Gelişmiş Siber Tehdit İstihbaratı Nedir?

Giriş

Siber tehditler, dijital ortamda gerçekleşen zararlı faaliyetlerin genel bir tanımını ifade eder. Bu tehditler, bilgisayar sistemlerine, ağlara, yazılımlara ve verilere yönelik olabilir ve genellikle kötü niyetli kişiler veya organizasyonlar tarafından gerçekleştirilir.

Siber güvenlik, bilgisayar sistemlerini, ağları ve verileri siber tehditlere karşı koruma amacını taşır. Tehditlerin artan karmaşıklığı ve sıklığı, siber güvenliğin önemini daha da artırmıştır. Bu alanda Siber Tehdit İstihbaratı ve Gelişmiş Siber Tehdit İstihbaratı ekipleri büyük öneme sahiptirler.

CTI kısaltması "Cyber Threat Intelligence" kelimelerinin baş harflerinden gelmektedir. Türkçe karşılığı "Siber Tehdit İstibaratı" dır.

ACTI kısaltması da "Advanced Cyber Threat Intelligence" kelimelerinin baş harflerinden gelmektedir. Türkçe karşılığı "Gelişmiş Siber Tehdit İstibaratı" dır.

Yazımın kalanında kısaltmaları kullanarak ilerleyeceğim için bir kafa karışıklığına sebebiyet vermemek için bunları açıklamak istedim.

Bu yazıda ACTI'dan bahsedeceğim fakat ACTI'ı anlatabilmem için öncelikle biraz CTI'dan bahsetmem lazım.

CTI

CTI Nedir?

Siber Tehdit İstihbaratı (CTI), dijital alandaki potansiyel siber tehditler ve güvenlik açıkları hakkında bilgi toplama, analiz etme ve yayma sürecini ifade eder. Açık kaynak istihbaratı, dahili ağ günlükleri, güvenlik olayı raporları ve tehdit yayınları gibi çeşitli kaynaklardan veri toplamayı ve ardından bu ham verileri, kuruluşların siber tehditleri anlamasına ve bunlara karşı savunmasına yardımcı olmak için eyleme geçirilebilir içgörülere dönüştürmeyi içerir.

CTI'ın Amacı Nedir?

Siber Tehdit İstihbaratının (CTI) genel amacı, kuruluşlara potansiyel siber tehditler ve güvenlik açıkları hakkında eyleme geçirilebilir bilgi ve öngörüler sağlamaktır. CTI, kapsamlı bir siber güvenlik stratejisinin kritik bir bileşeni olarak hizmet eder ve çeşitli kapsayıcı hedeflere ulaşmayı amaçlar.

CTI'ın Temel Bileşenleri

• Veri Toplama

• Analiz

• Bağlamsallaştırma

• Yaygınlaştırma

• Karar Desteği

• #olay-muedahalesi

• #suerekli-iyilestirme

Veri Toplama

CTI analistleri, ağ trafiği günlükleri, kötü amaçlı yazılım örnekleri, sosyal medya, forumlar ve karanlık web kaynakları dahil olmak üzere çok çeşitli kaynaklardan veri toplar. Bu veriler, IP adresleri, dosya karmaları ve şüpheli davranış kalıpları gibi güvenlik ihlali göstergelerini (IOC'ler) kapsayabilir.

• HUMINT (Human Intelligence): İnsan İstihbaratı — Sahadaki bir insandan elde edilen istihbarat

• OSINT (Open Source Intelligence): Açık Kaynak İstihbaratı - Açık kaynaklardan elde edilen istihbarat

• CYBINT/DNINT (Cyber Intelligence/Digital Network Intelligence): Siber İstihbarat - Siber dünyadan elde edilen istihbarat

• GEOINT (Geospatial Intelligence): Coğrafi Konum İstihbaratı - Uydu ve hava fotoğrafları kullanılarak elde edilen istihbarat

• TECHINT (Technical Intelligence): Teknik İstihbarat — Yabancı ülke silahlı kuvvetlerin kullandığı silah ve teçhizatların analizlerinden elde edilen istihbarat.

