik yöneticileri ve ağ savunucuları gibi siber güvenlik uzmanları tarafından tüketilir ve esas olarak kuruluşlara yönelik belirli tehditlere odaklanır. Taktiksel tehdit istihbaratı, BT hizmeti ve SOC Yöneticileri, yöneticiler ve mimarlar gibi siber güvenlik uzmanları tarafından tüketilir ve düşmanın TTP’lerine odaklanır. Teknik tehdit istihbaratı, SOC Personeli ve IR ekibi tarafından tüketilir ve tanımlanan IoC’lerle ilgili bilgileri içerir. Yayılmış istihbarat, kuruluşların belirlenen tehditler için savunma ve azaltma stratejileri oluşturmasına yardımcı olur. Tehdit istihbaratını dahili ve harici olarak paylaşmak, kuruluşların durumsal farkındalık kazanmasına ve ayrıca mevcut güvenlik duruşunu ve risk yönetimi süreçlerini geliştirmesine yardımcı olur.
