1) Siber Güvenlik Tehditleri ve Müdahalesinin Gerçeği
Teknoloji geliştikçe ve dijitalleşme ilerledikçe siber güvenlik tehditleri giderek daha çeşitli ve karmaşık hale geliyor. Sonuç olarak, bu siber güvenlik tehditlerine yanıt vermek modern toplum için en kritik önceliklerden biri haline geldi.
Yapay zeka, büyük veri ve bulut bilişim gibi modern teknolojilerdeki ilerlemeler yaşamlarımızda ve iş operasyonlarımızda devrim yarattı. Ancak diğer yandan bu gelişmeler siber tehdit aktörlerine de yeni araçlar ve fırsatlar sunarak siber tehditlerin karmaşıklığını ve sıklığını önemli ölçüde artırdı. Bu tehditlerin ekonomik ve güvenlik üzerindeki etkilerinin artmaya devam etmesi bekleniyor.
Son yıllarda birçok yüksek profilli siber olaya tanık olduk. 2021’de açık kaynaklı Log4J ve Microsoft Exchange Server’daki güvenlik açıklarından geniş ölçüde yararlanıldı; 2022’de odak noktası fidye yazılımı saldırılarındaki artışla mücadeleye yöneldi; 2023’te yeni tehdit araçları geliştirmek için ChatGPT de dahil olmak üzere üretken yapay zekanın kullanıldığı siber saldırılara ilişkin raporlar vardı.
Ortam sürekli olarak gelişiyor ve Siber Tehdit Aktörlerinin artık saldırı araçlarını hızla geliştirmek için üretken yapay zekadan yararlandıkları söyleniyor. Üretken yapay zekanın yerleşik korumalarına rağmen saldırganlar, bu programlardan yararlanmak için geliştirme sürecini daha küçük ve daha yönetilebilir görevlere bölerek kötü amaçlı yazılım oluşturmanın yollarını buldu. Bu durum daha önce bilinmeyen tehditlerin hızla ortaya çıkmasına yol açmıştır.
Olayları bir bağlama oturtmak gerekirse, siber güvenlik ortamının evrimi beş nesle ayrılabilir:
- Birinci nesil – Aşı: Bilgisayarların ortaya çıkışı ve virüslerin ortaya çıkışı, antivirüs çözümleriyle etkili bir şekilde önlendi.
- İkinci nesil – Güvenlik Duvarı: İnternet çağında güvenlik duvarlarının ortaya çıkışı, yeni kötü amaçlı yazılımlara ve ağ saldırılarına yol açtı.
- Üçüncü nesil – IPS: Saldırganlar uygulamadaki güvenlik açıklarından yararlanmaya başladı.
- Dördüncü nesil – Sandbox: Yük hedefli saldırılar yaygınlaştıkça geleneksel imza tabanlı savunmaların yetersiz olduğunun farkına varıldı.
- Beşinci nesil – Tehdit İstihbaratı: İçinde bulunduğumuz çağa büyük ölçekli akıllı saldırılar, fidye yazılımları, karmaşık kötü amaçlı yazılımlar, gelişmiş tedarik zinciri saldırıları ve bilinmeyen tehditler damgasını vuruyor. Bu nesil, entegre bir güvenlik altyapısına, gerçek zamanlı tehdit bilgisi paylaşımına ve bilinmeyen tehditlere karşı savunma yeteneğine ihtiyaç duyuyor. Tehdit istihbaratı bu savunma stratejisinde çok önemli bir rol oynuyor.
2) Tehdit İstihbaratı Nedir?
Artık siber güvenlik ortamının beşinci neslinde olduğumuza göre, tehdit istihbaratı modern kuruluşların siber güvenlik stratejisinin temel bir bileşeni haline geldi. Etkili bir tehdit istihbarat stratejisi, tehditleri tanımlamak ve bunlara yanıt vermek için gereken bilgilerin sürekli olarak toplanmasını ve analizini içerir.
“Tehdit istihbaratı, varlıklara yönelik mevcut veya ortaya çıkan bir tehdit veya tehlikeye ilişkin bağlam, mekanizmalar, göstergeler, çıkarımlar ve eyleme geçirilebilir tavsiyeler dahil olmak üzere, kişinin bu tehdide veya tehlikeye tepkisine ilişkin kararları bilgilendirmek için kullanılabilecek kanıta dayalı bilgidir.”
Başka bir deyişle tehdit istihbaratı, tehditlere yanıt vermek için çeşitli veri ve bilgilere dayanan bilgidir.
Tehdit istihbaratını anlamak için “veri”, “bilgi” ve “istihbarat” arasında ayrım yapmak önemlidir.
- Veriler: IP adresleri, URL’ler ve karma değerleri gibi ham, işlenmemiş ölçümler.
- Bilgi: Bağlam sağlayan ancak eyleme geçirilebilir bilgiler sunmayabilen analiz edilmiş ve işlenmiş veriler.
- İstihbarat: Karar verme ve eyleme rehberlik eden, belirli bir bağlamda anlamlı bilgiler oluşturmak için çeşitli veri noktalarının analiz edilmesi ve işlenmesinin sonucu.
