Tehdit aktörlerini onlar sizi bulmadan önce bulmak, siber savunmanızı güçlendirmenin anahtarıdır. Bunu verimli ve etkili bir şekilde nasıl yapacağınız küçük bir iş değildir – ancak küçük bir zaman yatırımı ile tehdit avcılığında ustalaşabilir ve kuruluşunuzu milyonlarca dolar tasarruf edebilirsiniz.
Bu şaşırtıcı istatistiği düşünün. Cybersecurity Ventures, siber suçların 2025 yılına kadar küresel ekonomiye 10,5 trilyon dolar zarar vereceğini tahmin ediyor. Bu miktar ülke olarak ölçüldüğünde, siber suçların maliyeti ABD ve Çin’den sonra dünyanın üçüncü büyük ekonomisine eşit. Ancak etkili tehdit avcılığıyla, kötü aktörlerin kuruluşunuza zarar vermesini engelleyebilirsiniz.
Bu makale, tehdit avcılığının ne olduğu, kapsamlı ve etkili bir şekilde nasıl yapılacağı ve siber tehdit istihbaratının (CTI) tehdit avcılığı çabalarınızı nasıl destekleyebileceği konusunda ayrıntılı bir açıklama sunmaktadır.
Tehdit avcılığı nedir?
Siber tehdit avcılığı, bir tehdidin gerçekleştiğine dair kanıt toplamaktır. Kuruluşunuz için en önemli riski oluşturan tehditleri bulmanıza yardımcı olan ve ekibinize bir saldırı başlamadan önce bunları durdurma yetkisi veren sürekli bir süreçtir.
başlıklı en son kapsamlı raporla kuruluşunuzu maliyetli siber suçlardan koruyun. ‘Etkili Siber Güvenlik için Tehdit Avcılığı.’ Tehdit avlarını verimli bir şekilde planlamayı, yürütmeyi ve değerlendirmeyi öğrenmek için şimdi indirin ve sistemlerinizin gelişen siber tehdit ortamına karşı güçlendirilmesini sağlayın.
Altı kısımda tehdit avı
Av boyunca, tüm ekip üyelerinin aynı planı izlemesini sağlamanın yanı sıra, dikkatli planlama ve ayrıntılara gösterilen özen çok önemlidir. Verimliliği korumak için, ekibinizdeki diğer kişilerin aynı işlemi kolayca tekrarlayabilmesi için her adımı belgeleyin.
1 — Avı organize et.
Uç noktalar, sunucular, uygulamalar ve hizmetler dahil olmak üzere kritik varlıklarınızın envanterini çıkararak ekibinizin hazırlıklı ve organize olduğundan emin olun. Bu adım, neyi korumaya çalıştığınızı ve bunların en çok hangi tehditlere eğilimli olduğunu anlamanıza yardımcı olur. Ardından, her varlığın konumunu, kimin erişime sahip olduğunu ve erişim sağlamanın nasıl gerçekleştirileceğini belirleyin.
Son olarak, kuruluşunuzun ortamına ve altyapısına dayalı olarak olası tehditler hakkında sorular sorarak öncelikli istihbarat gereksinimlerinizi (PIR’ler) tanımlayın. Örneğin, uzak veya hibrit bir iş gücünüz varsa, bu tür sorular şunları içerebilir:
-
Uzak cihazlar hangi tehditlere karşı en savunmasızdır?
- Bu tehditler geride ne tür kanıtlar bırakacaktı?
- Bir çalışanın güvenliğinin ihlal edilip edilmediğini nasıl belirleyeceğiz?
2 — Avı planla.
Bu aşamada, aşağıdakiler yoluyla gerekli parametreleri ayarlayacaksınız:
-
Amacınızı belirtin – avın neden gerekli olduğu ve PIR’leriniz tarafından belirlendiği şekilde hangi tehdit(ler)e odaklanmanız gerektiği dahil. (Örneğin, uzak bir iş gücü, BYOD modeli kapsamında kimlik avı saldırılarına daha yatkın olabilir.)
- Kapsamı tanımlayın – varsayımlarınızı tanımlayın ve bildiklerinize dayanarak hipotezinizi ifade edin. Aradığınız tehdit ortaya çıkarsa hangi kanıtların ortaya çıkacağını anlayarak kapsamınızı daraltabilirsiniz.
- Hangi veri kümelerine erişebileceğiniz, hangi kaynakları analiz etmeniz gerektiği ve ne kadar zamanınız olduğu gibi sınırlamalarınızı anlayın.
- Zaman çerçevesini gerçekçi bir son teslim tarihi ile belirleyin.
- Hangi ortamların hariç tutulacağını belirleyin ve avı belirli ortamlarda gerçekleştirmenizi engelleyebilecek sözleşmeye dayalı ilişkiler arayın.
