Siber güvenlik açıklarının hacmi artıyor ve 2022’de 2018’e kıyasla %30’a yakın daha fazla güvenlik açığı bulunuyor. Maliyetler de artıyor; bir veri ihlalinin maliyeti 2017’de 3,62 milyon dolara kıyasla 2023’te ortalama 4,45 milyon dolara mal oluyor.
2023’ün ikinci çeyreğinde, fidye yazılımı saldırılarında toplam 1.386 kurban iddia edilirken, 2023’ün ilk çeyreğinde bu sayı sadece 831’di. MOVEit saldırısı şu ana kadar 600’den fazla kurbana mal oldu ve bu sayı hâlâ artıyor.
Bugün siber güvenlik alanında çalışan insanlar için otomatik tehdit istihbaratının değeri muhtemelen oldukça açıktır. Yukarıda belirtilen artan rakamlar, siber güvenlik profesyonellerinin eksikliğiyle birleştiğinde otomasyonun net bir çözüm olduğu anlamına geliyor. Tehdit istihbaratı operasyonları otomatikleştirilebildiğinde, mühendislerin daha az çaba harcamasıyla tehditler belirlenebilir ve bunlara yanıt verilebilir.
Ancak kuruluşların bazen yaptığı bir hata, tehdit istihbaratı iş akışlarını otomatik hale getirdikten sonra insanların konunun dışında kalacağını varsaymaktır. Otomasyonu tamamen müdahale gerektirmeyen, insansız tehdit istihbaratıyla birleştiriyorlar.
Gerçekte, yüksek düzeyde otomatikleştirilmiş operasyonlarda bile (veya belki de özellikle) insanların oynayacakları çok önemli roller vardır. Aera Technology’den Pascal Bornet’in belirttiği gibi, “akıllı otomasyon tamamen insanlarla ilgilidir” ve otomatik tehdit istihbaratı da bir istisna değildir.
Otomatik tehdit istihbaratı: Kısa bir tarihçe
Tehdit istihbaratı her zaman otomatik değildi. Reaktif bir süreçti. Bir sorun ortaya çıktığında, Güvenlik Operasyon Merkezi (SOC) ekibi veya belirli sektörlerde riskler hakkında istihbarat toplamaya adanmış bir dolandırıcılık ekibi manuel olarak soruşturma başlattı. Tehditlerle ilgili daha fazla bilgi edinmek için karanlık ağda arama yaptılar, hangi tehditlerin konuyla ilgili olduğunu ve tehdit aktörlerinin nasıl hareket etmeyi planladıklarını keşfetmeye çalıştılar.
Bu noktadan sonra tehdit istihbaratı operasyonları yavaş yavaş daha proaktif hale geldi. Tehdit analistleri ve araştırmacılar, sorunları kuruluşlarını etkilemeden önce tespit etmeye çalıştı. Bu, ekiplerin, tehdit aktörleri çitin içine girip içeri girmeye çalışmadan önce tehditleri tespit etmesine olanak tanıyan tahmine dayalı tehdit istihbaratına yol açtı.
Ancak proaktif tehdit istihbaratı, otomatikleştirilmiş tehdit istihbaratı değildi. İş akışları oldukça manueldi. Araştırmacılar tehdit aktörlerini tek tek arayıp, onların takıldığı ve sohbet ettiği forumları buldu. Bu yaklaşım ölçeklendirilmedi çünkü internetteki her tehdit aktörünü bulup onlarla etkileşime geçmek için bir araştırmacı ordusunun kurulmasını gerektirecekti.
Bu eksikliği gidermek için otomatik tehdit istihbaratı ortaya çıktı. Otomasyonun en eski biçimleri, karanlık webin otomatik olarak taranmasını içeriyordu; bu da araştırmacıların çok daha az çabasıyla sorunların daha hızlı bulunmasını mümkün kılıyordu. Ardından tehdit istihbaratı otomasyonları daha da derinleşerek Telegram grupları ve Discord kanalları gibi kapalı forumları ve pazar yerleri gibi tehdit aktörlerinin toplandığı diğer yerleri tarama yeteneği kazandı. Bu, otomatik tehdit istihbaratının açık ağdan, karanlık ağdan ve derin ağdan (sosyal kanallar dahil) bilgi çekebileceği ve tüm süreci daha hızlı, daha ölçeklenebilir ve daha etkili hale getirebileceği anlamına geliyordu.
Tehdit istihbaratı veri sorununu çözme
Otomatik tehdit istihbaratı ekiplerin daha verimli çalışmasına yardımcı oldu ancak yeni bir zorluk ortaya çıkardı: Otomatik tehdit istihbaratı süreçlerinin ürettiği tüm veriler nasıl yönetilecek ve anlamlandırılacak.
