Siber Tehdit İstihbaratı ne değildir
Efendim Siber Tehdit istihbaratı, çok fazla kavramın, yaklaşımın ve çerçevenin üzerine oturan bir konu olduğundan ne olduğunu bir kaç sayfa da anlatmak çok zor. Kısaltabildiğim en kısa makale 20 sayfa olunca ben de en azından ne olmadığını anlatayım dedim. Yazı boyunca ne yazık ki İngilizce bir çok terim kullanacağım için şimdiden sizlerden özür diliyorum.
Terimlerin ve kavramların Türkçe karşılığı, hali hazırda olmadığından (ya da ben bilmediğimden) ve benim de yeni bir terim uydurabilecek becerim olmadığından bu şekilde devam edeceğim. Cyber Threat Intelligence (CTI) kavramı Türkçeye Siber Tehdit İstihbaratı olarak çevriliyor. Yazı boyunca CTI olarak olarak dillendireceğim; sebebini aşağıdaki anlatacağım.
CTI, Cyber Intelligence, Security Intelligence aynı şey değildir
Aslında bu üç kavramdaki temel sıkıntı, istihbarat ile intelligence kelimelerinin farklı anlamlara vurgu yapmasından kaynaklanıyor.
İstihbarat
İstihbarat, köken olarak Arapça istihbar etmek yani haber almaktan geldiğinden, doğu toplumları bu kavramı kullanırken genellikle bilgi toplamaya, toplanan bilginin gizliliğine ve toplama yöntemindeki gizliliğe vurgu yapmaktadır. Bizim toplumumuzda da istihbarat genellikle, gizlilik ile ilgili kavramları akla getirmektedir.
Intelligence
Batı toplumları ise bu kavramı intelligence kelimesi ile karşılamaktadırlar. Intelligence kelimesi akıl ve zeka olguları üzerine kurulu olduğundan, geniş anlamda hangi verinin toplanacağı, toplanan verinin analiz edilmesi ve anlamlı bir sonuç çıkarılmasına vurgu yapmaktadır.
Yani bizim gibi doğu toplumlarında gizliliğe vurgu yapılırken batı toplumlarında gizlilikten ziyade anlamlı sonuç çıkarmaya vurgu yapılmaktadır. Intelligence, istihbarat olarak Türkçeye çevrilse de, temel de kelime kökeni nedeniyle bir kavram kargaşası ortaya çıkmaktadır.
Cyber Intelligence
İstihbaratın temeli bilgi olduğundan toplanan bilginin kaynağına bağlı olarak istihbarat da farklı sınıflara ayrılmaktadır. Toplanan verinin kaynağı bilgisayar ağları ve bilgisayar sistemleri (popüler terim ile siber uzay) ise bu istihbarat kısaca Cyber Intelligence olarak adlandırılmaktadır. Yani CTI aslında Cyber Intelligence’in bir alt koludur diyebiliriz.
Security Intelligence
Security Intelligence ise FW, SIEM, IPS, Network Traffic Analyzer, DNS Analyzer vb. güvenlik teknolojilerinden toplanan verilerin analiz edilmesiyle, anlamlı, rafine ve kullanılabilir veriler üretmeyi amaçlayan yeni moda bir kavramdır, istihbarat ile direkt bir alakası yoktur. Ama security intelligecence yöntemleri ve araçları kullanarak istihbarat elde edilebilir veya bu araçların çıktıları dolaylı olarak istihbarat üretimine katkıda bulunabilir. Bazı üreticiler daha havalı olduğu için olsa gerek Security Intelligence yerine Cyber Intelligence kullanıyorlar ama ikisi tamamen farklı kavramlar, bu durum da daha fazla kavram kargaşasına yol açıp insanların kafasını karıştırıyor.
Security Intelligence’in topladığı veri kaynağının çok büyük bir kısmını içerdeki veri oluştururken, Cyber Intelligence ve dolaylı olarak CTI’ın kaynağının çok büyük bir kısmını dışardaki veri oluşturmaktadır. Aslına bakarsanız Security Intelligence hem kavram olarak hem de arkasında kullanılan teknoloji olarak Business Intelligence’ı örnek almaktadır. Bu şekilde bakıldığında Security Intelligence Türkçeye direkt çevrilmeye çalışıldığında güvenlik istihbaratı olarak çevrilecek ve tamamen yanlış bir anlam ortaya çıkacaktır. Bu nedenle intelligence yerine direkt olarak istihbarat dediğimizde işler daha da karışacaktır.
CTI, IP/URL/e-posta adresi/alan adı/dosya özeti listesi değildir.
