Siber Tehdit İstihbaratı ve SIEM

Siber Tehdit İstihbaratı ve SIEM

Siber Tehdit İstihbaratı; siber güvenlik tehditleri, tehdit aktörleri, istismar kodları, zararlı yazılımlar, zafiyetler, IOC’ler (Indicator of Compromise), tehditin kapasitesi, arkaplanı/altyapısı, motivasyonu, amacı, kaynağı gibi kritik unsurlara ait verilerin toplanıp değerlendirilmesi ve bunların bir saldırıya dönüşemeden savunma mekanizmalarının harekete geçirilmesi gibi süreçleri kapsar. Bu verileri baz alarak kurumlar tehditlerin daha gerçekleşmeden önlenmesini sağlayarak güvenlik seviyelerini taktiksel ve stratejik anlamda güçlendirmiş olurlar. Aynı zamanda bu süreç tehdit profillerinin çıkarılmasını, sabit veya tekrarlayan tehdit vektörlerine karşı proaktif savunma yöntemlerinin geliştirilmesini de kolaylaştırır. Tehdit İstihbaratı (Tİ) güvenlikle ilgili alınacak kararlarda göz önünde bulundurulması gereken önemli bir operasyonel süreçtir.

Saldırıların sistemlerde bıraktığı izler genelde IP adresleri, host ve domain isimleri, e-posta adresleri, dosya isimleri ve dosya hash’leri olarak karşımıza çıkmaktadır. Bu saldırı göstergelerinin tehdit istihbaratı olarak değerlendirilebilmesi bağlam, isnat ve aksiyon adımlarına bağlıdır.

Bağlam

Saldırı göstergelerinin aciliyet, doğruluk ve önceliklerinin tanımlanması ve doğru bir şekilde değerlendirilebilmesi için bağlamın belirlenmesi önem taşımaktadır. Bunun için cevap aranması gereken sorular:

Bütün bir tehdit olgusu içinde bu göstergenin rolü nedir?

-Bu göstergenin varlığı bir saldırının başlangıcına mı işaret etmektedir (keşif-tarama safhası mı yoksa istismar kodu yerleştirme-saldırı safhası mı)? Ya da sistemin ele geçirilmesine mi yoksa veri sızıntısına mı işaret ediyor?
-Söz konusu tehdit aktörü bu davranış türleri için biliniyor mu?
-Hedef alınan sistemin üzerindeki varlıklar kritik değere sahip mi?
-Söz konusu saldırı göstergesi ne kadar karmaşık?
-Bu girişimin ardındaki tehdit aktörünün motivasyonu nedir?
-Bu göstergeden önce ve sonra aynı varlık üzerinde gerçekleşen diğer aktiviteler nelerdir?
-Diğer varlıkların şu anki veya geçmişteki durumları nedir?

İsnat (Attribution)

Saldırının arkasında kimin olduğunun ortaya çıkarılması; atağa nasıl karşılık verileceği, atağın tüm bir kapsamının anlaşılması ve aksiyon alınırken uygulanması gereken taktikleri belirlemeye  yardımcı olacaktır. Saldırganın niyeti ve motivasyonu ile ilgili detayları elde etmek, atağın gidişatını ortaya çıkarmak ve daha etkili karşıt önlemler almak konusunda kolaylık sağlayacaktır.

Aksiyon

Hem saldırı tekniklerinin günden güne gelişip değişik bir yapı alması hem de saldırganların yöntem ve araçlarını sürekli değiştirmeleri elde edilen istihbaratın ve toplanan bilgilerin hala güncelken zamanında ve etkin bir şekilde değerlendirilmesini gerektirmektedir.

Tehdit İstihbaratı Verileri Hangi Kaynaklardan Alınabilir?

Kitle Kaynaklı: Toplanan ve analiz edilen en son tehdit verilerinin siber güvenlik toplulukları içerisinde paylaşılması ve SOC/SIEM ekiplerinin tehdit istihbaratı toplulukları ile işbirliği içinde saldırıların etkilerinin nasıl azaltılacağı konusunda teknikler geliştirmesini hedeflemektedir.

Tescilli: Siber güvenlik şirketlerinin birçoğu kendi müşterilerinden topladıkları bilgiler veya kendi tehdit araştırma ekipleri tarafından elde edilen verilerle üretilen kendi özel tescilli tehdit istihbaratlarını sunmaktadırlar. Böylece farklı farklı kaynaklardan toplanan son tehdit verilerinin analiz edilmesiyle üretilen tescilli tehdit istihbaratı false positive oranlarının düşmesini, yüksek doğruluk oranı ve güvenilir analiz sonuçları sağlamakta ve güvenlik izleme altyapınıza uygulanacak olan çeşitli formatta veriyi üretmeye yardımcı olmaktadır.

