Tehdit istihbaratı her zamankinden daha bol. Savunucuların potansiyel tehditleri avlamak, hazırlanmak ve bunlara karşı koymak için kullanabilecekleri bilgileri bulmak zor değildir, ancak bunlar parçalanmıştır.
Kamu tarafında, Siber Güvenlik ve Altyapı Güvenliği Ajansı ve diğer federal kurumlar, kuruluşları kötü niyetli faaliyetlere karşı uyarmak için düzenli olarak tavsiyeler yayınlar. Özel olarak ve bir maliyet karşılığında, tehdit istihbaratı firmaları her ay en yaygın ve benzersiz tehditler hakkında binlerce sayfalık veri ve analiz yayınlar.
CISO’lar ve güvenlik pratisyenleri, araştırma şirketlerinden ve siber güvenlik yetkililerinden kitle kaynaklı istihbarat alarak her şeyi anlamlandırmaya bırakıldı. Bu kopuk içgörüleri sonuç veren eylemlere dönüştürmek kolay bir çaba değildir.
“Farklı tehdit raporları kullanışlıdır, ancak bu bilgiler için herkesin yararlanabileceği ve kendi istihbaratını oluşturabileceği daha merkezi bir havuza sahip olsaydık çok daha yararlı olurdu.” Arktik Kurt CISO Adam Marre Black Hat USA 2023’teki bir röportajda söylendi.
Marrè, “Birbirimizden daha fazla şey öğrenebilseydik, gerçekleştiğini gördüğümüz saldırılardan daha fazla şey öğrenebilseydik, onlara karşı çok daha iyi savunma yapardık,” dedi.
Tehdit istihbaratının parçalanması, kuruluşları rakipleriyle eşitsiz bir konuma getirebilir.
Uzlaşma göstergeleri ortak bir dili takip etmez ve adlandırma taksonomileri bir araştırma firmasından diğerine büyük farklılıklar gösterir, bu da analistlerin aynı tehdit aktörünün faaliyetlerini ne zaman tanımladığını belirlemeyi zorlaştırır.
“Bir CISO için, tehdit istihbaratına yatırım yapmanın yatırım getirisinin ne olduğunu ve bunun değerinin ne olduğunu anlamak zor olabilir.” CrowdStrike Karşı Düşman Operasyonları başkanı Adam Meyers, Cybersecurity Dive’a şunları söyledi:. “Genellikle daha fazla kaynağa sahip kuruluşlar içindir.”
Siber tehdit istihbaratı bir milyarlarca dolar endüstri. Mart Ayında Fortune Business Insights pazarın yaklaşık 5 milyar dolara ulaşacağı tahmin ediliyor geliri bu yıl ve 2030’a kadar 18 milyar doları aşıyor.
Tehdit toplama ve analiz alanındaki CrowdStrike ve diğerleri, çeşitli düzeylerde araştırma sağlar. Bu, harici saldırı yüzeyi yönetimini, karanlık ağ izlemeyi, çalınan kimlik bilgilerini ve yüzlerce tehdit aktörü hakkında nasıl çalıştıklarını, kimi hedeflediklerini ve kuruluşların kendi sektörlerindeki benzerleriyle nasıl karşılaştırıldıklarını açıklayan derin raporları içerir.
nereden başlamalı
Meyers, tehdit istihbaratıyla nasıl ve nereden başlayacağını bilmeyen birçok kuruluşun kötü bir deneyim yaşadığını ve bunun yararsız olduğu sonucuna vardığını söyledi. “Ama gerçek şu ki, tavşan pistinde olmaları gerekirken olimpik kayak yapmaya çalıştılar.”
Meyers, “Tavşan yokuşunda olmak sorun değil,” dedi. “Eninde sonunda sizi kara kara çıkaracağız, ancak bu dış zekayı getirmenin yanı sıra süreçleri ve çalışanlarınızı oluşturmanız ve geliştirmeniz gerekiyor.”
Birçok kuruluş için en faydalı başlangıç noktası içinde bulunabilir.
“Sahip olduğunuz en iyi istihbarat kaynağı kendi olaylarınızdır” dedi. Rick Holland, Reliaquest’te Başkan Yardımcısı ve CISO.
Holland, kuruluşların tehdit istihbaratına bir dolar harcamadan önce dahili verileri düzgün bir şekilde incelemesi gerektiğini söyledi.
Çoğu zaman kuruluşların günlük kaydı kurulumu yoktur veya günlüklerini yedekleyemezler, bu da saldırganların sistemlerine nasıl izinsiz girdiğini doğrulama yeteneklerini sınırlar.
Holland, bilinen IOC’leri izlemek asgari düzeyde olsa da, taktikler, teknikler ve prosedürlerin kuruluşların saldırganların kullandığı araçları ve komutları ve ağlarında nasıl hareket ettiklerini anlamalarına yardımcı olduğunu söyledi.
Holland, “Herhangi bir para harcamadan önce, insanları yapın ve dahili olarak işleyin ve ardından dışarı çıkın ve boşluklarınızı tamamlayın” dedi. “Çoğu insan boşluklarını bilmiyor.”
Açıklama: Black Hat ve Cybersecurity Dive’ın her ikisi de Informa’ya aittir. Black Hat’in Cybersecurity Dive’ın kapsamı üzerinde hiçbir etkisi yoktur.