Siber olay ilişkilendirme, iyi nedenlerden dolayı büyük ilgi görüyor. Bir saldırının arkasındaki aktörün/aktörlerin belirlenmesi, düşmana karşı yasal veya siyasi eyleme geçilmesini sağlar ve siber güvenlik araştırmacılarının gelecekteki tehditleri tanıyıp önlemesine yardımcı olur.
Bu makalenin ilk bölümünde yazdığım gibi, İlişkilendirme hem teknik hem de analitik bir süreçtir. Bu nedenle gerekli verilerin çıkarılması birçok bilgi ve istihbarat disiplininin işbirliğini gerektirir. Ticari beceri geliştikçe ve kötü niyetli aktörler faaliyetlerini gizlemenin yeni yollarını buldukça ilişkilendirme zorlaşıyor. İnsan istihbaratı sıklıkla devreye giriyor ve FBI ve CIA gibi devlet istihbarat teşkilatlarının çalışmalarını çok değerli kılıyor.
Bir olayı ilişkilendirmeye çalışırken birden fazla faktör vardır. İlişkilendirme faaliyetlerinizde uygulayabileceğiniz genel bir çerçeveyi burada bulabilirsiniz.
Mağduriyet
Analiz yoluyla mağdur (örneğin kendiniz) hakkında mümkün olduğunca çok şey öğrenmek bazı şaşırtıcı sonuçlara yol açabilir. Sun Tzu’nun sözlerini aktaracak olursak, “Düşmanını tanırsan yüz savaş kazanırsın; kendini tanırsan bin savaş kazanırsın.” Ne yaptığınız veya ürettiğiniz, hangi hizmetleri sağladığınız ve şirket yöneticilerinizin kim olduğu, düşmanın motivasyonları üzerinde doğrudan etkiye sahip olacaktır. Sahip olduğun şeyi kim istiyor? Bir ulus devlet tahsilat gerekliliklerini yerine getiriyor mu? Birisi fikri mülkiyetinizi yeniden üretmek mi istiyor?
Aletler
Araştırmanız sırasında bulduğunuz düşman araçlarını kategorilere ayırın ve her grubu analiz edin. Düşman ne kullandı? Açık kaynak mı bunlar? Açık kaynak mı ama özelleştirilmiş mi? Bunlar aktörler tarafından mı yazılmış? Yaygın mı yoksa yaygın mı? Ne yazık ki, bir ihlalde kullanılan araçlar genellikle geçicidir veya zaman ve anti-adli teknikler (bir güvenlik açığından yararlanan kötü amaçlı yazılımlar gibi) nedeniyle kaybolur. Farklı araçlar kalıcılığı koruyabilir, ayrıcalıkları yükseltebilir ve ağ üzerinde yatay olarak hareket edebilir. Düşman ağınızda ne kadar uzun süre kalırsa araçların tespit edilmesi o kadar zor olur.
Zaman
Çevrenizdeki herkes gibi görünmek ve davranmak, düşmanın uzun ömürlülüğü açısından çok önemlidir. Kurumsal ağda kendilerine sunulanları (“toprakta yaşamak”) veya şüphe uyandırmayacak, tespit edilmelerini zorlaştıracak zararsız araçları kullanma eğilimindedirler. Güçlü bir askeri-endüstriyel kompleks veya gelişmiş istihbarat aygıtı tarafından desteklenen bir düşman, ağınızda oyalanmak için zamana, kaynaklara ve sabra sahiptir. Bunun aksine, siber suçlular ve fidye yazılımı grupları için vakit nakittir, dolayısıyla onların kalma süreleri önemli ölçüde daha düşük olabilir.
Altyapı
Kötü niyetli aktörlerin ne tür bir altyapı kullandığını, özellikle de komuta kontrol (C2) işlevleriyle ilgili unsurları araştırın. Kiralanan altyapı mı, sanal özel sunucu (VPS), sanal özel ağ (VPN), güvenliği ihlal edilmiş alan mı yoksa botnet’ler mi? Tor’u veya başka bir anonim ağı mı kullandılar? C2 kötü amaçlı yazılıma sabit kodlanmış mıydı? C2 nasıl çalışır? Benzersiz altyapıların tanımlanması daha kolaydır, oysa sıradan araçlar ilişkilendirmeyi zorlaştırır.
