Tehdit istihbaratı, bir kuruluşun siber güvenlik stratejisinin kritik bir parçasıdır, ancak siber güvenlik durumunun ne kadar hızlı geliştiği göz önüne alındığında, geleneksel model hala geçerli mi?
İster bir siber güvenlik uzmanı olun, ister sıfırdan bir tehdit istihbarat programı oluşturmak isteyen biri olun, bu basit çerçeve geleneksel modeli dönüştürerek mevcut duruma uygulanabilir. Bugün mevcut olan teknolojilere dayanır ve dört basit adımda uygulanabilir.
Tehdit İstihbarat Çerçevesine Hızlı Bir Bakış
Burada atıfta bulunacağımız çerçeve, dört aşamaya ayrılan Zeka Döngüsü olarak adlandırılır:
Bu geleneksel çerçevedir, ancak her adıma daha derin bir göz atalım, bunları modern gün için güncelleyelim ve 2022’de nasıl izleneceğinin ana hatlarını çizelim.
Bunu yapmak için, örnek olarak bir kimlik bilgisi sızıntısı kullanım örneğinden yararlanacağız. Kimlik bilgisi sızıntısı, her büyüklükteki kuruluşun aşina olması gereken bir alandır ve bu, onu etkili bir tehdit istihbarat programının nasıl oluşturulacağını göstermek için en uygun seçim haline getirir.
1. Bir yön belirleyin.
Bu süreçteki ilk adım, aradığınızı ve hangi soruları sormak ve cevaplamak istediğinizi ana hatlarıyla belirterek programınızın yönünü belirlemektir. Buna yardımcı olmak için Öncelikli Zeka Gereksinimleri veya PIR’ler ve istenen bir sonuç oluşturabilirsiniz.
Mümkün olduğunca açık olmayı hedeflemelisiniz. Kimlik bilgisi sızıntısı durumunda, yetkisiz bir varlığa maruz kalan oturum açma kimlik bilgilerini belirlemek için PIR’ımızı ayarlayalım.
Ana hatlarıyla belirtilen bu çok özel PIR ile, artık bu durumda bir parola sıfırlamayı zorunlu kılacak olan istenen bir sonucu belirleyebiliriz. Bu çok önemlidir ve daha sonra istenen sonucun bu tehdit istihbarat programını nasıl oluşturduğumuzu nasıl etkileyeceğini göreceğiz.
2. Hangi verilerin toplanacağının haritasını çıkarın.
PIR’lerinizi ve istediğiniz sonucu belirledikten sonra, yöne hizmet edecek istihbarat kaynaklarının haritasını çıkarmanız gerekir.
Bu kullanım örneği için, tehdit aktörlerinin kimlik bilgilerini nasıl elde ettiğini belirleyelim. En yaygın kaynaklardan birkaçı şunları içerir: uç noktalar (genellikle botnetler tarafından toplanır), üçüncü taraf ihlalleri, kod depoları, forum/pastebin’deki gönderiler ve kimlik bilgilerinin alınıp satıldığı Dark Web karaborsaları.
Bu kaynakların haritasını çıkarmak, analiz için odaklanmanız gereken alanların ana hatlarını çizmenize olanak tanır.
3. Analize yaklaşımınızı seçin.
Analize otomatik veya manuel bir yaklaşım uygulayabilirsiniz. Otomatik analiz, ilgili verileri e-postaların ve şifrelerin çıkarılıp çıkarılabileceği kimlik bilgisi sızıntısı uyarılarına sınıflandıracak yapay zeka veya karmaşık algoritmalardan yararlanmayı içerir. Alternatif yaklaşım, tüm verileri toplayarak ve ekibinizdeki analistlerin verileri gözden geçirmesini ve kuruluşunuz için neyin alakalı olduğuna karar vermesini sağlayarak bilgileri manuel olarak analiz etmektir.
