Siber İstihbarat ve Siber Tehdit İstihbaratı
Cyber Intelligence and Cyber Threat Intelligence
Öz
“İstihbarat” kelimesi farklı dillerde “zekâ, malumat, haber alma, yeni öğrenilen haberler” gibi anlamlarda kullanılabilmektedir. Türkçe’de ise haber toplama anlamına gelmektedir. Toplanan herhangi bir ham bilgi; yanıltıcı, yanlış ve ilişkisiz parçalardan oluşabilir. Siber tehdit istihbaratı, bilginin işlemden geçmesi ve değerlendirilerek ayıklanması gibi belli istihbarat disiplini ve toplama yöntemlerinin bütünü olarak tanımlanmaktadır. Siber saldırganların saldırı yöntemleri gün geçtikçe artmaktadır. Dolayısıyla siber tehdit istihbarat ekiplerince elde edilen verilerle, olası saldırı faaliyetlerinden haberdar olmak ve en kısa sürede gereken aksiyonu almak oldukça kritik bir öneme sahiptir. Bu makalede, siber istihbaratın (CI - Cyber Intelligence) ve siber tehdit istihbaratın (CTI - Cyber Threat Intelligence) ne olduğuna, amaçlarına, aralarındaki farka ve siber istihbaratın hangi adımlardan oluştuğuna değinilmekle birlikte, alınması gereken önlemlere de dikkat çekilmektedir.
Anahtar Kelimeler: İstihbarat, Siber İstihbarat, Siber Tehdit İstihbaratı, İstihbarat Çarkı
Abstract
Intelligence means mind, knowledge, apprehension, breaking news, and information in various languages. In Turkish, it means gathering data. However, basic information may consist of misleading, inaccurate, and unrelated pieces. Cyber threat intelligence is recognized as the whole particular intelligence discipline and collecting methods involving procedures such as processing, evaluating, and sorting information. The aggression methods of cyber attackers are increasing day by day. Therefore, it is inevitably important to be aware of possible attacks parallel with the information obtained by cyber threat intelligence teams and take the necessary action as soon as possible. The present article stresses what cyber intelligence (CI) and cyber threat intelligence (CTI) are as well as the goals, to the difference between and steps in cyber intelligence. It ends with precautions in the cyber intelligence process.
Keywords: Intelligence, Cyber Intelligence, Cyber Threat Intelligence, CTI, Intelligence Wheel
Giriş
Her geçen gün gelişmekte olan teknoloji ile birlikte birçok faaliyetimizi artık dijital dünya üzerinden gerçekleştirmekteyiz. Dolayısıyla internet üzerinden gelecek olan tüm tehditlere karşı açık durumdayız. Bu saldırılara karşı alınacak tedbirler ve yapılacak savunmalarda en önemli nokta ise siber istihbarat ve siber tehdit istihbaratı faaliyetleridir. Siber istihbarat, olası risklerin anlamlandırılması ve tehditlerin tespit edilerek aksiyon alınması anlamına gelmektedir. Bu makalede istihbaratın ve siber tehditin ne anlam ifade ettiği anlatılmakta ve risklere karşı alınması gereken önlemlere değinilmektedir.
Siber İstihbarat
Siber istihbarat, bir kuruma zarar verme olasılığı olan etkenleri önceden analiz eden ve bu yönde bir rapor sunarak kuruma önlem alma fırsatı sunan çözüm ve araç setlerini kullanabilme kabiliyetidir. Toplanan verilerle kurum, olası tehditlerden ve kurumdaki riskli kısımlardan önceden haberdar olmuş olur. Dolayısıyla kurum içi bilgilenme artar ve tehditlere karşı hazırlıklı hale gelinir. Bu bağlamda, siber istihbarat hizmeti veren farklı kurum ve kuruluşlar, ileri düzey güvenlik testleri, forensic (adli bilişim) analizleri, olay müdahale süreçleri, danışmanlık ve siber güvenlik eğitimleri gibi faaliyetleri gerçekleştirebilmektedir.
