2020’den beri DGSI (İçişleri Bakanlığına bağlı İç Güvenlik Genel Müdürlüğü), Lille’deki FIC’de (Uluslararası Siber Güvenlik Forumu) bir işe alım standı kurdu. İstihbarat servislerinin her zaman bilgisayar güvenliğinde beceriler aradığını göstermenin açık bir yolu.
Ancak istihbarat servisleri, Rennes’deki SSTIC’de (Bilgi ve İletişim Teknolojilerinin Güvenliği Sempozyumu) veya diğer teknik konferanslarda da mevcuttur. DGSI ve DGSE, Anssi gibi siber güvenlikte gerçekten önemli Ar-Ge oyuncularıdır.
Siber risklerin bilgisine, korunmasına ve öngörülmesine adanmış bir disiplin olan CTI (Siber Tehdit İstihbaratı), bu nedenle, BT güvenlik yayıncıları veya dernekleri ile aynı şekilde NIST gibi devlet kurumlarının işidir. MITRE olarak uzmanlaşmıştır.
Standartlaştırılmış araçlar
Herhangi bir siber saldırgan, kötü niyetli faaliyetlerinin izlerini bırakır. Bu, Locard’ın değişim ilkesidir. Bu izler, bir güvenlik açığının nasıl çalıştığını anlamak için kullandığı saldırı tekniklerini çıkarmayı mümkün kılabilir. Bu veriler bir araya getirildiğinde, hangi hacker grubunun hangi modus operandi’yi (taktikler, teknikler ve prosedürler veya TTP’lerden bahsediyoruz) kullandığını bilmeyi ve hatta bazen saldırının kaynağını belirleyebilmeyi mümkün kılabilir. Örneğin, Kuzey Kore’den gelen siber suçlu gruplarının, DarkComet gibi belirli türdeki araçlarla Güney Amerika’daki kumarhanelere veya Asya’daki bankalara saldırdığını tespit etmek mümkündür.
MITRE, bu araştırma yöntemlerini standartlaştırmaya yardımcı olmak için, siber suçlular tarafından kullanılan çeşitli taktikleri ve ilgili teknikleri sınıflandıran MITRE ATT&CK (Çarpıcı Taktikler, Teknikler ve Ortak Bilgi) adlı bir çerçeve geliştirdi. Dernek ayrıca tehditler hakkında standart bir değişim formatının (STIX, Structured Threat Information eXpression) oluşturulmasına da katkıda bulundu.
Ayrıca, MISP ve OpenCTI (Anssi tarafından başlatılan) gibi işbirlikçi ve açık kaynak girişimlerinin doğuşunu, bu göstergelerin / belirteçlerin ve saldırganlar ve yöntemleri hakkında bilgilerin paylaşılmasını mümkün kıldığını da not etmeliyiz.
Bu nedenle topluluk ve çeşitli katkıda bulunanlar, alışverişi kolaylaştırmak, aynı zamanda algılama sürelerini azaltmak ve siber kötü niyetlilik olay zincirlerinin anlaşılmasını geliştirmek için araçları standartlaştırma eğilimindedir.
Bilgi paylaşımına açık devlet yapıları
Bu standardizasyon girişimlerinin amacı, siber suçlarla mücadelede tüm aktörler arasındaki iletişimi kolaylaştırmaktır. Özellikle açık kaynak dünyasındaki yayıncılar ve dernekler bu paylaşım eylemlerine uzun süredir dahil olurken, devlet yapıları uzun zamandır daha ihtiyatlı olmuştur.
Bugün, bilgilerini topluluğa geri göndererek borsalara giderek daha fazla katkıda bulunuyorlar. Ayrıca eylemleri hakkında halka açık bir şekilde iletişim kurarlar. Örneğin, OIV’lere (hayati öneme sahip operatörler) yönelik saldırıları yakından inceleyen Anssi, araştırmasının sonuçlarını bir dereceye kadar CERT-FR görüşleri aracılığıyla yayınlamaktadır. Farklı gizlilik seviyelerinde mevcutturlar: genel halk için ve aynı zamanda siber suçla mücadelede hedef şirketler ve aktörler için. İstihbarat servislerinin aşağıdaki gibi siber güvenlik uzmanlarına sunduğu internet zorluklarını da bulabilirsiniz. DGSE’ninki veya DGA’nınki.
Bu büyük harf kullanımı, özellikle bir adli analistin araştırmasını yönlendirmesine izin verir. Örneğin, bir sağlık şirketi CVE-2020-10189 güvenlik açığından yararlanırsa, analist şu araştırma hipotezini yapabilir: Saldıran grup APT41 olabilir. Bu nedenle, Mimikatz’ın ve aynı zamanda grup tarafından kullanılan tanımlayıcıları kurtarma teknikleri olan Windows Kimlik Bilgisi Düzenleyicisi’nin yürütme izlerini arayabilir.
Güvenlik çözümlerini tamamlayan girişimler
Tüm CTI platformları STIX formatı ile uyumludur. Büyük yayıncılar, istihbarat servislerinin kullandığı tekniklerden de ilham alabilecek kendi araştırmalarından topladıkları kritik bilgileri toplayarak ve yayarak siber suçla mücadeleye katkıda bulunur. Aynı ruhla, çoğu şirkette bulunan ağ çözümlerinin yayıncıları bilgi toplar ve CTI’ye katılır.
Bu sürekli artan sayıda oyuncu tarafından sürekli artan saldırılar hakkında paylaşılan bilgiler olumlu bir etkiye sahiptir: eğilimleri daha iyi analiz etmek ve riskleri tahmin etmek için olaylardan yararlanmak mümkündür. Böylece, günümüzde siber suçlular arasında çok moda olan “Hizmet Olarak Fidye Yazılımı”, başka tür tekniklere dönüşecek. Ancak bir sonraki tehditleri belirlemek, onlardan kaçabileceğimiz anlamına gelmez. Hastanelere yönelik fidye yazılımı saldırıları mükemmel bir örnek: Büyüyen tehdidi birkaç yıldır biliyoruz, ancak siber güvenlik çözümleri açısından araç eksikliği – öncelikleri güvenlik duvarlarından ziyade canlandırma yatakları elde etmek – onları bilgisayar korsanları için ana hedef haline getiriyor. Bu nedenle CTI, gelişmiş ve güncel güvenlik araçlarının uygulanmasından ayrılamaz.