CTI Nedir?

CTI Nedir

Siber Tehdit İstihbaratı (Cyber Threat Intelligence), birden fazla kaynak aracılığıyla dijital envanterlere yönelik tehditler hakkında kesin bulguların paylaşıldığı, aksiyon alınabilir bilgilerdir. Bir kuruluşun güvenliğini tehdit eden mevcut ve potansiyel saldırılar hakkında bilgilerin toplanması analiz edilmesi, değerlendirilmesi, saldırgan motivasyonları, saldırganların amaçlarını, saldırının kaynağı, gibi kritik sorulara ait verileri toparlayıp anlamlandırması ve saldırı gelmeden savunma operasyonlarını harekete geçirilmesi gibi işleyişini de gerçekleştirir.

Cyber Tjreat Intelligence sayesinde olası saldırıları erken tespit edilebilmesi ve önlenebilmesi için elde edilen bilgilerin doğru analiz süreçlerinden geçirilerek kurumun güvenlik politikalarına entegre edilebilir. CTI, amacı potansiyel saldırılara karşı önlem alabilmek, hızlı ve net aksiyon imkanı sağlamak ve daha önce bilinen zararlı faaliyetlerin paylaşımıdır.

CTI sonucunda elde edilen bulgulara örnek olarak; banka çalışanlarının bilgilerinin ifşa eden web sitesi tespiti, çalıntı kredi kartlarının bilgisi, kurumsal e-posta adresleri, zararlı yazılım bildirimleri, zararlı url bildirimleri örnek verilebilir.

Bilgi istihbarat demek değildir farkları vardır. Bu farklar;

 

Bilgi

İstihbarat

Ham, filtrelenmemiş veri

Filtrelenen veri

Analiz yapılmadan iletilir

Analiz edilir ve yorumlanır

Doğru, yanlış, yanıltıcı, eksik, alakalı veya alakasız olabilir

Kesin, güncel, bütün ilişkili olmalıdır

Aksiyon alınmaz

Aksiyon alınabilir

 

 

 Etkin Tehdit İstihbaratının Temel Özellikleri

 

·         Kanıta dayalı olması

·         Kuruluş için fayda sağlaması

·         Uygulanabilir olması

 

İstihbarat sürekli devam eden faaliyet olmasında sonucu işlemler bir döngü şeklinde uygulanır. Döngüde gerçekleşen adımlar uygulanılarak istihbaratın sürekli olarak planlanması, elde edilen tüm verileri işlenmesi ve yönetilmesi amaçlanmaktadır. Döngünün adımları;

1.    Planlama ve yönlendirme (Gereksinimler ve önceliklerin belirlendiği ilk adımdır. 5N 1K metodolojisini kullanılarak gerekli yönlendirmeleri sağlar. Aynı zamanda bu adım, hangi alanlarda istihbarat üretileceğinin belirlendiği adımdır.

Siber tehdit istihbaratı gerçekleştirilirken belli başlı sorulara cevap verebiliyor olmalıdır bu sorular;

Kim saldırıyor ? ( Bilinen grupların saldırı davranışları var mı yok mu )

Neden saldırıyor ? ( Saldırının arkasındakilerin motivasyonu yani hedef odaklı mı rastgele bir saldırı mı )

Neyi amaçlıyorlar ? (saldırganların öncelikleri ne)

Nereden saldırıyorlar ? (saldırganların jeopolitik durumları)

Nasıl savunabilirim ? ( IP adresi, hash, url, email adres bilgisi gibi bilgilerden yola çıkarak tanımlama ve aksiyon alma)

2.    Toplama ( Siber tehdit istihbaratı bilgi toplamak için, OSINT (Açık Kaynak İstihbaratı), SOCMINT (Sosyal medya istihbaratı), HUMINT (İnsan istibaratı), MASINT (ölçü ve imza istihbaratı), SIGINT (sinyal istihbaratı) ve birçok yolla istihbarat yöntemi kullanılarak bilgi toplama adımıdır.)

3.    İşleme ve değerlendirme (Toplanan veriler işlenir yorumlanır ve anlaşılacak bir forma dönüştürülür. Verilerin işlenerek bilgiye dönüştüğü adımdır.)  

4.    Analiz etme ve üretme ( Farklı istihbarat yöntemleriyle elde edilmiş farklı istihbaratları kaynaştırma aşamasıdır. Analiz, çalışma unsurunu tanımlayan, olayların ve sonuçların tahminine izin veren gerçekler ve bulgulardan oluşur.)

