Ana içeriğe geç

SİBER TEHDİT İSTİHBARATI (CYBER THREAT INTELLIGENCE - CTI)

Siber güvenliğin alt dallarından olan, Siber tehdit istihbaratına girmeden önce bu konuyu daha iyi kavrayabilmek için siber tehdit istihbaratında kullanılan temel kavramlardan bahsedeceğiz.

İstihbarat Nedir ?

İstihbarat kelimesinin Türkçede sözlük anlamı “haber alma” şeklindedir. İngilizce ve Fransızcada “akıl, zeka “ anlamına gelen “intelligence” kelimesi kullanılır. İstihbarat, ulaşılabilen bütün açık, yarı açık veya gizli kaynaklardan her türlü aracın kullanılması sonucunda elde edilen veri, malumat ve bilginin ulusal genel veya ulusal özel plandaki politikaların gerçekleştirilmesi ve ulusal politikalara zarar verilmesinin engellenmesi amacı ile toplandıktan sonra önemine ve doğruluğuna göre sınıflandırılması, karşılaştırılması ve analiz edilerek değerlendirilmesi süreci sonucunda ulaşılan bilgidir.

İstihbaratın Alt Dalları

Yukarıda verilen görseldeki gibi istihbarat üç farklı noktayı içerisinde barındırır. Bu noktalar istihbarat, tehdit istihbaratı ve siber tehdit istihbaratıdır. Yazımız da istihbarat kavramından başlayarak genelden özele şeklinde anlatım yapılacaktır.

Temel Kavramlar

  • Veri (Data): Ham gerçek enformasyon parçacığına verilen addır. Yani bilgisayarın alabildiği, işleyebildiği, sonuç üretebildiği ve saklayabildiği her şey veridir.
  • Enformasyon (Information): Şekil vermek, bilgilendirmek anlamlarına gelen “inform” kelimesinin kökünden türemiştir. Genel anlamda enformasyon, bir konuya ilişkin verilerin karar vermeyi kolaylaştıracak biçimde toplanması, derlenmesi ile oluşan bilgi bütünüdür.
  • Bilgi (Knowledge): Bilgi işlenmiş veridir. İnsan aklının alabileceği gerçek, olgu ve ilkelerin tümüne verilen addır. Yani verilerin akıl süzgecinden geçirilmeden önceki eliminasyonudur. -Siber İstihbarat (Cyber Intelligence): Siber uzaydaki ağlar, bilgisayarlar veya cihazlar üzerinden toplanan verilerin incelenmesi ve işlenmesi sonucunda elde edilen bilgilerden istihbarat üretilmesidir. -Açık Kaynak İstihbaratı (OSINT): Halka açık kaynaklardan herhangi bir gizlilik gerektirmeyen, belirli bir amaç için toplanan verilerden istihbarat elde etme metotlarından biridir. -Siber Savaş (Cyber War): Bir devletin, başka bir devletin bilgisayar sistemlerine veya ağlarına hasar vermek ya da kesinti yaratmak üzere gerçekleştirilen sızma faaliyetleridir. -Siber Saldırı (Cyber Attack): Hedef seçilen şahıs, şirket, kurum, örgüt, gibi yapıların bilgi sistemlerine veya iletişim altyapılarına yapılan planlı ve koordineli saldırıya verilen isim. -Gelişmiş Kalıcı Tehditler (Advanced Persistent Threat – APT): Bir kişinin ya da grubun sistemlere yetkisiz erişim sağlayarak orada uzun süre kalması olarak açıklayabiliriz. "Gelişmiş" ifadesinden de anlaşılacağı gibi, gelişmiş kalıcı tehdit; sürekli, gizli ve gelişmiş korsanlık tekniklerini kullanarak bir sisteme erişir ve burada, yıkıcı sonuçlar yaratmaya yetecek kadar uzun bir süre boyunca kalır. Genellikle devletler tarafından geliştirilir ve devletler tarafından desteklenen APT grupları spesifik zararlı yazılımlar ve siber casusluk faaliyetlerinde tanınır.

İstihbarat Çarkı Nedir ?

Bilginin istihbarata çevrildiği ve kullananların istifadesine sunulduğu safhalardır. Çarkı oluşturan dört evre vardır. Bunları kısaca anlatalım.

