Bu yazıda siber tehdit istihbaratının temellerinden bahsedeceğim. İlerleyen zamanlarda da uzmanlaştığım tehdit istihbaratı alanına dair daha detaylı yazılar yazmayı planlıyorum. Şimdilik, kısa bir giriş yapalım.
Siber Tehdit İstihbaratı Nedir?
Siber tehdit istihbaratı, siber tehdit verisinin kaynak ve güvenilirlik açısından değerlendirilmesini ve verinin rafine edildikten sonra sunuma hazır şekile getirilmesini ele alan bir döngüdür ve nihai amacı düzenli yönetilebilir istihbarat (actionable intelligence) elde etmektir. Siber tehdit istihbaratı, klasik istihbarat kaynaklarından birçok yönden farklıdır.
Klasik İstihbarat Kaynakları
HUMINT: Direkt veya dolaylı olarak insan etkileşimi ile toplanan bilgiyi kapsar. Forumlar üzerinden yapılan yazışmalar, telefon görüşmeleri, e-posta ve mesaj üzerinden gerçekleşen iletişimi de kapsar. Tehdit aktörleri tarafından kısmi olarak sıklıkla kullanılır.
GEOINT: Uydu üzerinden elde edilen verinin analiz edilerek hareketlilik tespiti ve konum belirleme gibi konuları ele alır.
MASINT: Sabit veya dinamik hedef kaynaklarının metrik, açısal, uzamsal ve modüler özelliklerini tespit etmeye ve tanımlamaya yönelik bilgi toplamaktır.
SIGINT: Elektronik cihazların sinyallerinin toplanması, analizi ve iletişimi ile elde edilen bilgilerdir.
OSINT: Erişime açık kaynaklar (blog, forum, sosyal medya vb.) üzerinden hedef hakkında bilgi toplanmasıdır.
Bazı Siber Tehdit İstihbaratı Terimleri
Veri, Enformasyon, Bilgi, İstihbarat
Tehdit
İndikatör
IoC
IoA
Hasım
Tehdit
Tehdit aktörlerinin olgunluk seviyelerinin belirlenmesinde üç faktör rol oynar:
Niyet
Kabiliyet
Fırsat
Bir tehdit aktörünün başarılı bir sızma gerçekleştirmesi için gerekli zamanı ve kaynakları saldırıya ayırması gerekmektedir. Ek olarak, aktörün yararlanabileceği bir fırsatın mevcut olması ve aktörün bu fırsatı değerlendirecek kabiliyete sahip olması gerekmektedir. Tehdit, bu üç elementin de mevcut olduğu durumlarda mevcuttur.
Indikatör
Örneğin; www.abc.com adresinden elde edilen veriler, komuta kontrol sunucusu ile anlamlandırılarak bir ölçü elde edilebilir.
IoC
IoC'ler sistemler üzerinden elde edilen, tehdide dair kalıntılardır. Ağ trafiği, disk içeriği ve bellek içeriği üzerinden elde edilebilirler.
IoC Örnekleri
Genel olarak bir olaya ilişkin IoC'ler aşağıdaki bilgiler ile başlar:
Dosya İmzaları
Saldırıda kullanılan zararlı yazılımların imzaları
IP Adresleri
Komuta kontrol sunucusunun IP adresi
Alan Adları
Phishing için hasım tarafından kullanılan alan adı.
Ancak herhangi bir bulgu, doğru şartlar altında IoC olarak değerlendirilebilir. Örneğin:
Şifreleme Anahtarları
Komuta kontrol altyapısı tarafından şifreli bağlantılar için kullanılan sertifika veya açık/gizli anahtar içeriği.
SSL/TLS Sertifikaları
Zararlı yazılımın bağlandığı komuta kontrol sunucusunun SSL sertifikası. (Birden fazla sunucu için kullanılıyor olabilir)
Obfuscation Tespiti
Yazılımın zararlı yazılım tarafından kullanılan bir obfuscation yöntemini kullanıyor olması.
