Palo Alto Networks’ün tehdit araştırma bölümü olan birim 42, geleneksel olarak tehdit oyuncusu atıf sürecini yapılandırılmış, kanıta dayalı bir bilime dönüştürmek için tasarlanan ilişkilendirme çerçevesini tanıtmıştır.
İzinsiz izinsiz giriş analizinin temel elmas modelinden yararlanan bu çerçeve, amirallik sistemini, delil verilere güvenilirlik ve güvenilirlik puanları atamak için bütünleştirerek analistlerin gözlemlenen siber aktiviteleri aktivite kümelerine, geçici tehdit gruplarına veya adlandırılmış tehdit aktörlerine sistematik olarak kategorize etmelerini sağlar.
Taktikler, teknikler ve prosedürlerin (TTP’ler), kötü amaçlı yazılım kodu, operasyonel güvenlik (OPSEC) kalıpları, ağ altyapısı, mağdur ve zaman çizelgesi korelasyonlarının titiz analizini vurgulayarak çerçeve, yanlış uygulama risklerini azaltmayı ve tehdit izlemenin hassasiyetini artırmayı amaçlamaktadır.
Güvenilirlik değerlendirmeleri, kaynak güvenilirliğini bir (güvenilir, doğruluk geçmişi ile) F’ye (bilinmeyen güvenilirlik) bir ölçekte değerlendirirken, güvenilirlik derecelendirmeleri 1 (bağımsız kaynaklar tarafından onaylanmış) ile 6 (geçerlilik) ve bağlamsal kanıtlara dayalı araştırmacı ayarlamalarına izin verir.
Etkinlik kümelerinden adlandırılmış aktörlere kadar
Çerçeve, IP adresleri, alan adları veya SHA256 karmalar gibi paylaşılan uzlaşma göstergeleri (IOCS) gibi gruplarla ilgili gözlemlenebilirleri gruplandıran aktivite kümeleriyle başlayarak, MITER ATT & CK çerçevesine veya endüstrilerdeki veya bölgelerdeki örtüşen kurban profillerine benzer TTP’ler gibi üç ilerici atıf seviyesi tanımlar.
Bu kümeler, tesadüfi bağlantıları önlemek için şeffaf mantık yoluyla haklı olan en az iki bağlı olay gerektirir ve şüpheli durum destekli motivasyonlar için CL-SA gibi öneklerle adlandırılır.
İstihbarat, kalıcı davranışı doğrulamak için minimum altı aylık bir gözlem süresi boyunca biriktikçe, kümeler geçici tehdit gruplarına (örneğin, suç motive edilmesi için TGR-CRI) yükselebilir ve daha derin elmas modeli eşlemelerini düşman, altyapı, kapasite ve kurban köşelerine dahil eder.
Bu aşama, özel takım konfigürasyonlarının ayrıntılı olarak incelenmesini, sadece karmaların ötesinde kod benzerliklerini, WHOIS ve pasif DNS kayıtları aracılığıyla benzersiz altyapı pivotlarını ve jeopolitik olaylarla zamansal hizalamaları gerektirir.
Son olarak, birim 42’nin takımyıldızı adlandırma şemasını kullanarak adlandırılmış bir tehdit oyuncusu için tanıtım, iç telemetri ve desteklenmiş açık kaynak zekası (OSINT), farklı TTP evrimi, motivasyon netliği (örneğin, finansal kazanç) gösteren sürekli operasyonlar ve yanlış fapgss gibi, sürekli operasyonlar ve yanlış fapgses gibi, yüksek güven kanıtlarını gerektirir.
Gerçek dünya uygulaması
Rapora göre, analitik bütünlüğü desteklemek için çerçeve, TTP analizi, altyapı muayenesi, mağdur ve zamansal faktörler arasında minimum standartları uygular, tescilli kötü amaçlı yazılım yapıları veya tutarlı opsec lapses (örneğin, meta verilerdeki geliştirici kolları) gibi benzersiz eserlere öncelik verir.
Güven, kaynak doğrulama, gösterge benzersizliği ve önyargıları azaltmak için iç TTP tutarlılığı için düzenli yeniden değerlendirme ile ABD istihbarat topluluğu standartlarını kullanılarak tahmin edilmektedir.
Uygulamada, bu metodoloji, Tayland Hükümeti kuruluşlarına yönelik 2015 kitap kurdu Truva saldırıları gibi tarihsel kampanyaları, görkemli Toros grubuna, skor tablolarında artefakt haritalaması ve bir dahili ilişkilendirme çerçevesi inceleme panosu tarafından gözden geçirerek geriye dönük olarak ilişkilendirmiştir.
Etkinlik kümelerini, dağınık bulmaca parçalarına benzer şekilde daha organize kampanyalardan ayırarak, tutarlı bir görüntüye karşı, çerçeve sürdürülebilir tehdit istihbaratını teşvik ederek paydaşları erken veya hatalı atıflar olmadan savunmaya öncelik vermeleri için güçlendirir.
31 Temmuz 2025’te açıklanan bu lansman, birim 42’nin küresel müdahalelerin artması nedeniyle siber tehdit analizinin arttırma taahhüdünün altını çiziyor.
Find this News Interesting! Follow us on Google News, LinkedIn, and X to Get Instant Updates!