İstihbarat Çarkı

  • İstihbarat İhtiyaçlarının Tespiti ve Toplama Çalışmalarının Yönlendirilmesi: Bakanlıkların istihbaratların istek ve ihtiyaçlarına cevap oluşturabilecek uygun haber toplama ortamlarının tespit edilmesi ve haber toplama çalışmalarının yönlendirilmesi aşamalarını kapsar.
  • Haberlerin Toplanması: Bu aşamada faydalanılan kaynaklar “açık” ve “kapalı” olmak üzere ikiye ayrılır. Gazete, dergi, kitap, radyo ve televizyon yayınları ile internet siteleri açık kaynakları oluşturur. Kapalı kaynaklar ise, çeşitli haber toplama metotlarıyla birlikte teknolojiyi kullanarak oluşturulan istihbarat ihtiyacı konusunda haber derleme yeteneğine sahip insanlardan oluşur.
  • Haberin İşlenmesi: Toplanan ve derlenen haberler ile teşkilat dışı kuruluşlardan gelen haber, bilgi ve belgeler tasnif, kıymetlendirme ve yorum aşamalarından geçirilerek işlenir.
  • İstihbaratın Yayımı ve Kullanılması: Değerlendirmenin sonunda işlenen raporlar ilgili birime ulaştırılarak kullanılır. İlgili kurumlar raporları kullanırlar aynı zamanda yeni istihbarat oluştururlar. Böylece birbirini izleyen dört evreden oluşan “İstihbarat Çarkı” tamamlanmış olur.

Siber Tehdit Nedir ?

İyi niyetli olmayan kişi, grup, kurum ve kuruluşların bir veri iletişim yolunu kullanarak kontrol sistemi cihazlarına veya şebekesine izinsiz erişim sağlamaya çalışmak ya da bilgisayar ağ yapısını bozmaya çalışmak, kullanılamaz hale getirmek olarak tanımlanır. Siber tehditler farklı nedenlerden ve farklı yerlerden ortaya çıkabilir.

Örneğin; kötü niyetli hackerler, casuslar, teröristler, düşman devletler siber tehdit oluşturan unsurlar arasındadır.

Siber tehditlere örnek vermek istersek aşağıdaki gibi sıralayabiliriz. - Kötü Amaçlı Yazılım (Malware) - Oltalama (Phishing) - Şifre Kırma (Password cracking) - Servis Dışı Bırakma Saldırıları (DDos) - Aradaki Adam Saldırıları (Man in the middle) - Otomatik Yüklenen Yazılımlar (Drive-by download) - Antivirüs Şeklinde Zararlı Olan Yazılım (Rogue software) - Tuş Kaydedici (Keylogger) - Truva Atı (Trojen)

Siber tehditleri ortadan kaldırabilmek için kurum ve kuruluşlar bu tehditlere karşı bazı savunma çalışmaları yapmaktadır. Bunlara; antivirüs programları, güvenlik duvarı, versiyon güncelleme gibi örnekler verebiliriz.

Siber Tehdit İstihbaratı Nedir ?

Kurum ve kuruluşlara herhangi bir seviyede iş unsurları ve güvenliğine zarar verebilecek tehditler hakkında tanımlanmış, toplanmış ve zenginleştirilmiş verilerin bir süreçten geçirilerek analiz edilmesi sonucu saldırganların “motivasyonlarını”, “niyetlerini” ve “metotlarını” tespit edip önlemek için uyguladığı proaktif bir güvenlik önlemidir.

Seviyeye Göre Siber Tehdit İstihbaratı

  • Stratejik Siber Tehdit İstihbaratı: Tehditleri önceden tespit ederek, tehditleri tanımaya yönelik olan ve bu anlamda doğru kararları alabilmek açısından büyük önem arz eden istihbarat çeşididir. Yabancı devletlerin politikaları, kültürel eğilimleri, kısıtlamaları, projeleri, yatırımları gibi kritik bilgilere ulaşmayı sağlamaktadır.
  • Operatif Siber Tehdit İstihbaratı: Saldırganların teknik, taktik ve prosedürlerini içerir. İç içe geçmiş uyumlu taktiksel istihbarat eylemlerinden oluşturulmuştur. Verile analiz edilerek olası saldırılara karşı önlemler alınır.
  • Taktik Siber Tehdit İstihbarat: Ağ ve sistem üzerindeki kötü amaçlı tehdit ve saldırıları tanımlayan verilerden oluşan istihbarat türüdür. Taktiksel istihbarat, hemen kullanılması gerekirken, stratejik istihbarat ise uzun vadelidir.
  • Entegre Siber Tehdit İstihbarat: Stratejik istihbarat, operatif istihbarat ve taktik istihbaratın tamamiyle entegre bir şekilde kullanıldığı istihbarat çeşididir.

Siber Tehdit İstihbaratı Amacı Nedir ?

Kurum ve kuruluşlara dışarıdan gelen (harici) ve en yaygın ve tehlikeli tehdit risklerini anlamalarına yardımcı olmaktır. Örneğin bu saldırı türleri 0-day saldırıları, geliştirilmiş kalıcı tehdit APT (Advanced Persistent Threat) ve exploitler olabilir. Buna rağmen tehdit unsurları içeriden (dahili) saldırılar da olabilir.