5.    Dağıtım ve entegrasyon  

 

Tehdit istihbartının kapsadığı yöntemler;

Taktiksel Yöntemler:   

Tehdit aktörlerinin tanımlanmasına yardımcı olmak için Kullanılabilecek teknik istihbaratıdır. IP adresleri, dosya adları, hash bilgileri, IoC, Saldırgan profili, malware’e ait indikatörler  dosya türü ne  exe mi word mü gibi soruları cevap aramaktadır.  

Operasyonel Yöntemler: 

Tehdit aktörlerinin motivasyonlarını, yeteneklerinin, kullandığı araçları, teknikleri ve prosedürleri dahil olmak üzere ayrıntıları bilgileri elde eder. Savunanlar, saldırı hakkında detaylı bilgi, erken saldırı uyarısı, sosyal medya, Kim, Ne, Ne zaman yapmış gibi sorulara cevap aramaktadır.

Stratejik Yöntemler

Üst düzey kurumsal stratejiyi yönlendirmek için kullanılabilecek siber tehditlerle ilişkili genel riskler hakkında istihbarat sağlar. Kurumun gelecekte karşısına çıkabilecek fırsatları değerlendirmek, tehditleri önceden tespit edebilmek ve bu anlamda doğru karar alabilmek açısından önem arz etmektedir. istihbarat ile ilgili raporlar kim ve niçin yapmış  yeterli güvenlik önlemleri alınmıyor mu, gözden kaçan risk faktörleri neler, Karar vericiler kim, jeopolitik konumları nerede, riskleri neler gibi sorulara cevap aramaktadır.  

 

Tehdit istihbarat kaynakları

Kurum içi tehdit istihbaratı ve kurum dışı tehdit istihbaratı olarak iki kısma ayrılabilir.

Kurum içi tehdit istihbaratı Kuruluşun kendisinden toplanan veri noktaları ve bilgiler kurum içi tehdit istihbaratını oluşturur. Örnek olarak;

·         LOG dosyaları

·         Olay müdahale raporları

·         Güvenlik duvarı logları

·         DNS Logları

·         Gerçekleşmiş güvenlik denetim raporları

 

Kurum Dışı Tehdit İstihbaratı Kurum dışındaki çeşitli kaynaklardan tehdit istihbaratının temin edilmesini gerektirir. Örnek olarak;

·         Bloglar

·         Haber kaynakları

·         Zafiyet haberleri

·         APT gruplarının bilinen yöntemleri

·         Sosyal medya

·         Darkweb forum siteleri

 

 Siber Tehdit İstihbaratı Nasıl Toplanır ?

Veri ve enformasyon istihbarat değildir fakat analiz edilerek istihbaratın üretilmesi için gerekmektedir. Kuruluşların veri tabanlarında ve loglarından binlerce siber tehdit istihbaratı verisine erişebilmektedir. Kuruluşlar için organize edilen ve devam eden tehsit aktörleri yalnızca geride bıraktıkları dijital izlerle görülmektedir. Bu nedenlerden dolayı işletmelerin ağ sınırlarının ötesinde, özellikle kuruluşların ve alt yapılarını hedef alan gelişmiş tehditlere karşı görünürlüğe ihtiyaç vardır burada tehdit istihbaratın önemi ortaya çıkmaktadır.

 

Seviye 1 : Tehdit Aktörleri

Bir IOC (Indicator of Compromise) ya da tehdit aktörü tehlikeye atılmış sistemleri araştırmak ve tanımlamak için kullanılabilen bilgi parçalarıdır. Bu bilgi parçaları, IT sektöründe uzun süredir var olmaktadır ancak bilgi güvenliği sektörü bu verileri daha yapısal ve tutarlı bir şekilde kullanmaktadır.

Dosya Hashlerine ve Reputation Değerleri – Taktik istihbarat paylaşımında ilk olarak buraya bakılır yani siber tehdit istihbaratı toplama işlemi buradan başlamaktadır. Bir Malware ait dosyanın MD5 ve SHA1 algoritmaları kullanılarak hash bilgisi alınmaktadır. Bu alınan hash bilgisi aratılarak dosya daha önceden zararlı ise tespit edilebilmektedir. Hash bilgileri dışında bir zararlıya ait itibar verileri de kullanılmaktadır. Bu veriler IP adresi ve URL gibi internet ağı üzerinde web sayfalarının risk dereceleridir.

