"Siber İstihbarat" demek, siber uzaydaki gözünüz demektir.
Siber istihbarat hizmetinin amacı, kurumların olası siber güvenlik risklerini anlamalarına yardımcı olmaktır. Siber istihbarat çalışmalarıyla, kurumunuza zarar verebilecek saldırı türleri hakkında ayrıntılı bilgiler elde etmiş olacaksınız. Seccops’un siber uzayda etkin manevra kabiliyetine sahip siber istihbarat analist kadrosu ve geliştirmiş olduğu Cyberthint siber tehdit istihbaratı ürünüyle etkili bir siber istihbarat hizmetine sahip olmanız sonucunda, kurumunuzun güvenliğine yönelik proaktif bir katman daha eklemiş olacaksınız. Böylece, uzman ekibimiz ve otomasyonumuzun (Cyberthint) da desteği sayesinde, saldırganlar sistemlerinize ve verilerinize zarar vermeden önce harekete geçebilirsiniz.
İstihbarat Nedir?
İstihbarat kelimesi Arapçadaki “istihbar” kelimesinin çoğuludur. Haberler, yeni alınan bilgiler veya haber alma anlamına gelmektedir. TDK’daki anlamı da benzer şekilde “yeni öğrenilen bilgiler, haberler ve duyumlar” olarak açıklanmaktadır. İstihbaratın ne demek olduğunu anlamak için bazı kavramların üzerinde durmamız gerekmektedir.
- Veri: Yönlendirme amacıyla kullanılan, işe yarayabilecek veya yaramayacak metin, belge ve seslerin ham halidir.
- Enformasyon: Enformasyon Fransızcada “danışma, tanıtma, haber alma, haber verme, haberleşme” anlamlarına gelmektedir. Verinin işlenmiş ve düzenlenmiş haline denir. Yazılı, sözlü veya görsel bir mesajdır.
- (Anlamlı) Bilgi: Enformasyonun zenginleştirilmiş halidir. Zenginleştirme işlemi deney, tecrübe, yorum, analiz ve bağlam yoluyla yapılabilir.
İstihbaratın ne olduğunu özetleyecek olursak; “İstihbarat, ulaşılabilen açık, yarı açık ve gizli kaynaklardan elde edilen bilginin, ulusal güvenliği tehdit edecek unsurlara karşı koruma sağlamak amacıyla yahut politika yapıcıların, ulus menfaatlerini olumlu şekilde etkileyecek kararların alınması hususunda ihtiyaç duyduğu bilgilerin elde edilip, doğruluğuna göre sınıflandırılması, karşılaştırılması, analiz edilmesi süreci sonucunda ulaşılan bilgidir.”
İstihbaratı kaynaklarına göre sınıflandıracak olursak;
- İnsana dayalı istihbarat (HUMINT)
- Coğrafi istihbarat (GEOINT)
- Görüntü istihbaratı (IMINT)
- Video istihbaratı (VIDINT)
- Fotoğraf istihbaratı (PHOTINT)
- Ölçümsel ve işaretsel istihbarat (MASINT)
- Açık kaynak istihbaratı (OSINT)
- Teknik istihbarat (TECHINT)
- Sinyal istihbaratı (SIGINT)
- İletişim istihbaratı (COMINT)
- Elektronik istihbarat (ELINT)
Ve bu yukarıdaki listeye ek olarak, siber uzay üzerinden yapılan/toplanan istihbarat çalışmasına “siber istihbarat (CYBINT)” denilmektedir.
Siber Tehdit İstihbaratı Nedir?
Bu tanımı yapmadan önce siber tehdidin ne olduğuna değinmemiz yararlı olacaktır.
