Tehdit İstihbarat Programları ve Kullanış Nedenleri — 2
Serinin ikinci yazısı olan “Tehdit İstihbaratı Programları” başlığı altında sizlere kurumlarda kullanılabilecek olan faydalı tehdit istihbaratı konularından bahsedeceğim.
Genel tanımlama yapmak gerekirse, tehdit istihbaratı, kurumsal güvenlik ekiplerinin BT varlıklarını ortaya çıkan tehditlerden korumak için çeşitli güvenlik kontrollerini geliştirmesine, uygulamasına ve yönetmesine yardımcı olur. Peki nedir bu tehdit istihbaratı programları?
Tehdit İstihbaratı Programları
Geliştirme ve otomatik olay önleme:
Birçok kuruluş, olay önleme mekanizmalarını iyileştirmek ve otomatikleştirmek için tehdit istihbaratını kullanır. Kuruluşlar, gelişen tehditleri engellemek için iç güvenlik kontrollerini iyileştirmek için dış tehdit istihbaratını kullanır ve analiz eder. Böylelikle, gelecekte olabilecek herhangi bir saldırıya karşı proaktif bir yaklaşım izleyerek önceden önlem alır ve alınabilecek hasarı en aza indirmiş olmaktadırlar.
İyileştirme aktiviteleri ve güvenlik operasyonlarının iyileştirilmesi:
Kuruluşlar, güvenlik operasyonlarını ve iyileştirme faaliyetlerini otomatikleştirmek ve geliştirmek için tehdit istihbaratını kullanır. Tehdit istihbaratı, kişilere ve süreç boyutlarına daha fazla odaklanarak siber güvenlik soruşturmalarının karar verme sürecinde kuruluşlara rehberlik eder. Karar alıcılar siber güvenlik açısından şirketlerinin gelişimi için alacakları stratejik kararları böylelikle daha verimli bir şekilde analiz edip değerlendirmiş olur.
Siber güvenlik aktivitelerine rehberlik:
Birçok kuruluş, rehberlik sağlamak ve kuruluş içindeki daha küçük bölümlerin çeşitli siber güvenlik faaliyetlerini izlemek için bir tehdit istihbarat merkezi veya hizmeti kurar.
Geliştirilmiş risk yönetimi:
Birçok kuruluş, risk yönetimi sürecinin verimliliğini artırmak için tehdit istihbaratı kullanır. Tehdit istihbaratı, risk yönetimi ölçütlerini ve azaltma stratejilerini geliştirmek için kullanılır.
Geliştirilmiş Olay Tespiti:
Birçok kuruluşta SOC, kuruluşun çeşitli güvenlik sistemlerinde olay tespit mekanizmasını geliştirmek için tehdit istihbaratını kullanır. Birçok kötü amaçlı yazılım tespit sistemi, kuruluşun ağına giren kötü amaçlı dosyaları tespit etmek için tehdit istihbaratını kullanır. SOC uzmanları, IoC’ler, tehdit aktörleri ve TTP’ler gibi bilgileri ayıklayarak iç tehditleri belirlemek için tehdit istihbaratını kullanır.
Tehdit istihbaratı kuruluşlara nasıl yardımcı olabilir?
Tehdit istihbaratı kurumlar için vazgeçilmez bir avantajdır. Kurumlar bu avantajı siber dünyada bir olay gerçekleşmeden önce, faaliyet gösterdikleri ülke, sektör ve hedef bazında bilgi elde etmiş olur.
Bunu sağlamak için 4 adım vardır:
- Tanımlayın ve koruyun
○ Dahili ve harici sistemleri izleyin
○ Olası TTP’lere dayalı gelişen tehditleri engellemek için tehdit istihbaratı yardımları alın.
○ Kuruluşun yeteneklerini değerlendirmesine yardımcı olmak için değerlendirme hazırlayın.
• Tespit etmek
○ Gerçek zamanlı tehdit izleme
○ Tehdit istihbaratı beslemeleri
• Cevap vermek
○ IoC’ler, TTP’ler gibi bağlamsal bilgileri alın
○ Karar verme süreçlerini destekler
• Kurtarma
○ Tehdit istihbaratı, sistemlere yüklenen kötü amaçlı dosyalar gibi tehdit aktörlerinin kalıcı mekanizmalarını algılar ve kaldırır.
○ Uyumluluk gereksinimlerini karşılayın
○ Güvenlik yatırımlarına öncelik verin.
Tehdit İstihbaratı Türleri Nelerdir?
Siber güvenliğin her konusunda olduğu gibi bu konuda da dallanmalar mevcuttur. Tehdit istihbaratını türlerine ayırmak, hem organizasyon düzeni hem de karar alıcıların perspektifinden daha verimli bir işlevdir. Bu sebepten dolayı aşağıdaki gibi temel iki başlıkta ayrılmaktadır:
- Uzun dönemli kullanım:
Uzun dönemli kullanım, stratejik olarak yüksek seviyeli değişen riskleri belirtmek için kullanılır. Bu bilgiler CTI Vendor denilen kaynaklardan, OSINT tekniklerinden, “Information Sharing and Analysing (ISAO/ISACs)” gibi oluşumlardan elde edilebilir. İkincisi ise taktiksel yani saldırganın bir sisteme saldırma taktiklerini, teknikleri ve prosedürleri hakkında bilgi verebilecek tarzda istihbaratın toplanmasıdır.
- Kısa dönemli kullanım:
Operasyonel, yani bir saldırı hakkındaki spesifik, ona özel bilgileri içerir. Bunun yanında ise tekniksel IoCler hakkında edinilen bilgileri kapsamaktadır.
Tehdit İstihbaratı Nasıl Üretilir?
Tehdit istihbaratı, potansiyel tehditleri ayrıntılandıran bilgilerin ve kuruluşun ağ yapısı, operasyonları ve faaliyetlerine ilişkin doğru bilgi ve anlayışın birleşimini ifade etmektedir.
Ağ savunması ayarlarında, güvenlik analitiği bu iki biçimden biri şeklinde görülecektir:
- Trendleri keşfetmek için ağdan toplanan verileri kullanan tehdit istihbarat platformu.
- Ağdaki anormal etkinliği algılamak için güvenlik bilgileri ve olay yönetimi (SIEM) altyapısı.
Günümüzde kurumsal firmalarda çalışanlarımız zaten bu yaklaşımları veya buna yakın yaklaşımları pratikte zaten uygulamaktadır. Buradaki uzun vadeli hedef kurumumuzun yapısını uzun vadede buna çok yakın veya eş seviyeye çekebilmek olmalıdır.
Üçüncü yazımızda görüşmek üzere. Sağlıcakla kalın.
- Dahili ve harici sistemleri izleyin
○ Olası TTP’lere dayalı gelişen tehditleri engellemek için tehdit istihbaratı yardımları alın.
○ Kuruluşun yeteneklerini değerlendirmesine yardımcı olmak için değerlendirme hazırlayın.
• Tespit etmek
○ Gerçek zamanlı tehdit izleme
○ Tehdit istihbaratı beslemeleri
• Cevap vermek
○ IoC’ler, TTP’ler gibi bağlamsal bilgileri alın
○ Karar verme süreçlerini destekler
• Kurtarma
○ Tehdit istihbaratı, sistemlere yüklenen kötü amaçlı dosyalar gibi tehdit aktörlerinin kalıcı mekanizmalarını algılar ve kaldırır.
○ Uyumluluk gereksinimlerini karşılayın
○ Güvenlik yatırımlarına öncelik verin.
