YORUM
İki bölümlük makalenin birinci kısmı.
Siber güvenlikte atıf, kötü niyetli faaliyetlerden sorumlu olması muhtemel bir rakibin (yalnızca kişiliğin değil) tanımlanması anlamına gelir. Tipik olarak taktiksel veya tamamlanmış istihbarat, adli incelemelerden elde edilen kanıtlar ve teknik veya insan kaynaklarından elde edilen veriler dahil olmak üzere birçok türde bilginin derlenmesinden elde edilir. Bu, yoğun ve potansiyel olarak çok yıllı bir araştırma ve analizin sonucudur. Davranış analizi kazanan olma eğiliminde olduğundan, araştırmacılar sosyal bilimlerin yanı sıra sıkı teknik ve analitik titizlik uygulamalıdır.
İlişkilendirme ve atıfların kamuya açıklanması aynı şey değil. Atıf, potansiyel bir düşman örgütünün, bağlantısının ve aktörünün tanımlanmasıdır. Bu atfın iddianameler, yaptırımlar, ambargolar veya diğer dış politika eylemleri yoluyla kamuya açıklanması kararı arzu edilen bir sonuç ve ulusal gücün bir aracıdır.
Bir örnek: Mandiant’ın APT1 raporu 2013’te saldırının Çin hükümetine atfedilmesinin ardından Adalet Bakanlığı’nın (DoJ) APT1 aktörlerine yönelik suçlamaları ve ABD Dışişleri Bakanlığı’nın Çin hükümetine karşı dış politika manevraları geldi. Kamuya yapılan bu açıklamalar, dünyanın Çin Komünist Partisi’nin siber casusluğunun tehlikelerini fark etmesine yardımcı olma konusunda son derece etkili oldu. Bu faaliyetlerin atfedilmesi yıllar süren bir çalışmaydı. İddianameler ve siyasi manevralar (kamuya açıklama) ulusal gücün araçlarıydı.
Kanıt Standartları
Bir siber olayı bir tehdit aktörüne atfederken, çeşitli kanıt mekanizmaları standartları devreye girer. İlişkilendirmenin bir unsuru – özellikle de analizinizin sonuçlarına göre nasıl hareket edeceğinize karar verirken – güven düzeylerinin ve olasılık ifadelerinin önemini anlamaktır.
İstihbarat Standartları
İstihbarat camiasında, İstihbarat Topluluğu Direktifi 203 (ICD 203) güven düzeylerinin atanması ve olasılık ifadelerinin yargılara dahil edilmesi için standart bir süreç sağlar. ICD 203’ün olasılık ifadeleri şunlardır:
-
Neredeyse hiç şansı yok (uzaktan)
-
Çok düşük ihtimal (oldukça ihtimal dışı)
-
Yaklaşık olarak eşit şans (yaklaşık olarak eşit oranlar)
-
Çok muhtemel (oldukça muhtemel)
-
Neredeyse kesinlikle (neredeyse kesin)
ICD 203’te güven düzeyleri Düşük, Orta (Orta) ve Yüksek olarak ifade edilmektedir. Karışıklığı önlemek için olasılık ifadeleri ve güven düzeyleri aynı cümlede birleştirilmemelidir. Halihazırda gerçekleşmiş bir olayın sorumluluğunu atamak (yani atıf yapmak) yerine, bir olayın gerçekleşme olasılığını tahmin etmek için bu ifadeleri kullanma konusunda pek çok tartışma vardır.
Adli Standartlar
Diğer bir faktör ise istihbarat değerlendirmelerinin adli süreçteki delil kurallarıyla aynı ispat standardını kullanmamasıdır. Bu nedenle iddianameye yol açan iş akışları farklıdır. Adli açıdan üç standart vardır:
-
Kanıtın üstünlüğü
-
Açık ve ikna edici kanıt
-
Makul şüphenin ötesinde
Mahkeme sisteminin türü (hukuki veya cezai) davanızı desteklemek için ihtiyaç duyduğunuz kanıt düzeyini belirler. Hem bir istihbarat teşkilatı hem de bir kanun uygulayıcı teşkilat olan FBI, istihbarat standartlarını, yargı sistemini veya her ikisini de kullanmak zorunda kalabilir. Bir ulusal güvenlik davasının iddianameyle sonuçlanması durumunda Adalet Bakanlığı’nın istihbarat kararlarını adli kanıt standartlarına dönüştürmesi gerekir (kolay bir iş değildir).
Teknik Standartlar
İlişkilendirmeyle ilgili teknik göstergeler de vardır. Göstergeler bir yarı ömre sahip oldukları için uygunluk açısından değerlendirilmeli ve sürekli olarak değerlendirilmelidir (düzeltilmelidir); aksi takdirde zamanınızın çoğunu yanlış pozitifleri arayarak geçirirsiniz. Daha da kötüsü, eğer düzgün bir şekilde uygulanmazlarsa göstergeler yanlış-negatif zihniyetlere neden olabilir (“gösterge bulunamadı, iyi durumda olmalıyız”). Sonuç olarak, bağlamı olmayan bir gösterge genellikle işe yaramaz, çünkü bir ortamdaki gösterge diğerinde bulunamayabilir.
İyi bir formül şu şekildedir: 1) bir araştırma yapay ürünler üretir, 2) yapay ürünler göstergeler üretir, 3) bağlam raporlamanın eşlik ettiği göstergelerdir, 4) göstergelerin bütünlüğü taktikleri, teknikleri ve prosedürleri (TTP’ler) vurgulayabilir ve 5) çoklu TTP’ler zaman içinde tehdit desenleri gösterir (kampanyalar). Mümkün olduğunda saldırı bilgileri hızlı bir şekilde paylaşılmalıdır.
İlişkilendirme Neden Önemlidir?
Geçenlerde bir arkadaşım bana ilişkilendirmenin neden önemli olduğunu sordu. Evinize rastgele bir şekilde zorla girilmişse bu bir şeydir, ancak komşunuzsa bu tamamen farklıdır! Evimi veya ağımı nasıl koruyacağım, kimin içeri girdiğine bağlı olarak değişecektir.
Bir siber olaydan kimin sorumlu olduğunu umursamayan ve yalnızca tekrar çevrimiçi olmak isteyen kuruluşların sık sık mağdur olma olasılığı daha yüksektir. Sofistike süreçlere sahip, hayatta kalma içgüdüsü olan ve çalışanlarını önemseyen herhangi bir olgun organizasyon, özellikle de düşmanın tekrar tekrar geri dönmesi durumunda, ortak durumsal farkındalık yaratmak için ekstra adım atacaktır. Bir şirket, 1) neden saldırıya uğradığını, 2) saldırganın geri dönme olasılığını, 3) saldırganın hedeflerini ve 4) saldırganın TTP’lerini bilirse gelecekteki saldırganlığa karşı kendisini daha iyi savunabilir. Bir saldırıyı kimin gerçekleştirdiğini bilmek aynı zamanda belirsizliği ortadan kaldırmanıza ve olayın neden gerçekleştiğini anlamanıza yardımcı olabilir.
Bu makalenin bu hafta sonuna doğru gelecek olan ikinci bölümünde, bir olayı bir tehdit aktörüne atfetmenin temel yöntemlerini tartışacağım.