Siber ilişkilendirme, güvenlik analistlerinin kanıt topladığı, zaman çizelgeleri oluşturduğu ve bir siber saldırının ardından sorumlu kuruluşu/bireyleri belirlemek için kanıtları bir araya getirmeye çalıştığı bir süreçtir. Siber tehdit niteliği, bir insanın temel psikolojisinden kaynaklanır. Yükleme teorisinin babası olarak kabul edilen Fritz Heider, bunu insanların “anlama arayışlarında algıları ve gözlemleri uzlaştırma” yolu olarak açıklamıştır.
Nitelik, siber alanla sınırlı bir sorun değildir. Diğer uzmanlar da gerçek olmayabilecek kanıtlara dayanan inşa teorileri yerleştirir. En güncel örneklerden biri, Getty müzesi tarafından 3-5 milyon dolara satın alınan ve sahte olduğu ortaya çıkan ‘Boynuzlu Baş’ adlı ender bir Gauguin heykelidir.
Peki, neden ilişkilendirme yapıyoruz? Nihayetinde, insanlar olarak sorunlarımız için birilerini suçlamamız gerekiyor ve kuruluşlar da farklı değil – birilerini suçlamaları gerekiyor çünkü bu onların suçu olmadığı anlamına geliyor. Pek çok siber profesyonel, ilişkilendirmenin kuruluşları için hayati önem taşıdığını belirtiyor ancak bunun nedenini tam olarak açıklayamıyor. Buradaki zorluk, kuruluşların genellikle anlatılarına uyan yolu izlemesidir. “Ne”, “ne zaman”, “nerede” ve “nasıl” gibi daha acil endişeler yerine hipotezi ortaya çıkarmak ve “kim” ve “neden” rüyasının peşinden koşmak çok daha kolaydır.
Dikkat dağıtma ve rahatsız etme olarak ilişkilendirme
Herhangi bir adli süreçte olduğu gibi, bir siber saldırının kökenine inmek, önemli miktarda eğitimli tahminde bulunmayı gerektirdiğinden, zaman ve kaynak tüketir. Ayrıca, insanlar önyargılıdır, bu da sonuçların genellikle sübjektif olabileceği ve sağlam kanıtlarla desteklenmesinin zor olabileceği anlamına gelir.
Hükümetler de siber ilişkilendirmede iyi değil. Hükümetlerin ve kurumların bir siber saldırıyı atfetmesi yıllar alabilir. Örneğin, ABD Adalet Bakanlığı’nın sağlık sigortası devi Anthem ihlalinden iki Çinliyi sorumlu tutması dört yıldan fazla sürdü, ancak bunun arkasındaki nedenler hala bilinmiyor. Bunun nedeni, ilişkilendirmenin karşı saldırılara yol açabilmesi ve iki hükümet arasındaki gerilimi tırmandırabilmesidir, bu nedenle ajansların doğrudan iddialarda bulunurken dikkatli olması gerekir. Aynı zamanda, gizlilik hükümleri ve güvenlik politikaları nedeniyle, hükümetler genellikle atıf iddialarından sorumlu tutulmazlar.
Bir kuruluşta bir siber saldırı olduğunda, güvenlik ekiplerinin her zaman hatalı olduğu görülür. Bununla birlikte, sorunun kökü, çoğu güvenlik ekibinin küçük bütçeler ve sınırlı araçlarla gereğinden fazla çalışmasıdır. Ayrıca, BT becerileri açığı dünya çapında 3,4 milyon çalışana tırmandığından, küresel bir siber güvenlik uzmanı açığı var. Bu nedenle siber güvenlik uzmanları kendilerine şu soruyu sormalıdır: “Atıf yapmaktan daha iyi yapabileceğim şeyler var mı?”
İlişkilendirme ne zaman önemlidir ve CTI neden daha önemlidir?
Bazı durumlarda, etkili ilişkilendirme, siber ihlale maruz kalan kuruluşlar için değerli bir istihbarat kaynağı olabilir. Tehdit aktörleri izlerini örtmek için büyük çaba harcarlar ve atıf yoluyla toplanan herhangi bir kanıt ve gerçek, kuruluşları failleri yakalamaya daha da yaklaştırabilir. İyi bir Siber Tehdit İstihbaratı (CTI) programı uygulamak, kuruluşların mevcut veya gelecekteki hangi tehditlerin iş operasyonlarını etkileyebileceğini anlamalarına yardımcı olur.