Bu, çok miktarda bilgi topladığınızda ortaya çıkan bir zorluktur. “Daha fazla veri, daha fazla sorun” kablolu koyar.
Ekiplerin çok sayıda tehdit istihbaratı verisiyle çalışırken karşılaştığı ana sorun, bunların tamamının aslında belirli bir kuruluşla ilgili olmamasıdır. Çoğu, belirli bir işi etkilemeyen tehditleri veya yalnızca “gürültüyü” içeriyor; örneğin, tehdit aktörlerinin en sevdikleri anime dizileri veya güvenlik açıklarından yararlanan yazılımları yazarken ne tür müzik dinledikleri hakkında bir tartışma.
Bu zorluğun çözümü, makine öğrenimi süreçlerini tehdit istihbaratı verilerine uygulayarak ek bir otomasyon katmanı sunmaktır. Genel olarak makine öğrenimi (ML), büyük miktarda veriyi analiz etmeyi ve ilgili bilgileri bulmayı çok daha kolaylaştırır. ML özellikle tehdit istihbaratı verilerini yapılandırmayı ve etiketlemeyi, ardından işletmenizle ilgili bilgileri bulmayı mümkün kılar.
Örneğin, Cyberint’in tehdit istihbaratı verilerini işlemek için kullandığı tekniklerden biri, ilgili riskleri belirlemek için müşterinin dijital varlıklarını (etki alanları, IP adresleri, marka adları ve logolar gibi) tehdit istihbaratı veri gölümüzle ilişkilendirmektir. Örneğin, kötü amaçlı yazılım günlüğü “examplecustomerdomain.com” içeriyorsa, onu işaretler ve müşteriyi uyarırız. Bu alan adının kullanıcı adı alanında göründüğü durumlarda, çalışanın kimlik bilgilerinin ele geçirilmesi muhtemeldir. Kullanıcı adı kişisel bir e-posta hesabıysa (örneğin, Gmail) ancak giriş sayfası kuruluşun etki alanındaysa, kimlik bilgilerinin çalınan müşterinin bir müşteri olduğunu varsayabiliriz. İkinci durum daha az tehdit oluşturuyor ancak Cyberint, müşterilerini her iki riske karşı da uyarıyor.
Özel tehdit istihbaratında insanların rolü
Tehdit istihbaratı veri toplama işlemini tamamen otomatikleştirdiğimiz ve bunun da ötesinde veri analizini otomatikleştirdiğimiz bir dünyada, insanlar tehdit istihbaratı sürecinden tamamen kaybolabilir mi?
Cevap kocaman bir hayır. Etkili tehdit istihbaratı, çeşitli nedenlerden dolayı büyük ölçüde insanlara bağımlı olmaya devam ediyor.
Otomasyon yapılandırması
Başlangıç olarak, insanların otomatikleştirilmiş tehdit istihbaratını yönlendiren programları geliştirmesi gerekiyor. Bu araçları yapılandırmaları, performanslarını iyileştirmeleri ve optimize etmeleri ve yeni engelleri aşmak için captcha’lar gibi yeni özellikler eklemeleri gerekiyor. İnsanlar aynı zamanda otomatik toplama araçlarına veriyi nerede arayacaklarını, neyi toplayacaklarını, nerede saklayacaklarını vb. de söylemek zorundadır.
Ayrıca insanlar, toplama işlemi tamamlandıktan sonra verileri analiz eden algoritmaları tasarlamalı ve eğitmelidir. Tehdit istihbaratı araçlarının ilgili tüm tehditleri tanımlamasını sağlamalıdırlar, ancak bunun için alakasız bilgileri ortaya çıkaracak ve yanlış pozitif uyarı seli üretecek kadar geniş bir arama yapmamalıdırlar.
Kısacası tehdit istihbaratı otomasyonları kendilerini oluşturmaz veya yapılandırmaz. Bu işi yapabilecek vasıflı insanlara ihtiyacınız var.
Otomasyonları optimize etme
Çoğu durumda, mühendislerin başlangıçta tahmin edemediği faktörlerden dolayı, insanların başlangıçta oluşturduğu otomasyonların ideal olmadığı ortaya çıkıyor. Bu gerçekleştiğinde, eyleme geçirilebilir tehdit istihbaratını desteklemek için insanların devreye girmesi ve otomasyonları iyileştirmesi gerekir.