İçinde yaşadığımız dijital dünyada teknolojinin giderek gelişmesiyle birlikte her an farklı bir saldırıyla karşı karşıya kalabilmekteyiz. Kritik sistemleri ve büyük verileri hedef alan siber tehditleri takip etmek zaman alan bir çalışma olmasına rağmen, tepki süresine dikkat edilmesi gerektirmektedir.
Siber istihbarat çalışmaları neticesinde kurumlar ve kuruluşlar güncel tehditlere odaklanabilmekte; tehdit keşifleri ve analiz süreçleri ile gerçekleşebilecek olası saldırılara karşı önlem alabilmektedir. İstihbarat çarkı, bu istihbarat süresi boyunca durmadan devam eden bir süreçtir.
İstihbarat Çarkı
Ham bilginin istihbarat sayılması için çeşitli işlemlerden geçmesi gerekmektedir. İstihbarat faaliyetleri kesintisiz devam eden bir süreçtir ve bu faaliyetler 4 aşamalı bir çarka benzetilmektedir. (Bkz. Çizelge 1)
Çizelge 1: İstihbarat Çarkı
İstihbarat İhtiyaçların Tespiti ve Yönlendirilmesi çarkın birinci aşamasıdır. Bu süreç ihtiyaçların belirlenmesi, istihbarat toplama planının oluşturulması ve haber toplama çalışmalarının yönlendirilmesi gibi işlemleri kapsamaktadır.
Haberlerin Toplanması çarkın ikinci aşmasıdır. Haberler açık ve gizli kaynaklardan toplanmaktadır. Açık kaynaklara örnek olarak gazete, televizyon, internet siteleri vb. verilebilir. Bununla birlikte çeşitli istihbarat yöntemleri kullanılarak haber elde edilmesi ise gizli kaynaklardan haber toplanması olarak nitelendirilmektedir.
Haberlerin İşlenmesi (Değerlendirilmesi) çarkın üçüncü aşmasıdır. Haberler açık ve gizli kaynaklardan elde edildikten sonra bilgi ve belgelerin sınıflandırılması, ayıklanması ve yorumlanması gerçekleştirilir.
İstihbaratın Yayımı ve Kullanılması çarkın son aşamasıdır ve ham bilgi işlenerek değerlendirilme sürecinden geçtikten sonra artık istihbarat niteliği taşıyordur. Tüm bu evreler tamamlandıktan sonra istihbarat niteliği taşıyan bilgilerin zamanında ilgili yere ulaştırılması gerekmektedir.
Siber İstihbaratın Önemi
Siber istihbaratın ilk ve en önemli amacı bir kişi veya kurumlar için değerli olan verilerin, kötü niyetli kişilerin eline geçmeden olası veri ihlalinin tespit edilmesidir. Saldırganlar tarafından silindikten sonra, faaliyetin kim tarafından gerçekleştirildiği öğrenilse dahi bir önemi kalmamaktadır. Dolayısıyla veri ihlalinin öncesinde fark edilmesi veri kaybının önüne geçilmesini sağlayabilmektedir. Sistemlerde daha öncesinde gerçekleşmiş veri ihlallerinin incelenmesiyle yeni tedbirler alınabilmekte ve yaşanması olası ihlallerin gerçekleşmesi engellenebilmektedir.
Siber Tehdit
Siber tehdit; kötü niyetli kişi veya oluşumların bir veri iletişim yolu kullanarak, hedefin bilgisi ve izni olmadan bilgisayar ağını bozma, kullanılamaz hale getirme ya da sistemdeki cihazlara yetkisiz erişilmesi veya erişilme olasılığı olarak tanımlanmaktadır.