Siber tehdit, kötü niyetli kişi veya oluşumların, kontrol sistemi cihazlarına veya şebekesine yetkisiz erişim teşebbüsünde bulunması, ağ yapısını bozması veya kullanılamaz hale getirmesidir. Siber tehditler çeşitli yerlerden, insanlardan, kurum veya kuruluşlardan kaynaklanabilir. Bu duruma başlıca örnekler:
- Hackerler
- Teröristler
- Ticari rakipler
- Casuslar
- Devletler ve istihbarat kurumları
- Mutsuz çalışanlar
- Organize suç grupları
Yukarıda bahsedilen siber tehdit kaynaklarının/unsurlarının, zarar vermek amacıyla gerçekleştirdikleri işlemlere siber tehdit denir. Bu tehditler, saldırganların, kurbanlarına saldırı gerçekleştirirken ne tür bir senaryo izleyebileceklerine dair fikir oluşturur. Bahsettiğimiz siber tehditlere örnek vermek gerekirse;
- Malware: Zararlı yazılım
- Spyware: Casus yazılımlar
- Malvertising: Reklamlara gömülmüş zararlı yazılımlar
- Man in the Middle (MiTM): Ortadaki Adam saldırıları
- Wiper Attacks: Bulaştığı sistemde her şeyi geri getirilemeyecek şekilde silen zararlı yazılımlar
- Distributed Denial of Service (DDoS): Servis dışı bırakma saldırıları
- Ransomware: Fidye amaçlı zararlı yazılım
- Botnet: Ele geçirilmiş (zombi) bilgisayarlar üzerinden yapılan saldırılar, çoğunlukla DDoS amacıyla kulanılırlar
- Trojan: Truva atı denmektedir, bilgisayarın erişimini uzaktan sağlayan zararlı yazılımlardır
- Phishing: Oltalama saldırıları
- Data Breaches: Veri sızıntıları
- Worm: Solucanlar
- Keylogger: Klavye işlemlerini Kaydeden zararlı yazılım
- Backdoor: Sisteme tekrar (sessizce) erişmeyi sağlayan arka kapı yazılımı
- Advanced Persistent Threats (APT): Hedef odaklı saldırılar
- …
➤ Siber Tehdit İstihbaratı
Siber tehdit istihbaratı, bir kurumun veya varlığın güvenliğini tehdit eden mevcut ve potansiyel saldırılar hakkındaki bilgilerin toplanmasına, analiz edilmesine odaklanan siber güvenlik alanıdır. Siber tehdit istihbaratı hizmetinin yararı, veri sızıntılarını önleme ve özellikle de finansal maliyetlerden tasarruf sağlatmasıdır. Amacı, kurum/kuruluşlara kendilerine karşı oluşan tehditleri göstermek, anlamlandırılmasına yardım etmek ve korumaktır.
Siber tehdit istihbaratı, toplanan verilerin analizinden sonra saldırganların düşüncelerini, amaçlarını, motivasyonlarını, yöntem ve metotlarını tespit etmek amacı taşır.
Siber tehdit istihbaratı, eyleme geçirilebilir çözümlerdir. Bu nedenle gerçek zamanlı aksiyonlar alınabilir ve olası saldırılara karşı hazırlıklı olunabilir. Bu duruma proaktif siber güvenlik denilmektedir.
Siber tehdit istihbaratı, seviyelerine göre gruplara ayrılmaktadır. Bunlar;
- Stratejik İstihbarat: Düşmanı tanımaya yönelik olan istihbarat çeşididir. Zarar verme potansiyeli olan kurum/kuruluş/kişi/grupların izlenmesi sonucu oluşturulur. Saldırganların niyetlerine, motivasyonlarına, taktik ve stratejilerine, geçmişteki eylemlerine ve olması muhtemel saldırılarına yönelik bilgi içerir.
- Operasyonel İstihbarat: Bu istihbarat çeşidi saldırganların teknik, taktik ve prosedürlerini içermektedir. Bu bilgiler SOC (Security Operation Center) hizmeti sağlayan ekiplere servis edilir ve onlar tarafından analiz edilip olası saldırılara karşı bir önlem olarak kullanılabilir.
- Taktiksel İstihbarat: Bu istihbarat çeşidi, sistem ve ağ üzerindeki olası kötü amaçlı etkinlikleri tanımlayan bilgileri içermektedir. IoC (Indicators of Compromise) denilen bu bilgiler, bulundukları yapıdaki olağan dışı ve şüpheli hareket bilgisidir (IP, URL, domain, hash gibi). Taktiksel istihbarat, SIEM, SOAR, IDP/IPS, Anti-Spam, Firewall, Endpoint Protection gibi güvenlik çözümlerine de entegre edilebilmektedir.
Siber Tehdit İstihbaratı Neden Gereklidir ve Faydaları Nelerdir?