Bazı kuruluşlar tehdit istihbaratını ciddiye almazlar çünkü zaten suçlayacakları kişiler vardır veya kimsenin küçük bir kuruluşa saldırmayacağına inanırlar. Wannacry saldırısı sırasında, kuruluşlar ve ISP’ler güvenlik araştırmacısı Marcus Hutchins tarafından keşfedilen bir obruk URL’ye erişimi engellemeye başladığında, tehdit istihbaratının kötü yorumlanmasının en önemli örneğine tanık olduk. URL’ye bağlanan cihazlar, kötü amaçlı bir web sitesi olmak yerine, kötü amaçlı yazılımın yükünün etkinleştirilmesini engelledi, bu nedenle engelleme, daha fazla bulaşmaya neden oldu.
Kuruluşların daha derine inmesi, tehdit profillerine bakması, sektörleri hakkında daha fazla şey anlaması ve üst düzey liderlerini meslekten olmayan kişilerin terimleriyle eğitmesi gerekiyor. Bu, risklerini, ne kadar kolay saldırıya uğrayabileceklerini ve birilerini onlara saldırmaya teşvik edecek ilgi alanlarını anlamalarına yardımcı olacaktır.
Kulağa apaçık gelebilir, ancak bir CTI programına başlamak için olabilecek en kötü zaman bir olayın ortasındadır. Kuruluşlar, program için hedefler, ölçümler, geri bildirim döngüsü ve raporlar gibi iş düzeyinde gereksinimler oluşturmalıdır. Siber ekipler, sahip oldukları her şeyi basitçe listelemekle kalmayıp, tehdit istihbaratıyla hikayeler anlatabilmelidir. Kuruluşların ayrıca bilinen sorunları analiz etmelerine ve nedenlerini tanımlamalarına yardımcı olacak harika bir temel neden analizi (RCA) yöntemine ihtiyaçları vardır. Neyin yanlış gittiğini ve neyin yanlış gidebileceğini anlamak, boşlukları anlamak ve çözümlere öncelik vermek için en iyi yerlerdir.
Güvenlik ekipleri CTI programlarını doğru şekilde uygulayabilir ve üst düzey iş liderlerini eğitebilirse, ilişkilendirme daha az sorun haline gelir. Güvenlik ekipleri hikayeler anlatmakta, güvenlik önlemlerini artırmakta ve kuruluşların saldırı yüzeyini küçük tutmakta daha iyi hale gelebilir. Bu senaryoda, iyi bir CTI programı, ilişkilendirmeden önce gelir.
Bir hükümet, Europol veya bir siber sigorta şirketi olmadığınız sürece ilişkilendirme nadiren büyük bir fark yaratır. Aslında, algılanan sigorta sorunları nedeniyle ihlali kimseye atfetmemeye çalışan kuruluşlara dair birkaç anekdot vardır. Siber sigorta şirketleri artık bir olayın ulus-devlet saldırısı olarak sınıflandırılması durumunda ödeme yapmayacaklarını iddia ediyor, çünkü bu iddialar esasen bir savaş nedeni olarak görülüyor.
Çözüm
İlişkilendirmenin önemi, ilgili kuruluşa ve soruşturmanın sonuna kadar gidip gitmeyeceğine bağlıdır. Önemli miktarda zaman ve kaynak alan soruşturmalar nedeniyle, bir ihlal durumunda bu bir kuruluşun önceliği olmamalıdır.
Güvenlik ekipleri zaten zayıflamış durumdayken, zamanlarını saldırıyı, arkasındaki nedeni anlamaya ve bu tür saldırıların meydana gelmemesi için süreçleri iyileştirmeye ayırmak daha iyidir. Aynı şekilde, tehdit istihbaratı sadece bir tehdit istihbarat platformu (TIP) satın almak ve ona bilgi akışı sağlamakla ilgili olmamalıdır. Stratejik, taktiksel ve operasyonel CTI programlarına sahip olmak, kuruluşların ortaya çıkan siber tehditlere karşı güvenlik duruşlarını geliştirmelerine yardımcı olmak açısından kritik öneme sahiptir.