Kişi, kurum veya kuruluşlara yönelik saldırılar; hacktivist gruplar, mutsuz çalışanlar, casuslar, organize suç grupları veya rakip firmalar gibi çok sayıda kaynak tarafından gerçekleştirilebilir. Bunun gibi siber tehdit kaynaklarının çoğunlukla saldırı amaçları aynı olmakla birlikte, zarar vermek için gerçekleştirilen bu eylemlere siber tehdit denilmektedir. Bu tehditler saldırganın motivasyonuna göre kurbana hangi senaryo ile saldıracağına dair fikir vermektedir. Siber tehditlere bazı örnekler;
- Malware: Zararlı yazılımlar,
- Spyware: Casus yazılımlar,
- Malvertising: Reklamlara gömülmüş zararlı yazılımlar,
- Wiper Attacks: Bulaştığı sistemde her şeyi geri getirilemeyecek şekilde silen zararlı yazılımlar,
- Distributed Denial of Service (DDoS): Servis dışı bırakma saldırıları,
- Ransomware: Fidye amaçlı zararlı yazılım,
- Botnet: Ele geçirilmiş (zombi) bilgisayarlar üzerinden yapılan saldırılar (çoğunlukla DDoS amacıyla kullanılırlar),
- Trojan: (Truva atı da denmektedir) Bilgisayarın erişimini uzaktan sağlayan zararlı yazılımlar,
- Phishing: Oltalama saldırıları,
- Data Breaches: Veri sızıntıları,
- Worm: Solucanlar,
- Keylogger: Klavye işlemlerini Kaydeden zararlı yazılımlar,
- Backdoor: Sisteme tekrar (sessizce) erişmeyi sağlayan arka kapı yazılımları,
- Advanced Persistent Threats: Hedef odaklı saldırılar düzenleyen devlet destekli siber ordular,
- Sosyal Mühendislik: Hedefe ulaşmak uğruna, insanların kandırılırak yürütüldüğü saldırılar şeklinde sıralanabilirler.
Son yıllarda tehdit istihbaratı çoğunlukla; fidye yazılımı saldırıları, zararlı yazılım saldırıları, oltalama saldırıları, servis dışı bırakma (DoS - DDoS) saldırıları, veri sızıntıları, son kullanıcıya yönelik saldırılar gibi hedeflere yönelik yapılmaktadır.
Siber Tehdit İstihbaratı
Siber Tehdit İstihbaratı (Cyber Threat Intelligence - CTI), istismar kodları, zararlı yazılımlar, zafiyetler, IoC’ler (Indicator of Compromise), IoA’ ler (Indicator of Attack), tehditin boyutu, saldırganın motivasyonu, amacı gibi kritik verilerin toplanıp değerlendirilmesi ve bu veriler birer tehdit unsuru konumuna gelmeden, mevcut sistemin çalıştırılması gibi süreçleri kapsar. Siber tehdit istihbaratı, gerçekleştirilebilir çözüm yolları yani proaktif siber güvenlik sağlamaktadır. Dolayısıyla olası tehditlere karşı hazırlıklı olunmakta ve anında aksiyon alınabilmektedir. Siber tehdit istihbaratı, seviyelerine göre gruplara ayrılmaktadır. Bunlar;
- Stratejik İstihbarat: Saldırganı tanımaya yönelik olan istihbarat çeşididir. Kötü niyetli kişi; kurum, kuruluş veya grupların izlenmesi sonucunda ortaya çıkar. Saldırganların motivasyonlarını, niyetlerini ve geçmişte gerçekleştirmiş oldukları eylemlerden yola çıkarak olası saldırıları içerir.
- Operasyonel İstihbarat: Saldırganların teknik, taktik ve uydukları yöntemleri içermektedir. SOC ekibi tarafından bu bilgiler analiz edilir ve önlemler alınabilir.
- Taktiksel İstihbarat: Sistem ve ağ üzerindeki olağan dışı, şüpheli ve kötü amaçlı etkinlikleri tanımlayan verileri yani IoC (Indicators of Compromise), IoA (Indicator of Attack) veya TTP (Tactics, Techniques, and Procedures) içermektedir.
