İki Kaynağın Dengesi Nasıl Sağlanır
Siber güvenlikte tehdit istihbaratı, mevcut tehdit ortamıyla ilgili bilgilerin toplanması, analizi ve yayılmasıyla ilgili geniş bir yelpazedeki faaliyetleri kapsar. Kaynak açısından, iki temel tehdit istihbaratı türü iç ve dıştır ve bu ikisi arasında doğru dengeyi bulmak yalnızca sağlam değil aynı zamanda etkili bir siber güvenlik stratejisi için de önemli olabilir.
İç ve Dış Tehdit İstihbaratını Anlamak
Dahili tehdit istihbaratı, bir organizasyonun kendi ağları ve sistemleri içinden toplanan verilerdir. Bu, denenmiş veya başarılı siber saldırılar, sistem güvenlik açıkları ve anormal ağ etkinliği hakkındaki verileri içerebilir. Özellikle, bu tür veriler organizasyonun günlüklerinden ve ağa bağlı cihazlar, SIEM’ler, IDS ve antivirüs yazılımları gibi güvenlik sistemleri için trafik verilerinden çekilebilir.
Dış tehdit istihbaratı, geçmiş ve mevcut tehditler hakkında dış kaynaklardan toplanan verileri ifade eder. Bu, tehdit aktörleri, taktikleri, teknikleri ve prosedürleri (TTP’ler), tehlike göstergeleri (IOC’ler) ve daha fazlası hakkında bilgi içerebilir. Bu tür istihbarat, beslemeler ve büyük veritabanlarını biriktiren ve kullanıcıların bunları aramasına olanak tanıyan özel platformlar ve portallar dahil olmak üzere farklı ürünler tarafından sağlanır.
İç Tehdit İstihbaratının Avantajları
Ayrıntılı ve Belirli Anlayış
Kuruluşun altyapısından kaynaklanan dahili tehdit istihbaratı, kuruluşun kendine özgü tehdit ortamı hakkında ayrıntılı ve özel bir anlayış sağlar.
Gerçek Zamanlı ve İlgili Veriler
Dahili tehdit istihbaratı gerçek zamanlı ve son derece alakalı veriler sunar. Kuruluşların sistemlerini ve ağlarını doğrudan etkileyen tehditleri hızla belirlemelerine ve bunlara yanıt vermelerine olanak tanır.
Tarihsel Kayıtlar
Geçmiş uyarıları ve ağ etkinliğini kapsayan dahili tehdit istihbaratındaki tarihsel kayıtlar, olası olaylara ilişkin değerli içgörüler sunar. Bu kayıtlar ayrıca analistlerin bir uyarının yanlış pozitif olup olmadığına hızla karar vermelerine yardımcı olarak tehdit yanıt hızını ve doğruluğunu artırır.
Dış Tehdit İstihbaratının Avantajları
Mevcut Tehditlerin Daha Geniş Anlaşılması
Dahili güvenlik sistemleri yalnızca önceden bilinen tehditleri tespit edebilir. Harici tehdit istihbaratı çeşitli kaynaklardan gelen yeni bilgiler sunar. Olası bir güvenlik olayı durumunda, bu istihbarat değerli bağlam ve içgörüler sağlayabilir.
Örneğin, olayın birden fazla kuruluşu hedef alan daha büyük bir kampanyanın parçası mı yoksa izole bir olay mı olduğunu belirlemenize yardımcı olabilir. Ayrıca, tehdit aktörünün tipik davranışları ve taktikleri hakkında bilgi sağlayabilir ve bu da olay yanıt stratejinize rehberlik edebilir.
Proaktif Tehdit Öngörüsü
Dış tehdit istihbaratı, kuruluşların potansiyel tehditleri ve güvenlik açıklarını öngörmesini sağlar. Tehdit aktörlerinin TTP’lerini ve siber saldırılardaki son eğilimleri anlayarak, güvenlik ekipleri savunmalarını proaktif olarak güçlendirebilir ve olaylara yanıt vermek için daha iyi hazırlanabilir.
İç ve Dış Tehdit İstihbaratını Getirmek nce Birlikte
Temel Güvenlik için Dahili Verileri Kullanın
Dahili tehdit istihbaratı, kuruluşunuzun güvenlik stratejisinin temeli olmalıdır. Bu, kendi ağlarınızdan ve sistemlerinizden gelen verilerin, güvenlik önlemlerinizi sürekli olarak iyileştirmek için her zaman analiz edilmesi ve işlenmesi gerektiği anlamına gelir.