Ponemon Enstitüsü tarafından 2015 yılının yapılan bir ankete göre; şirketlerin %40’ında son 2 yılda maddi olarak sonuçlanan bir güvenlik ihlali yaşanmıştır ve ihlallerin %80’ninin, tehdit istihbaratı ile engellenebileceği ya da hasarı en aza indirebileceği tespit edilmiştir.
Katılımcıların sadece %36’sı şirketlerinin savunmasını güçlü olarak değerlendirmiştir. Katılımcıların neredeyse yarısı bir saldırının sonuçlarını önlemek veya azaltmak için aldıkları istihbarat verilerini artırmaktadır.
Bu kurumlar ortalama olarak haftada 16937 alarm almaktadır. Alarmların sadece %19 güvenilir olarak değerlendirilmiştir. Alarmların sadece %4’ü araştırılabilinmiştir. Yanlış uyarılara karşılık yılda 1,27 milyon dolar harcadığı belirlenmiştir. Bu bahsedilen problemler doğru siber tehdit istihbaratı yöntemleri ile minimuma indirgenebilir.
Siber tehdit istihbaratı, olası tehditler hakkında farkındalık kazandırılması amacı taşımaktadır. Kurum içi istenmeyen olaylara gerçekleşmeden önce müdahale edilmesi için gerekli bir alandır. Bu şekilde güvenlik çözümleri en üst seviyeye çıkarılmış ve gerekli önlemler alınmış olur. Siber tehdit istihbaratı hizmetinin faydaları arasında; veri kaybını önleme, veri ihlallerini tespit etme, olay yanıtı, tehdit analizi, veri analizi, tehdit istihbarat paylaşımı sayılabilir.
Veri Kaybı Önleme
Bir siber tehdit istihbarat sistemi, kötü niyetli IP adresleri ve alan adları ile erişim girişimlerini izleyebilir, çalışanlara yapılabilecek olası phishing saldırılarını algılayabilir. Bu verilerin toplanıp analiz edilmesi olası aynı durumlar için önlem niteliği oluşturabilmektedir.
Veri İhlallerini Tespit Etme
Gerçekleşmiş veya gerçekleşmekte olan bir veri ihlali ne kadar erken tespit edilirse, kurum üzerindeki zararlı etkisi de o kadar az olur. Bu noktada veri ihlalleri ve sızıntıları tespiti hem maddi açıdan yaşanacak kayıplara, hep kurumun saygınlık kaybetmesine bir önlem niteliği taşımaktadır.
Olay Yanıtı
Yukarıda bahsettiğimiz ver kaybı veya sızıntısının hangi cihazlar üzerinde gerçekleştiği/gerçekleşmekte olduğu bilgisi tehlikeye giren sistemleri belirlemeye yardımcı olur. Böylelikle aynı ihlallerin gerçekleşmemesi adına alınacak önlemler daha bilinçli yapılandırılabilir.
Tehdit Analizi
Tehdit analizi, gerekli savunma mekanizmaları ve alınabilecek önlemler hakkında fikir verir. Bu analiz, daha önce yapılmış saldırılar veya gerçekleşmeden önce tespit edilmiş saldırılar üzerinden gerçekleşmektedir. Amaç saldırganların teknik, taktik ve prosedürlerini anlamak, tehdit oluşturabilecek noktalara doğru çözüm önerilerini getirmektir.
Veri Analizi
Toplanan verilerin analiz edilmesi saldırganların oluşturdukları/oluşturabilecekleri tehditlere karşı ek bilgiler elde edilmesine yardımcı olur.
Tehdit İstihbarat Paylaşımı
Tehdit istihbaratı paylaşımı kurumların elde ettikleri tehditsel verileri diğer kurumlarla paylaşmasıdır. Amacı; hedeflenen saldırılara karşı kullanılan önlemlerin geliştirilmesine yardımcı olmaktır. Gerçekleşmekte olan tehditlerle bireysel olarak savaşmak neredeyse imkânsız olduğu için topluluklar arası bilgi paylaşımı hayati önem taşımaktadır.
Seccops, kurumunuza saldırıda bulunan yasa dışı kişi ve oluşumlar ile mücadele etmenizde sizlere güvenilir bir kaynak olarak hizmet sunar.