Bu Help Net Security röportajında, Hudson Rock CTO’su Alon Gal, siber suç istihbaratının mevcut güvenlik altyapılarına entegre edilmesini tartışıyor.
Tartışmamız, siber güvenlik stratejilerinde sürekli adaptasyonun öneminden CISO’lara yönelik tehdit tespit ve yanıt yeteneklerinin geliştirilmesine yönelik pratik tavsiyelere kadar bir dizi temel hususu kapsayacaktır. Ayrıca istihbarat toplama ile gizlilik ve yasal hususları dengelemenin zorluklarını da inceleyeceğiz ve karar alma sürecinde istihbarat girdilerini önceliklendirmeye yönelik stratejilere bakacağız.
Tehdit tespit ve müdahale yeteneklerini geliştirmek için siber suç istihbaratını mevcut güvenlik altyapısına entegre etmek isteyen bir CISO’ya ne gibi tavsiyelerde bulunursunuz?
Siber suç tehditleri her şekil ve biçimde olabilir ve siber suçlular genellikle yüksek motivasyona sahiptir. Potansiyel mali kazançlar elde etmek amacıyla kuruluşlara sızmak için önemli miktarda zaman ve çaba harcıyorlar.
Bir bilgisayar korsanının bir şirkete karşı ilk saldırı vektörünü oluşturmak için yalnızca tek bir başarı yeterlidir. Ne yazık ki biz siber güvenlik profesyonelleri için saldırıları savuşturmak her zaman başarılı olmayı gerektiriyor.
Bütünsel koruma için CISO’ların çeşitli siber suç istihbaratı çözümlerini güvenlik altyapılarına entegre etmeleri gerekir.
Bu çözümler şunları içermelidir:
- Siber suçlular tarafından kullanılan yaygın sosyal mühendislik saldırılarına ilişkin farkındalığı artırmak amacıyla tüm çalışanlara sürekli siber güvenlik eğitimi sağlamak.
- Veritabanı sızıntılarından kaynaklanan güvenliği ihlal edilmiş kimlik bilgilerinin izlenmesi; bu kimlik bilgileri genellikle ilk saldırı vektörü olarak kullanılır.
Hassas bilgilere kimlerin erişebileceğini sınırlamak için kuruluş içinde uygun erişim kontrollerinin ayarlanmasını sağlamak önemlidir.
- Bilgisayar korsanları arasında yaygın olarak kullanılmaya başlanan yapay zeka ve makine öğrenimi gibi yeni ortaya çıkan trendlere karşı tetikte olmak ve çözümler uygulamak.
- Son zamanlarda Infostealer enfeksiyon verilerinin siber suçlular tarafından kullanımında önemli bir artış oldu. Bilgisayar korsanları, kuruluşlara karşı çeşitli siber saldırılar (örn. Airbus ihlali, Orange ihlali) gerçekleştirmek için ele geçirilen bilgisayarlarda bulunan kimlik bilgilerinden ve çerezlerden yararlanabilir.
Bu, kuruluşlar için önemli bir risk oluşturmaktadır ve kuruluşun çalışanların, müşterilerin ve ortakların bilgisayarlarına virüs bulaştırıp bulaştırmadığını izlemek çok önemlidir.
Siber suçlar geliştikçe, siber suç eğilimlerine karşı koymak için uygun çözümleri sürekli olarak entegre etmek önemlidir.
Çok büyük miktarda siber suç verisi varken, güvenlik ekipleri karar verme sürecinde istihbarat girdilerini önceliklendirmek için hangi stratejileri kullanabilir?
Her gün üretilen çok büyük miktarda siber suç istihbarat verisi göz önüne alındığında, güvenlik ekiplerinin karar vermede kullandıkları bilgilere etkili bir şekilde öncelik vermeleri büyük önem taşıyor.
Bunu yapmak için güvenlik ekiplerinin, geçmiş verileri ve sektörlerindeki benzer şirketleri dikkate alarak kuruluşun risk profilini dikkate alması gereken düzenli risk değerlendirmeleri yapmalarını öneriyorum.
Risk profili oluşturulduktan sonra güvenlik ekipleri en uygun tehdit istihbaratı beslemelerinden ve kaynaklarından yararlanabilir.
Bu risklerin değerlendirilmesi statik olmamalı, ekiplerin gelişen tehdit ortamına göre önceliklerini düzenli olarak gözden geçirmesine ve güncellemesine olanak tanıyan sürekli bir süreç olmalıdır.
