Siber tehdit istihbaratı, siber tehditleri belirleme ve ele alma sürecidir. Tehdit istihbaratı, verilerin ayrıntılı olarak incelenmesini, sorunları belirlemek için bağlam analizini ve tespit edilen sorunlara özel çözümlerin uygulanmasını içerir.
Bugün dünya, dijital teknoloji sayesinde her zamankinden daha fazla birbirine bağlı. Ancak bağlantıdaki artış, güvenlik ihlalleri, veri hırsızlığı ve kötü amaçlı yazılım gibi siber saldırı risklerinde de artışa neden oluyor. Siber tehdit istihbaratı, siber güvenliğin önemli bir yönüdür.
Siber Tehdit İstihbaratı Türleri
Siber tehdit istihbaratı genel olarak üç kategoriye ayrılır: stratejik, taktiksel ve operasyonel. Bunları sırayla düşünün:
Stratejik tehdit istihbaratı
Bu tür tehdit istihbaratı, genellikle teknik konulara aşina olmayan bir kitle (örneğin, bir şirket veya kuruluşun yönetim kurulu) için tasarlanmış üst düzey bir analizdir. Daha geniş iş kararlarını etkileyebilecek siber güvenlik konularını kapsar ve genel eğilimleri ve itici güçleri inceler. Stratejik tehdit istihbaratı genellikle medya raporları, teknik incelemeler ve araştırmalar gibi halka açık, açık kaynaklara dayanır.
Taktiksel tehdit istihbaratı:
Bu tür tehdit istihbaratı yakın geleceğe odaklanır ve teknik açıdan daha bilgili bir hedef kitle için tasarlanmıştır. BT ekiplerinin ağdaki belirli tehditleri bulmasını ve kaldırmasını sağlamak için basit tehlike göstergelerini (IOC) tanımlar. IOC’ler, geçersiz IP adresleri, bilinen kötü amaçlı etki alanları, olağandışı trafik, bağlantı kırmızı bayrakları veya artımlı dosya/indirme isteklerini içerir. Taktik zeka, üretilmesi en kolay zeka şeklidir ve genellikle otomatikleştirilir. Çoğu IOC hızla eskidiği için genellikle kısa bir ömre sahiptir.
Operasyonel tehdit istihbaratı:
Her siber saldırının arkasında bir “kim”, “neden” ve “nasıl” vardır. Aktif tehdit istihbaratı, geçmiş siber saldırıları inceleyerek ve bu saldırıların amacı, zamanlaması ve karmaşıklığı hakkında sonuçlar çıkararak bu soruları yanıtlamak için tasarlanmıştır. Operasyonel tehdit istihbaratı, taktik istihbarattan daha fazla kaynak gerektirir ve bu istihbarat daha uzun sürer. Bunun nedeni, siber saldırganların taktiklerini, tekniklerini ve yöntemlerini (TTP olarak bilinir) aracı değiştirmek kadar kolay değiştirememeleridir (örneğin, belirli bir kötü amaçlı yazılım türü).
Siber Tehdit İstihbaratı Yaşam Döngüsü
Siber güvenlik uzmanları, tehdit istihbaratı ile ilgili olarak yaşam döngüsü kavramını kullanır. Tipik bir siber tehdit yaşam döngüsü örneği şu aşamaları içerir: yönlendirme, toplama, işleme, analiz, yayma ve müdahale.
-
Aşama: Yön Belirleme
Bu aşama, tehdit istihbarat programını hedeflemeye odaklanır. Bu aşama şunları içerebilir:
Kuruluşun hangi yönlerinin korunması gerektiğini anlayın ve mümkünse bir öncelik belirleyin.
Kuruluşunuzun varlıkları korumak ve tehditlere yanıt vermek için ihtiyaç duyduğu akıllı tehdit tanımlaması.
Bir kuruluştaki siber ihlalin etkisini anlayın.
-
Aşama: Toplama
Bu aşama, Aşama 1’de tanımlanan amaç ve hedefleri desteklemek için veri toplamayı içerir. Verilerin niceliği ve kalitesi, ciddi tehdit olaylarını kaçırmamak veya yanlış pozitiflere kapılmamak için çok önemlidir. Bu noktada kuruluşlar veri kaynaklarını belirlemeli; Bu aşama şunları içerebilir:
Intranet ve güvenlik aracı meta verileri
Güvenilir siber güvenlik kuruluşlarından gelen tehdit verileri gönderileri
Bilgilendirilmiş paydaş görüşmeleri
Sayfa açık kaynak blogları ve haber siteleri
-
Aşama: işleme
Toplanan tüm veriler, biçim. Farklı veri toplama yöntemleri için farklı işleme yöntemleri gereklidir. Örneğin, insanlarla yapılan görüşmelerden elde edilen verilerin doğrulanması ve diğer verilerle karşılaştırılması gerekebilir.
-
Aşama: analiz
Veriler işlendikten ve kullanılabilir bir formata dönüştürüldükten sonra analiz edilmelidir. Analitik, bir kuruluştaki kararları yönlendirebilecek bilgiyi istihbarata dönüştürme sürecidir. Bunlar, güvenlik kaynaklarına yapılan yatırımı artırıp artırmamaya, belirli bir tehdidi veya tehdit grubunu araştırıp araştırmamaya, tehdidi durdurmak için ne yapılması gerektiğine ve hangi tehdit istihbarat araçlarına ihtiyaç duyulduğuna karar vermeyi içerir.
-
Aşama: Yayma
Analiz tamamlandıktan sonra, önemli tavsiyeler ve bulgular kuruluştaki ilgili paydaşlara iletilmelidir. Organizasyon içindeki farklı ekiplerin farklı ihtiyaçları olacaktır. Bilgiyi etkili bir şekilde yaymak için her bir hedef kitlenin neyi, hangi biçimde ve ne sıklıkla bilmek gerekir.
-
Aşama: Geri Bildirim
Hissedar geri bildirimi, her grubun ihtiyaçlarının ve hedeflerinin dikkate alınmasını sağlayarak tehdit istihbarat programının geliştirilmesine yardımcı olur.
“Yaşam döngüsü” sözcüğü, Siber tehdit istihbaratının tek seferlik, bir durum olmadığını belirtir. Tehdit İstihbaratı, kuruluşların sürekli iyileştirme için kullandığı yinelemeli, döngüsel bir süreçtir.