Bu Help Net Security röportajında, Trellix Kıdemli Güvenlik Araştırmacısı Tomer Shloman, saldırı ilişkilendirmesinden bahsediyor, hibrit tehditleri tanımaya yönelik çözümlerin ana hatlarını çiziyor ve kuruluşların kendilerini hibrit saldırılara karşı nasıl koruyabilecekleri konusunda tavsiyeler sunuyor.
Siber saldırılarda sahte işaretler ile gerçek atıf işaretleri arasında ayrım yapmak için en umut verici teknolojiler veya metodolojiler nelerdir? Davranış analizi, hem ulus devletlerin hem de siber suçluların örtüşen taktikler kullanması durumunda saldırganın motivasyonunu belirlemeye katkıda bulunabilir mi?
Yanlış bayrakları gerçek atıf işaretleyicilerinden ayırmak, gelişmiş metodolojilerin bir kombinasyonunu gerektirir. Davranış analizi, tehdit aktörlerinin operasyonel alışkanlıklarına ve stratejik hedeflerine odaklandığı için bu bağlamda özellikle etkilidir.
Örneğin ulus devletler genellikle titiz planlama ve uzun vadeli hedefler sergilerken, siber suçlular anlık mali kazanç peşinde koşma eğilimindedir. Bu ayrım, saldırı düzenlerini, hedef seçimlerini ve altyapı kullanımlarını analiz ederken açıkça ortaya çıkıyor.
Ek olarak, geçmiş saldırı verileri üzerine eğitilmiş makine öğrenimi modellerinin kullanılması, TTP’lerdeki ince tutarsızlıkları ortaya çıkarabilir.
Eserlerin adli analizi, altyapı korelasyonu ve hatta jeopolitik istihbarat, saldırganların kökenlerini gizlemek için kasıtlı olarak taktikleri harmanlayan karmaşıklığının anlaşılmasında önemli bir rol oynamaktadır.
Kötü amaçlı yazılım veya saldırı davranışındaki dilsel ve kültürel nüanslar, saldırganların coğrafi kökeninin belirlenmesinde nasıl bir rol oynuyor? Bu yöntem ne kadar güvenilir? Bir saldırının kökenlerini takip etmek için ortak altyapı kullanıldığında ortaya çıkan zorlukların üstesinden nasıl gelinebilir?
Kod yorumlarındaki dil ayarları, meta verilerdeki zaman dilimleri veya bölgesel deyimlerin belirli kullanımı gibi kötü amaçlı yazılımlara gömülü dilsel ve kültürel nüanslar, saldırganın coğrafi kökeni hakkında değerli ipuçları sağlayabilir.
Bununla birlikte, bu işaretleyiciler sahte bayrak operasyonlarında giderek daha fazla kullanılıyor ve bu da onları tek başına daha az güvenilir hale getiriyor. Örneğin, Kiril metni veya Doğu Asya dili ayarlarını kullanmak, atıfları değiştirmek için kasıtlı bir hile olabilir.
Saldırganlar paylaşılan altyapıyı kullandığında ilişkilendirme daha da zorlaşır.
Bu sorunu ele almak, altyapı kümelemesi, geçmiş kullanım analizi ve bilinen tehdit aktörleriyle bağlantılı örtüşen kampanyaların belirlenmesi dahil bütünsel bir yaklaşım gerektirir. Bu verileri jeopolitik ve bağlamsal zekayla çapraz referanslamak, paylaşılan altyapının yolu kapattığı durumlarda bile genellikle daha net bir resim sağlar.
Casusluk ve finansal amaçları harmanlayan hibrit operasyonların belirlenmesinde tehdit aktörü profili oluşturmanın rolünü tartışabilir misiniz?
Tehdit aktörü profili oluşturma, yüzey düzeyindeki göstergelerin ötesine geçerek ve daha derin bağlamsal unsurları inceleyerek hibrit operasyonların ortaya çıkarılmasında önemli bir rol oynar.
Profil oluşturma, aktörün geçmişinin, stratejik hedeflerinin ve kampanyalardaki operasyonel davranışlarının kapsamlı bir analizini içerir.
Örneğin, bir savunma yüklenicisini hedef alan bir fidye yazılımı saldırısının jeopolitik sonuçlarını anlamak, mali suç olarak gizlenen casusluk amaçlarını ortaya çıkarabilir.
Profil oluşturma, araştırmacıların tamamen finansal motivasyonlar ile suç operasyonları olarak maskelenen devlet destekli hedefler arasında ayrım yapmasına olanak tanır.
Hibrit aktörler genellikle, geçmişleri bağlamında analiz edildiğinde gerçek niyetlerini açığa çıkarabilecek “davranışsal parmak izleri” (tekniklerin ve altyapının yeniden kullanımının benzersiz kombinasyonları) bırakırlar.
İlk başta ilişkilendirme imkansız gibi görünse bile gelişmiş adli tıp veya makine öğreniminin bir tehdit aktörünü başarılı bir şekilde tanımladığı örnekleri biliyor musunuz?
