Bir kuruluşun Siber Güvenlik Operasyon Merkezi (SOC), siber tehdidi önleme ve hafifletme sorumlu bir birimdir.
Bu çerçeve içinde, bazı kritik görevler tehdit, olay ve saldırı hakkındaki verileri toplamayı ve analiz etmeyi ima eder. Bu sürece genellikle tehdit istihbaratı denir.
Sadece bilgi toplanması ile sınırlı değildir. Eylem edilebilir içgörüler toplamayı ve onları iş hedefleri göz önünde bulundurarak harekete geçirmeyi amaçlamaktadır.
Bu önleyici araştırmanın zorlukları arasında tehdit avı, tehdit ilişkilendirmesi, olay tepkisi ve uyarı triyajı bulunmaktadır. Tehdit istihbarat araçlarının sorunları çözmeye ve bir kuruluşun performansını nasıl artırmaya yardımcı olduğunu göreceğiz.
Tehdit avı
Tehdit avı proaktif siber güvenlik direğidir: analistler, bir kuruluşun ağında veya güvenlik duvarları, antivirüsler veya saldırı algılama sistemleri gibi dijital savunmalardan kaçmış olabilecek sistemlerde kötü amaçlı etkinlik belirtileri ararlar.
Günlüklerden, ağ trafiğinden ve diğer kaynaklardan elde edilen verilere dayanarak, analistler olası saldırı vektörleri hakkında hipotezler oluşturur ve uzlaşma göstergeleri (IOC’ler) veya bir ihlal önerebilecek anomaliler için otomatik aramalar oluştururlar. Bir tehdit tespit edildiğinde, yanıt gelir: muhafaza, yok etme veya kurtarma işlemleri.
Herhangi birinden Tehdit İstihbarat Arama.Run bu tür görevler için birinci sınıf bir çözümdür. IOCS, IOAS ve IOB’lerin bağlamsal olarak zenginleştirilmiş araştırmalarını ve bunların bilinen ve ortaya çıkan tehditlerle korelasyonunu destekleyen özel bir amaçlı arama motorudur.
Örneğin, etkilenen cihazlardan verilerin Hacker’ın Telegram botuna gönderildiği Stealer kötü amaçlı yazılım kullanan son saldırıları almak için aşağıdaki bir arama sorgusunu birleştirebiliriz.
Hedefipasn: ”Telegram Messenger Inc” ve TehditName: ”Stealer” ve TehditName: “Pessfiltration”
Arama sonuçlarında vurgulanan IOC’ler, otomatik algılama sistemlerinin (IPS, Alanlar, Dosya Karmaları gibi), çalışan eğitimi (potansiyel olarak kötü amaçlı dosya adları gibi) ve daha fazla araştırma için toplanabilir.
Get 500 free requests to test TI Lookup with your SOC team -> Contact ANY.RUN for trial
Olay yanıtı ve uyarı triyajı
Olay yanıtı (IR), bir kuruluş üzerindeki etkilerini en aza indirmek için güvenlik olaylarının belirlenmesini ve yönetilmesini ima eder. Amaç, olayı içermek, tehdidi ortadan kaldırmak ve normal operasyonları mümkün olduğunca çabuk kurtarmaktır.
Uyarı triyajı (AT), izleme araçları (örn. SIEM, IDS, güvenlik duvarları) ile üretilen güvenlik uyarılarını değerlendiriyor ve önceliklendiriyor. Tüm uyarılar eşit derecede kritik olmadığından, triyaj SOC ekibinin önemli olanlara odaklanmasına ve yanlış pozitifleri çözmesine yardımcı olur. Yüksek öncelikli uyarılar derhal eylem için arttırılır.
IR ve AT için Tehdit İstihbaratı, IP’ler, alanlar, dosya karmaları, kötü amaçlı yazılım imzaları vb. Hakkında bağlamsal ve tarihi verilerle uyarıları zenginleştirir.
Ortaya çıkan tehditlerin araştırılması, sistemleri yaygın hale gelmeden önce yeni saldırı göstergelerini aramak için yapılandırmada beklenen savunmaların konuşlandırılmasını kolaylaştırır.
TI, göstergeler ve bilinen tehdit aktörleri, kötü amaçlı yazılım kampanyaları veya saldırı teknikleri arasındaki bağlantıları keşfetmenin bir yoludur, böylece tehditlerin tehlike ve acil eylem talebi ile sıralanmasına izin verir. İşletme için bu sadece dijital ortamının güvenliğini değil, verimli işgücü ve kaynak tahsisini sağlar.
Örneğin, ağınızdaki cihazlardan birinin belirli bir IP’ye bağlanmasını izlersiniz. Bu IP için bir Ti Arama Arama, çok amaçlı bir kötü amaçlı yazılım ailesine, esas olarak sıçan ve fidye yazılım kampanyaları için kötü şöhretli olan Xworm’a olan bağlantılarına ışık tutar.
Tehdit İstihbarat Arama, herhangi biriyle yakından entegre edilmiştir.
Bu oturumlardan herhangi birini sanal alanında görüntüleyebilir veya kendi analizinizi çalıştırabilir ve Xworm Saldırı Mekaniği’nin resmini alabilirsiniz. Bu bilgiler koruma çabalarınızı artıracak ve kuruluşunuzun finansal kayıplardan, itibar hasarından ve diğer olası ihlal sonuçlarından kaçınmasına yardımcı olacaktır.
Tehdit Atıf
Tehdit atıfı, bir siber saldırının arkasındaki kaynağı veya aktörü tanımlama uygulamasıdır. Daha iyi koruyucu önlemlerin seçimi için rakiplerin güdülerini, yeteneklerini ve yöntemlerini anlamak önemlidir. Ayrıca siber suçlulara karşı yasal işlem için kanıt sağlar.
Tehdit istihbarat hizmetleri, saldırıda kullanılan araçları, taktikleri ve altyapıyı tanımlamak, saldırganların davranışlarını ve kalıplarını daha iyi anlamak ve diğer olaylarla bağlantıları vurgulamak için şarttır.
İşte bir örnek: Ağ uç noktalarınızdan birinde tanıdık olmayan bir Mutex nesnesini tespit ettiğinizi hayal edin. TI Arama Arama İsteği için Nesnenin “DocumentupDater” adını kullanıyorsunuz: SyncobjectName: “DocumentUpdater”
Söz konusu muteks birkaç kötü amaçlı yazılım analiz oturumunda tespit edilmiştir. Oturumlar, İran’dan iyi bilinen gelişmiş bir Kalıcı Tehdit (APT) grubunun adı olan “Muddywater” olarak etiketlenmiştir. Dolayısıyla “DocumentUpdater” bir tehdit göstergesi olarak algılanmalı ve güvenlik sistemlerinin kurulması için kullanılmalıdır.
Çözüm
Tehdit istihbaratını SOC iş akışlarına entegre ederek, bir kuruluş siber savunmasını daha hızlı ve daha doğru tehdit tanımlama, atıf ve yanıtla tamamlar ve güvenlik ekiplerinin riskleri değerlendirmesi için gereken zamanı ve çabayı azaltır.
TI Lookup, bilinen kötü amaçlı yazılımlar ve rakiplerle tehditleri ilişkilendirme ve bilinçli karar verme, düzenleyici uyum ve siber suçlulara karşı yasal işlem için kritik bilgiler çıkarma yeteneği sağlar.
Start integrating TI Lookup in your security framework -> Choose your subscription plan.