İşletmenizi Siber Tehdit İstihbaratıyla Desteklemenin En İyi 6 Yolu

   Ocak 8, 2025  Posted in CyberSecurityNews


Tehdit istihbaratı güvenilir bir siber güvenlik çerçevesinin temel taşıdır. Siber tehditler hakkında bilgi toplamak, bunları analiz etmek ve işletmenizin sürdürülebilirliğini sağlayacak veriye dayalı kararlar almak anlamına gelir.

Tek bir başarılı hacker saldırısı mali kayıplara, operasyonel aksaklıklara, itibar kaybına ve diğer her türlü soruna yol açabileceğinden bu çalışma önemlidir.

Örneğin büyük bir İngiliz şirketi olan KNP Logistics, bir fidye yazılımı saldırısı sonucunda Eylül 2023’te iflas etti.

Dünya çapında bir lojistik operatörü iflas ettiğini iddia etti ve 730 çalışanı (personelin %81’i) hiçbir uyarı veya tazminat ödemeden işten çıkardı.

Aynı sonbaharda Avustralyalı sigorta şirketi Latitude Group, fidye yazılımı nedeniyle 76 milyon dolar kaybetti ve iflastan kıl payı kurtuldu.

Ortaya çıkan tehditler hakkında bilgi sahibi olmak ve bilinenleri daha derinlemesine anlamak için siber güvenlik ekibiniz bir dizi araç ve bilgi kaynağından yararlanabilir:

Tehdit İstihbaratı Çözümleri

Tehdit istihbaratı hizmetleri, verileri aranabilir ve analitik içgörüler elde etmeye uygun hale getirmek için verileri toplar, işler ve zenginleştirir. ANY.RUN’un TI Araması böyle bir platformun örneğidir. Kullanıcılara şunları yapma yetkisi verir:

  • Bilinen tehditleri araştırın: Kötü amaçlı yazılım adları, IP adresleri, URL’ler, etki alanları, dosya adları ve karmalar ve Tehlike Göstergeleri (IOC’ler) olarak bilinen diğer varlıklar, arama sorguları olarak kullanılabilir. Birkaç parametre birleştirilerek karmaşık arama istekleri yapılabilir.
  • Ortaya çıkan tehditleri keşfedin: Uzlaşma, Faaliyet ve Davranış Göstergelerinin (IOC’ler, AOC’ler, BOC’ler) daha derinlemesine araştırılması, önleyici tedbirler alınmadığı takdirde meydana gelebilecek sorunları ortaya çıkarır.

Kullanıcıların uzmanlığını artırın: TI araçları, tehdit ortamını ve mekanizmalarını daha iyi anlamaya yardımcı olur. Örneğin, gerçek olay analizinden alınan örneklerle zenginleştirilmiş MITRE ATT&CK çerçevesi gibi araçlarla tehditler bilinen taktiklerle (veya tam tersi) ilişkilendirilebilir.

TI Arama, her TTP için tehdit örnekleri sağlar

MITRE ATT&CK Matrisi, belirli TTP’leri (saldırganların taktikleri, teknikleri ve prosedürleri) kullanan tehditleri keşfetmenizi sağlar.

Yukarıdaki ekran görüntüsünde TI Lookup, sistem veya ağ verilerinin işleyişini bozmak ve fidye talep etmek amacıyla şifreleme taktiği hakkında bilgi vermektedir.

Kullanıcılar, bu taktiği kullanan kötü amaçlı yazılım örneklerini inceleyebilir ve herhangi bir kötü amaçlı yazılım parçasını çalışırken görüntülemek için Etkileşimli Sandbox’a geçebilir.

Örneğin, listedeki ikinci öğeye tıklarsanız, üçüncü sütundan bir sanal alan oturumu seçebilir ve Babyk’in bir kullanıcının bilgisayarına nasıl saldırdığını görebilirsiniz:

Babyk kötü amaçlı yazılımı kullanıcı verilerini şifreledi ve kripto para biriminde fidye talep etti

Aşağıda Arama aramalarına birkaç örnek verilmiştir:

1. tehditAdı:”kimlik avı” VE gönderimÜlke:”CA” NOT görev Türü:”url”

Arama sonuçları, Kanadalı kullanıcıları hedef alan kimlik avı saldırısıyla ilgili mevcut durumu gösteriyor

Sonuç olarak, ANY.RUN’un Etkileşimli Korumalı Alanında Kanada’daki kullanıcılar tarafından yürütülen bir dizi genel analiz oturumu görüyoruz. Bunlar kimlik avı belgelerini, e-postaları ve diğer içerik türlerini içeren ancak URL’leri içermeyen oturumlardır.

Listedeki herhangi bir öğeye tıklayarak analiz oturumunu korumalı alanda görüntüleyebilirsiniz.

2. hedef IP:”78.110.166.82″

IP analizinin sonuçları: Agent Tesla truva atıyla ilişkili kötü amaçlı bir adres

Olağandışı IP bağlantıları genellikle güvenlik uyarılarını tetikler, ancak çoğu durumda bunlar yanlış pozitif sinyaller üreten meşru IP’lerdir. Kötü amaçlı bir IP’yi kaçırmamak için adresler TI Arama’da kontrol edilebilir -> TI Arama’yı 50 ücretsiz istekle deneyin.