Kuruluşlar siber suç istihbaratı toplama ihtiyacını gizlilik ve yasal hususlarla nasıl dengeleyebilir?
Siber suç istihbaratı toplamak ile gizliliğe saygı duymak ve yasal hususlara uymak arasında bir denge kurmak için kuruluşların, veri koruma yasaları da dahil olmak üzere yasal kurallara sıkı sıkıya uyması gerekir.
Kuruluşlar ayrıca hassas bilgilerin toplanmasını en aza indirmeli, yalnızca temel verilere odaklanmalı ve istihbarat toplama faaliyetleri için açık etik kurallar oluşturmalıdır.
CISO’lar, siber güvenlik stratejilerinde siber suç istihbaratının etkinliğini ölçmek için hangi ölçümleri veya KPI’ları kullanabilir?
CISO’ların siber güvenlik stratejilerinde siber suç istihbaratının etkinliğini değerlendirmek için kullanabileceği temel ölçümlerden ve KPI’lardan ikisi şunlardır:
- Ortalama tespit süresi (bir güvenlik tehdidini veya olayını tespit etmek için gereken ortalama süre).
- Ortalama yanıt süresi (olay müdahale ekiplerinin bir tehdidi tespit edildikten sonra kontrol etmesi, iyileştirmesi ve ortadan kaldırması için gereken ortalama süre).
Ek olarak, CISO’lar aynı zamanda yanlış pozitif oranlarını, kimlik avı tıklama oranlarını da izlemeli ve ortaya çıkan tehditleri hızlı bir şekilde tespit etme ve bunlara yanıt verme yeteneklerini değerlendirmelidir.
Siber suç soruşturmalarındaki ortak engellerin aşılması için uluslararası iş birliğinin arttırılması konusundaki düşünceleriniz nelerdir?
İnternetin sınırsız yapısı ve siber suçluların karmaşıklığı nedeniyle siber suç soruşturmalarında uluslararası işbirliğinin geliştirilmesi önemlidir.
Son zamanlarda, fidye yazılımı gruplarının altyapısının (RagnarLocker) ve yasadışı çevrimiçi pazar yerlerinin ve forumların (Kurabiye Canavarı Operasyonu, Raidforums’un yayından kaldırılması) devre dışı bırakılması gibi çok sayıda başarılı operasyon gördük.
Nervone Operasyonu ve Night Fury gibi operasyonlarda görüldüğü gibi kolluk kuvvetlerinin siber güvenlik şirketlerinin ileri teknoloji ve istihbarat kaynaklarıyla entegrasyonunu sağlayan kamu-özel sektör ortaklıklarının rolü de önemlidir.
Umuyorum ki 2024 yılında uluslararası iş birliği eğiliminin daha da yaygınlaştığını göreceğiz.
Siber suç istihbaratındaki mevcut eğilimler ve zorluklar dikkate alındığında bu alana ilişkin öngörüleriniz nelerdir?
Siber suç istihbaratındaki mevcut eğilimler ve zorluklar göz önüne alındığında, önümüzdeki yıllarda alana yönelik çeşitli tahminlerde bulunulabilir:
- Yapay zeka ve makine öğreniminin siber suç istihbaratında önemli bir rol oynaması muhtemeldir; yapay zeka tarafından desteklenen karmaşık hedef odaklı kimlik avı ve akıllı kimliğe bürünme saldırıları gibi bazı endişe verici eğilimleri zaten görüyoruz.
- Fidye yazılımı saldırılarından para kazanma kolaylığı göz önüne alındığında, saldırıların sayısında ve karmaşıklığında sürekli bir artış görmeyi bekliyorum. Hükümetlerin ve kuruluşların müdahale stratejilerini geliştirmek için çok çalışmaları gerekecektir.
- Daha fazla ülke ve kuruluş, ortaya çıkan siber tehditlere daha hızlı yanıt verebilmek için gerçek zamanlı olarak istihbarat paylaştıkça, tehdit istihbaratı paylaşımı da muhtemelen artacaktır.
- Infostealers verilerini kullanan otomatik sızıntılar, siber saldırıların hem verimliliğinde hem de ölçeğinde önemli bir artışı temsil eden endişe verici bir gelişmedir. 2024’te Infostealer enfeksiyonlarından kaynaklanan daha fazla ihlal, fidye yazılımı saldırısı ve hesap ele geçirme vakalarının yaşanmasını bekliyorum.