5. İSTİHBARAT ?
• Türkçe ’de sözlük anlamı bilgi toplama, haber almadır.
HABER != İSTİHBARAT
• Belirlenen ihtiyaçlara karşılık farklı kaynaklardan toplanan haber, bilgi ve dokümanların işlenmesi
sonucunda elde edilen üründür.
@netsectr
6. FARKLAR
Bilgi
• Ham, filtrelenmemiş veri
• Analizi yapılmadan iletilir
• Hemen hemen her kaynaktan toplanır
• Doğru, yanlış, yanıltıcı, eksik, alakalı veya
alakasız olabilir
• Aksiyon alınamaz
İstihbarat
• Filtrelenen veri
• Yetkin kişilerce analiz edilir ve yorumlanır
• Kurumla ilişkili güvenilir kaynaklardan toplanır
• Kesin, güncel, bütün(eksiksiz), kurumla ilişkisi
değerlendirilendir
• Aksiyon alınabilir
@netsectr
7. ”
“The set of data collected, assessed and applied regarding
security threats, threat actors, exploits, malware,
vulnerabilities and compromise indicators
Tehdit İstihbaratı
Dave Shackleford, Who’s Using Cyberthreat Intelligence and How?, 2015
@netsectr
8. ”
“It is the knowledge about adversaries and their
motivations, intentions, and methods that is collected,
analyzed, and disseminated in ways that help security
and business staff at all levels protect the critical assets
of the enterprise.
Siber Tehdit İstihbaratı
Jon Friedman and Mark Bouchard, Definitive Guide to Cyber Threat Intelligence (CyberEdge Press, Annapolis, MD, 2015).
@netsectr
10. 5N1K - SİBER TEHDİT İSTİHBARATI
• Kim saldırıyor? – bilinen grupların saldırı/zararlı davranışları
• Neden bunu yapıyorlar? – saldırıların arkasında olan kişi/kişilerin motivasyonu (hedef odaklı saldırı,
endüstriyel/ticari saldırılar olabilir)
• Ne peşindeler? – karşılaşılan siber saldırıların önceliklerinin belirlenebilmesi
• Nasıl yapıyorlar? – kullandıkları yöntemler, taktikler, araçlara
• Nereden geliyorlar? – saldırganların jeopolitik durumları
• Nasıl savunabilirim? – IP adresi, hash, url, email adres bilgisi gibi
bilgilerden yola çıkarak tanımlama ve aksiyon alma
@netsectr
11. SİBER TEHDİT İSTİHBARATI DÖNGÜSÜ
İhtiyaçlarının
Belirlenmesi
İstihbarat
Toplama
Saldırı TespitiAnaliz
Paylaşma
@netsectr
12. SİBER TEHDİT İSTİHBARATI GEREKSİNİMLERİ
Üretim Ortamı Gereksinimleri
• Aksiyon Alınamayan Zafiyetler,
• Gerçek Dünyadaki Açıklıklar ve
Onlara Yönelik Saldırılar
İstihbarat Gereksinimleri
• Sömürülebilen Zafiyetler Neler?
• Kurumdaki Mevcut
Durum(Savunma/Tespit Etme)?
• Hangi Saldırılar(Zafiyet/Arka Kapı)
Araştırılıyor?
Toplama Gereksinimleri
• Marka İzleme
• Veri Sızıntı Takibi
• Online Forum Takibi
• Sosyal Medya Takibi
• Oltalama Sayfa/Uygulama Takibi
• Botnet Kontrolü
@netsectr
14. SALDIRI YÖNTEMLERİ
• Güvenlik cihazları ile savunma yöntemleri yeterli mi?
• Farklı hedef, aynı saldırı yöntemi
• Tehdidi tanımla, aksiyon al
• Alınan istihbarat ile politikaları/alarmları güncelle
@netsectr
15. SİBER TEHDİT İSTİHBARATI ÖNEMİ
Saldırgan
Kurum A
Saldırgan
Kurum B Kurum C Kurum D Kurum E
SİBER TEHDİT İSTİHBARATI
Saldırı Saldırı (Aynı Yöntem)
Tespit/Aksiyon
@netsectr
16. GERÇEKÇİ FAYDALARI
Sahte Alan Adlarının Tespiti
Botnet Komuta Kontrol Merkezi Tespiti
Ağ Trafiği Üzerinde Tespit
Kullanıcı İfşası Tespiti
Veri Sızıntı Tespiti
...