Phishing adresleri ve diğer dolandırıcılık sayfaları
– Botnet komuta ve kontrol merkezleri
– Takip edilemeyen ıp adresleri (TOR)
– Anonoimlik oluşturulan proxy hizmetleri
– Honeypot ağları, web sunucuları, e-posta sunucuları ve diğer sistemlerde faaliyetlerini taklit edeen bilgisayarlar ve webte gezinen bilgisayarlar kullanıcıları oluşturarak gerçekleştirirler.

 

Seviye 2 – Tehdit Aktörleri

Buradakiler veriler daha çok analiz edilmeye ihtiyacı vardır. Analiz ekipleri saldırılara ilişkin teknik, taktik ve prosedürleri tespit etmelerinde yardımcı olmaktadır. Bu rapor ve istatiksel, zararlı yazılım analizleri ve davranışlarını daha iyi anlamamıza yardımcı olmaktadır.

Siber tehdit istatiksel, raporları ve anketlerine bakılarak da bu tarz veriler elde edilmektedir. Raporlar en yaygın saldırıları ve bunları ortaya çıkan tehditler konusunda uyarılar, zararlı yazılım, spam, botnetler ve siber tehditleri öğeleri hakkında bilgiler sağlıyor.

Zararlı yazılım analizi ile örneklerinin davranışlarına ve bunların arkasındaki saldırganları  niyetlerine ait değerli bilgileri sağlamaktadır. En ayrıntılı otomatik zararlı yazılım analizi, dinamik analiz veya sanal alan oluşturma (sandboxing) teknolojisi ile sağlanmaktadır. Sandboxing ile şüpheli bir dosyanın, kurumsal ağdan izole edilmiş bir sanal yürütme ortamında çalıştırılmasına izin verilir. Korumalı alan olan sandbox, dosyanın aldığı ve aşağıdaki gibi kötü amaçlı faaliyetleri de dahil olmak üzere tüm eylemleri gözlemleyip belgelendirmektedir.

·         Registry keyleri eklemek

·         Antivirüs devre dışı bırakmak

·         Ağda aramalar yapması

·         web sunucularını kumanda etmek ve kontrol etmek için göstergeler.

·         Sunuclar ile bağlantı sağlama

 Seviye 3 : Stratejik Siber tehdit istihbaratı

Stratejik siber tehdit istihbaratı kuruluşları hedefleyen spesifik düşmanlar ve yakın gelecekte getireceği tehlike hakkında bilgi vermektedir.

Dark Web’i gözlemlemek – Siber saldırganlar faaliyetlerini gerçekleştirmeden önce bazen birbirlerinden fikir alma alışverişine bulunmaktadırlar siber istihbarat analizcisi ise burada neyi hedeflediklerini yorumlayıp gerekli önlemleri almasını sağlamaktadır. Zararlı yazılımlar, özel saldırılar oluşturma, phishing kampanyaları oluşturmak, DDoS saldırıları oluşturma ve kullanma konusunda uzmanlıklarını paylaşmaktadır. Kredi kartı, sosyal güvenlik  numaraları, kişisel bilgileri içeren dijital verileri almak satmak , Exploit kitleri, siber silahlar edinmek, zararlı yazılım koruma araçlarını satmak almak gibi işlemleri dark web üzerinde gerçekleştirmektedirler.

Motivasyonlar ve niyetler – Analist ekibi, saldırganların motivasyon ve niyetlerini bilmeleri çok fazla iş yarar bilgi edinebilirler yani saldırganın motivasyonuna bakarak hangi endüstriyi kuruluşu varlıklarının hangilerini en çok hedef alma olasılığı bulunduğuna dair kanıt sağlamaktadır.

Teknik, taktik ve prosedürler- Saldırganların TTP (Taktik, teknik, prosedür)’ler hakkında bilgileri edinmek değerlidir çünkü saldırganları tespit etmek için ne aramaları gerektiğini öğrenmelerine yardımcı olmakla kalmaz, güvenlik teknolojilerini nerede güçlendireceği konusunda da bilgi verebilmektedir. Araştırmacılar, çoğu zaman saldırganların web üzerindeki faaliyetlerini izleyerek düşmanların TTP’leri hakkında çoğu şeyi öğrenebilirler. Kanıtlar olarak şunları içerir; Forumlarda ve sosyal medya sitelerinde plan ve taktik tartışmaları, geliştirilen yeni exploitler ve araçlarla ilgili bilgi alışverişi, kredi kartı numaraları, kişisel bilgiler ve diğer dijital varlıkların satışı leak edilmiş veriler ve detayları.