• FININT (Financial Intelligence): Finansal İstihbarat — Para transferlerinin analizi sonucunda elde edilen istihbarat

• SIGINT (Signals Intelligence): Sinyal İstihbaratı — Sinyallerin arasına girilerek elde edilen istihbarat

• MASINT (Measurement and Signature Intelligence): Ölçüm ve İmza İstihbaratı — Askeri alanda, nükleer alanda, fizik alanında ve istihbarat alanında kullanılan sabit veya hareket eden bir cismi tespit edebilmek için sensöer verilerinin kullanılması sonucu elde edilen bir istihbarat ve bilim dalıdır.

Analiz

Veriler toplandıktan sonra kalıpları, eğilimleri ve potansiyel tehditleri belirlemek için titiz bir analize tabi tutulur. Analistler, siber tehditlerin doğasını ve ciddiyetini anlamak için veri korelasyonu, davranış analizi ve tehdit profili oluşturma gibi çeşitli teknikleri kullanır.

Bağlamsallaştırma

CTI, toplanan bilgilere bağlam ekleyerek ham verilerin ötesine geçer. Bu bağlam, ilgili tehdit aktörleri, motivasyonları, taktikleri, teknikleri ve prosedürleri (TTP'ler) ve bir siber saldırının potansiyel etkisi hakkındaki ayrıntıları içerebilir.

Yaygınlaştırma

Analizin ardından istihbarat, güvenlik ekipleri, yöneticiler ve kolluk kuvvetleri gibi ilgili paydaşlara dağıtılır. Zamanında ve eyleme geçirilebilir istihbarat, etkili karar verme ve olaylara müdahale için çok önemlidir.

Karar Desteği

CTI, kuruluşların siber güvenlik stratejileri hakkında bilinçli kararlar almasına yardımcı olur. Belirlenen tehditlere karşı koruma sağlamak için güvenlik önlemlerinin önceliklendirilmesine, kaynakların tahsis edilmesine ve karşı önlemlerin geliştirilmesine yardımcı olur.

Olay Müdahalesi

Bir siber olay durumunda CTI, saldırı vektörünün anlaşılmasına, bunun belirli bir tehdit aktörü veya grubuna atfedilmesine ve etkiyi azaltmak ve gelecekteki saldırıları önlemek için müdahale çabalarına rehberlik etmeye yardımcı olabilir.

Sürekli İyileştirme

CTI, tehdit ortamının sürekli izlenmesini gerektiren devam eden bir süreçtir. Kuruluşlar, güvenlik duruşlarını iyileştirmek ve gelişen tehditlere uyum sağlamak için olaylardan ve istihbarat güncellemelerinden elde edilen geri bildirimleri kullanır.

CTI'ın Uygulama Alanları

CTI'ın kullanıldığı alanlara örrnek olarak

• Ağ Güvenliüği

• Güvenlik Açığı Yönetimi

• Tehdit Avcılığı

verilebilir.

CTI'ın İlgilendiği Tehdit Türleri

CTI'nin kuruluşların ele almasına yardımcı olduğu bazı tehdit türleri şunlardır:

• #koetue-amacli-yazilim

• Kimlik Avı Saldırıları

• İçeriden Gelen Tehditler

• #sifir-guen-guevenlik-aciklari

• Gelişmiş Kalıcı Tehditler (APT'ler)

• Dağıtılmış Hizmet Reddi Saldırıları (DDoS)

• Tedarik Zinciri Saldırıları

• Dosyasız Saldırılar

• Kripto Hırsızlığı

• Web Uygulaması Saldırıları

Kötü Amaçlı Yazılım

Kötü amaçlı yazılım (kötü amaçlı yazılım), virüsler, solucanlar, Truva atları, fidye yazılımları ve casus yazılımlar dahil olmak üzere çok çeşitli tehditleri kapsar. CTI, en yeni kötü amaçlı yazılım çeşitleri, yayılma yöntemleri ve güvenlik ihlali göstergeleri (IOC'ler) hakkında bilgi sağlayarak kuruluşların kötü amaçlı yazılımları tanımlamasına, analiz etmesine ve bunlara karşı savunma yapmasına yardımcı olur.

Kimlik Avı Saldırıları

Kimlik avı saldırıları, alıcıları hassas bilgileri ifşa etmeleri, kötü amaçlı bağlantılara tıklamaları veya kötü amaçlı yazılım indirmeleri için kandırmak üzere tasarlanmış aldatıcı e-postaları veya mesajları içerir. CTI, kuruluşların kimlik avı kampanyalarını, kimlik avı altyapısını ve saldırganlar tarafından kullanılan taktikleri tanımasına yardımcı olur.

