Tehdit Zekası nedir?

Tehdit zekası, işletmeye yönelik mevcut ve ortaya çıkan siber riskleri anlamak ve savunma stratejilerini güçlendirmek için çeşitli iç ve dış kaynaklardan gelen verileri birleştirir. Başarılı bir tehdit zekası programı; tehdit bilgilerini çeşitli yönlerden inceler, iş riskine göre tehditleri filtreleyip önceliklendirir ve dâhilî sistemlere ve güvenlik denetimlerine geri besler. Tehdit zekası, gelişmiş siber güvenlik programlarının önemli bir bileşenidir.

Siber tehdit zekası, kuruluşa yönelik mevcut ve ortaya çıkan tehditleri göz önüne serer. Kuruluşlar; düşmanların taktiklerini, tekniklerini ve prosedürlerini anlayarak bir güvenlik olayı öncesinde, sırasında ve sonrasında tehditlere daha etkili bir şekilde karşı koyabilir.

Tehdit zekası programları; kuruluşların nasıl güvenlik açıklarını ele alacakları, test stratejileri yürütecekleri, olay müdahale planları geliştirecekleri ve bir olay durumunda iş sürekliliğini sağlayacakları konusunda daha etkili kararlar almalarına yardımcı olur. Tehdit zekası ekipleri, siber risk ekipleri ve güvenlik ekipleri ile iş birliği içinde çalışır.

Tehdit zekası sistemi; siber güvenlik verilerine tepki olarak öngörüler toplayan, analiz eden ve üreten bir merkezdir. Bu sistemler, güvenlik olaylarını izlemeye ve hangi tehdit aktörlerinin mevcut olduğunu belirlemeye yardımcı olarak güvenlik ekiplerine nasıl yanıt verileceği konusunda bilgi sunar. Genellikle sisteme bağlam sağlamaya yardımcı olan dâhilî ve haricî veri kaynaklarının bir koleksiyonu olan siber tehdit zekasından (CTI) yararlanırlar.

Bir tehdit zekası sistemi, bütünsel bir güvenlik yazılımı çözümünün parçası olarak çalışır. AWS Security Hub gibi çözümler genellikle merkezî yönetim için tehdit zekası yaşam döngüsü etkinliklerini entegre eder.

Tehdit zekası yaşam döngüsü, düzenli güncellemeler ve incelemeler gerektiren sürekli bir süreçtir.

Tehdit zekası yaşam döngüsünün ana aşamaları:

Çevre kapsamı

Bir tehdit zekası programını dağıtmadan önce kuruluşlar; sistemlerini, verilerini, ağlarını, hizmetlerini, kullanıcılarını ve diğer kurumsal varlıklarını tanımlamalıdır. Kuruluşlar, kurumsal varlıkları operasyonel öneme ve veri hassasiyetine göre sınıflandırmalıdır. Kurumsal ortamın kapsamı anlaşıldığında hangi tehditlerin işletmeyle ilgili olacağını ve hangi varlıkların daha büyük bir hedef teşkil edebileceğini de anlamak mümkün hâle gelir.

Tehdit verisi toplama

Kapsam belirleme işlemi tamamlanınca siber tehdit zekası yaşam döngüsünde bir sonraki adım, çok sayıda veri kaynağını merkezî bir gerçek kaynağında harmanlamaktır. Tehdit zekası sistemi; dâhilî güvenlik verileri ve sistem raporlarının yanı sıra gerçek zamanlı açık kaynak veya satıcı tarafından dağıtılan tehdit beslemeleri, güvenlik açığı veri tabanları ve sosyal medya ve dark web izleme gibi haricî kaynakları alacaktır.

Bu aşama, kapsamlı bir bilgi yelpazesi elde etmek için mümkün olduğunca çok tehdit verisi yakalamayı amaçlamaktadır. Bu aşamada veri alımı son derece otomatik ve sabit olup iş kapsamı için filtrelenmez.

Veri işleme

Veri harmanlamadan sonra kuruluş, kullanışlı hâle getirmek için ilgili verileri filtreler, yapılandırır, standartlaştırır, zenginleştirir ve dönüştürür. Yapılandırılmamış veriler makine tarafından okunabilir bir biçime dönüştürülürken yapılandırılmış veriler ise veri kalitesini iyileştirmek için temizlenerek meta verilerle etiketlenir. Yedekli ve kapsam dışı veriler kaldırılır. İşleme süreci mümkün olduğunca otomatiktir.

Analiz

Analiz aşaması, tehdit zekası verilerini işletme için eyleme geçirilebilir öngörülere dönüştürür. Otomatik sistemler; siber güvenlik ekiplerinin daha sonra ayrıntılı olarak araştıracağı anormallikleri, tutarsızlıkları veya sonuçları arayarak işlenen verilerdeki kalıpları ve ilişkileri belirlemeye başlayacaktır.

