Siber güvenlikte “tehdit veri akışları” ve “tehdit istihbaratı” sıklıkla birbirinin yerine kullanılır. Ancak oldukça farklıdırlar. Daha da kötüsü, “tehdit istihbaratı” teriminin satıcılar tarafından tercih edilmesi ve sulandırılması, tehdit veri akışları ile tehdit istihbaratı arasındaki farkın tanımlanmasını daha da zorlaştırıyor.
Farkı anlamanın kolay ve erişilebilir bir yolu, hava durumu tahminlerini düşünmektir. Ulusal TV haber programları tüm ülke için bir tahmin sunuyor. Bundan bazı yararlı bilgiler edinebilirsiniz, ancak genellikle ülke çapında havanın nasıl olduğu hakkında bir fikir edinirsiniz. Ancak yerel hava durumu, yalnızca sıcaklık ve hava durumu değil, aynı zamanda rüzgar hızı, barometrik basınç, hava değişiklikleri zamanları vb. gibi belirli bölgeniz için beklenen koşulları ayrıntılı olarak inceler. Önümüzdeki birkaç gün için eylemlerinizi planlamak için bu bilgiyi kullanabilirsiniz.
Sıklıkla Karıştırılan İki Farklı Tür
Hava durumu tahmini benzetmesini kullanarak, tehdit veri akışları güvenlik ortamının üst düzey bir görünümünü sağlar. Örneğin, belirli bir yazılım türünde bir güvenlik açığının bulunduğunu bilmek faydalıdır, ancak bu yazılım kuruluşunuzda kullanılmıyorsa bu nispeten önemsiz olabilir. Aynı şekilde hangi tehdit gruplarının aktif olduğunu bilmek de faydalı bir bilgidir, ancak sektörünüzü veya kuruluşunuzu hedef alıp almadıklarını, hangi süreç ve araçları kullandıklarını nasıl bileceksiniz?
Siber güvenlik veri beslemeleri çeşitli kaynaklardan gelir. Bunlar arasında bal küpleri, sensörler, kötü amaçlı yazılım analiz platformları ve satıcılar bulunabilir. Açık kaynaklı veya ticari olabilirler ve güvenlik satıcılarına, güvenlik araçlarına besleyebilecekleri karmalar, IP adresleri ve kötü amaçlı URL’ler dahil olmak üzere zengin miktarda ham veri sağlarlar. Buna ek olarak, satıcılar tehdit veri akışlarını paketliyor ve kuruluşları daha güvenli hale getirecekleri varsayılan fayda kapsamında bunları kuruluşlara satıyor.
Ancak işletmelerin kendi operasyonlarında kullanmak istiyorlarsa bu bilgileri hem yapay zeka/makine öğrenimi gibi otomasyon teknolojileriyle hem de insanlarla işlemeleri gerekiyor. Bu hiç de küçümsenecek bir iş değil çünkü bu ham veriyi alıp faydalı bilgiye dönüştürmek özel eğitimli insan gücü gerektiriyor. İnsanların veri akışlarını analiz etmeleri ve kuruluşlarıyla ilgili bilgileri çıkarmaları gerekiyor; kısacası, tehdit veri akışlarında tehdit istihbaratını bulmaları gerekiyor. Bunu yaparak güvenlik uzmanları siber suçluların kullandığı taktikleri, teknikleri ve prosedürleri daha iyi anlayabilir. Bu bilgiler daha sonra daha etkili güvenlik stratejileri geliştirmek için kullanılabilir.
Tehdit Veri Akışları Siber Güvenlik Eksikliğini Arttırıyor
Sorun şu ki, ISC2’ye göre şu anda dünya çapında 3,4 milyon siber güvenlik uzmanı sıkıntısı yaşanıyor. Yalnızca en büyük şirketler, tüm verileri inceleyecek ve bu verilerden ilgili bilgileri toplayacak kişileri işe alacak kaynaklara sahiptir. Yalnızca en büyük şirketler, daha fazla iş yaratan bir şeye abone olmayı karşılayabilir; çoğu tehdit veri akışı da bunu yapar. Küçük kuruluşların sahip oldukları çalışanlarla ışıkları açık tutmak için yapabilecekleri tek şey bu.
Tehdit istihbaratının devreye girdiği yer burasıdır. Tehdit istihbaratı, işletmelere evrenin bir resmini verip “Bunu çözün” demek yerine, her kuruluşa (sektörlerine, büyüklüklerine ve kendilerine) özeldir. Tehdit istihbaratı, veri akışının ulaşamadığı yerlere gider. Örneğin, bir veri ihlalinin ilk işareti genellikle veriler Dark Web’de satışa sunulduğunda ortaya çıkar. Benzer şekilde, ağlara erişim de Dark Web’de satılıyor; ağların sahipleri bunun farkında değiller, yoksa açıkları düzeltirlerdi. Bu, hasarın mümkün olduğu kadar çabuk kontrol altına alınabilmesi için “olay sonrası” bilgi açısından faydalıdır. Karanlık Web, sosyal medya, açık Web ve hatta insanlar gibi kaynakları da içermesi gereken tehdit istihbaratı kaynaklarından yalnızca biridir.
Öncelik Verin ve Harekete Geçin
Elindeki istihbarat bilgileri ile güvenlik ekipleri, kendilerine ve benzer kuruluşlara saldıranların kullandığı motivasyon ve hedeflerin yanı sıra taktikleri, teknikleri ve prosedürleri anlayabilir. Bu, işletmelerin önceliklendirebileceği ve hızlı bir şekilde harekete geçebileceği bilgi türüdür.
Tehdit veri akışlarının aksine, tehdit istihbaratı kuruluşa özeldir ve kuruluşlara güvenlik ayak izleri hakkında bilgi sağlar: onlara kim saldırıyor, nasıl saldırıya uğruyorlar ve neden saldırıya uğruyorlar. Bu bilgilerle kuruluşlar zayıf noktaları destekleyerek, gelecekteki tehditleri azaltarak ve mevcut olaylara daha hızlı yanıt vererek kendilerini daha güvenli hale getirebilirler.
Tehdit istihbaratının belirli bir saldırgan grubunun belirli bir sektörü veya bölgeyi hedef aldığını göstermesi bunun nasıl işe yarayabileceğinin bir örneğidir. Güvenlik ekipleri bu bilgiyi, ek güvenlik kontrolleri uygulamak veya hedeflenen çalışan eğitimi sağlamak gibi koruyucu önlemler almak için kullanabilir. Yukarıdaki Dark Web örneklerinde de gördüğümüz gibi, tehdit istihbaratı aynı zamanda bir saldırının zararını azaltmak için saldırganın kullandığı taktikler ve araçlar da dahil olmak üzere değerli bilgiler de sağlayabilir. Bu bilgiler yalnızca mevcut bir saldırıyı kontrol altına almak için değil, gelecekteki saldırıları önlemek için de kullanılabilir.
Basit bir test, tehdit istihbaratı ile tehdit veri akışları arasındaki farkı anlamada uzun bir yol kat eder: Daha fazla iş yaratırsa, muhtemelen bir veri akışıdır. Mevcut çalışanlarınıza önceliklendirme ve operasyonlarda yardımcı oluyorsa muhtemelen tehdit istihbaratıdır. Veya hava durumu benzetmesine dönersek: Yerel hava durumu, golf oynamanın uygun olup olmadığını ve ne zaman oynamanız gerektiğini söyleyecektir. Aynı bilgiyi ulusal hava durumundan da edinebilirsiniz, ancak çok geç olana kadar bundan emin olamayacaksınız.