İçeriden Gelen Tehditler

İçeriden gelen tehditler, çalışanların, yüklenicilerin veya iş ortaklarının bir kuruluşun güvenliğini tehlikeye atan kötü niyetli veya ihmalkar eylemlerini içerir. CTI, kullanıcı davranışını izleyip analiz ederek ve kötü niyetli niyeti gösterebilecek anormallikleri belirleyerek içeriden gelen tehditlerin tespit edilmesine yardımcı olur.

Sıfır Gün Güvenlik Açıkları

Sıfır gün güvenlik açıkları, satıcı tarafından bilinmeyen ve mevcut yamaları bulunmayan yazılım güvenlik açıklarıdır. CTI, bir yama çıkana kadar kuruluşların riskleri azaltmasına yardımcı olmak için sıfır gün güvenlik açıklarını belirlemeyi ve izlemeyi amaçlamaktadır.

Gelişmiş Kalıcı Tehditler (APT'ler)

APT'ler, genellikle ulus devletler veya organize siber suç grupları gibi iyi finanse edilen tehdit aktörleri tarafından düzenlenen karmaşık ve hedefli siber saldırılardır. CTI, APT taktiklerini, tekniklerini ve prosedürlerini (TTP'ler) anlamaya ve APT kampanyalarını tespit etmek ve bunlara yanıt vermek için erken uyarı göstergeleri sağlamaya odaklanır.

Dağıtılmış Hizmet Reddi Saldırıları (DDoS)

DDoS saldırıları, hedefin ağını veya web sitesini yoğun trafikle doldurarak erişilemez hale getirir. CTI, ortaya çıkan saldırı vektörleri ve botnet'ler hakkında bilgi sağlayarak kuruluşların DDoS saldırılarına hazırlanmalarına ve bunları azaltmalarına yardımcı olur.

Tedarik Zinciri Saldırıları

Tedarik zinciri saldırıları, bir kuruluşu dolaylı olarak tehlikeye atmak için üçüncü taraf satıcıları, yazılım güncellemelerini veya bileşenlerini hedef alır. CTI, kuruluşların tedarik zinciri ortaklarının güvenliğini değerlendirmesine ve potansiyel tehditleri izlemesine yardımcı olur.

Dosyasız Saldırılar

Dosyasız saldırılar, geleneksel kötü amaçlı yazılım dosyalarına dayanmaz; bunun yerine, kötü amaçlı etkinlikler gerçekleştirmek için meşru sistem araçlarını ve süreçlerini kötüye kullanır. CTI, kuruluşların dosyasız saldırı tekniklerini anlamalarına ve bunları tespit edip önlemeye yönelik stratejiler geliştirmelerine yardımcı olur.

Kripto Hırsızlığı

Cryptojacking, kurbanın bilgisayarının veya cihazının kripto para madenciliği yapmak için yetkisiz kullanımını ve sistem kaynaklarını tüketmesini içerir. CTI, kuruluşların kripto hırsızlığı faaliyetlerini ve saldırganlar tarafından kullanılan araçları tespit etmesine yardımcı olur.

Web Uygulaması Saldırıları

SQL enjeksiyonu ve siteler arası komut dosyası oluşturma (XSS) gibi web uygulaması saldırıları, yetkisiz erişim elde etmek veya verileri çalmak için web uygulamalarındaki güvenlik açıklarını hedef alır. CTI, kuruluşlara yeni ortaya çıkan web uygulaması saldırı vektörlerini ve eğilimlerini belirlemede yardımcı olur.

Bunlar CTI'nin ele aldığı tehdit türlerine yalnızca birkaç örnektir. Siber Tehdit İstihbaratı, sürekli değişen siber güvenlik ortamında ortaya çıkan yeni ve ortaya çıkan siber tehditleri kapsayacak şekilde sürekli gelişen dinamik bir alandır.

ACTI

ACTI Nedir?

Gelişmiş Siber Tehdit İstihbaratı (ACTI), son derece karmaşık ve hedefe yönelik siber tehditlere odaklanan Siber Tehdit İstihbaratının (CTI) yükseltilmiş ve uzmanlaşmış bir alt kümesidir. ACTI, genellikle gelişmiş kalıcı tehditler (APT'ler) veya yüksek vasıflı siber suçlular olarak adlandırılan gelişmiş tehdit aktörlerinin taktiklerini, tekniklerini ve prosedürlerini (TTP'ler) derinlemesine anlayarak standart CTI'nin ötesine geçer.