IoC ve IoA Farkı
Terminoloji olarak IoC (Indicator of Compromise), başarılı bir saldırıya işaret ederken, IoA (Indicator of Attack) bir saldırının gerçekleştiğine işaret eder. Başarısız bir buffer overflow istismarı IoC değil, IoA olarak nitelendirilir.
Hasımlar
Devletler arasında siber casusluk faaliyetleri süreklidir. Her kurum kendi içinde hasımlarının (adversary) kullandığı yöntem ve metodolojileri irdeleyerek gerçekleşen saldırıların hangi gruplar tarafından yapıldığını tespit etmekte (attribution) başarısını artırabilir. Hasımlar düzenli olarak takip edilmeli ve kullandıkları teknik taktik ve prosedürlerde yer alan değişimler gözlemlenmelidir. Böylelikle aynı hasım tarafından gelecekte gerçekleştirilecek saldırılara karşı gerçekçi önlemler almak mümkün olacaktır. Bu durumun en büyük sebeplerinden biri, hasımların aynı hedefe dair birden fazla saldırı gerçekleştiriyor olmasıdır. APT gruplarının yıllar boyunca aynı hedefleri farklı zamanlarda çeşitli saldırılar ile hedef aldığı bilinen bir durumdur.
Siber Tehdit İstihbaratı Veri Tipleri
Stratejik
Operasyonel
Taktiksel
Basit Bir Senaryo
Siber Tehdit İstihbaratının Aşamaları
1.Yönlendirme ve Planlama (Direction)Bu aşamada öncelikler ve istihbarat hedefleri belirlenerek bir planlama yapılır. İstihbarat hedeflerinizi, kuruluşunuzun temel değerlerine ne kadar yakından bağlı oldukları, sonuçta ortaya çıkan kararın ne kadar büyük bir etkiye sahip olacağı ve kararın ne kadar zamana duyarlı olduğu gibi soruların cevaplarına göre belirleyin ve önceliklendirin.
2.Toplama (Collection)
Bu aşamada, ilk aşamada (yönlendirme ve planlama aşaması) belirlenen gereksinimleri karşılayan ham verileri toplamaktır. Ağ olay günlükleri ve geçmiş olay yanıtlarının kayıtları gibi dahili kaynaklar ve open web, dark web ve teknik kaynaklardan harici olanlar gibi çok çeşitli kaynaklardan veri toplamak en iyisidir.
3.İşleme ve Değerlendirme (Processing)
Bu aşamada; tüm ham veriler toplandıktan sonra, bunları sıralamanız, meta veri etiketleriyle düzenlemeniz ve gereksiz bilgileri veya false negativeleri ve negativeleri filtrelenir.
İşlenmiş verinin anlamlandırıldığı aşamadır. Bu aşamadaki amaç, olası güvenlik sorunlarını araştırmak ve planlama ve yönlendirme aşamasında belirtilen istihbarat gereksinimlerini karşılayan bir formatta ilgili ekipleri bilgilendirmektir.
5.Dağıtım (Dissemination)Bu aşamada, bitmiş ürün (istihbarat) gönderilmesi gereken takım arkadaşlarına dağıtılır. Tehdit istihbaratının eyleme geçirilebilir olması için doğru zamanda doğru kişilere ulaşması gerekir.
Son adım, istihbarat döngüsünün tam bir çember haline geldiği ve onu ilk planlama ve yönlendirme aşamasıyla yakından ilişkili hale getirdiği zamandır. Bitmiş istihbarat ürününü aldıktan sonra, ilk isteği yapan kişi onu gözden geçirir ve sorularının yanıtlanıp yanıtlanmadığını belirler. Bu, bir sonraki istihbarat döngüsünün amaçlarını ve prosedürlerini yönlendirerek yine dokümantasyonu ve sürekliliği gerekli kılar.