Tehdit İstihbaratı Operasyonlarıyla Siber Savunmanın Güçlendirilmesi


Yazan Toby Bussa, Ürün Pazarlamadan Sorumlu Başkan Yardımcısı, ThreatConnect

giriiş

Siber tehditlerin her zamankinden daha büyük ve karmaşık hale geldiği bir çağda, kuruluşların bir siber tehdit istihbaratı (CTI) programına sahip olmaları ve savunmalarını güçlendirmek için tehdit istihbaratı operasyonları (TI Ops) uygulamaları hayati önem taşıyor. TI Ops, tehdit istihbaratı yatırımlarının etkisini ve değerini en üst düzeye çıkaran, kuruluşların en alakalı tehditlere karşı savunmaya hazır olmalarını sağlayan stratejik bir gerekliliktir.

Tehdit İstihbaratı Operasyonlarının Temel Özellikleri

TI Ops, her biri bir tehdit istihbarat programının etkili bir şekilde uygulanmasını ve operasyonel hale getirilmesini destekleyen ve yönlendiren bir temel işlevi gören temel “ilkeler” ile karakterize edilir. Bu ilkeler, siber tehditleri yönetmek ve azaltmak için proaktif, odaklanmış ve iş odaklı bir yaklaşıma olan ihtiyacın altını çiziyor ve düşmanları içgörü ve hassasiyetle anlamanın ve onlara karşı koymanın önemini vurguluyor. İlkeler şunlardır:

  1. Tehdit istihbaratını zorunlu, kritik bir güvenlik operasyonları rolüne yükseltin.
  2. Planlamayı, gereksinimleri ve tehdit bilgilerinin tüketiciler tarafından kullanımını vurgulayan Gelişmiş Tehdit İstihbaratı Yaşam Döngüsünden yararlanın.
  3. Tehdit bilgilerini, yaşayan bir gereksinimler dizisi aracılığıyla işletmenin karşı karşıya olduğu en kritik risklere göre hizalayın ve odaklayın.
  4. Yalnızca uzlaşma göstergelerine değil, aynı zamanda tehdit aktörlerinin motivasyonlarına, taktiklerine, tekniklerine, eğilimlerine, araçlarına ve altyapı modellerine de odaklanın.
  5. TI Ops ekibinin çalışmalarını otomatikleştirin.
  6. Tehdit istihbaratını güvenliğin ve siber risk yönetiminin her yönüne entegre edin ve otomatikleştirin.
  7. Üretilen ve tüketilen tehdit bilgilerine yönelik anlaşılır ve işle alakalı etkinlik ve başarı ölçümleri oluşturun.

Bu özelliklerden bazılarını daha ayrıntılı olarak inceleyelim.

Gelişmiş Mesleki Zanaat İhtiyacı

TI Ops’un Evrimleşmiş Tehdit İstihbaratı Yaşam Döngüsü yaklaşımına ihtiyacı var. Geleneksel Siber Tehdit Intel Yaşam Döngüsü, Intel üretimine odaklanır ancak tüketicilere ve paydaşlara çok az odaklanılır. Evrimleşmiş Yaşam Döngüsü bu eksiklikleri giderir. Örneğin, CTI’nin hem üretimine hem de tüketimine odaklanır ve iki faaliyet (Yayma ve Entegrasyon ile Geri Bildirim ve Doğrulama) arasındaki “bağ dokusu” aşamalarını içerir. Geliştirilmiş Yaşam Döngüsü, TI Operasyonlarının nasıl çalışması gerektiğinin temelini oluşturur.

Geleneksel Tehdit Intel Yaşam Döngüsü

Gelişen Tehdit Intel Yaşam Döngüsü

Tehdit İstihbaratı Operasyonlarıyla Siber Savunmanın Güçlendirilmesi

Şekil 1

Analistler Mercek Altında

Analistler TI Ops’un kalbidir. Analistler, Intel tüketici odaklı bir zihniyeti benimsemeye ve faaliyetlerinin açıkça tanımlanmış, belgelenmiş Intel gereksinimlerine göre yönlendirildiğinden emin olmaya teşvik edilmektedir. Bu yaklaşım yalnızca analistlerin rolünü yükseltmekle kalmaz, aynı zamanda tehdit istihbaratı çıktılarının genel kalitesini ve alaka düzeyini de artırır.

Yapay Zeka ve Otomasyonun Rolü

TI Ops yapay zeka ve otomasyona önem veriyor. Yapay zeka, siber güvenlik için potansiyel bir oyun değiştiricidir. Yapay zeka, örneğin etki alanı oluşturma algoritmalarının (DGA’lar) tanımlanması için makine öğreniminin kullanılması ve kullanıcı ve varlık davranışı analitiğinde (UEBA) birkaç yıldır kullanılmaktadır. Son zamanlarda, doğal dil işleme (NLP) ve üretken yapay zeka (GenAI), analistlerin üzerindeki yükü hafifletmeye yardımcı olacak ek yetenekler olarak ortaya çıktı.