 

Any.run ile Siber Tehdit İstihbaratı

 

Any.run bizlere online bir sandbox ortamı sunmaktadır.

 

Any.run çalıştırıldıktan sonra yeni bir task oluşturulabilir ya da public bir task incelenebilir.

Daha fazla verileri toplayabilmek için public bir task seçerek devam ediyorum.

 

 

Burada http requstler gösteriliyor bu bize zararlı aktivite çalıştıktan sonra hangi sunucuya bağlandığı göstermektedir bunun sayesinde lokasyon tespiti yapabiliriz. GET/POST isteklerine bakabiliriz bağlantı sağladıktan sonra ne tür aktivitelerde bulunduğunu görebiliriz.

Text report sayesinde çalışan prosesleri tamamını rapor halinde any.run bize sunmaktadır.  

 

 

Processes graph sayesinde zararlı aktivite çalıştıktan sonra ne tür prosesleri çalıştırdığına dair bir ağaç haritası sunmaktadır

 

 

MITRE ATT&CK™ MATRIX any run bize burada mitre att&ck matrisi üzerindeki framewrokü sunmaktadır. Saldırganların taktik teknik ve prosedürlerine ulaşabilmekteyiz. Buradaki bilgileri kullanarak saldırganların hangi APT gruplarında olduğuna ulaşabiliriz.

CTI’ın Kurumlar Açısından Önemi ?

 

·         Tehdit İstihbaratı, kuruluşların genel güvenlik önlemlerini korumasında önemli bir rol oynar. Tehdit istihbaratı doğrudan kurumun güvenlik önlemlerinde yararlanarak güvenlik operasyonlarını daha etkin yapılandırmamız için yol gösterici olmaktadır. Kuruluşlara proaktif bir siber güvenlik duruşu geliştirmeleri ve genel risk yönetimi politikalarını desteklemeleri için güç verir. Sadece tepkisel değil öngörücü bir siber güvenlik duruşuna doğru ivme kazandırır

·         Günümüz teknoloji dünyası siber saldırılarla karşı karşıya kalmaktadır. Giderek daha tehlikeli ve karmaşık bir yapıya dönüşmektedir. CTI ise artan saldırılar hakkında daha önceden bilgileri toplayarak siber atakları azaltmaya ve önlemeye yardımcı olur. Tehdit istihbaratı sayesinde kimin saldırdığı, saldırganın motivasyonlarını araştırıp rapor halinde sunar. Güvenlik alanında önemli kararlar alınmasına yardımcı olmaktadır.

·         Gelişmiş tehdit tespitini sağlar.

·         Bir siber saldırı tespiti sırasında ve sonrasında daha iyi karar vermeyi sağlar

·         Siber savunma alanında yaşanılan doğrulanmış bulguların oluşturduğu alarmları incelenmesi, ihlallerin tespit edilmesi, gerekli yamaların önceliklendirmesi ve bunlara bağlı olarak yapılması gereken aksiyonları belirlemek amacıyla gereklilik sağlar.

·         Kurum içi istenmeyen olaylar gerçekleşmeden önce müdahale edilmesini sağlar.

·         Bir siber tehdit istihbarati sistemi kötü niyetli IP’ler ve domainler ile iletişim girişimlerini izleyebilir, çalışanlara yapılabilecek olası phishing saldırılarını algılayabilir.

·         Gerçekleşmiş bir veri sızıntısının hemen farkına varmayı sağlar. Bu da zararın etkisini en aza indirir.

·         Veri kaybı yaşandığı anda hangi cihaz üzerinde gerçekleştiği olduğu bilgisni belirlemeye yardımcı olur

·         Daha önceden gerçekleşen saldırılar üzerinde analiz yapılarak gerekli alınması önlemler hakkında fikir verir.

·         Bir kurum gerçekleşen saldırıyı tespit ederek bu saldırıya ait teknik, taktikleri İstihbarat paylaşımı sağlayarak diğer organizasyonları aynı yöntemle gelebilecek saldırıya gerekli önlemleri almasına yardımcı olur.