Uygulama
Düşmanın araçlarını ve altyapısını tanımlamak yeterli değildir; Saldırı sırasında bunların nasıl uygulandığını gözden geçirmek kritik önem taşıyor. Taktiklerin, tekniklerin ve prosedürlerin (TTP’ler) nasıl uygulandığı, birisinin sizi kasıtlı olarak yanıltmaya çalışıp çalışmadığını (yani yanıltıcı işaretler kullanarak) size söyleyebilir. Ağınızdan veriler sızdırıldıysa neyi aldıklarını veya hedeflediklerini anlamak için ayrıntılı bir analiz yapın.
Düşmanın yana doğru hareket etmesi ve bir yöneticinin veya çalışanın kişiliğini ele geçirmesi durumunda, dahili kullanıcı eylemlerinin günlüğe kaydedilmesi yardımcı olabilir. Eğer “parçala ve yakala” yaptılarsa, her şeyi aldılarsa, yapacak bazı işlerin var demektir. Saldırı benzersizse ve başlangıç için herhangi bir kıyaslama yoksa, bu bir göstergedir.
Saldırılar nadiren bu şekilde çalışır. Düşmanlar bildikleriyle devam etme eğilimindedirler: Bir şeyleri yapmanın bir yolunu öğrenirler ve ona bağlı kalmaya çalışırlar. Ticaretin araçları (örneğin, kullanılan bilgisayar korsanlığı araçları, yararlanılan güvenlik açığı, kullanılan altyapı) değişirken, zanaatın toptan değiştirilmesi daha zordur.
Sonraki adımlar
İhtiyacınız olan istihbaratı veya kanıtı topladıktan sonra şunları düşünün: Yakalanan bilgilerin aslına uygunluğu nedir (ne kadar doğrudur)? Ne kadar ayrıcalıklı? Saldırı hakkında bildiğiniz bilgiler belirli bir aktör veya kuruluşla mı bağlantılı?
Bir değerlendirme yaptığınızda kaçınılmaz olarak bilgi boşlukları yaşarsınız; ya eksik maddi bilgiler ya da en güçlü teoriniz tarafından düzgün bir şekilde açıklanmayan göstergeler. Eğer bir hükümet daha fazla bilgiye ihtiyaç duyuyorsa, muhtemelen istihbarat açıklarını kapatacak kaynaklara sahiptir. Diğer herhangi bir kuruluş türü, savunma amaçlı atıf türetmenin başka yollarını bulmalıdır.
Son düşünceler
Birçok kişi ve kuruluş, aceleyle ilişkilendirme yapmak ve hemen harekete geçmek istiyor. Aceleci atıf, kapsamlı bir araştırma yapma ihtiyacını atlamaz. Hükümet açısından bakıldığında, bir dış politika standardı oluşturmak veya algılanan bir ulusal güvenlik hedefini karşılamak için bir siber olaya anında müdahale etmek felaketin reçetesidir.
İlişkilendirme geliştirilmeli ve atlanmamalıdır; Aksi takdirde yüksek vasıflı sahte bayrak ve aldatma operasyonları, kararlı bir düşmanın ekmeğine yağ sürerken şirketleri ve ülkeleri çatışmaya sürükleyecektir. Dış politika stratejisi, her zaman düşmanın karşı hamlelerini tahmin etmeniz gereken bir satranç oyunudur.
Atıf çoğu zaman devletin ve özel sektörün tamamının çabasını gerektirir; nadiren bir ajans veya şirket parçaları bir araya getirmek için gerekli tüm bilgilere sahip olur. Tehdit istihbaratını ve ilişkilendirmeyi akademik müfredata dahil edip resmileştirmemiz ve ona hak ettiği önemi vermemiz gerekiyor. Bu, herhangi bir ulusun veya siber güvenlik topluluğunun yanlış yapmayı göze alabileceği bir şey değildir.
