Gelişmiş Siber Tehdit İstihbaratı Nedir?
Last updated
Last updated
Siber tehditler, dijital ortamda gerçekleşen zararlı faaliyetlerin genel bir tanımını ifade eder. Bu tehditler, bilgisayar sistemlerine, ağlara, yazılımlara ve verilere yönelik olabilir ve genellikle kötü niyetli kişiler veya organizasyonlar tarafından gerçekleştirilir.
Siber güvenlik, bilgisayar sistemlerini, ağları ve verileri siber tehditlere karşı koruma amacını taşır. Tehditlerin artan karmaşıklığı ve sıklığı, siber güvenliğin önemini daha da artırmıştır. Bu alanda Siber Tehdit İstihbaratı ve Gelişmiş Siber Tehdit İstihbaratı ekipleri büyük öneme sahiptirler.
CTI kısaltması "Cyber Threat Intelligence" kelimelerinin baş harflerinden gelmektedir. Türkçe karşılığı "Siber Tehdit İstibaratı" dır.
ACTI kısaltması da "Advanced Cyber Threat Intelligence" kelimelerinin baş harflerinden gelmektedir. Türkçe karşılığı "Gelişmiş Siber Tehdit İstibaratı" dır.
Yazımın kalanında kısaltmaları kullanarak ilerleyeceğim için bir kafa karışıklığına sebebiyet vermemek için bunları açıklamak istedim.
Bu yazıda ACTI'dan bahsedeceğim fakat ACTI'ı anlatabilmem için öncelikle biraz CTI'dan bahsetmem lazım.
Siber Tehdit İstihbaratı (CTI), dijital alandaki potansiyel siber tehditler ve güvenlik açıkları hakkında bilgi toplama, analiz etme ve yayma sürecini ifade eder. Açık kaynak istihbaratı, dahili ağ günlükleri, güvenlik olayı raporları ve tehdit yayınları gibi çeşitli kaynaklardan veri toplamayı ve ardından bu ham verileri, kuruluşların siber tehditleri anlamasına ve bunlara karşı savunmasına yardımcı olmak için eyleme geçirilebilir içgörülere dönüştürmeyi içerir.
Siber Tehdit İstihbaratının (CTI) genel amacı, kuruluşlara potansiyel siber tehditler ve güvenlik açıkları hakkında eyleme geçirilebilir bilgi ve öngörüler sağlamaktır. CTI, kapsamlı bir siber güvenlik stratejisinin kritik bir bileşeni olarak hizmet eder ve çeşitli kapsayıcı hedeflere ulaşmayı amaçlar.
CTI analistleri, ağ trafiği günlükleri, kötü amaçlı yazılım örnekleri, sosyal medya, forumlar ve karanlık web kaynakları dahil olmak üzere çok çeşitli kaynaklardan veri toplar. Bu veriler, IP adresleri, dosya karmaları ve şüpheli davranış kalıpları gibi güvenlik ihlali göstergelerini (IOC'ler) kapsayabilir.
HUMINT (Human Intelligence): İnsan İstihbaratı — Sahadaki bir insandan elde edilen istihbarat
OSINT (Open Source Intelligence): Açık Kaynak İstihbaratı - Açık kaynaklardan elde edilen istihbarat
CYBINT/DNINT (Cyber Intelligence/Digital Network Intelligence): Siber İstihbarat - Siber dünyadan elde edilen istihbarat
GEOINT (Geospatial Intelligence): Coğrafi Konum İstihbaratı - Uydu ve hava fotoğrafları kullanılarak elde edilen istihbarat
TECHINT (Technical Intelligence): Teknik İstihbarat — Yabancı ülke silahlı kuvvetlerin kullandığı silah ve teçhizatların analizlerinden elde edilen istihbarat.
FININT (Financial Intelligence): Finansal İstihbarat — Para transferlerinin analizi sonucunda elde edilen istihbarat
SIGINT (Signals Intelligence): Sinyal İstihbaratı — Sinyallerin arasına girilerek elde edilen istihbarat
MASINT (Measurement and Signature Intelligence): Ölçüm ve İmza İstihbaratı — Askeri alanda, nükleer alanda, fizik alanında ve istihbarat alanında kullanılan sabit veya hareket eden bir cismi tespit edebilmek için sensöer verilerinin kullanılması sonucu elde edilen bir istihbarat ve bilim dalıdır.
Veriler toplandıktan sonra kalıpları, eğilimleri ve potansiyel tehditleri belirlemek için titiz bir analize tabi tutulur. Analistler, siber tehditlerin doğasını ve ciddiyetini anlamak için veri korelasyonu, davranış analizi ve tehdit profili oluşturma gibi çeşitli teknikleri kullanır.
CTI, toplanan bilgilere bağlam ekleyerek ham verilerin ötesine geçer. Bu bağlam, ilgili tehdit aktörleri, motivasyonları, taktikleri, teknikleri ve prosedürleri (TTP'ler) ve bir siber saldırının potansiyel etkisi hakkındaki ayrıntıları içerebilir.