- Uymanız gereken yasal ve düzenleyici kısıtlamaları anlayın. (Kötü adamları avlarken bile kanunları çiğneyemezsiniz.)
3 — İş için doğru araçları kullanın.
Varlık envanterinize ve hipotezinize bağlı olarak tehdit avı için pek çok araç vardır. Örneğin, potansiyel bir uzlaşma arıyorsanız, SIEM ve araştırma araçları, günlükleri incelemenize ve herhangi bir sızıntı olup olmadığını belirlemenize yardımcı olabilir. Tehdit avlama verimliliklerini önemli ölçüde artırabilen örnek bir seçenek listesi aşağıdadır:
- Tehdit istihbaratı – özellikle, derin ve karanlık ağdan tehdit istihbaratı alan otomatik beslemeler ve araştırma portalları
- Arama motorları ve web örümcekleri
- Siber güvenlik ve antivirüs satıcılarından alınan bilgiler
- Devlet kaynakları
- Kamu medyası – siber güvenlik blogları, çevrimiçi haber siteleri ve dergiler
- SIEM, SOAR, araştırma araçları ve OSINT araçları
4 — Avı gerçekleştirin.
Avı yürütürken, basit tutmak en iyisidir. Yolda kalmak ve sapmalardan ve dikkat dağıtıcı şeylerden kaçınmak için planınızı nokta nokta takip edin. Yürütme dört aşamada gerçekleşir:
- TOPLAMAK: Bu, özellikle tehdit bilgilerini toplamak için manuel yöntemler kullanıyorsanız, tehdit avının en emek yoğun kısmıdır.
- İşlem: verileri derleyin ve diğer tehdit analistlerinin anlaması için düzenli ve okunabilir bir biçimde işleyin.
- analiz et: Bulgularınızın neyi ortaya çıkardığını belirleyin.
- Çözüm: Bir tehdit bulursanız, ciddiyetini destekleyecek verileriniz var mı?
5 — Aramayı sonlandırın ve değerlendirin.
Bir sonraki ava başlamadan önce çalışmanızı değerlendirmek, ilerledikçe gelişmenize yardımcı olmak için zorunludur. Aşağıda bu aşamada dikkate alınması gereken bazı sorular yer almaktadır:
- Seçilen hipotez ava uygun muydu?
- Kapsam yeterince dar mıydı?
- Yararlı istihbarat topladınız mı, yoksa bazı işlemler farklı yapılabilir mi?
- Doğru araçlara sahip miydiniz?
- Herkes planı ve süreci takip etti mi?
- Liderlik, yol boyunca soruları yanıtlamak için kendini yetkili hissetti mi ve gerekli tüm bilgilere erişebildiler mi?
6 — Raporlayın ve bulgularınıza göre hareket edin.
Aramayı sonlandırırken, verilerinizin hipotezinizi destekleyip desteklemediğini görebilir ve desteklerse siber güvenlik ve olay müdahale ekiplerini uyarabilirsiniz. Belirli bir sorunla ilgili bir kanıt yoksa, kaynakları değerlendirmeniz ve veri analizinde boşluk olmadığından emin olmanız gerekir. Örneğin, bir uzlaşma için günlüklerinizi gözden geçirdiğinizi ancak karanlık web’de sızdırılmış verileri kontrol etmediğinizi fark edebilirsiniz.
CTI ile tehdit avcılığını bir sonraki seviyeye taşıyın
CTI, tehdit avlama programınızın etkili bir bileşeni olabilir, özellikle de tehdit istihbaratı verileri kapsamlıysa ve iş bağlamını ve kuruluşunuzla alaka düzeyini içeriyorsa. Cybersixgill, en değerli CTI kaynaklarına erişim engelini kaldırır ve ekibinizin en yüksek önceliğe sahip potansiyel siber tehditleri aramasına yardımcı olmak için derinlemesine araştırma yetenekleri sağlar.
Araştırma portalımız, tüm varlık envanterinizi derin, karanlık ve net web üzerinde derlemenize, yönetmenize ve izlemenize olanak tanır. Bu istihbarat, ortaya çıkan siber saldırıları silah haline gelmeden önce proaktif olarak ortaya çıkarmak ve önlemek için potansiyel riskleri ve maruz kalmaları belirlemenize, potansiyel saldırı yollarını ve tehdit aktörü TTP’lerini anlamanıza yardımcı olur.
Daha fazla bilgi için lütfen en son raporumu indirin Etkili Siber Güvenlik için Tehdit Avcılığı. Bir demo planlamak için şu adresi ziyaret edin: https://cybersixgill.com/book-a-demo.
Not: Bu makale Cybersixgill’de Kıdemli Siber Tehdit İstihbaratı Analisti Michael-Angelo Zummo tarafından ustalıkla yazılmış ve katkıda bulunmuştur.