Siber Tehdit İstihbaratının Siber Tehdit Profilindeki Yeri

(ISC)2’in 2022 Global Workforce çalışmasına göre güvenlik alanında tüm dünya genelinde 3.4 milyona varan açık pozisyon mevcut. Ülkemizde de benzer bir durum bulunmaktadır. Sektörün her geçen gün büyüdüğünü düşünürsek bu açık daha da artacağa benziyor. Birçok güvenlik ekibi şimdiden eksik kadrolar ile çok yoğun bir çalışma temposuna devam ediyor ve maalesef ekipler çok değerli zamanlarının çok büyük kısmını günlük operasyonel işlere harcamak zorunda kalıyor.

İşin diğer tarafına geldiğimizde ise saldırganların herhangi bir zaman kısıtlaması bulunmuyor ve tekniklerinin sürekli olarak gelişmeye devam ettiğini görüyoruz. Her geçen gün gelişen ve çeşitlenen güvenlik ürünlerine rağmen kurum ağlarına sızmaların – üstelik Dünya’nın en büyük şirketlerinde de – engellenemediğini görüyoruz. Diğer taraftan da artan güvenlik çözümleri ve kontrolleri hali hazırda çok yoğun çalışmakta olan SOC ekiplerinin incelemesi ve anlamlandırması gereken yeni loglar ve alarmlar üretiyor. Bu log ve alarm yığını arasında SOC’lerin verimini artırmak için önceliklendirme kritik bir konuma geliyor. Peki siber tehdit istihbaratı bu konuya nasıl bir çözüm sağlar?

Siber Tehdit İstihbaratı

Günümüzde siber tehdit istihbaratı denildiğinde birkaç farklı yöntem akla gelebiliyor. Kısaca belirtmek gerekirse bunlardan ilki, özellikle DarkWeb’in taranması yöntemi ile kuruma ait verilerin sızdığı bilgisinin elde edilmesidir. Diğerleri, kurum tarafından kullanılan sistemlerde ortaya çıkan zafiyetler hakkında mümkün olan ek kısa süre içerisinde bilgi sahibi olmak, güncel zararlı yazılımların IoC’leri ile güvenlik kontrollerimizi beslemek ve aslında en önemlisi de kurumun siber tehdit profilinin belirlenmesidir. Siber tehdit istihbaratının elde edilmesi, kullanılması ve dağıtılması gibi birçok farklı konu ayrı ayrı ele alınmalıdır. Bu makalede ise yalnızca siber tehdit profilinin oluşturulması konusunda siber tehdit istihbaratından nasıl faydalanılması gerektiği anlatılmaya çalışılmıştır.

Ağustos 2022’de Rus Anonymous gurubu, sahibi olduğu bazı Telegram gruplarında Azerbaycan’ın hem devlet hem de özel kurumlarını hedef alacağını, yoğun siber saldırılarda bulunacağını duyurdu. Saldırılar birkaç gün sürdü ve grup her saldırıdan önce ve sonra saldırdığı organizasyonları Telegram’da yayınlamaya devam etti. Bu tür ataklarla nadiren karşılaşırız. Saldırganlar genellikle ‘size saldıracağız’ yazan bir mesaj göndermez ve maalesef bazı kurumlar içeriye sızıldığını ve veri kaçırıldığını bir şekilde DarkWeb analizleri sonucu öğreniyor (ransomware ile bütün sistemler erişilemez hale getirilmediyse). İstihbaratın marka koruma dediğimiz alanı, bizim için DarkWeb’i sürekli tarayarak bu konuda bize yardımcı oluyor ama burada bir veriye rastladığımızda genelde iş işten geçmiş oluyor. Bizim için en önemlisi henüz bir saldırıya maruz kalmadan bizi kimin ve nasıl hedef alabileceği ve bu şekilde saldırıların ve sızmaların önüne geçmek değil mi? İşte bu nedenle bir siber tehdit istihbaratından en büyük beklenti, kurumumuzun siber tehdit profilini çıkarmamıza yardımcı olmasıdır.

“Eğer düşmanı ve kendini tanıyorsan, yüz kere de çarpışsan düşmandan korkmana gerek yok. Eğer kendini tanıyorsan ama düşmanını tanımıyorsan, kazandığın her zafer için bir de yenilgi acısı tadarsın. Eğer ne kendini ne de düşmanını tanıyorsan, her savaşta bozguna uğrarsın.”

Sun Tzu – Savaş Sanatı

Güvenlik ekipleri olarak hepimizin nihai amacı kurumumuzun siber güvenliğinin sağlanması. Kısıtlı zaman ve kadrolarla bunun sağlanabilmesinin tek yolu önceliklendirmedir. Önceliklendirmeyi sağlayan en önemli unsur da, Savaş Sanatı’nda belirttiği gibi düşmanımızı tanımaktır. Bizi kim, hangi motivasyon ile nasıl hedef alır? Bunu bilirsek hem sızıntıların hem de vakit kaybı ile verimsizliğin önüne geçmiş oluruz.