Siber Tehdit İstihbaratı Yaşam Döngüsü
Siber tehdit istihbaratı, tekrar etmeyen bir düzen içinde değil, istihbaratın geliştirildiği döngüsel bir süreçtir. Bu süreçte toplanacak verinin kapsamı belirlenir, veri toplama planlaması yapılır, uygulanır, analiz edilerek değerlendirilir, yapılan analizler hedef kitleyle paylaşılır ve hedef kitleden geri bildirim alınır.
1. Yön Belirleme: CTI programına yönelik uygun yol haritasının çizilme aşamasıdır. Kurumda korunması gereken varlıklar, bu varlıklar kaybedilirse ortaya çıkacak sonuçlar ve bu varlıkların korunması için ihtiyaç duyulan güvenlik çözümleri belirlenir. Diğer aşamalara geçmeden önce yapılan bu istihbarat çalışması doğru zamanda ve doğru kararı vermek için gerekli bilgilerdir.
2. Toplama: Yön belirleme aşamasında belirlenen gereksinimleri desteklemek için, güvenlik cihazlarından veri çekme, açık kaynaklı blogları tarama gibi yollarla bilgi toplama sürecidir. Bu veriler toplanırken kullanılan yöntemler;
- HUMINT (Human Intelligence): İnsanlardan elde edilen istihbarattır.
- GEOINT (Geospatial Intelligence): Uydu ve hava fotoğrafları kullanılarak elde edilen coğrafi konum istihbaratıdır.
- MASINT (Measurement and Signature Intelligence): Elektro-optik, Nükleer, Jeofiziksel, Radar, Malzeme, Radyo frekansı ölçümlerinden elde edilen ölçüm istihbaratıdır.
- OSINT (Open Source Intelligence): Açık kaynak istihbaratıdır.
- SIGINT (Signals Intelligence): Sinyal istihbaratıdır. Sinyallerin arasına girilerek elde edilen verilerdir. COMINT (Communication Intelligence) – Haberleşme istihbaratı ve ELINT (Electronic Intelligence) – Elektronik İstihbarat olarak iki alt başlığı vardır.
- TECHINT (Technical Intelligence): Teknik istihbarattır. Silahlı kuvvetlerin kullandığı silah ve teçhizatların analizlerinden elde edilen veya işlenerek istihbarat haline getirilecek olan ham bilgilerin bir takım cihazlar ile toplanmasıdır.
- CYBINT/DNINT (Cyber Intelligence/Digital Network Intelligence): Siber güvenlik istihbaratıdır. Siber güvenlik dünyasından elde edilen verilerdir.
- FININT (Financial Intelligence): Finansal istihbarattır. Para transferlerinin sonucunda elde edilen verilerdir.
3. İşleme: Bu aşamaya kadar elde edilen bilgiler ham bilgi formatındadır. Dolayısıyla istihbarat değerlendirmesine hazır olmayan bilgilerdir ve analiz edilebilecek bir formatta ister insanlar ister makineler tarafından olsun, işlenmesi gereklidir. Bu aşamadaki yapılandırma, ayrıştırma, şifre çözme, filtreleme, birleştirme gibi işlevleri uygulamak için otomatik araçlar kullanılabilir.
4. Analiz: Veriler kullanılabilir bir formatta işlendikten sonra ilk aşamada belirlenen gereksinimler, sorulan soruların yanıtları ve verileri anlayıp hedefleri karşılayıp karşılamadığını tespit etmek için kapsamlı bir analiz yapılmalıdır.
5. Yaygınlaştırma: Yapılan analizler hedef kitleye aktarılır. Kuruluş içerisinde farklı ekiplerin farklı verilere ihtiyacı olduğundan dolayı istihbaratın nasıl, hangi biçimde ve ne sıklıkta sunulduğu ekibe bağlıdır.
6. Geri Bildirim: Yaygınlaştırma aşamasında hedef kitleye rapor sunulduktan sonra gelecek döngünün temel bilgilerini belirlemek adına geri bildirim istenir.