Analizin ardından istihbarat, güvenlik ekipleri, yöneticiler ve kolluk kuvvetleri gibi ilgili paydaşlara dağıtılır. Zamanında ve eyleme geçirilebilir istihbarat, etkili karar verme ve olaylara müdahale için çok önemlidir.
CTI, kuruluşların siber güvenlik stratejileri hakkında bilinçli kararlar almasına yardımcı olur. Belirlenen tehditlere karşı koruma sağlamak için güvenlik önlemlerinin önceliklendirilmesine, kaynakların tahsis edilmesine ve karşı önlemlerin geliştirilmesine yardımcı olur.
Bir siber olay durumunda CTI, saldırı vektörünün anlaşılmasına, bunun belirli bir tehdit aktörü veya grubuna atfedilmesine ve etkiyi azaltmak ve gelecekteki saldırıları önlemek için müdahale çabalarına rehberlik etmeye yardımcı olabilir.
CTI, tehdit ortamının sürekli izlenmesini gerektiren devam eden bir süreçtir. Kuruluşlar, güvenlik duruşlarını iyileştirmek ve gelişen tehditlere uyum sağlamak için olaylardan ve istihbarat güncellemelerinden elde edilen geri bildirimleri kullanır.
CTI'ın kullanıldığı alanlara örrnek olarak
Ağ Güvenliüği
Güvenlik Açığı Yönetimi
Tehdit Avcılığı
verilebilir.
CTI'nin kuruluşların ele almasına yardımcı olduğu bazı tehdit türleri şunlardır:
Kötü amaçlı yazılım (kötü amaçlı yazılım), virüsler, solucanlar, Truva atları, fidye yazılımları ve casus yazılımlar dahil olmak üzere çok çeşitli tehditleri kapsar. CTI, en yeni kötü amaçlı yazılım çeşitleri, yayılma yöntemleri ve güvenlik ihlali göstergeleri (IOC'ler) hakkında bilgi sağlayarak kuruluşların kötü amaçlı yazılımları tanımlamasına, analiz etmesine ve bunlara karşı savunma yapmasına yardımcı olur.
Kimlik avı saldırıları, alıcıları hassas bilgileri ifşa etmeleri, kötü amaçlı bağlantılara tıklamaları veya kötü amaçlı yazılım indirmeleri için kandırmak üzere tasarlanmış aldatıcı e-postaları veya mesajları içerir. CTI, kuruluşların kimlik avı kampanyalarını, kimlik avı altyapısını ve saldırganlar tarafından kullanılan taktikleri tanımasına yardımcı olur.
İçeriden gelen tehditler, çalışanların, yüklenicilerin veya iş ortaklarının bir kuruluşun güvenliğini tehlikeye atan kötü niyetli veya ihmalkar eylemlerini içerir. CTI, kullanıcı davranışını izleyip analiz ederek ve kötü niyetli niyeti gösterebilecek anormallikleri belirleyerek içeriden gelen tehditlerin tespit edilmesine yardımcı olur.
Sıfır gün güvenlik açıkları, satıcı tarafından bilinmeyen ve mevcut yamaları bulunmayan yazılım güvenlik açıklarıdır. CTI, bir yama çıkana kadar kuruluşların riskleri azaltmasına yardımcı olmak için sıfır gün güvenlik açıklarını belirlemeyi ve izlemeyi amaçlamaktadır.
APT'ler, genellikle ulus devletler veya organize siber suç grupları gibi iyi finanse edilen tehdit aktörleri tarafından düzenlenen karmaşık ve hedefli siber saldırılardır. CTI, APT taktiklerini, tekniklerini ve prosedürlerini (TTP'ler) anlamaya ve APT kampanyalarını tespit etmek ve bunlara yanıt vermek için erken uyarı göstergeleri sağlamaya odaklanır.
DDoS saldırıları, hedefin ağını veya web sitesini yoğun trafikle doldurarak erişilemez hale getirir. CTI, ortaya çıkan saldırı vektörleri ve botnet'ler hakkında bilgi sağlayarak kuruluşların DDoS saldırılarına hazırlanmalarına ve bunları azaltmalarına yardımcı olur.
Tedarik zinciri saldırıları, bir kuruluşu dolaylı olarak tehlikeye atmak için üçüncü taraf satıcıları, yazılım güncellemelerini veya bileşenlerini hedef alır. CTI, kuruluşların tedarik zinciri ortaklarının güvenliğini değerlendirmesine ve potansiyel tehditleri izlemesine yardımcı olur.
Dosyasız saldırılar, geleneksel kötü amaçlı yazılım dosyalarına dayanmaz; bunun yerine, kötü amaçlı etkinlikler gerçekleştirmek için meşru sistem araçlarını ve süreçlerini kötüye kullanır. CTI, kuruluşların dosyasız saldırı tekniklerini anlamalarına ve bunları tespit edip önlemeye yönelik stratejiler geliştirmelerine yardımcı olur.
Cryptojacking, kurbanın bilgisayarının veya cihazının kripto para madenciliği yapmak için yetkisiz kullanımını ve sistem kaynaklarını tüketmesini içerir. CTI, kuruluşların kripto hırsızlığı faaliyetlerini ve saldırganlar tarafından kullanılan araçları tespit etmesine yardımcı olur.