Kendin Yap: SOC ekibinin OSINT araçlarının yardımıyla kendi korelasyon kurallarını ve imzalarını yazarak spesifik istismar veya atak paternlerini algılayabilecek bir platform oluşturması aşamalarını kapsayan tehdit istihbaratı yöntemidir.

SIEM Yazılımları: Bazı SIEM üreticileri kendi tehdit istihbaratı sistemlerini veya tehdit istihbaratı kaynaklarından veri toplama-işleme modüllerini  SIEM’e entegre bir şekilde sunmaktadır.

Tehdit İstihbaratı Verilerinin SIEM’e Entegre Edilmesinin Avantajları

– Saldırı belirtileri ve sisteme sızma senaryolarının gerçek zamanlı olarak tanımlanıp gereken aksiyonların alınmasını sağlar.
– SIEM ve tehdit istihbaratının koordineli olarak çalışacak şekilde yapılandırılması, kurumların yüksek hacimli ve yüksek etkili tehditlere karşı çevik ve aktif bir şekilde aksiyon almalarını sağlar.
– Tehdit istihbaratı platformlarından alınan veriler işlenip anlamlı verilere dönüştürülmedikçe SIEM’e gönderilmesi saldırı tespiti için yeterli olmayacaktır.
– Daha hızlı tespit: Tehdit istihbaratı verilerine (IP’ler, URL’ler, domain’ler ve hash’ler) eşleşme durumunda alarm ürettirmek korelasyon kuralı yazmaktan daha kolaydır.
– Daha iyi bir bağlam: Alarmları aciliyetine göre sıralama ve olay müdahale süreçlerini kolaylaştırır.
– Tehdit izleme ve farkındalık: Lokal monitoring, dış ve iç tehdit istihbaratı platformlarından gelen verileri bir merkezde toplamayı sağlar.
– Tİ platformlarından toplanan verilere en çok eşleşebilecek logları izleme: Firewall, Web Proxy, router ve diğer bağlantı durumunu gösteren cihazların loglarını izlemeyi sağlar.

Tehdit istihbaratı verileri SIEM’de hangi işlemlerde kullanılabilir?

– Kurum ağında kendi komuta-kontrol merkezleri ile haberleşen makineleri, botları veya zararlıları saptamak
– Tehdit istihbaratı platformları tarafından tanımlanan “kötü” kaynaklara işaret eden alarmların öncelik sırasını yükselterek korelasyon kurallarını denetlemek ve baseline ayarlarını iyileştirmek
– Tehdit istihbaratı kaynaklarından gelen veriler baz alınarak bir olayla ilişkilendirilmiş olan öğeleri karakterize etmek (örn. bu IP’nin geçmişi nedir?)
– Geçmiş log verilerini güncel tehdit istihbaratı verileriyle tarihsel olarak eşleştirmek
– Geçmiş tehdit istihbaratı verilerini olaylar ve alarmlar açısından gözden geçirmek (örn. eski tehdit istihbaratı feed’lerinde bu IP ile ilgili herhangi bir girdi var mı?)
– Tehdit tarihçesini ve Tİ verilerini aynı anda gözden geçirmek, SIEM raporlarını ve trendleri izleyerek tarihsel Tİ veri havuzunu analiz etmek

– Tehdit istihbaratı verilerini baz alarak otomatik aksiyon seçeneğini devreye almak
– SIEM’de Tİ verimliliğini ölçen raporlama üretmek
– Web sunucu loglarından kaynak IP adresine göre ziyaretçilerin profilini çıkarmak ve kısıtlamaları kötü listelerde yer alan sitelere indirgemek
– Tİ verilerini alarmlar, raporlar ve aramalarda kullanmak ve diğer monitoring görevleri için bağlam olarak kullanmak

Kaynakça:

1-https://www.threatconnect.com/wp-content/uploads/ThreatConnect-SIEM-Threat-Intelligence-Whitepaper.pdf

2- https://blogs.gartner.com/anton-chuvakin/2014/03/26/how-to-use-threat-intelligence-with-your-siem/

3- https://www.alienvault.com/resource-center/ebook/building-a-soc/soc-team

Bunları da sevebilirsiniz

Bir yanıt yazın

E-posta adresiniz yayınlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir