Tehdit avcılığı, siber güvenlik stratejinizin önemli bir bileşenidir. İster yeni başlıyor olun ister gelişmiş bir durumda olun, bu makale tehdit istihbaratı programınızı hızlandırmanıza yardımcı olacaktır.
Tehdit Avcılığı nedir?
Siber güvenlik endüstrisi reaktif bir yaklaşımdan proaktif bir yaklaşıma geçiyor. Siber güvenlik uyarılarını beklemek ve ardından bunları ele almak yerine, güvenlik kuruluşları artık izole edilebilmeleri için ihlalleri, tehditleri ve riskleri aktif olarak aramak üzere kırmızı ekipler kullanıyor. Bu aynı zamanda “tehdit avcılığı” olarak da bilinir.
Tehdit Avcılığı Neden Gereklidir?
Tehdit avı, mevcut önleme ve algılama güvenlik kontrollerini tamamlar. Bu kontroller, tehditleri azaltmak için gereklidir. Ancak, düşük yanlış pozitif uyarı için optimize edilmiştir. Hunt çözümleri ise düşük yanlış negatifler için optimize edilmiştir. Bu, tespit çözümleri için yanlış pozitif olarak kabul edilen anormalliklerin ve aykırı değerlerin araştırılacak av çözümlerinin öncüleri olduğu anlamına gelir. Bu, algılama çözümleri arasındaki mevcut boşlukları ortadan kaldırmak için tehdit avına olanak tanır. Güçlü bir güvenlik stratejisi, her iki tür çözümü de kullanır. Cato Networks Güvenlik Hizmetleri Müdürü Tal Darsan şunları ekliyor: “Genel olarak, tehdit avı çok önemlidir, çünkü kuruluşların potansiyel güvenlik tehditlerini önemli hasara yol açmadan önce proaktif olarak belirlemesine ve ele almasına olanak tanır. Son araştırmalar, bir tehdidin bir bilgisayarda kalma süresinin bir Tehdit aktörü nihai hedefine ulaşana kadar kuruluşun ağı haftalarca aylarca sürebilir. Bu nedenle, aktif bir tehdit avlama programına sahip olmak, diğer güvenlik motorlarının veya ürünlerinin kaçırdığı siber tehditleri anında tespit etmeye ve bunlara yanıt vermeye yardımcı olabilir.”
Tehdit Avı Nasıl Yapılır?
Bir tehdit avcısı, ağ, güvenlik açıkları ve riskleri hakkında derinlemesine araştırma yaparak işe başlar. Bunu yapmak için, kötü amaçlı yazılım analizi, bellek analizi, ağ analizi, ana bilgisayar analizi ve saldırı becerileri dahil olmak üzere çok çeşitli teknolojik güvenlik becerilerine ihtiyaçları olacak. Araştırmaları bir “öncülük” sağladığında, bunu mevcut güvenlik hipotezlerine meydan okumak için kullanacaklar ve kaynağın veya sistemin nasıl ihlal edilebileceğini belirlemeye çalışacaklar. Hipotezlerini kanıtlamak/çürütmek için yinelemeli av kampanyaları yürütecekler.
İhlalde “başarılı” olurlarsa, kuruluşun algılama yöntemleri geliştirmesine ve güvenlik açığını düzeltmesine yardımcı olabilirler. Tehdit avcıları ayrıca ölçeklenebilmesi için bu sürecin bir kısmını veya tamamını otomatikleştirebilir.
Tal Darsan ekliyor “MDR (Yönetilen Algılama ve Yanıt) ekipler, potansiyel güvenlik tehditlerini izlemek ve analiz etmek için özel uzmanlık ve araçlar sağlayarak etkili tehdit avcılığı elde etmede kritik bir rol oynar. Bir MDR hizmeti almak, kuruluşlara uzman siber güvenlik desteği, ileri teknoloji, 7/24 izleme, hızlı olay yanıtı ve uygun maliyet sağlar. MDR hizmet sağlayıcıları özel bir uzmanlığa sahiptir ve potansiyel tehditleri gerçek zamanlı olarak tespit etmek ve bunlara yanıt vermek için gelişmiş araçlar kullanır.”
Tehditler Nerede Aranmalı?
İyi bir tehdit avcısının Açık Kaynak Zeka (OSINT) uzmanı olması gerekir. Tehdit avcıları çevrimiçi arama yaparak kötü amaçlı yazılım kitlerini, ihlal listelerini, müşteri ve kullanıcı hesaplarını, sıfır günleri, TTP’leri ve daha fazlasını bulabilir.
Bu güvenlik açıkları açık web’de, yani yaygın olarak kullanılan halka açık İnternet’te bulunabilir. Ayrıca, clear web’in altındaki internet katmanları olan deep web ve dark web’de pek çok değerli bilgi bulunmaktadır. Karanlık ağa girerken, kişiliğinizi dikkatlice maskelemeniz önerilir; aksi takdirde siz ve şirketiniz tehlikeye girebilir.
Haftada en az yarım saatinizi dark web’de geçirmeniz önerilir. Bununla birlikte, orada güvenlik açıkları bulmak zor olduğundan, tanımladığınız şeylerin çoğu muhtemelen derin ve net ağlardan olacaktır.
Tehdit İstihbaratı Programınız İçin Dikkat Edilecek Hususlar
Bir tehdit istihbarat programı oluşturmak, hafife alınmaması gereken önemli bir süreçtir. Bu nedenle, uygulamaya başlamadan önce programı iyice araştırmak ve planlamak önemlidir. İşte dikkate alınması gereken bazı hususlar.