Bu bağlamda yaşam döngüsü önceki süreçlerin başarısıyla, doğru zaman ve doğru değerlendirme üreten, kuruluşların sürekli geliştirme için kullandığı döngüsel bir süreçtir.
Siber Tehdit İstihbaratı Kaynakları
Siber tehdit istihbaratı birden fazla kaynaktan sağlanan, tehditler hakkında kesin bulgulardan oluşan ve harekete geçilebilir bilgilerdir. Bu kaynaklar kurum içi tehdit istihbaratı ve kurum dışı tehdit istihbaratı olarak iki kısma ayrılabilir.
Kurum içi tehdit istihbaratı, kurum içinden toplanan veri noktaları ve bilgilerdir. Örnek olarak; güvenlik ürünleri ve sistemlerle entegrasyonu tam sağlanan SIEM logları, olay müdahale raporları, network aktiviteleri, honeypot verileri verilebilir.
Kurum dışı tehdit istihbaratı, kurumun dışından elde edilen istihbaratlardır. Örnek olarak; bloglar, haber kaynakları, zafiyet haberleri, APT gruplarının bilinen yöntemleri, sosyal medya, darkweb ve deepweb takibi neticesinde elde edilebilecek veriler verilebilir.
Siber Tehdit İstihbaratının Önemi
Siber tehdit istihbaratı, mevcut veya olası tehditler hakkında farkındalık kazandıran ve istenmeyen ihlaller gerçekleşmeden önce duruma müdahale edilmesi için gerekli olan, süreklilik sağlayan bir alandır. Siber tehdit istihbaratının faydaları arasında; veri kaybı önleme, tehdit analizi, veri analizi, veri ihlallerini tespit etme ve tehdit istihbarat paylaşımı sayılabilir.
- Veri Kaybı Önleme: Siber saldırganlar çoğunlukla en zayıf halkayı hedef alırlar. Kurum veya kuruluşta en zayıf halka ise siber tehdit konusunda farkındalığı sağlanmamış çalışanlar ve merkezi zafiyet kontrolü yapılmayan ürünler/yazılımlardır. Siber tehdit istihbaratı ise çalışanlara ve merkezi zafiyeti sağlanmayan sistemlere karşı gerçekleştirilmesi olası saldırıları takip edebilir ve erişim kontrolünü izleyebilir. Veriler toplanıp analiz edildikten sonra aynı durumlar için önlemler alınabilir.
- Tehdit Analizi: Daha önce yapılmış saldırılarda toplanmış veya gerçekleşmeden tespit edilmiş veriler sayesinde, saldırganların teknik ve taktiklerine göre savunma mekanizması oluşturulmaktadır.
- Veri Analizi: Toplanan verilerin analizi sonucunda saldırganlar ve mevcut/olası tehditler hakkında daha fazla bilgi elde edilmesine yardımcı olur.
- Veri İhlallerinin Tespit Etme: Mevcut veya potansiyel veri ihlalleri ve sızıntıları ne kadar erken tespit edilirse hem maddi hem de manevi kayıp o kadar önlenmiş olacaktır.
- Tehdit İstihbarat Paylaşımı: Kurumların elde ettikleri tehdit niteliğindeki verileri paylaşmasıyla saldırılara karşı kullanılan savunma mekanizması ve alınan önlemler geliştirilmektedir. Her geçen gün gelişmekte olan tehditlerle bireysel savaşmak maddi ve manevi kayıplara sebep olurken topluluklar arası veri paylaşımı oldukça önemli bir süreç haline gelmiştir.