Dünya’da birçok siber tehdit aktörü kişi ve gruplar var. Tamamını yakından izlemek ekipler için tabi ki mümkün olmayacaktır ama en azından APT (advanced persistent threat) denilen saldırıları düzenleyen aktörlerin yakından takip edilmesi gerekir çünkü ne kadar güvenlik önlemi ve ürün alırsak alalım bir şekilde sızmayı başarabilen tehdit aktörleri bunlardır. Bulunduğumuz coğrafya ve sektöre yönelik bugüne kadar yapılmış saldırılar ve bu saldırıları yapan aktörlerin doğru ya da en yakın bilgisine ancak tüm tehdit aktörlerini izleyerek elde edebiliriz. Yakından izlemek ile elde edeceğimiz en önemli bilgi motivasyonlarıdır. Tehdit aktörleri bir ülkenin desteği ile siyasi amaçlar mı güdüyor (Azerbaycan kurumlarına yapılan saldırılar gibi) yoksa tamamen para motivasyonu ile mi harekete geçiyorlar, bu bilgi ilgili tehdit aktörlerinin bizi hedef alıp almayacağı konusunda bize en yakın tahmini verebilir. Bununla birlikte bugüne kadar yapılmış saldırıların arkasında hangi tehdit aktörlerinin bulunduğu bilgisi de bizim için hayati önem taşır ki, bu şekilde bugüne kadar bizim coğrafyamızda kurumumuzun çalıştığı sektörü hedef almış aktörlerin bilgisine sahip olabiliriz. Basit bir değerlendirme ile ilerleyen dönemlerde bu tehdit aktörlerinin bizi hedef almasının mümkün olduğu sonucuna rahatlıkla erişebiliriz. Tehdit aktörlerinin geçmişteki hareketleri ve saldırıları bir bilgidir ve bizi tehdit etmesi muhtemel aktörlerin bilgisi, savunmamızı oluşturmamız noktasında bizim için istihbarat haline gelir.

Pyramid of Pain

Siber tehdit istihbaratından beklentimiz tabi ki yalnızca bize kimlerin saldıracağı bilgisi değildir. Bir bilgi ancak uygulanabilirse ve size hızlı bir şekilde aksiyon alma imkanı tanıyorsa istihbarattır. Aksi taktirde yalnızca bir bilgidir. Yukarıda belirtildiği gibi kurumumuzu kimlerin hedef alabileceğini tespit ettik ama bu bilgiyi nasıl kullanacağız? Mitre ATT&CK framwork’üne baktığınız zaman saldırganların kullandığı birçok teknik bulunmaktadır. Bir siber tehdit istihbaratının bize sağlaması gereken en önemli bilgi, ilgili tehdit aktörlerinin TTP’leridir (teknik, taktik, prosedürleri). Bunu bize en iyi Pyramid of Pain açıklar.

Pyramid of Pain David Bianco (Fireeye) tarafından oluşturulmuştur ve bize saldırganlar hakkında neye ihtiyacımız olduğunu açık olarak verir. Kısaca özetlemek gerekirse, IoC’ler, yani zararlı dosya hash bilgileri, C2C Ip adresleri ve zararlı domain bilgileri güncel olduğu sürece bizim için çok önemlidir ve yine siber tehdit istihbaratından beklediğimiz en önemli şeylerden biri en güncel IoC’leri bize sağlamasıdır. Ancak bunların tamamının değiştirilmesi çok kolaydır ve bir saldırıda kullanılan IP adresi ya da domainler başka saldırılarda kullanılmayabilir. Bu nedenle yalnızca IoC, siber tehdit istihbaratı kapsamında bizim için yeterli olmayacaktır. Piramitte yukarıya doğru gittikçe saldırganların kullandığı araçları ve TTP’lerini görürüz. İşte bu bilgi bizim için çok değerlidir çünkü saldırganlar daha önce başarılı oldukları araçları ve TTP’leri değiştirmezler. Kullandıkları zararlı dosyalar (ve hash bilgisi), IP adresleri ve domainler değişir ama araçlar ve TTP’ler çoğunlukla değişmeyecektir.

Yukarıda, siber tehdit istibharatı ile bize hangi tehdit aktörlerinin saldırabileceğini tespit etmiştik. İşte bu noktada bize gerekli olan bilgi bu tehdit aktörlerinin saldırırken kullandıkları araçlar ve TTP’leri elde etmemiz gerekir. Siber tehdit istihbaratının bize bu bilgileri mutlaka sağlamasını bekleriz. Tabi ki bu tehdit aktörleri sürekli olarak izlenmeli, her yeni saldırıları ile birlikte varsa kullandıkları yeni araçlar ve teknikler istihbarata eklenmelidir. Elde edilecek bu istihbarat ile birlikte kurumumuzun alt yapısını Mitre Att&ck framework’üne uygun bir hale getirdiğimizde bizi hedef alması muhtemel saldırganlara karşı açık noktalarımızı hızlı bir şekilde belirleyerek kapatılması noktasını önceliklendirebiliriz. Tabi Mitre Att&ck mevcut birçok framework’den yalnızca biri. Kurumunuzun alt yapısına uygun farklı framework’ler ile de aynı işlemleri yerine getirmek, yapılması gerekenleri önceliklendirmek ve kısıtlı kadro ve zaman ile bir çok farklı görevi yerine getirmeye çalışan ekiplerimizin daha verimli çalışmalarını sağlamak mümkündür.

Siber tehdit profili, istihbarat odaklı bir güvenlik stratejisinin önemli bir parçasıdır ve siber riski azaltmak için proaktif bir yaklaşım sağlar. Proaktif bir yaklaşım ise düzenli istihbarat akışı ile mümkündür. Zamanında elde edilmiş doğru bir istihbarat olmadan riskin yönetilmesi mümkün olmayacaktır.