Bu Help Net Security röportajında, Microsoft Kıdemli Güvenlik Araştırmacısı Thomas Roccia, tehdit araştırmalarının siber güvenlik operasyonlarında nasıl daha hızlı ve daha iyi karar almayı sağladığını anlatıyor.
Roccia, iç ve dış araştırma stratejilerinin dengelenmesi, yapay zekanın ve jeopolitik olayların etkisi ve kuruluşların tehditlere karşı koymak için güvenlik duruşlarını nasıl güçlendirebilecekleri hakkında bilgiler sağlıyor.
Tehdit araştırmasının siber güvenlik operasyonlarında daha hızlı ve daha iyi karar almaya nasıl katkıda bulunduğunu tartışabilir misiniz?
Tehdit araştırması tamamen tehdit aktörlerinin çalışma yöntemlerini anlamakla ilgilidir: Ağınıza nasıl sızdıklarını, kullanıcıları nasıl kandırdıklarını ve hedeflerine ulaşmak için hangi istismarları, araçları veya kötü amaçlı yazılımları kullandıklarını. Siber uzayı etkileyen küresel bir boyut da var. Savaşlar veya seçimler gibi jeopolitik olaylar, BTC fiyatlarındaki dalgalanmalar gibi ekonomik faktörler ve yapay zeka yarışı gibi küresel yarışların tümü, saldırganların çalışma şeklini etkiliyor.
İstihbarata dönüştürülen tüm bu bilgiler, siber güvenlik operasyonlarına rehberlik etmek, savunmaları uyarlamak, işe alma, ürün seçimi ve genel stratejiler konusunda doğru kararları vermek ve proaktif bir güvenlik duruşu benimsemek için kullanılabilir. Günün sonunda tehdit araştırması, bir kuruluşun güvenliğine katkıda bulunan, sonuçta varlıklarını koruyan bir araçtır.
Şirket içi tehdit araştırması yürütmenin üçüncü taraflara dış kaynak sağlamaya kıyasla avantajları nelerdir?
Kurum içi tehdit araştırması yürütmek, bir kuruluşun kendi ihtiyaçlarını belirlemesine ve şirketi etkileyebilecek tehditlere odaklanmasına olanak tanır. Ancak ihtiyaç ve gereklilikleri anlama açısından sağlam bir olgunluğun yanı sıra bir tehdit araştırma programı oluşturup yürütebilecek ileri düzey personel gerektirir.
Öte yandan, tehdit araştırmasının dış kaynak kullanımı, bir kuruluşun güvenlik risklerini, tehdit ortamında daha geniş bir görünürlüğe sahip olabilecek uzman bir kuruluşa adamasına olanak tanır.
Herkese uygun tek bir çözüm yoktur, ancak etkili bir tehdit araştırması genellikle hem çeşitli sinyallerden gelen tehditleri anlama yeteneğine sahip dahili bir ekibin hem de kuruluşun ihtiyaçlarını karşılamak için bilgileri dönüştüren bir iç ekibin bir karışımını gerektirir. Ve tabi ki ayrılan bütçe de dikkate alınması gereken bir konu.
Tehdit araştırması iş akışınızda özel araçlarla açık kaynak araçları arasında nasıl denge kurarsınız?
Tehdit araştırması iş akışında özel ve açık kaynak araçları dengelemek çoğunlukla ihtiyaçların, bütçenin ve ekip uzmanlığının dikkate alınmasını gerektirir. İlk olarak, tehdit istihbaratı platformları veya kötü amaçlı yazılım analiz araçları gibi ihtiyaç duyulan yetenekleri belirleyerek bir kuruluşun gereksinimlerini değerlendirmek önemlidir. Daha sonra, uygun maliyetli ve özelleştirilebilir ancak topluluk desteği ve sık güncellemeler gerektirebilecek açık kaynak araçlarının değerlendirilmesi. Bunun tersine, tescilli araçlar gelişmiş özellikler, özel destek ve diğer ürünlerle daha iyi entegrasyon sunabilir.