 

 

 

 

 

 

 

 

 Sonuç

 

Ponemon Enstitüsü tarafından 2015 yılının yapılan bir ankete göre; Şirketlerin %40’ında son 24 ayda maddi bir güvenlik ihlali yaşanmıştır ve ihlallerin %80’ninin, tehdit istihbaratı ile engellenebileceği ya da hasarı en aza indirebileceği tespit edilmiştir. Katılımcıların sadece %36’sı şirketlerinin savunmasını güçlü olarak değerlendirmiştir. Katılımcıların neredeyse yarısı bir saldırının sonuçlarını önlemek veya azaltmak için aldıkları istihbarat verilerini artırmaktadır. Bu kurumlar ortalama olarak haftada 16937 alarm almaktadır. Alarmların sadece 3218’i (%19) güvenilir olarak değerlendirilmiştir. Alarmların sadece 705’i (%4) araştırılabilmiştir. Yanlış uyarılara karşılık yılda 1.27 milyon dolar harcadığı belirlenmiştir. Bu bahsedilen problemler doğru siber tehdit istihbaratı yöntemleri ile minimuma indirgenebilir. Siber tehdit istihbaratı, olası tehditler hakkında farkındalık kazandırılması amacı taşımaktadır. Kurum içi istenmeyen olaylara gerçekleşmeden önce müdahale edilmesi için gerekli bir alandır. Bu şekilde güvenlik çözümleri en üst seviyeye çıkarılmış ve gerekli önlemler alınmış olur. Siber tehdit istihbaratının faydaları arasında; veri kaybını önleme, veri ihlallerini tespit etme, olay yanıtı, tehdit analizi, veri analizi, tehdit istihbarat paylaşımı sayılabilir.

Veri kaybını önleme – Bir siber tehdit istihbaratı ile, kötü niyetli IP’ler ve domain alanları ile ieltişim girişimlerini izleyebilir, çalışanlara yapılabilecek olası phishing saldırılarını algılayabilir. Bu verilerin toplanıp analiz edilmesiyle de olası benzer durumlar için önlem niteliği oluşturulabilmektedir.

Veri ihallerini tespit etme- Gerçekleşmiş veya gerçekleşebilir bir veri ihlali ne kadar erken tespit edili ve engellenirse, kurum üzerindeki etkisi de o kadar az olur. Bu noktada veri ihlalleri ve sızıntıarı tespiti hem maddi açıdan yaşanacak kayıplara hem de kurumun sayfınlık kaybetmesine bir önlem niteliği taşımaktadır.

Siber Olay Müdahalesi – Bahsetmiş olduğumuz veri sızıntısının hangi cihazlar üzerinde gerçekleştiği ya da gerçekleşmekte olduğu bilgisi tehlikeye giren sistemleri belirlemeye yardımcı olmaktadır. Böylelikle aynı ihlallerin gerçekleşmemesi adına alınacak önlemler daha bilinçli yapılabilmektedir.

Tehdit Analizi – Gerçekleştirilen tehdit analizi, gerekli savunma sistemlerini devreye almasını sağlar. Bu analiz daha önce sisteme yapılmış saldırılar veya gerçekleşmeden önce tespit edilmiş saldırılar üzerinden gerçekleşmektedir. Buradaki amaç saldırganların teknik, taktik ve prosedürlerini anlamak.

Veri analizi- toplanan verilerin analiz edilmesi saldırgaların oluşturdukları tehditlere karşı ek bilgiler elde edilmesine yardımcı olur. Verilerin analiz sonucunda istihbarat elde edilmelidir.

Tehdit istihbarat paylaşımı – Analizvilerin elde etmiş olduğu istihbaratları public alanda paylaşarak diğer analizcilerin haberdar olmasını sağlamak.

 

Sonuç olarak hedeflenen saldırılara karşı kullanılan önlemlerin gerçekleştirilmesine yardımcı olmaktadır. Gerçekleşmekte olan tehditlerle bireysel olarak savaşmak neredeyse imkansız olduğu için topluluklar arası bilgi paylaşımı siber tehditler ile mücadele edilmesinde önem arz etmektedir.

 

 

 

 

 

 

Kaynak

 

https://en.wikipedia.org/wiki/Cyber_threat_intelligence
https://www.slideshare.net/OuzcanPamuk/siber-tehdit-stihbarat-threatintelligence
https://www.slideshare.net/bgasecurity/her-yonuyle-siber-tehditistihbarat?
https://www.crowdstrike.com/cybersecurity-101/threat-intelligence/
https://research.aimultiple.com/cti/