Tehdit İstihbaratı Akışları

Sürekli otomatik izleme için kötü amaçlı yazılımlara, yeni ortaya çıkan tehditlere ve güvenlik açıklarına ilişkin gerçek zamanlı veri akışlarını siber güvenlik sistemlerinize (SIEM gibi) entegre edin. Verimli zeka için:

  • Bilgiyi İlişkilendir: Tehditlere çapraz referans vermek ve kalıpları belirlemek için birden fazla besleme kullanın.
  • İhtiyaçlarınıza Göre Özelleştirin: Sektörünüzün veya kuruluşunuzun ihtiyaçlarına en uygun bilgileri sağlayan yayınlara odaklanın.

ANY.RUN tarafından sağlanan Tehdit İstihbaratı Akışlarının API aracılığıyla tek tıklamayla entegrasyonu kolaydır. Yapabilirsiniz bunları demo örnekleriyle test edin STIX ve MISP formatlarında.

Kamuya Açık Raporlar

Siber güvenlik şirketleri düzenli olarak saldırıları ve güvenlik açıklarını analiz eder ve araştırmalarını yayınlamak. Bu kaynaktan en iyi şekilde yararlanmak için güvenlik ekibiniz şunları yapmalıdır:

  • Entegrasyon son rapor analizlerini rutinlerine dahil etmek;
  • Kale trendlere dikkat ediyorlar;
  • Uygulamak Raporlardan öneriler.

Karanlık Web Forumları

Bilgisayar korsanları için evim güzel evim. Güvenlik uzmanları ne yaptıklarını görmek için zaman zaman onları orada ziyaret ediyor. Bu forumları izleyerek planlanan saldırılar, yeni yararlanma teknikleri ve çalınan veriler hakkında değerli bilgiler elde ediyorlar. Yapmaları gerekenler:

  • İzleme araçlarını kullanın. Bu tür araçlar, verilen anahtar kelimelere göre konuları ve tartışmaları otomatik olarak izleyebilir;
  • Bilgileri analiz edin. Sohbet ham veridir; Bunu kullanmak için, tartışılan tehditleri, bahsedilen kötü amaçlı yazılımları, saldırıları, kurbanları ve hedefleri araştırın.

Veri Madenciliği

Kurumsal ağ performansınıza ilişkin verileri analiz etmek, ekibinizin potansiyel tehditleri belirlemesine olanak tanır:

  • Anormallik Tespiti: Veri madenciliği teknikleri, ağ trafiğini ve sistem günlüklerini inceleyerek, devam eden bir saldırının işareti olabilecek şüpheli davranışları ortaya çıkarabilir;
  • Tahmine Dayalı Analitik: Geçmiş veriler gelecekteki saldırı eğilimlerini tahmin edebilir.

Balküplerini Dağıtma

Balküpleri, siber suçluları çekmek ve onların taktikleri ve yöntemleri hakkında istihbarat toplamak için oluşturulmuş sahte hedeflerdir. Honeypot’ları etkili bir şekilde kullanmak için:

  • Gerçek Sistemleri Simüle Edin: Balküpleri, saldırganları cezbetmek için gerçek güvenlik açıklarını taklit etmelidir;
  • Saldırı Verilerini Toplayın: Saldırganların yöntemlerini, araçlarını ve davranışlarını kontrollü bir ortamda incelemek için bal küpüyle olan tüm etkileşimleri kaydedin.
  • Gücünüzü Güçlendirin TI Arama ile Tehdit İstihbaratı

En iyi strateji, en güçlü araçları birleştirmek ve her birinin potansiyelini sonuna kadar kullanmaktır. Ve ANY.RUN’unki gibi bir tehdit istihbarat platformu OF Arama güvenlik mimarinizin temeli olmaya uygundur.

Şunları sunar:

  • Kapsamlı ve büyüyen veritabanı: Sistem olayları ve güvenlik ihlali göstergeleri (IOC’ler), davranış göstergeleri (IOB’ler) ve saldırı göstergeleri (IOA’lar) dahil olmak üzere 40’tan fazla farklı tehdit veri türü.

    Yeni Sonuçlar: Binlerce korumalı alan oturumundan son 180 gün içinde toplanan en son verilere erişim.

    Özelleştirilebilir Sorgular: düzinelerce parametre arasından seçim yapın, birden fazla göstergeyi birleştirin, joker karakterler ve YARA kuralları kullanın.

    Entegrasyon Korumalı alan: Belirli göstergelerin veya olayların keşfedildiği korumalı alan oturumlarını (bir sanal makinenin güvenli ortamında patlatılan kötü amaçlı yazılım) görüntüleyin.

    Gerçek Zamanlı Güncellemeler: Sürekli koruma sağlamak için ilgili tehditlere ilişkin zamanında uyarılar alın.

Want to have a go? Get 50 free requests and test all the features of TI Lookup



Source link