Son olarak, gelecekteki büyüme ölçeklenebilir çözümler gerektirebileceğinden ölçeklenebilirlik ve esneklik üzerinde düşünün.
Tehdit araştırmasının otomatikleştirilmesinde yapay zeka ve makine öğreniminin etkisi hakkındaki düşünceleriniz nelerdir ve CISO’lar etkililiği nasıl değerlendirebilir?
Güvenlik sektörünün ve tehdit araştırmalarında yaptığımız çalışmanın üretken yapay zeka teknolojisiyle birlikte değiştiğini ve geliştiğini düşünüyorum, ancak güvenlik sektörü hâlâ arayı kapatıyor.
Teknoloji sihirli değil ancak süreçleri hızlandıran ve güvenlik prosedürlerini güçlendiren, aynı zamanda ileri düzey analistler ile kıdemsiz analistler arasındaki uçurumu azaltan güçlü bir araçtır. Ancak bugün itibariyle teknoloji hala doğrulama ve doğrulama gerektiriyor.
Küresel olarak, güvenlik ve yapay zeka konularında ikili becerilere sahip güvenlik uzmanlarına olan ihtiyaç yüksek talep görecek. Üretken yapay zeka sistemlerinin benimsenmesi arttıkça bu teknolojileri anlayan insanlara ihtiyacımız var çünkü tehdit aktörleri de öğreniyor. Yakın gelecekte bu tarz bir sistemle ilgili bir olayla karşılaşırsanız nasıl tepki verirsiniz? İhlali nasıl araştırırsınız? Bunlar organizasyonların hazırlanması gereken etkinliklerden bazıları.
Bir CISO’nun bu araçların etkinliğini değerlendirmesi gerekiyorsa, öncelikle ihtiyaçlarını ve sıkıntılı noktalarını anlaması ve ardından uzmanlardan rehberlik alması gerekir. Üretken yapay zeka güvenlik çözümlerini sırf son trend diye benimsemek doğru bir yaklaşım değil. Teknolojiyi ve pratik olarak nerede uygulanabileceğini anlamak, etkinliğini değerlendirmenin anahtarıdır.
Deneyimlerinize göre jeopolitik olaylar tehdit araştırmasının odağını ve metodolojisini nasıl şekillendiriyor?
Jeopolitik olaylar tehdit araştırmalarının odağında kritik bir etkiye sahiptir. Örneğin, tehdit aktörü profili oluşturma veya ilişkilendirme, devlet destekli aktörlerin veya siyasi motivasyonlu grupların değişen motivasyonlarını ve taktiklerini anlayacak şekilde uyarlanmalıdır. Kaynakların, coğrafi konumları, sektörleri veya bağlantıları nedeniyle kuruluşları hedef alma olasılığı daha yüksek olan tehditlere odaklanmak üzere yeniden tahsis edilmesi gerekebilir.
Tehdit ortamının önceliklendirilmesi değişiyor çünkü belirli tehditler jeopolitik gerilimlere tepki olarak daha belirgin hale geliyor. Gerilimin merkezindeki kuruluşlar, saldırganların çalışma biçimini etkileyebilecek daha agresif bir siber savunma duruşu da benimseyebilir. İşbirlikçi çabalar savunma yeteneklerini geliştirebilir ve koordineli tehdit araştırma metodolojileri gerektirebilir.
Jeopolitik olaylar, dile özgü çalışmalar veya bölgeye özgü kötü amaçlı yazılım analizi gibi hedefe yönelik araştırma çabalarına yol açabilir. Araştırmacıların ayrıca metodolojilerini uyarlamaları ve odak noktalarını, siber saldırılar ve saha operasyonlarıyla giderek daha sık sinerji içinde yürütülen yanlış bilgi ve etkileme operasyonlarını da içerecek şekilde genişletmeleri gerekiyor.
Günümüzde tehdit araştırmalarının doğru araçlarla, metodolojiyle ve odaklanmayla farklı şekilde ele alınması gereken çok boyutlu bir yönü var.