Evet, ileri adli tıp tekniklerinin tehdit aktörlerinin belirlenmesinde hayati öneme sahip olduğu birkaç dikkate değer durum vardır. Örneğin, SolarWinds kampanyasında, SUNBURST arka kapısının bellek analizi ve tersine mühendisliği, operasyonu sonuçta bir ulus devlet aktörüne bağlayan benzersiz kod özelliklerini ve dağıtım yöntemlerini açığa çıkardı.
Bu adli tıp çalışmaları, saldırganların tespit edilmekten nasıl kaçındıklarını ve güvenilir yazılım tedarik zincirlerinden nasıl yararlandıklarını ortaya çıkararak, ilişkilendirmede derin teknik araştırmanın değerini ortaya koydu.
Makine öğrenimi aynı zamanda fidye yazılımı araştırmalarında da etkili olabilir; görünüşte alakasız kampanyaları altyapı çakışmaları ve benzersiz dağıtım yöntemlerine dayalı olarak belirli APT gruplarına bağlayabilir.
Trellix, tespit ve korelasyon çabalarını desteklemek için yapay zekadan kapsamlı bir şekilde yararlanırken, bu vakalar, insan odaklı adli tıp çalışmasının, özellikle aktörler ve operasyonlar arasındaki incelikli bağlantıların ortaya çıkarılmasında başarılı ilişkilendirmenin temel taşı olmaya devam ettiğini vurguluyor.
Son yıllardaki yüksek profilli ilişkilendirme başarılarından veya başarısızlıklarından hangi dersleri öğrenebiliriz?
Temel ders şudur İlişkilendirme bir süreçtir, bir an değil!
2024 yılında Birleşik Krallık Seçim Komisyonu, yaklaşık 40 milyon seçmenin kişisel bilgilerinin tehlikeye girdiği önemli bir veri ihlali yaşadı. Başlangıçta saldırının kaynağı belirsizdi ve sınırlı göstergeler potansiyel faillere işaret ediyordu. Siber güvenlik uzmanları, kötü amaçlı yazılım imzalarının, ağ trafiğinin ve altyapı modellerinin analizi de dahil olmak üzere titiz bir adli tıp araştırması sonucunda, Çin devleti destekli bir grup olan APT40’ın olaya karıştığını tespit etti. Bu atıf daha sonra Birleşik Krallık ve ABD’nin Çin Devlet Güvenlik Bakanlığı ile bağlantılı kuruluşlara yönelik koordineli yaptırımlarıyla desteklendi.
Tersine, zamanından önce veya spekülatif atıf, güvenilirliğe zarar verebilir ve etkili müdahaleyi engelleyebilir. Buradan çıkarılacak en önemli sonuç, başarılı ilişkilendirmenin sabır, siber güvenlik topluluğu genelinde işbirliği ve tek bir veri noktasına aşırı güvenmeyi önleyen kanıta dayalı bir yaklaşım gerektirmesidir.
Ulus devlet aktörleri ile organize siber suçlular arasındaki yakınlaşmanın artmasıyla birlikte kuruluşlar bu tehditleri gerçek zamanlı olarak ayırt etmek için hangi stratejileri kullanabilir?
Kuruluşların bağlamsal farkındalığa odaklanması gerekir ve gerçek zamanlı davranış analizi kritik bilgiler sağlayabilir.
Örneğin, ulus devlet aktörleri genellikle kritik altyapıları veya jeopolitik önemi olan sektörleri hedef alırken, siber suçlular genellikle daha geniş hedeflemeyle finansal kazancı en üst düzeye çıkarmaya odaklanır.
Geçmiş verilerle zenginleştirilmiş tehdit istihbaratı akışları, gerçek zamanlı olayların bilinen tehdit aktörü profilleriyle ilişkilendirilmesine yardımcı olabilir. Ek olarak, sektöre özel bal küpleri gibi aldatma tekniklerinin uygulanması, operasyonel hedefleri ortaya çıkarabilir ve tuzaklara verdikleri tepkilere göre aktörler arasında ayrım yapabilir.
Kuruluşlar, artan hibrit saldırıları hesaba katacak şekilde savunma stratejilerini nasıl ayarlamalıdır?
Kuruluşların, proaktif tehdit avcılığı, sürekli izleme ve olaylara müdahale hazırlığını birleştiren derinlemesine savunma stratejisini benimseyerek uyum sağlaması gerekir.
Sıfır güven mimarisi, tüm erişim isteklerinin sıkı bir şekilde doğrulanmasını sağlayan, herhangi bir savunma stratejisinin temel unsuru olmalıdır. Ayrıca anormallik tabanlı izleme ve yapay zeka odaklı analizler gibi gelişmiş tespit yeteneklerine yatırım yapmak, hibrit kampanyaların erken tespitine olanak sağlar.
Son olarak kuruluşların dayanıklılığa odaklanması gerekiyor. Buna sağlam yedekleme stratejileri, test edilmiş kurtarma planları ve hibrit operasyonlarda sıklıkla kullanılan sosyal mühendislik taktiklerini tanımak için çalışan eğitimi dahildir.