ACTI'ın Özellikleri

ACTI'da etkili olan ve en çok bulunması gereken özelliklerden en önemliler şunlardır:

• Tersine Mühendislik Becerileri

• Derinlemesine Tehdit Aktörü Profili Oluşturma

• Sürekli İzleme ve Analiz

ACTI'ın Temel Bileşenleri

• Analiz Derinliği

• TTP Analizi

• Atıf ve Bağlam

• Hedefli Tehditler

• #ulus-devlet-aktoerleri

• #karmasik-koetue-amacli-yazilimlar-ve-aciklardan-yararlanmalar

• İstihbarat Paylaşımı

• #yueksek-nitelikli-analistler

• #suerekli-izleme

• #oezellestirilmis-savunma-stratejileri

Analiz Derinliği

ACTI, gelişmiş tehdit aktörlerinin ve operasyonlarının derinlemesine analizini ve profilini çıkarmayı içerir. Bu onların motivasyonlarını, hedeflerini, yeteneklerini ve bağlılıklarını anlamayı içerir.

TTP Analizi

ACTI, gelişmiş tehdit aktörleri tarafından kullanılan taktikleri, teknikleri ve prosedürleri (TTP'ler) kapsamlı bir şekilde incelemeyi amaçlamaktadır. Buna kullandıkları araçlar, saldırı altyapıları ve tespitten kaçma stratejileri de dahildir.

Atıf ve Bağlam

ACTI, siber saldırıları belirli tehdit aktörlerine, gruplara veya ulus devletlere atfetmeye çalışır. Bir saldırının bağlamını ve kökenini anlamak, etkili savunma ve yanıt için çok önemlidir.

Hedefli Tehditler

ACTI öncelikle hedefi yüksek ve kalıcı olan tehditlere odaklanır. Bu tehditler genellikle belirli kuruluşlara veya sektörlere karşı uzun vadeli kampanyaları içerir.

Ulus Devlet Aktörleri

ACTI sıklıkla, gelişmiş tehdit aktörlerinin bir devlet kuruluşunun kaynakları ve desteğiyle desteklendiği ulus devlet destekli siber saldırılarla ilgilenir.

Karmaşık Kötü Amaçlı Yazılımlar ve Açıklardan Yararlanmalar

ACTI, karmaşık ve özel tasarlanmış kötü amaçlı yazılımların yanı sıra gelişmiş tehdit aktörleri tarafından kullanılan sıfır gün açıklarından yararlanmaların analizini içerir.

İstihbarat Paylaşımı

ACTI, bazı gelişmiş tehditlerin ulusal güvenlik sonuçları nedeniyle sıklıkla devlet kurumları, uluslararası siber güvenlik kuruluşları ve sektöre özel Bilgi Paylaşımı ve Analiz Merkezleri (ISAC'ler) ile istihbarat paylaşımını içerir.

Yüksek Nitelikli Analistler

ACTI, tersine mühendislik, tehdit avcılığı ve siber tehdit ilişkilendirme konularında uzmanlığa sahip yüksek vasıflı analistlerden oluşan bir ekibe ihtiyaç duyar.

Sürekli İzleme

ACTI, gelişmiş tehdit aktörlerinin ve bunların faaliyetlerinin sürekli olarak izlenmesini ve izlenmesini içerir; çünkü bu tehditler genellikle kalıcıdır ve zaman içinde gelişir.

Özelleştirilmiş Savunma Stratejileri

ACTI, kuruluşlara, özelleştirilmiş savunma stratejileri ve proaktif güvenlik önlemleri geliştirmelerine olanak tanıyan gelişmiş tehditlere ilişkin içgörüler sağlar.

ACTI Neden Gereklidir?

Gelişmiş tehditler genellikle gizli ve kalıcıdır. Standart CTI bu tehditlere ilişkin yeterli öngörü sağlayamayabilir. ACTI, gelişmiş tehdit aktörlerinin taktiklerini, tekniklerini ve prosedürlerini belirlemeye yardımcı olur.

Sonuç

#CTI #ACTI #CyberThreatIntelligence #AdvancedCyberThreatIntelligence