Sadece Türkiyede değil dünya güvenlik piyasasında da CTI sadece IP, e-posta, alan adı, dosya özeti (hash) vb. oluşan listeler (feed) olarak anılmaktadır. Bu şekilde düşünüldüğünde bu listelerin kara listelerden veya repütasyon servisleri tarafından sağlanan verilerden hiç bir farkı kalmamaktadır. Aslında bu veriler CTI jargonunda Indicator of Compromise (IoC) olarak isimlendirilir ve CTI oluşturmak için kullanılan temel veri kaynaklarıdır. Zararlı bir yazılımın kullandığı komuta kontrol (CC) merkezinin IP adresi/alan adı, oltalama saldırısı yapan bir e-posta adresi bir IoC dir, CTI değildir. Verinin veya IoC nin CTI olabilmesi için bir içeriğe sahip olması gerekir.
Yani dünyanın farklı noktalarına kurulmuş olan ve genellikle balküpleri ile toplanan ve kimi zaman CTI Feed olarak sunulan bu veriler CTI olarak nitelendirilmez. Bu veriler kimi zaman analisti farklı yerlere yönlendirip zaman kaybettirdiğinden faydasından çok zarar vermektedir.
CTI ya da daha doğru deyimle taktiksel CTI kısaca şu şekilde örneklenebilir:
Xxx isimli organize suç şebekesinin, para kazanma motivasyonu ile üretmiş olduğu Yyy isimli fidye yazılımı, OS/Versiyon işletim sistemi ve versiyonunun, Z1, Z2 zafiyetlerini kullanarak, P1, P2 portları üzerinden I1, I2, I3 IP adreslerine ve A1, A2, A3 alan adlarına bağlantı kurmakta, bilgisayardaki U1, U2, U3 uzantılı dosyaları şifreleyerek fidye talep etmektedir. Zararlı yazılım ilk olarak dd/mm/yyyy tarihinde görülmüş ve Bbb bölgesindeki Ü1, Ü2, Ü3 ülkelerini tehdit etmektedir. İlgili tehditi engellemek için P1, P2, P3 yamalarının kurulması ve Ö1, Ö2 önlemlerinin alınması önerilmektedir.
CTI bir ürün değildir.
CTI hizmeti veren, bu verilerin paylaşılmasını, dağıtılmasını, analiz edilip zenginleştirilmesini sağlayan bir çok ürün Türkiye ve dünya piyasasında bulunmaktadır. Ancak CTI bir ürün değildir, CTI ürünleri genellikle bu verilerin rafine bir şekilde sunulmasını, paylaşılmasını, analiz edilmesini, bu veriler üzerinde araştırma yapılması sağlayan araçlardır. Asıl önemli olan CTI verisinin üretilmesidir. Günümüzde CTI verisi üreten, bu verileri sunan ya da bir çok CTI kaynağınından veri toplayıp, paylaşan platformlar ile bu verileri güvenlik cihazlarına entegre eden ürünler piyasada yer edinmeye çalışmaktadırlar.
Tehdit aslına bakılırsa ne bir zafiyet, ne bir zararlı kod ne de bir saldırı vektörüdür. Asıl tehdit tüm bunların arkasında olan insanlardır. Araçlar ne kadar sıklıkla değişirse değişsin insanların kullandıkları yöntemleri değiştirmeleri çok daha zordur. O nedenle insanların kullandıkları yöntemleri sadece diğer insanlar analiz ederek tespit edebilir.
CTI üretimi kolay bir iş değildir
CTI üretimi çok zahmetli bir süreçtir, toplanacak verilere karar vermek ve bu verileri farklı kaynaklardan toplamak, toplanan verilerin doğruluğuna ve güvenilirliğine karar vermek, önemsiz ve tekrar eden verileri silmek, verileri zenginleştirip aralarındaki ilişkileri belirmek ve rafine bir halde kullanılabilir forma sokmak gerekmektedir. Bu faaliyetler silsilesi konularında uzmanlaşmış personel tarafından belli bir gizlilik ile yapılmalı, istihbarat haline getirilen verilerin güvenli bir şekilde saklanması, paylaşılması ve sadece yetkili kişiler tarafından erişilebilir olmasının sağlanması gerekmektedir. Ayrıca istihbarat verileri bu verileri kullanacak kişilere göre farklılık göstereceğinden, ilgili verilerin buna göre kategorize edilmesi gerekecektir.
Bu kadar zahmetli ve zor olan istihbarat verilerinin akıllı ellerde kullanılması çok kolay ve faydası kimi zaman hayat kurtarıcı olacaktır. Stratejik istihbaratın üst yönetim seviyesinde verilecek kararlara bir çok girdisi olacak ve güvenlik yatırımlarını değiştirebilecek gücü vardır. Taktiksel istihbarat ise bir saldırının engellenmesini veya devam eden bir saldırının daha hızlı tespit edilmesini sağlayabilir. Kısaca istihbarat, hem taktiksel hem de stratejik boyutta daha doğru kararlar alınarak, yerinde eylemler yapılmasını sağlamaktadır.
Efendim kısa olmasını arzu etmiştim, ancak bakınca gene uzun bir yazı olmuş : )
Kaynaklar
Not: Bu yazı https://www.linkedin.com adresinde aynı isimle 29 Haziran 2017 tarihinde yayımladığım makalenin güncellenmiş halidir.