CTI (Cyber Threat Intelligence) Nedir?

Siber tehdit istihbaratı, kurum ve kuruluşlara herhangi bir seviyede iş unsurları ve güvenliğine zarar verebilecek tehditler hakkında tanımlanmış, toplanmış ve zenginleştirilmiş verilerin bir süreçten geçirilerek analiz edilmesi sonucu saldırganların “motivasyonlarını”, “niyetlerini” ve “metotlarını” tespit etmektir. Siber tehdit istihbaratının başlıca amacı ise kurum ve kuruluşlara dışarıdan gelen (harici) ve en yaygın ve tehlikeli tehdit risklerini anlamalarına yardımcı olmaktır. Bu saldırılar örneğin 0-day saldırıları, geliştirilmiş kalıcı tehdit APT (Advanced Persistent Threat) ve exploitler olabilir. Buna rağmen tehdit unsurları içeriden (dahili) saldırılar da olabilir. Bu tarz saldırılar kurum ve kuruluşların yapısına çok ciddi zararlar vermektedir. Tehdit istihbaratı, kurum ve kuruluşların kendilerini bu tarz saldırılardan korumasına yardımcı olmak için geniş kapsamlı ve derin bir veriye ihtiyaç duymaktadır. Günümüzden 10 yıl öncesine kadar IT sektörü en çok kitle saldırılarından(mass attack) korkmaktaydı; fakat artık hedef odaklı saldırıları tespit etmek oldukça güç olmakla birlikte kurum ağı içerisinde neredeyse sadece bir “parazit” gibi görülmektedir ve tespit etmek oldukça zorlaşmaktadır. Siber güvenlik şirketleri artık herhangi bir saldırıdan alınan ilk örnekler ile zararlı yazılım imzaları ve IP adresleri, md5 hash özetleri ve URL adresleri, botnet komuta merkezi domain isimleri gibi IOC(indicator of compromise) verilerini tespit etmekte ve paylaşmaktadır. Saldırılar ilk kez gerçekleştikten sonra kurum ve kuruluşların bazıları zarar gördükten sonra ilk örnekleri kurum ağları içerisinde gerekli yazılım ve mimariyle tespit etmek kolaylaşmaktadır.

CTI (Cyber Threat Intelligence) Faydaları Nelerdir?

CTI (Cyber Threat Intelligence) taktiksel seviyedeki faydaları:

  • Yanlış alarm (false positive) üretilmemesi için geçersiz kuralların kaldırılmasını,
  • En tehlikeli zafiyetlerin düzeltilmesi için yamalara (patch) öncelik verilmesini,
  • Saldırıları daha hızlı ve doğru bir şekilde ilişkilendirerek otomatik olarak önleyebilmek için SIEM’lere (Security Information and Event Management) aktarılmasını,
  • Belirtileri önceliklendirerek SOC (Security Operation Center) analistlerinin alarmları hızlı bir şekilde tespit edebilmesini sağlamaktadır.

CTI (Cyber Threat Intelligence) stratejik seviyedeki faydaları:

  • Yöneticilere, işletme hakkında basındaki yanlış haberlerin aksine daha fiili tehditler hakkında bilgi vererek kritik varlıkları ve iş süreçlerini korumak için bütçe ve personel tahsis edebilme imkanı,
  • Bilgi güvenliği baş görevlilerinin (Chief Information Security Officer – CISO), üst yöneticilere ve yönetim kurulu üyelerine işle ilgili riskler, gelecekteki muhtemel saldırı eylemleri ve güvenlik yatırımları hakkında bilgi vermesini sağlamaktadır.

CTI (Cyber Threat Intelligence) operasyonel seviyedeki faydaları:

  • Olay müdahalesi ekiplerinin (Incident Response Team), durumsal farkındalık ve bağdaştırma sağlamak amacıyla; saldırganların niyetlerini, yöntemlerini ve hedeflerini tespit edebilmek için özel belirteçler geliştirebilmesini,
  • Olay müdahalesi ve adli bilişim ekiplerinin ihlallerin meydana getirdiği hasarları hızlı bir şekilde telafi etmesini ve gelecekte oluşabilecek saldırıları önlemesinde aksiyon almalarını sağlamaktadır.