SQL enjeksiyonu ve siteler arası komut dosyası oluşturma (XSS) gibi web uygulaması saldırıları, yetkisiz erişim elde etmek veya verileri çalmak için web uygulamalarındaki güvenlik açıklarını hedef alır. CTI, kuruluşlara yeni ortaya çıkan web uygulaması saldırı vektörlerini ve eğilimlerini belirlemede yardımcı olur.
Bunlar CTI'nin ele aldığı tehdit türlerine yalnızca birkaç örnektir. Siber Tehdit İstihbaratı, sürekli değişen siber güvenlik ortamında ortaya çıkan yeni ve ortaya çıkan siber tehditleri kapsayacak şekilde sürekli gelişen dinamik bir alandır.
Gelişmiş Siber Tehdit İstihbaratı (ACTI), son derece karmaşık ve hedefe yönelik siber tehditlere odaklanan Siber Tehdit İstihbaratının (CTI) yükseltilmiş ve uzmanlaşmış bir alt kümesidir. ACTI, genellikle gelişmiş kalıcı tehditler (APT'ler) veya yüksek vasıflı siber suçlular olarak adlandırılan gelişmiş tehdit aktörlerinin taktiklerini, tekniklerini ve prosedürlerini (TTP'ler) derinlemesine anlayarak standart CTI'nin ötesine geçer.
ACTI'da etkili olan ve en çok bulunması gereken özelliklerden en önemliler şunlardır:
Tersine Mühendislik Becerileri
Derinlemesine Tehdit Aktörü Profili Oluşturma
Sürekli İzleme ve Analiz
ACTI, gelişmiş tehdit aktörlerinin ve operasyonlarının derinlemesine analizini ve profilini çıkarmayı içerir. Bu onların motivasyonlarını, hedeflerini, yeteneklerini ve bağlılıklarını anlamayı içerir.
ACTI, gelişmiş tehdit aktörleri tarafından kullanılan taktikleri, teknikleri ve prosedürleri (TTP'ler) kapsamlı bir şekilde incelemeyi amaçlamaktadır. Buna kullandıkları araçlar, saldırı altyapıları ve tespitten kaçma stratejileri de dahildir.
ACTI, siber saldırıları belirli tehdit aktörlerine, gruplara veya ulus devletlere atfetmeye çalışır. Bir saldırının bağlamını ve kökenini anlamak, etkili savunma ve yanıt için çok önemlidir.
ACTI öncelikle hedefi yüksek ve kalıcı olan tehditlere odaklanır. Bu tehditler genellikle belirli kuruluşlara veya sektörlere karşı uzun vadeli kampanyaları içerir.
ACTI sıklıkla, gelişmiş tehdit aktörlerinin bir devlet kuruluşunun kaynakları ve desteğiyle desteklendiği ulus devlet destekli siber saldırılarla ilgilenir.
ACTI, karmaşık ve özel tasarlanmış kötü amaçlı yazılımların yanı sıra gelişmiş tehdit aktörleri tarafından kullanılan sıfır gün açıklarından yararlanmaların analizini içerir.
ACTI, bazı gelişmiş tehditlerin ulusal güvenlik sonuçları nedeniyle sıklıkla devlet kurumları, uluslararası siber güvenlik kuruluşları ve sektöre özel Bilgi Paylaşımı ve Analiz Merkezleri (ISAC'ler) ile istihbarat paylaşımını içerir.
ACTI, tersine mühendislik, tehdit avcılığı ve siber tehdit ilişkilendirme konularında uzmanlığa sahip yüksek vasıflı analistlerden oluşan bir ekibe ihtiyaç duyar.
ACTI, gelişmiş tehdit aktörlerinin ve bunların faaliyetlerinin sürekli olarak izlenmesini ve izlenmesini içerir; çünkü bu tehditler genellikle kalıcıdır ve zaman içinde gelişir.
ACTI, kuruluşlara, özelleştirilmiş savunma stratejileri ve proaktif güvenlik önlemleri geliştirmelerine olanak tanıyan gelişmiş tehditlere ilişkin içgörüler sağlar.
Gelişmiş tehditler genellikle gizli ve kalıcıdır. Standart CTI bu tehditlere ilişkin yeterli öngörü sağlayamayabilir. ACTI, gelişmiş tehdit aktörlerinin taktiklerini, tekniklerini ve prosedürlerini belirlemeye yardımcı olur.
Sonuç olarak, Gelişmiş Siber Tehdit İstihbaratı (ACTI), CTI bünyesinde en karmaşık ve hedefe yönelik siber tehditlere odaklanan uzmanlaşmış ve gelişmiş bir disiplindir. Derinlemesine analiz, ilişkilendirme ve eyleme dönüştürülebilir istihbarat sağlayarak kuruluşların ve hükümetlerin ulus devlet destekli siber saldırılara, gelişmiş kalıcı tehditlere ve yüksek vasıflı siber düşmanlara karşı savunma yapmasına yardımcı olmada kritik bir rol oynar.
#CTI #ACTI #CyberThreatIntelligence #AdvancedCyberThreatIntelligence