@netsectr
19. SİBER TEHDİT İSTİHBARATI TÜRLERİ
• Karar Vericiler
• Jeopolitik
• Yabancı Marketler
• Riskler
Stratejik: Operasyonel: Taktiksel:
• Savunanlar
• Saldırı Hakkında Detaylı Bilgi
• Erken Saldırı Uyarısı
• Sosyal Medya
• Kim, Ne, Ne Zaman
• Mimari, SOC, IR
• Saldırı Yöntemleri, Taktikler,
Araçlar
• Saldırgan Profili
• Zararlı Yazılımlara Ait İndikatorler
• Host, Network Artifacts
• Yara, Snort, IOC
@netsectr
20. SİBER TEHDİT İSTİHBARAT ÖLÇÜMLEME
• Nicelik – Kaç tane siber tehdit istihbaratı sağlandı?
• Kalite – İstihbaratın güncel, doğru ve kurumun gereksinimlerini karşılıyor mu?
@netsectr
21. PONEMON INSTITUTE ARAŞTIRMASI
PONEMON INSTITUTE – MART 2015
35
60
53
54
Geleneksel güvenlik çözümlerinin Siber Tehdit İstihbaratı ile birlikte
daha verimli olduğunu belirtti.
Katılımcılar gerçek zamanlı istihbaratın zararlı IP’lerin kendi alt
yapılarında tespit edip aksiyon almalarına katkısını olduğunu belirtti.
Zararlı IP, URL, dosya gibi istihbarat bilgileri ile kurum yapısındaki
aktiviteleri izlemenin güvenlik riskini ölçümlemelerine olanak sağladığını
aktardı.
Katılımcılar, toplanan tehdit istihbaratı ile kurumlarındaki güvenlik
olaylarında ciddi oranda azalma olduğuna katılım sağladı.
0 10 20 30 40 50 60 70
Ponemon Institute - The Importance of Cyber Threat Intelligence to a Strong Security Posture, 2015
@netsectr
24. STIX
• Structured Threat Information eXpression( https://stixproject.github.io/ )
• MITRE tarafından desteklenen bir projedir
• STIX, tutarlılık, verimlilik, birlikte çalışabilirlik ve durumsal farkındalığı geliştirerek yapısal bir hale
getirilen siber tehdit bilgisinin kullanılmasını sağlayan ortak bir mekanizmadır.
• Cyber Threat Information, Language, Community-Driven, Communicate, Specify, Clarity, Support
Automation, Consistency,....
@netsectr
26. TAXII
• Trusted Automated eXchange of Indicator Information ( http://taxiiproject.github.io/about/ )
• TAXII, siber tehdit bilgilerinin değişimi/paylaşımı için tercih edilen bir mekanizmadır.
Amacı :
• Tehdit bilgilerinin güncel ve güvenli şekilde paylaşımını sağlamak,
• Topluluklar arasında geniş bir skalada uygulamalar ve kullanım durumları paylaşımı sağlamak,
• TAXII ye uyumluluk sağlanması için operasyonel gereksinimleri azaltmak.
Paylaşım Modelleri :
@netsectr
27. CYBOX NESNELERİ
Network
• Address
• Domain Name
• Hostname
• URI
• Email Message, SMS
• Network Packet, ...
System
• Account
• File Unix/Win (PDF, Exe, …)
• Process
• Win Service
• Win Registry Key
• Device, Disk Memory …
https://cyboxproject.github.io/documentation/object-relationships/
@netsectr
Türkçe’de sözlük anlamı bilgi toplama, haber alma olan istihbarat, siyasi makamlara sunulmak üzere toplanmış ve çözümlenmiş izlemsel veya taktiksel içerikli işlenmiş bilgilere denir.
Tehdit İstihbaratını tanımlayan bu cümle SANS Araştırması olan ve Dave Shackleford tarafından yazıyla ifade edilmiştir.
Kurumlarda kullanılmakta olan güvenlik çözümleri sayesinde belirli bir ölçüde(ürünlerin kabiliyetleri ölçüsünde) savunma sağlanmaktadır. Ayrıca, birçok sistemler üzerinde hatırı sayılır ham veri oluşmaktadır. Buradaki önemli nokta oluşan ham veri içerisinde gerçek tehditlerin var olup olmadığıdır. Güvenlik ekipleri veya ürünleri hali hazırda ham bilgi içerisinde tabiri caizse boğulmakta ve daha fazlası ile karşı karşıya kaldıklarında hem işleri oldukça güç hem de analizlerinde hata payı oldukça yüksektir. Bu nedenle, siber tehdit istihbaratı ile aksiyon alınabilir verilere ihtiyaç önem arz eder.