Otomasyon, analistlerin çabalarını Intel analizi ve üretim gibi daha yüksek değerli faaliyetlere adamasına olanak tanıyan, işi kolaylaştıran önemli bir kolaylaştırıcıdır. Tehdit istihbaratının güvenlik operasyonları ve siber risk yönetimi genelinde yayılmasını kolaylaştırır, tehditlerin belirlenmesi, değerlendirilmesi ve bunlara yanıt verilmesinde verimliliği ve etkinliği artırır, savunmaları güçlendirir ve kuruluşların saldırılara karşı daha dirençli olmasına yardımcı olur.

Tehdit Bilgilerini Kullanma

Bir kuruluşun siber güvenlik faaliyetlerinin her alanında tehdit istihbaratını benimsemek ve kullanmak çok önemlidir. Buna İstihbarat Destekli Güvenlik Operasyonları denir.

Tehdit İstihbaratı Operasyonlarıyla Siber Savunmanın Güçlendirilmesi

şekil 2

Bu yaklaşım, siber tehdit istihbaratını, bilgilendirmek, yönlendirmek ve bağlam sağlamak için birleşik tehdit istihbaratından yararlanılan güvenlik operasyonlarının ve siber risk programlarının merkezine yerleştirir. Örneğin, stratejik tehdit istihbaratı, savunmaları iyileştirmek için güvenlik kontrollerindeki iyileştirmelerin nereye odaklanacağı gibi siber güvenlik stratejisini bilgilendirmek için kullanılır. Tehdit istihbaratı aynı zamanda siber risk yönetimine de yardımcı olur ve bundan faydalanır. Güvenlik açıklarına öncelik verilmesi, güvenlik operasyonları ve BT arasında sürekli bir zorluktur. TI Ops, tehdit aktörleri tarafından istismar edilen güvenlik açıklarını (örn. CVE’ler) belirleyecek ve BT ile varlık sahiplerini uyaracaktır. İş açısından kritik varlıklara yönelik siber riskler finansal terimlerle (yani siber risk ölçümü yoluyla) ölçüldüğü zaman, önceliklendirme çok hassas hale gelir. Azaltma kararları, kritik olarak yüksek, orta veya düşük olarak tanımlanan niteliksel yaklaşımlar kullanmak yerine, bir varlığın bir tehditten etkilenmesi durumunda onun üzerindeki mali etkiyi tartarak alınabilir.

Tehdit İstihbaratının Değerinin Ölçülmesi

Metriklere sahip olmak ve paydaşlardan geri bildirim almak, hem anlaşılır hem de işle doğrudan alakalı etkililik ve başarı ölçümleri oluşturmak için zorunludur. Bu tür ölçümler, tehdit istihbaratı yatırımlarının ve çabalarının somut değerini göstermek ve kurumsal hedeflerle uyumu sağlamak açısından çok önemlidir.

Modern Bir Platform İhtiyacı

Modern bir tehdit istihbaratı operasyon platformunun benimsenmesi TI Ops’un merkezinde yer alır. Böyle bir platform, insan analizini yapay zeka destekli analizler, otomasyon, görselleştirmeler ve entegrasyonlarla birleştiren bir bağlantı noktasıdır. Ayrıca tehdit istihbaratı verilerine kolay erişim, istihbarat gereksinimlerini tanımlama ve eyleme geçirme mekanizmaları, kapsamlı yerleşik raporlama yetenekleri ve ölçümler oluşturma ve tehdit istihbaratı yatırımlarının yatırım getirisini hesaplama yeteneği gibi yetenekler de sunmalıdır.

Çözüm

Liderler, TI Ops’u benimseyerek siber güvenlik etkinliklerini önemli ölçüde artırabilir, ortaya çıkan tehditlere yanıt sürelerini iyileştirebilir ve kuruluşlarına ölçülebilir değer sunabilir. TI Ops, yalnızca tehdit istihbaratını yönetmeye yönelik başka bir yöntem değil, kuruluşların siber tehditlerle nasıl mücadele ettiğini yeniden tanımlayan dönüştürücü bir yaklaşımdır.

Siber güvenlik liderlerinin TI Ops’un stratejik önemini benimsemesi ve bunu bir kuruluşun güvenlik işlevleri ve stratejilerinin dokusuna dahil etmesi gerekiyor. CISO’lar ve CTI liderleri, burada ele alınan ilke ve uygulamalara bağlı kalarak kuruluşun güvenlik duruşunu yükseltebilir ve sürekli gelişen siber tehdit ortamı karşısında dirençli kalmasını sağlayabilir.

yazar hakkında

Tehdit İstihbaratı Operasyonlarıyla Siber Savunmanın GüçlendirilmesiToby Bussa, ThreatConnect’te Ürün Pazarlamadan Sorumlu Başkan Yardımcısıdır. Bir uygulayıcı ve lider olarak siber güvenlik alanında 20 yılı aşkın deneyime sahiptir. Yakın zamanda Gartner’da Analist Başkan Yardımcısı olarak görev yaptı ve burada SIEM, SOAR, MDR, DFIR ve SOC’ler de dahil olmak üzere güvenlik operasyonları konularını ele aldı. Daha önce bir FTSE100 kuruluşu için BT güvenlik operasyonlarını, veri korumayı, güvenlik mimarisi ve mühendisliğini ve 3. taraf risk yönetimini ve küresel bir MSSP için EMEA SOC tehdit tespit ekibini yönetmişti. Kendisine şirketimizin web sitesi http://www.threatconnect.com adresinden ulaşılabilir.



Source link