Bu aşamada veri analiz uzmanları; belirli tehdit göstergelerini eşlemek için makine öğrenimi ve tahmine dayalı modelleme uygulamak gibi bir dizi gelişmiş teknik kullanabilir. Bu süreçler hem manuel hem de otomatik olup güvenlik ekiplerine siber savunma stratejilerini belirlemeleri için ilgili ve faydalı bilgiler sağlamak üzere tasarlanmıştır.

Raporlama

Raporlama, tehdit zekası analizinin sonuçlarını işletme paydaşlarına ve ilgili ekiplere sunar. Raporlar; kitleye göre uyarlanır ve sınırlı panoları, metin dosyalarını, sunumları veya diğer iletişim biçimlerini içerebilir.

Raporlama aşaması genellikle otomatiktir, tehdit zekası sistemleri bir rapor oluşturur ve bunu gerekli personele dağıtır. Daha büyük güvenlik tehditleri ortaya çıktığında manuel raporlama ihtiyacını tetikleyebilir.

Ekipler ayrıca yeni ve bilinmeyen tehditleri topluma duyurabilir, böylece diğer kuruluşlar bu bilgileri kendi sistemlerine entegre edebilir.

İzleme ve ayarlama

Tehdit zekası sistemleri; potansiyel güvenlik sorunlarını izler, IOC'leri takip eder ve güvenlik ekiplerini desteklemeye yardımcı olur. Tehdit zekası sistemi, 7/24 çalışan güvenlik operasyonları merkezi (SOC) için önemli bir yazılımdır.

Analiz sırasında ekipler; olay müdahale ve akış planları geliştirmek, yeni veya ayarlanmış güvenlik denetimleri dağıtmak, sistem mimarisinde değişiklikler yapmak ve işletmeye yönelik riskleri güncellemek için potansiyel güvenlik olaylarıyla ilgili ihlal göstergelerini (IOC) izleyebilir. Bu bilinçli yanıt, bir şirketin güvenlik duruşunun ihlale uğramamasını sağlar.

Ekipler, önceki performanslarını yinelemek ve iyileştirmek için beklenmedik güvenlik olaylarından ve yeni bilgilerden ders almalıdır. Güvenlik ekipleri; tehdit zekası yazılımının sürekli iyileştirilmesine yardımcı olmak için güvenlik araçlarının performansını inceleyebilir, yanıtlar hakkında yorum yapabilir ve tutarsızlıkları işaretleyebilir.

Bir siber tehdit zekası programının özellikleri; iş ortamının karmaşıklığına, hassas veri gereksinimlerine ve uyumluluk yükümlülüklerine bağlıdır. Tehdit zekası programlarının en yaygın özelliklerinden bazıları:

Veri beslemeleri

Veri beslemeleri, tehdit zekası platformlarının öngörülerini sunmak için güvendiği tüm bilgi kaynaklarını ifade eder. Bu tehdit zekası hizmetleri, tehdit zekası programlarının temel bir bileşenidir.

Haricî veri besleme kaynakları arasında gerçek zamanlı açık kaynak istihbarat (OSINT), halka açık tehdit beslemeleri ve devlet siber güvenlik kurumları tarafından sağlanan bilgiler bulunur. Dâhilî veri besleme kaynakları arasında güvenlik duvarı günlükleri, kullanıcı erişim davranışları, izinsiz giriş algılama sistemi (IDS) uyarıları, uç nokta günlükleri ve bulut hizmeti telemetrisi bulunur.

Teknolojiler

Tehdit zekası; güvenlik ekipleri için veri sunmak, bilgileri analiz etmek ve eyleme geçirilebilir öngörüler sağlamak üzere uyum içinde çalışan çeşitli teknolojilerden yararlanır. Örneğin, bazı tehdit zekası yazılımları, verilerin alınmasına ve düzenlenmesine yardımcı olmanın yanı sıra harekete geçmeleri gerektiğinde öngörüleri doğrudan güvenlik ekipleriyle paylaşır.

Analiz teknolojileri, potansiyel güvenlik olaylarını işaretlemeye yardımcı olan verilerdeki kalıpları ve anormallikleri bulmak için gereklidir. Siber tehdit zekasının analiz yetenekleri; verilerin netliğini, hassasiyetini ve derinliğini artırmak için ekiplerin kullandığı herhangi bir teknolojiyi ifade eder. Bunlar arasında makine öğrenimi analizi, tahmine dayalı algoritmalar ve davranışsal analiz bulunur.