Kim saldırıyor? : Siber Tehdit İstihbaratı güvenlik ekiplerine saldırı/zararlı aktivitelere ilişkin davranışların kimlere (siber suçlular, hacktivist gibi) ait olduğu hakkında yardımcı olur.
Neden bunu yapıyorlar? : Saldırının arkasında kim/kimler olduğunu bilmek ve bunların motivasyonunun, harcayacakları eforun ne kadar olabileceği(APT gibi uzun soluklu) veya endüstriye özel bir saldırımı gibi istihbaratları elde etmek güvenlik ekiplerinin savunmasına katkı sağlar.
Ne peşindeler? : Saldırıyı düzenleyen(ler)in elde etmek istediklerinin önceden ne olduğu bilmek varlıkları korumada öncelikliendirme sağlama gibi konularda yardımcı olur.
Nasıl yapıyorlar? : Saldırganların hedeflerine ulaşmak için kullandıkları yöntemlerin, taktiklerin, araçların ne olduğunu bilmek aksiyon alma aşamasında fayda sağlar.
Nereden geliyorlar? : Saldırıların kaynaklarının neresi olduğunu bilmek düşmanlar hakkında daha anlamlı veriler sağlayabilir.
Nasıl savunabilirim? : Siber Tehdit İstihbaratı ile edilen IOC, IP, Hash, İfşa edilmiş kullanıcı gibi veriler zararlı aktivitelerin tespit edilmesine önemli rol oynar.
Kurumların bilgi ve varlıklarını korumak için kullandıkları güvenlik çözümlerinin bir çoğu saldırılara karşı belirli ölçüde etkinlik sağlamaktadır. Ancak, gerçek dünyada meydana gelen yeni saldırılar gibi olası bilgi/kullanıcı ifşa ları durumlarda etkinlik seviyeleri düşmektedir. Genel olarak saldırılara bakıldığında aynı saldırı yöntemleri ile farklı hedeflere saldırılar gerçekleşmektedir. İzlenilen yöntem nasıl ? Saldırı/tehdidi tespit et ve karantina, engelleme gibi aksiyonu al. Sonrasında politikalarını ve kullanmakta olduğun alarmlarını güncelle.
Kurum A ya yönelik gerçekleştirilen bir saldırının güvenlikten sorumlu kişilerce tespit edildiğinde saldırgana ait bilgiler bilinmeyende bilinene dönüşür. Bu bilgilerin tehdit istihbaratı ile paylaşıldığını varsaydığımızda benzer saldırıya diğer kurumlar maruz kalmadan tespiti mümkün olur.
Stratejik Siber Tehdit İstihbaratı : Jeopolitik, yabancı marketlerden olası tehditlerin olabileceğine dair alınan istihbaratlardır. Kurumdaki karar verici kişilerinde değişen etkenler karşısında riskleri göz önünde bulundurarak karar vermelerini yardımcı olurlar.
Operasyonel Siber Tehdit İstihbaratı : Güvenlik operasyoncularına yönelik tehdit istihbaratıdır. Hedef odaklı saldırılara yönelik içerik paylaşımının yapıldığı hangi kaynaklara (IP adresi, URL, ...) ait analiz edilmiş istihbaratlardır.
Taktiksel Siber Tehdit İstihbaratı : Genellikler mimari ekiplerin, Güvenlik Ürünü yöneticileri kullanmaktadır. Saldırılarda kullanılan araçlara ait, Data Exfiltration/ C2 yöntemlerine ait bilgilerin paylaşımı sağlanır. Genellikler SOC ve IR ekiplerine yöneliktir. Zararlı yazılımlara yönelik indikatörler, snort imzaları, yara ve IOC kuralları gibi içerikler sağlanır.
Ponemon Institute - The Importance of Cyber Threat Intelligence to a Strong Security Posture _ Mart 2015 etkinliğinde katılımcılara Siber Tehdit İstihbaratı ile ilgili sorulan sorulara verilen cevaplar.
http://stixproject.github.io/getting-started/whitepaper/
Observable - What activity are we seeing?
Indicator - What threats should I look for on my networks and systems and why?
Incident - Where has this threat been seen?
TTP - What does it do?
Exploit Target - What weaknesses does this threat exploit?
Campaign - Why does it do this?
Threat Actor - Who is responsible for this threat?
Coure of Action - What can I do about it?
Paylaşım modelleri (http://taxiiproject.github.io/about/):
Hub and Spoke
Source/Subscriber
Peer to Peer