Siber tehdit istihbaratı sadece BT güvenlik uzmanları için değil; yöneticilerin, risk seviyesini azaltmak için bütçeye ve insan kaynağına karar vermesini sağlamak konusunda da oldukça önemlidir.

APT (Advanced Persistent Threat) Nedir?

APT (Advanced Persistent Threat); sürekli, gizli ve gelişmiş korsanlık tekniklerini kullanarak bir sisteme erişir ve burada, yıkıcı sonuçlar yaratmaya yetecek kadar uzun bir süre boyunca kalır. Böyle bir saldırı gerçekleştirmek için çok büyük bir çaba gerektiğinden APT’ler genellikle, birçok kötü niyetli korsanın alt kademe siber saldırılar sırasında yaptığı gibi “sadece girip çıkmak” yerine uzun vadede bilgi çalmak amacıyla ulus devletler ve büyük şirketler gibi önemli hedeflere yöneltilir.

APT, dünyanın her yerindeki işletmelerin dikkat etmesi gereken bir saldırı yöntemidir. Ancak bu, küçük ve orta ölçekli işletmelerin bu tür saldırıları göz ardı edebileceği anlamına gelmez.

APT saldırganları, büyük kuruluşlara erişim elde etmek için nihai hedeflerinin tedarik zincirindeki küçük şirketleri giderek daha fazla kullanmaya başlamıştır. Genellikle iyi bir savunma sistemi olmayan bu tür şirketleri sıçrama tahtası olarak kullanırlar.

APT-C-36

APT-C-36 veya Blind Eagle (BE), Güney Amerika’dan geldiğine inanılan bir APT grubudur. BE, finans sektörünü, petrol endüstrisini ve profesyonel üretimi kapsayacak şekilde Kolombiya devlet kurumlarına saldırılar düzenliyor. BE Nisan 2018’den beri aktiftir. Etkilenen hedefler arasında Ecopetrol (Kolombiya Petrol Şirketi), Banco Agrario (Eyalet Finans Kurumu) ve IMSA (Kolombiyalı Jant Üreticisi) bulunmaktadır. BE’nin, Maduro yanlısı Venezuela’yı destekleyen son jeopolitik olaylara dahil olması muhtemeldir.

  IOC (Indicator of compromise) Nedir?

 IOC (Indicator of compromise) , “sistem günlüğü girişlerinde veya dosyalarında bulunan veriler gibi, bir sistem veya ağdaki potansiyel olarak kötü niyetli etkinliği tanımlayan adli veri parçalarıdır.” Uzlaşma göstergeleri, bilgi güvenliğine ve BT uzmanlarına veri ihlallerini, kötü amaçlı yazılım bulaşmalarını veya diğer tehdit etkinliklerini tespit etmede yardımcı olur. Kuruluşlar, uzlaşma göstergelerini izleyerek saldırıları tespit edebilir ve ihlallerin oluşmasını önlemek için hızlı hareket edebilir veya saldırıları daha önceki aşamalarda durdurarak zararları sınırlayabilir.

Uzlaşma göstergeleri, infosec ve BT uzmanlarının kötü amaçlı etkinliği saldırı dizisinin başlarında tespit etmesine yol açan içerik haritası görevi görür. Bu olağandışı etkinlikler, bir veri ihlaline veya sistem tehlikesine yol açabilecek olası veya devam eden bir saldırıyı gösteren kırmızı bayraklardır. Ancak, IOC’lerin tespit edilmesi her zaman kolay değildir; meta veri öğeleri kadar basit veya inanılmaz derecede karmaşık kötü amaçlı kod ve içerik örnekleri olabilirler. Analistler, korelasyon aramak için genellikle çeşitli IOC’leri belirler ve olası bir tehdidi veya olayı analiz etmek için bunları bir araya getirir.

Açık kaynak IOC kaynakları

IoC için kullanılabilecek çeşitli kütüphaneler bulunmakta. Bunlardan en popüler olanları;

  • Castle Windsor
  • Ninject
  • StructureMap
  • Autofac
  • Unity