Örneğin yazılımınızın, kuruluşunuzun kimlik bilgilerinin karanlık ağda satışa sunulmasıyla ilgili uyarılar ürettiğini hayal edin. Ancak daha yakından incelendiğinde bunların, tehdit aktörlerinin çaldığı kimlik bilgileri değil, sahte kimlik bilgileri olduğu ortaya çıkar; dolayısıyla kuruluşunuz için gerçek bir risk yoktur. Bu durumda, tehdit istihbaratı otomasyon kurallarının, uyarıyı yayınlamadan önce kullanıcı adını dahili bir IAM sistemiyle veya çalışan kaydıyla çapraz kontrol ederek kimlik bilgilerini doğrulamak için güncellenmesi gerekecektir.
Tehdit otomasyonu gelişmelerini takip etme
Tehditler her zaman gelişiyor ve insanların stratejik tehdit istihbaratı araçlarının da onlarla birlikte gelişmesini sağlaması gerekiyor. Yeni tehdit aktörü topluluklarının dijital konumlarını ve yeni saldırı stratejilerini belirlemek için gereken araştırmayı yapmalı, ardından gelişen tehdit ortamına ayak uydurmak için istihbarat toplama araçlarını yinelemeli.
Örneğin, tehdit aktörleri kötü amaçlı yazılım oluşturmak için ChatGPT’yi kullanmaya başladığında, tehdit istihbaratı araçlarının yeni tehdidi tanıyacak şekilde uyarlanması gerekiyordu. ExposedForums ortaya çıktığında, insan araştırmacılar yeni forumu tespit etti ve bu yeni kaynaktan bilgi toplamak için araçlarını güncelledi. Benzer şekilde, tehdit aktörlerinin Telegram’a güvenmeye başlaması, tehdit istihbaratı araçlarının ek kanalları tarayacak şekilde yeniden yapılandırılmasını gerektirdi.
Otomasyonların doğrulanması
Otomasyonların en alakalı bilgileri oluşturduklarından emin olmak için sıklıkla doğrulanması gerekir. Büyük kuruluşlar tonlarca uyarı alır ve bunların otomatik olarak filtrelenmesi ancak bu kadar ileri gidebilir. Bazen bir tehdidin değerlendirilmesi için bir insan analistine ihtiyaç duyulur.
Örneğin, otomatik tehdit istihbarat araçları, izlenen markanın kimliğine bürünen potansiyel bir kimlik avı sitesi tespit etmiş olabilir. Belki marka adı belirli bir URL’dedir; bir alt alan adında, birincil alan adında veya bir alt dizindedir. Bu bir kimlik avı sitesi olabilir ama aynı zamanda bir “hayran web sitesi” de olabilir; bu, markaya övgüde bulunan (örneğin, olumlu yorumlar yazan, markanız ve ürünlerinizle ilgili olumlu deneyimleri anlatan vb.) biri tarafından oluşturulan bir site anlamına gelir. Farkı anlamak için bir analistin uyarıyı araştırması gerekir.
Kılavuzumuzu indirin: Derin ve Karanlık Webin Büyük Kitabı
Otomatik tehdit istihbaratının yararları ve sınırlamaları
Otomasyon, açık, derin ve karanlık ağlardan tehdit istihbaratı verileri toplamanın harika bir yoludur. Otomasyon, tehdit istihbaratı bilgilerinin verimli bir şekilde analiz edilmesine yardımcı olmak için makine öğrenimi biçiminde kullanılabilir.
Ancak otomasyon algoritmalarının sürekli olarak insanlar tarafından yazılması, sürdürülmesi ve optimize edilmesi gerekiyor. Ayrıca uyarıların önceliklendirilmesi, hatalı pozitif sonuçların ortadan kaldırılması ve potansiyel tehditlerin araştırılması için de insanlara ihtiyaç vardır. Günümüzün gelişmiş yapay zeka çözümleriyle bile, bu görevlerin hiçbir insan etkileşimine gerek kalmayacak şekilde tamamen otomatikleştirilebildiği bir dünyayı hayal etmek zordur. Bilimkurgu dünyasında bu mümkün olabilir ama yakın gelecekte meyvelerini vereceğini göreceğimiz bir gerçeklik kesinlikle değil.
Cyberint’in derin ve karanlık web tarama yetenekleri, veri sızıntılarından ve açığa çıkan kimlik bilgilerinden kötü amaçlı yazılım bulaşmalarına ve tehdit aktörü forumlarındaki hedefli sohbetlere kadar kuruluşlar için ilgili risklerin belirlenmesine yardımcı olur. Cyberint, etkili istihbarat uyarıları sunarak hatalı pozitif oranlarını azaltarak ve araştırma ve yanıt süreçlerini hızlandırarak ekiplere zaman tasarrufu sağlar.
Cyberint demosunu talep ederek kendiniz görün.