Tehdit Öngörüsü İçin Harici Verilerden Yararlanın
Dış tehdit istihbaratı, henüz kuruluşunuzu doğrudan etkilememiş tehditleri öngörmek ve bunlara karşı hazırlık yapmak için kullanılabilir. Yeni ve ortaya çıkan tehditler hakkında bilgi edinmek için dış istihbaratı düzenli olarak inceleyin ve bu bilgileri güvenlik önlemlerinizi güncellemek ve çalışanlarınızı eğitmek için kullanın.
Olay Müdahalesi İçin Her İkisini Birleştirin
Bir güvenlik olayı durumunda, hem iç hem de dış tehdit istihbaratı değerli olabilir. İç veriler, olayın doğasını ve kapsamını anlamanıza yardımcı olabilirken, dış veriler tehdit aktörü ve taktikleri hakkında bağlam ve içgörüler sağlayabilir.
ANY.RUN’dan Tehdit İstihbarat Portalı
Harici tehdit istihbaratına bir örnek olarak ANY.RUN’ın Feeds ve Lookup’ı içeren TI ürünleri paketi gösterilebilir.
Hizmetler, kullanıcılara ANY.RUN sandbox’ın 400.000’den fazla siber güvenlik uzmanından oluşan küresel topluluğu tarafından yüklenen tehdit örneklerinin genel veritabanından çıkarılan rafine verilere erişim sağlar. Sonuç, dünya çapındaki en son saldırılarla ilgili güncel bilgilerin kapsamlı bir deposudur.
Tehdit İstihbarat Beslemeleri sürekli güncellenen bir taze uzlaşma göstergeleri akışını doğrudan STIX formatında SIEM ve TIP sistemlerine sağlayın. Beslemeler bir demo örneği biçiminde tamamen ücretsiz olarak entegre edilebilir ve kullanılabilir.
Tehdit İstihbarat Araması kullanıcılara yerleşik bir arama motoruyla tehdit araştırmaları için bir platform sağlar. Analistler bunu ANY.RUN’ın kapsamlı tehdit veri tabanında arama yapmak ve karşılaştıkları tehditlere ilişkin göstergelerini ve anlayışlarını zenginleştirmek için kullanabilirler.
Dosya karmaları, etki alanları, IP adresleri, TTP’ler, portlar, kayıt defteri anahtarları vb. (toplamda 30’dan fazla) gibi eserleri göndererek kullanıcılar, ilgili IOC’ler biçiminde bağlamlarını ve bu eserlerin tespit edildiği ANY.RUN deneme oturumlarını belirleyebilirler.
Servis ayrıca birleşik aramaları da destekliyor ve böylece daha rafine sonuçlar için aynı anda birden fazla eseri içeren bir sorgu göndermek mümkün oluyor.
Aşağıdaki örneği ele alalım; belirli bir IP için arama sorgusu gönderelim.
Hizmet, bunu “kötü niyetli” ve Agent Tesla’ya ait olarak tanımlıyor. Bağlantı noktaları, ASN, menşe ülkesi, dosyalar ve bu belirli tehdidin nasıl işlediğini görmek için derinlemesine inceleyebileceğimiz etkileşimli deneme oturumları listesi dahil olmak üzere zengin bir bağlam sağlıyor. Kuruluşlar, hizmetin ücretsiz deneme sürümünü talep edebilir.
Çözüm
Sağlam ve etkili bir siber güvenlik stratejisi için iç ve dış tehdit istihbaratını dengelemek çok önemlidir. İç tehdit istihbaratı, bir organizasyonun benzersiz tehdit manzarasına dair ayrıntılı, belirli ve gerçek zamanlı içgörüler sunar. Buna karşılık, dış tehdit istihbaratı mevcut tehditler hakkında daha geniş bir anlayış sağlar ve proaktif tehdit öngörüsünü mümkün kılar. Her iki kaynağı da kullanarak, organizasyonlar güvenlik duruşlarını iyileştirebilir ve olaylara etkili bir şekilde yanıt verebilir.
Yazar Hakkında
Vlad Ananin, ANY.RUN’da teknik yazardır. Siber güvenlik ve teknoloji alanında 5 yıllık deneyime sahip olan Ananin, karmaşık kavramları daha geniş bir kitleye ulaştırma konusunda tutkuludur ve en son trendleri ve gelişmeleri keşfetmekten hoşlanır. Vlad’a şirket web sitesi https://any.run/ adresinden çevrimiçi olarak ulaşılabilir.