Manuel analizin en büyük avantajı esnekliktir. Yalnızca ilgili olanı ortaya çıkarmak için sürece daha fazla insan kaynağı, zeka ve içgörü katabilirsiniz. Ancak dezavantajlar da var – bu süreç otomatik analizden çok daha yavaş.
Hız kritik olduğundan, otomatik analiz en iyi yaklaşımdır. Analistlerin verileri sıralamasını gerektirmez ve tehditler otomatik olarak sınıflandırılıyorsa, muhtemelen otomatik olarak giderilebilirler.
Şuna pratikte bir göz atalım: Diyelim ki algoritmanız bir forumda bahsedilen bir e-posta ve şifreyi buluyor. AI, olayı sınıflandırabilir ve ilgili bilgileri (örneğin, e-posta/kullanıcı adı ve şifre) makine tarafından okunabilir bir biçimde çıkarabilir. Ardından, tanımlanan kullanıcı için parolayı zorla sıfırlama gibi bir yanıt otomatik olarak uygulanabilir.
Otomatik analiz her senaryoda en iyi seçenek olmayabilir, ancak bu durumda bizi istediğimiz sonuca en yakın şekilde getirir.
4. Eyleme geçmek için analizi yaygınlaştırın.
Geleneksel olarak, istihbarat döngüsü ve tehdit istihbaratının yayılması söz konusu olduğunda, gözden geçirmeleri ve uygun önlemleri almaları için ilgili paydaşlara uyarılar ve raporlar göndermekten bahsederiz.
Ancak önceki bölümdeki örneğimizin gösterdiği gibi, bu sürecin geleceği (ve mevcut durumu) tam otomatik iyileştirmedir. Bunu akılda tutarak, yalnızca kuruluşta uyarıları ve bilgileri nasıl dağıttığımızı tartışmamalıyız – ayrıca yaklaşan saldırıyı otomatik olarak önlemek için istihbaratı nasıl alıp güvenlik cihazlarına dağıtabileceğimizi de düşünmeliyiz.
Sızan kimlik bilgileri için bu, insan müdahalesi olmadan parola sıfırlamayı otomatik olarak zorlamak için istihbaratın aktif dizine gönderilmesi anlamına gelebilir. Bu, otomatikleştirilmiş bir çözüme geçmenin düzeltme süresini nasıl önemli ölçüde azaltabileceğinin harika bir örneğidir.
Bir kez daha PIR’imize ve istenen sonuca geri dönelim; tehdit aktörü şifreyi kullanmadan önce şifre sıfırlamayı zorlamak istiyoruz. Hız anahtardır, bu nedenle düzeltmeyi kesinlikle otomatikleştirmeliyiz. Haritasını çıkardığımız kaynaklardan istihbarat alan, çıkarılan bilgilerle otomatik olarak bir uyarı oluşturan ve riski olabildiğince hızlı azaltmak için tehdidi otomatik olarak gideren bir çözüme ihtiyacımız var.
Tespit ve müdahale 2022’de böyle görünmelidir.
yazar hakkında
Alon Arvatz, Rapid7’ye, ortak kurucularından olduğu ve Ürün Sorumlusu olarak liderlik ettiği IntSights Cyber Intelligence’ı satın almasının ardından Temmuz 2021’de katıldı. Alon artık ürün geliştirme, tehdit araştırması ve istihbarat toplama operasyonları dahil olmak üzere Rapid7 tehdit istihbaratı ürün yol haritasına önemli bir katkıda bulunuyor.
IntSights’ı kurmadan önce Alon, gençlere siber güvenlikle ilgili kurslar sunan bir eğitim programı olan Cyber-School’un kurucu ortağı ve CEO’suydu. Alon, küresel siber istihbarat kampanyalarını yönettiği ve koordine ettiği İsrail Savunma Kuvvetleri (IDF) bünyesindeki seçkin bir siber güvenlik istihbarat biriminin emektarıdır.