Siber İstihbarat ve Siber Tehdit İstihbaratı Arasındaki Fark
Siber tehdit istihbaratı siber istihbaratın aksine yaşam döngüsü denilen süreci kapsamaktadır. Siber istihbarat BT (Bilgi Teknolojileri) departmanının ağındaki mevcut veya olası tehlikeleri tespit etmek için gereksinim duyulan verilerin tehdit araştırmaları ve analiz süreçlerinin ortaya çıkarttığı bir bilgi edinme eylemiyken, siber tehdit istihbaratı (CTI) olayın bütünlüğünü görmeye çalışır ve verileri sorgular. Siber tehdit istihbaratı BT altyapısına ve bu altyapıyı kontrol eden personel baz alınarak yapılan faaliyetken, siber istihbarat hedef belirli olmaksızın, hedef hakkında hedefe ulaşabilecek, hedefi doğrulayabilecek bütün bilgilerin toplanarak değerlendirildiği faaliyettir. Yani siber tehdit istihbaratında tüm siber istihbarat verileri toplanır, bu veriler uzmanlar tarafından değerlendirilir ve teknik analiz yapılır. Böylelikle siber istihbarat verileri CTI yaşam döngüsü içerisinde geliştirilmiş olur. Bu da kişi, kurum veya kuruluş açısından belirsizliği azaltır, daha hızlı ve bilgiye dayalı karar verilmesini sağlar.
Siber Saldırılardan Korunma Yöntemleri
Siber istihbaratın öncelikli amacı risklerin raporlanması ve tehdit istihbaratı yaşam döngüsüyle doğru zamanda doğru kararın verilebilmesidir. Bu doğrultuda tehdit öncesinde alınması gereken birçok önlem vardır. Alınabilcek bazı önlemler aşağıdaki gibi sıralanabilir;
- Tüm şirket çalışanlarına siber güvenlik ve riskler hakkında eğitim vererek farkındalık kazandırılmalıdır.
- Şirket bilgisayarları ve sunucularında EDR, NDR Anti-Virüs, SIEM, IPS, Sandbox, Firewall, Database Firewall, Database Activity Monitoring, PAM, IDM gibi güvenlik ürünleri kullanılabilir, XDR teknolojileri kullanılabilir, düzenli aralıklarla Sızma Testleri yapılabilir ve Red Team hizmetleri alınabilir.
- Önemli şirket verileri düzenli olarak yedeklenmeli (Soğuk Yedekleme) ve bu veriler ayrı/izole VLAN ağlarında barındırılmalıdır.
- Bilgisayarlara, sunuculara ve ağ içindeki bilgilere erişimler limitlenmeli ve bu erişimler kontrol edilmelidir.
- Parola politikaları global standartlarla göre düzenlenmelidir.
- İç ve dış erişimlerin tamamında MFA (Multi-Factor Authentication) mekanizmaları kullanılabilir.
- Siber tehdit istihbaratı hizmeti alınabilir.
Sonuç
Siber istihbaratın yaygın amaçlarından biri de kurum veya kuruluşların dışarıdan gelen saldırıları anlamlandırmalarını sağlamaktır. Bu saldırılar zero-day veya exploitler olabilmektedir. Bu tarz saldırılar kurum veya kuruluşları ciddi maddi veya manevi zarara uğratmaktadır. Siber istihbarat, bu tehditlerin elektronik ortamdan elde edilmesi, düzenlenmesi ve ortaya çıkarılmasıdır. Siber tehdit istihbaratı ise veri toplama, analiz etme, ilgili bilgilerin paylaşılması gibi yöntemlerle kurum ve kuruluşlar için güncel istihbarat verisi sağlamaktadır.
Sonuç olarak; siber istihbarat tehditler gelmeden önce yapılan ön hazırlıklarken siber tehdit istihbaratı döngüsel ve sürekli tekrar eden bir istihbarat sürecidir. Tehdit istihbaratı kurum veya kuruluşların bu tarz saldırılara maruz kalmaması ve korunması için derin bir veri havuzu sağlamaktadır. Böylelikle öncesinde gerçekleşmiş tehditlere karşı bilinçli önlemler alınırken olası saldırılara karşı da gerekli savunma mekanizması oluşturulmaktadır.