“Düşmanını tanı”, Sun Tzu’nun “Savaş Sanatı” hayranlarının her zaman ısrar ettiği şeydir. Bu tam olarak, Capgemini’de Rémi Jimenez liderliğindeki ekip gibi Tehdit İstihbaratı ekiplerinin işidir.
“Araçlar veya tespit stratejilerindeki seçimlere ışık tutmayı” amaçlayan notlar ve raporlar üretmek amacıyla “Ekibimizin işi, bir tehdidi yakalamak, onu incelemek ve gerekli savunmaları uygulamaya koymaktan ibarettir” diye açıklıyor.
Capgemini’nin ticari CERT’sinde, tehdit istihbaratı ekiplerinin görevi bu nedenle müşterinin ihtiyaçlarına uyum sağlayan istihbarat notları üretmektir: “Örneğin, karar vericiler için daha çok “tehdit ortamı” tarzında stratejik istihbarat notları üreteceğiz. Operasyonel personel için saldırı veya tehlike göstergeleri içeren veya daha genel olarak saldırganların işleyiş tarzını açıklayan raporlar.
Bu derecelendirmeleri oluşturmak için Capgemini analistleri farklı bilgi kaynaklarına güvenebilir. Her şeyden önce, açık kaynaklarda mevcut veriler vardır, ancak aynı zamanda kapalı kaynaklar veya “akış” da vardır: diğer şirketler tarafından üretilen, müşterinin ihtiyaçlarına veya verilerin kalitesine göre analistler tarafından seçilen ücretli bilgiler.
“Bu tür bir akış için seçim kriterleri arasında birkaç şeye bakıyoruz: şirketin önyargıları nelerdir, bunlar bir tür kötü niyetli aktöre mi yoksa diğerine mi adanmıştır. Sonra bir maliyet/kazanç dengesi yapacağız, şuna bakacağız: şirketin itibarı, bilginin güvenilirliği… Ve sektörün uzmanlarından güveni en üst düzeyde olanlara doğru ilerleyin.”
Bu özel veri akışları, siber suçluların uğrak yeri olan forumlardan ve gruplardan doğrudan toplanan bilgilerin elde edilmesini de mümkün kılıyor: “Bu bizim kendi başımıza yapmaya yetkili olduğumuz bir şey değil, Fransız yasaları bunu yasaklıyor.”
Bir analistin casus rolünü oynamasını beklemeyin
“Biz zaten istihbarat ajanı değiliz. Ancak bu tür bilgileri toplamak için gerekli akreditasyonlara sahip şirketlerle çalışıyoruz.”
Bu nedenle, bir analistin casus rolünü oynamasını beklemeyin; işin çoğu, her şeyden önce, başka yerlerden gelen bilgileri toplamak ve “insanları konuşturmaktan” ibarettir.
Capgemini analistleri, bu kaynaklara ek olarak yeni tespitleri tartışmak ve InterCERT gibi kuruluşlardaki meslektaşlarıyla bilgi paylaşmak için şirketin SOC’si ile de işbirliği içinde çalışıyor: Siloların mantığını yıkmamız ve ortamın sıcaklığını ölçmemiz gerekiyor. Çabalarımızı yönlendirmek ve neler olduğunu daha iyi anlamak için neler oluyor?”
Biraz spesifik rolleri nedeniyle, tehdit istihbaratı analistlerinin profili her zaman sanıldığı kadar teknik değildir: “Teknik bilgiye sahip insanlara ihtiyacımız var, aynı zamanda örneğin uluslararası ilişkiler veya jeopolitik gibi alanlardan, motivasyonları anlamak için gerekli disiplinlerden profillere de ihtiyacımız var. Saldırganların sayısı. Örneğin yabancı dil konuşmak gerçek bir artı” diye açıklıyor Rémi Jimenez.
Prodüksiyonun kalbi notalar olduğundan, yazmaya yönelik belirli bir istek önemli bir varlıktır: “Birkaç satırlık alanda, bir karar vericiyi ikna etmeliyiz ya da ona daha çok bir teknolojiye yatırım yapmasını sağlayacak unsurları sunmalıyız. diğerinden veya doğrudan tespit çabalarından daha iyidir. Bu yüzden nasıl yazılacağını bilmek daha iyidir.”
İdeal olan, farklı geçmişlerden gelen, birlikte çalışabilen ve birbirlerinin becerilerini tamamlayabilen profillere sahip olmaktır.
“Örneğin teknik profiller gelip yardımcı olabilir [les profils moins experts] Bir saldırganın uzlaşma zincirinin farklı aşamalarını analiz etmek. Bu, uygulanması en kolay olmayan ancak gerçekten ilginç şeyler üretmeyi mümkün kılan bir melezlik” diye özetliyor Rémi Jimenez.
Bu nedenle işe alım havuzları teknik eğitimden daha geniş olsa da, tehdit istihbaratı dünyası yine de bir bütün olarak siber güvenlik sektörünün “daha az erişilebilir” olmaya devam ediyor. Hata, bugün bunu karşılayabilecek imkanlara sahip gruplara mahsus kalan bir konudadır.