1. “Taç Mücevher” Düşüncesi
Tehdit avı stratejinizi oluştururken ilk adım, kendi taç mücevherlerinizi belirlemek ve korumaktır. Görev açısından kritik varlıkların içeriği kuruluştan kuruluşa farklılık gösterir. Bu nedenle, hiç kimse onları sizin için tanımlayamaz.
Ne olduklarına karar verdikten sonra, onlara erişilip erişilemeyeceğini ve nasıl ihlal edilebileceğini test etmek için bir Mor Ekip kullanın. Bunu yaparak, bir saldırganın nasıl düşüneceğini görebileceksiniz, böylece güvenlik kontrollerini devreye sokabilirsiniz. Bu kontrolleri sürekli olarak doğrulayın.
2. Bir Tehdit Avlama Stratejisi Seçme
Kuruluşunuzda uygulayabileceğiniz birçok farklı tehdit avlama stratejisi vardır. Stratejinizin kuruluşunuzun gereksinimlerini karşılamasını sağlamak önemlidir. Örnek stratejiler şunları içerir:
- İlk erişim ve yürütme ile ilgili her şeyin engellendiğinden emin olmak için bir duvar inşa etmek ve erişimi tamamen engellemek
- Tehdit aktörünün zaten ağınızın içinde olduğunu varsayarak bir mayın tarlası oluşturmak
- MITRE çerçevesine göre nereden başlanacağına öncelik verilmesi
3. Tehdit İstihbaratı Otomasyonu Ne Zaman Kullanılmalı?
Otomasyon verimliliği, üretkenliği ve hata azaltmayı destekler. Ancak tehdit avcılığı için otomasyon şart değildir. Otomatikleştirmeye karar verirseniz, şunları yapmanız önerilir:
- Aracı/platformu geliştirmek, sürdürmek ve desteklemek için personele sahip olun
- Kraliyet mücevherlerini belirleme ve emniyete almanın temel temizliğini tamamladınız. Tercih edilir, ileri olgunluk düzeyindeyken otomatikleştirin
- Süreçlerin kolayca tekrarlanabilir olmasını sağlayın
- İlgili değeri sağlamaya devam etmesi için otomasyonu yakından izleyebilir ve optimize edebilir
Tehdit Avcılığı Olgunluk Modeli
Uygulanan diğer tüm iş stratejilerinde olduğu gibi, kuruluşların ulaşabileceği çeşitli olgunluk seviyeleri vardır. Tehdit avcılığı için farklı aşamalar şunları içerir:
- Aşama 0 – Güvenlik uyarılarına yanıt verme
- 1. Aşama – Tehdit istihbaratı göstergelerini dahil etme
- Aşama 2 – Verilerin başkaları tarafından oluşturulan prosedürlere göre analiz edilmesi
- Aşama 3 – Yeni veri analizi prosedürleri oluşturma
- Aşama 4 – Veri analizi prosedürlerinin çoğunun otomatikleştirilmesi
Tehdit İstihbaratı En İyi Uygulamaları
İster programınızı sıfırdan oluşturuyor, ister mevcut programınızı geliştirmek için yineliyor olun, işte tehdit avcılığı faaliyetlerinizi artırmanıza yardımcı olabilecek en iyi uygulamalar:
1. Neyin Önemli Olduğunu Tanımlayın
Tehdit alanınızdaki önemli varlıkları belirleyin. Görev açısından kritik varlıklarınızın bir envanterini oluşturmanızı, risk ortamını kontrol etmenizi, yani bunların nasıl ihlal edilebileceğini ve ardından bunları korumanızı öneren “taç mücevher” düşüncesini aklınızda bulundurun.
2. Otomatikleştirin
Yapabiliyorsanız, yapabildiğiniz tüm işlemleri otomatikleştirin. Yapamazsan, bu da sorun değil. Daha olgunlaştıkça oraya ulaşacaksınız.
3. Ağınızı Kurun
Siber saldırılardan korunmak çok zordur. Saldırganların yalnızca bir kez başarılı olması gerekirken asla yanılmazsınız. Üstelik hiçbir kurala da uymuyorlar. Bu yüzden ağınızı oluşturmak ve almak (ve sağlamak) önemlidir. sektördeki diğer oyunculardan ve paydaşlardan alınan bilgiler. Bu ağ, diğer şirketlerdeki meslektaşları, etkileyicileri, çevrimiçi grupları ve forumları, şirketinizdeki diğer departmanlardan çalışanları, liderliği ve tedarikçilerinizi içermelidir.
4. Bir Suçlu Gibi Düşün & Bir Tehdit Aktörü Gibi Davran
Tehdit avcılığı, reaktif bir düşünce tarzından proaktif bir düşünce tarzına geçmek anlamına gelir. Tehdit istihbaratına bakarak, grupları izleyerek, araçları deneyerek ve test için Purple Teaming’den yararlanarak bu düşünceyi teşvik edebilirsiniz. Bu mantıksız görünse de kuruluşunuzu bu şekilde koruyacağınızı unutmayın. Unutmayın, ya sizsiniz ya da saldırgan.
Farklı siber güvenlik uygulamaları türleri ve kuruluşunuzu korumak için bunlardan nasıl yararlanabileceğiniz hakkında daha fazla bilgi edinmek için, Cato Networks’ün Siber Güvenlik Masterclass serisi, incelemeniz için hazır.