Acı Piramidi
Güvenlik uzmanı David J Bianco’nun 2013 yılında tanıttığı “Acı Piramidi”, farklı düzeylerdeki siber tehdit göstergelerinin saldırganları nasıl etkilediğini gösteriyor. Piramit, saldırıları önlemenin en etkili yöntemi olarak TTP’leri (Taktikler, Teknikler, Prosedürler) vurgulamaktadır. Hash değerleri, IP adresleri ve alan adları gibi daha düşük seviyeli göstergelerin engellenmesi, saldırganlar üzerinde minimum düzeyde stres yaratırken, yüksek seviyeli göstergelerin engellenmesi, saldırganların önemli miktarda çaba ve kaynak harcamasını gerektirir. Savunma önlemleri için TTP göstergelerini kullanmak, kuruluşların bir saldırının baştan sona tüm adımlarını tespit etmesine olanak tanır ve saldırganlar için önemli bir zorluk oluşturur.
İstihbarat düzeyindeki tehdit göstergelerine ulaşmak için tehdit istihbaratı yaşam döngüsü yaygın olarak kullanılmaktadır. Tehdit istihbaratı yaşam döngüsü; gereksinimler, toplama, işleme, analiz, dağıtım ve geri bildirimi içeren sürekli, yinelenen bir süreç aracılığıyla ham verileri karar verme için eyleme dönüştürülebilir istihbarata dönüştürme sürecini ifade eder.
- Gereksinimler: Tehdit istihbaratı için hedeflerin ve bir yol haritasının oluşturulması.
- Toplama: Çeşitli kaynaklardan tehdit bilgilerinin toplanması.
- İşleme: Toplanan verilerin analize uygun bir formatta ön işlenmesi.
- Analiz: Gereksinimlere yanıtların türetilmesi.
- Dağıtım: Analiz edilen sonuçların paylaşılması.
- Geribildirim: Dağıtılan sonuçlara ilişkin geri bildirim alınması.
Bu yaşam döngüsü, kuruluşların güvenlik tehditlerine etkili bir şekilde yanıt vermek için tehdit istihbaratının toplanmasını, analiz edilmesini, paylaşılmasını ve kullanılmasını sistematik olarak yönetmesine yardımcı olur.
Siber tehditlerin artan karmaşıklığı ve gelişmiş kalıcı saldırıların yükselişi, tehdit istihbaratının siber güvenlik stratejilerine entegre edilmesini gerektirmektedir. Parçalanmış verilere ve bilgilere dayanan mevcut pasif yanıtlar yetersiz görünmektedir. Üstelik, geleneksel güvenlik önlemleri genellikle tehditlerin %70’inden daha azını tespit ederek, bilinmeyen tehditlerin önemli bir kısmını tespit edilemiyor ve tehdit olaylarının bir kısmının hatalı pozitif olma ihtimali yüksek oluyor. Tehdit istihbaratının uygulanması, siber güvenlik stratejilerinin geliştirilmesine, hatalı pozitif sonuçların azaltılmasına, tespitin geliştirilmesine ve etkili tespit alanının %90’ın üzerine çıkarılmasına yardımcı olacaktır.
3) AILabs Tehdit İstihbarat Platformu
MONITORAPP’ın CTI Bölümü tarafından geliştirilen AILabs, çeşitli kaynaklardan gelen yapısal olmayan verileri entegre eden, büyük verilerde saklayan ve yapay zeka tabanlı bir motor kullanarak çok boyutlu analizler gerçekleştiren gelişmiş bir tehdit istihbarat platformudur.
Platform, sürekli ve yinelenen bir gereksinimler, toplama, analiz, işleme, dağıtım ve geri bildirim sürecini içeren, genel tehdit istihbaratına benzer bir yaşam döngüsünü takip ediyor. Temel özellikleri arasında yapay zeka tabanlı bir analiz ve işleme sistemi ile değerli tehdit istihbaratı sağlayan ve proaktif tehdit yanıtı, analiz sonrası ve olaylara ilişkin bilgi paylaşımı gerçekleştiren web tabanlı bir portal yer alıyor.
Tehdit istihbaratında gelecekteki gelişmeler muhtemelen daha fazla otomasyon, gelişmiş yapay zeka yetenekleri, büyük veri analitiği ve gelişmiş karar alma süreçlerini içerecek şekilde çeşitli ortamlarda gelişecektir.
Sürekli güncellemeler ve işbirliği, gelişen tehditlere ayak uydurmak ve tehdit istihbaratının etkinliğini en üst düzeye çıkarmak için çok önemlidir. Teknolojik gelişmelerle birlikte tehditlerin doğası da değişirken, en son bilgilerin sürekli olarak toplanması ve analiz edilmesi büyük önem taşıyor. Günümüzün dijital ortamında tehdit istihbaratı sadece bir araç değil, siber tehditlere karşı korunmak için entegre çabalar gerektiren stratejik bir yaklaşımdır.
Yazar Hakkında
Kurt Xavier Schumacher, merkezi Güney Kore’de bulunan ve Güvenlik Cihazları, Bulut Tabanlı Güvenlik Hizmetleri ve Siber Tehdit İstihbaratı konularında uzmanlaşmış küresel bir siber güvenlik şirketi olan MONITORAPP’ta çalışan bir Siber Güvenlik Uzmanıdır. Şu anda Ürün Yöneticisi ve Destek Mühendisi olarak çalışmaktadır ve CCNA, CompTIA Security+ ve AWS CCP gibi çok sayıda sektör sertifikasına sahiptir.
Kurt’a şu adresten ulaşılabilir: [email protected] ve şirketimizin web sitesinde https://www.monitorapp.com/