Güvenlik bilgileri ve olay yönetimi (SIEM) sistemleri, ortaya çıkan tehditlerin işinizi nasıl etkileyebileceğine dair gerçek zamanlı bilgiler sunmak için dâhilî güvenlik günlüğü verilerini olay bilgileriyle ilişkilendirir. Bazı şirketler ayrıca ürünlerine uygulama içi uyarı özelliği katıştırır ve bu da geliştiricilere belirli yönler üzerinde çalışırken potansiyel hatalar hakkında ek bağlam sağlayacaktır.

Çerçeveler

Tehdit zekasını içeren çerçeveler, kuruluşların takip etmesi için standartlaştırılmış bir yapı sunar. Bu çerçeveler çok değerlidir ve kuruluşlar için tanımlayıcı ve yönlendirici rehberlik içerecek şekilde düzenli olarak güncellenir. Tehdit zekasına odaklanan siber güvenlik çerçeveleri; MITRE ATT&CK çerçevesi ve Cyber Kill Chain'dir. Bu çerçevelerin her ikisi de taktikleri, standart vektörleri ve IOC'leri ele almanın yollarını içerir.

Etkinlikler

Siber tehdit zekası sistemleri, öngörüler oluşturmak ve yeteneklerini geliştirmek için bir dizi etkinlikte bulunur. Örneğin, bu sistemler; gerçek zamanlı risk değerlendirmeleri yapabilir, bilinen güvenlik açıklarını güncellemelerle düzeltebilir, olaylara geri bildirimlerle yanıt verebilir ve siber güvenlik uzmanlarına hangi olaylara öncelik vermeleri gerektiği konusunda fikir sunabilir.

Güvenlik uzmanlarının kullanacağı dört ana siber tehdit zekası türü vardır.

Stratejik tehdit zekası

Stratejik tehdit zekası; jeopolitik veriler, ekonomik veriler ve potansiyel bir güvenlik olayının bağlamsal profilini oluşturmada yararlı olabilecek diğer teknik olmayan istihbarat dâhil olmak üzere sistemlerin topladığı daha geniş kapsamlı tehdit ortamı bilgilerini ifade eder. Bu tür teknik olmayan stratejik tehdit zekası, daha geniş çaplı güvenlik açıklarını ve bunların gelişimini anlamaya yardımcı olan değerli bilgiler sağlar.

Taktiksel tehdit zekası

Taktiksel tehdit zekası; düşman taktikleri, teknikleri ve prosedürleri (TTP'ler) ile ilgili bilgi toplamayı ifade eder [gelişmiş kalıcı tehditlerden (APT'ler) gelen TTP'ler dâhil]. Sektör genelindeki istihbarat verileri, kamu güvenliği akışlarında paylaşılır. Bu bilgiler; belirli saldırıların tipik davranışlarını, kullanılan vektörleri ve herhangi bir güvenlik olayında meydana gelen eylemlerin sırasını anlamada güvenlik uzmanlarına yardımcı olur.

Teknik tehdit zekası

Teknik tehdit zekası, makine tarafından tanımlanan ihlal işaretlerini ifade eder. Kötü amaçlı IP adreslerinin varlığı, beklenmeyen güvenlik URL'leri, güvenlik duvarı yanıtları veya bir sistemin beklenen operasyonel değerlerindeki ani değişiklik gibi IOC'lerin tümü; ekiplerin daha fazla araştırma yapması için işaretlenecektir.

Operasyonel tehdit zekası

Operasyonel tehdit zekası, taktiksel ve teknik bilgiler arasındaki kompozit bir istihbarat biçimidir. Bu operasyonel istihbarat biçimi; belirli bir fidye yazılımının veya kötü amaçlı yazılımın belirli şirketlerde veya bölgelerde nasıl giderek daha fazla görüldüğü gibi endüstri çapındaki bilgiler hakkında fikir verecektir. Operasyonel tehdit zekası, şirketlerin olası güvenlik olaylarını meydana gelmeden önce azaltmak için adımlar atmasına olanak tanır.

AWS Bulut Güvenliği; özel tehdit zekası entegrasyonları, otomasyon ve görselleştirmelerle bulut ortamınızın güvenliğini sağlamanıza yardımcı olur. AWS Bulut Güvenliği; potansiyel riskleri belirlemeye, veri koruma önlemlerini benimseyerek altyapıyı korumaya, beklenmedik olaylara karşı güvenlik duruşunu izlemeye ve hatta olaylara doğrudan yanıt vermeye yardımcı olur.

AWS Security Hub, kritik güvenlik sorunlarınıza öncelik verir ve ortamınızı korumak için uygun ölçekte yanıt vermenize yardımcı olur. Tehdit istihbaratı sunar, sinyalleri eyleme geçirilebilir öngörülerle ilişkilendirerek ve zenginleştirerek kritik sorunları tespit eder ve basitleştirilmiş bir yanıt süreci sağlar.

Hemen ücretsiz bir hesap oluşturarak AWS'de tehdit zekasını kullanmaya başlayın.