  • Veri kaybını önleme – Kötü amaçlı IP’leri ve domain alanlarını izleyerek olası phishing saldırılarını algılayıp müdahale ederek veri kaybı önlenebilir.
  • Veri ihlali tespiti – Veri ihlalleri ve sızıntılar tespit edilerek olası yaşanacak kayıpların önüne geçilebilir.
  • Olay yanıtı – Veri kaybı ve sızıntısının hangi cihazlardan gerçekleştiğini veya gerçekleşmekte olduğunu belirlemeye yardımcı olur.
  • Tehdit analizi – Gerekli savunma mekanizmaları ve alınabilecek önlemler hakkında fikir vererek saldırganların teknik, taktikleri anlayarak bir sonraki olası tehditlerin önüne geçmek.
  • Veri analizi – Toplanan verilerin analizi sonucu daha sonra oluşabilecek tehditlere karşı ek bilgiler elde edilmesine yardımcı olur. Ayrıca veri analizi sonucunda istihbarat elde edilir.

Siber Tehdit İstihbaratı Nasıl Toplanır ?

Veri, haber, duyum istihbarat değildir fakat analiz edilerek istihbaratın üretilmesi gereken ham maddelerdir. Kurum ve kuruluşların, veritabanları ve log kayıtlarını analiz sonucunda önemli siber tehdit istihbaratlarına ulaşılabilir. Devletler, siber suç örgütleri, siber casuslar gibi tehdit sayılabilecek aktörler mevcuttur.

Kaynaklardan toplanan veriler analiz edilerek çeşitli riskler tanımlanır ve azaltılır. Bilinmeyen tehditler bilinen tehdide dönüştürülmelidir. Güvenli veri paylaşımı ve verinin işlenmesinde istihbarat kullanılmalıdır.

  • Seviye 1: Tehdit Aktörleri: Tehlikeye atılmış sistemleri araştırmak ve tanımlamak için kullanılabilen bilgi parçalarıdır.
    • Dosya Özetleri (hash) ve İtibar (reputation) Değerleri: Bir zararlı yazılım dosya özeti herhangi bir virüs, truva atı, rootkit, keylogger ya da diğer türlere ait eşsiz bir tanımlayıcıdır. Zararlı yazılım bulunduran bir dosya çoğunlukla md5 ve shal algoritmalarını kullanarak dosya özetlerini oluşturur. Bu özetler ile zararlı yazılımın arkasında bıraktığı izlerdir.
    • Zararlı Yazılımlar:
      • Spam Emailler
      • Oltama (Phishing) adresler ve diğer dolandırıcılık sayfaları
      • Botnet komuta & kontrol merkezleri
      • Takip edilemeyen IP adresleri (TOR)
      • Anonimlik oluşturan Proxy hizmetleri

Yukarıda belirttiğimiz zararlı yazılımları tespit etmek için, siber güvenlik araştırmacıları önce zararlı yazılımların bulaştırdığı virüsleri bulmaya çalışır. Bunu honeypot ağları, web sunucularının, e-posta sunucularının ve diğer sistemlerin faaliyetlerini taklit eden bilgisayarlar ve web’de gezinen bilgisayar kullanıcıları oluşturarak gerçekleştirirler. Bu sensörler kurumlara gelen e posta ve mesajları analiz ederek ayrıştırmaktadır

Daha önce görülmemiş olan zararlı yazılımlar, statik ve dinamik analizlere ya da davranış analizi kontrolünden geçilerek zararlı yazılım olduğu tespit edildikten sonra imza oluşturulur.

  • Seviye 2: Tehdit Aktörleri: Güvenlik ekiplerinin saldırılara ilişkin teknik, taktik ve prosedürleri tespit etmelerinde tehdit aktörlerini ilişkilendiren analiz bilgileri sağlayarak yardımcı olmaktadır. Zararlı yazılım analizlerini, davranışlarını anlamaya yardımcı olan durumdur.
  • Zararlı Yazılım Analizi: Zararlı yazılım analizi, dinamik analiz veya sanal alan oluşturma (sandboxing) teknolojisi ile yapılmaktadır. Sandboxing ile, şüpheli bir dosyanın, kurumsal ağdan izole edilmiş bir sanal yürütme ortamında çalıştırılmasına izin verilir. Korumalı alan, dosyanın aldığı ve aşağıdakiler gibi kötü amaçlı faaliyetler de dahil olmak üzere tüm eylemleri gözlemleyerek belge oluşturmaktadır.

  • Seviye 3: Stratejik Siber Tehdit İstihbaratı: Kurum ve kuruluşları tehdit eden düşmanlar ve tehlikeler hakkında istihbarat oluşturulmasıdır. - Yeraltı Dünyasını (Dark Web) Gözlemlemek: Siber suçlular, siber casusluk ajanları ve daha önce belirlediğimiz gruplar katılımcıların da katıldığı yer altı bir evreni geliştirdiler. Bu ortamdan gelebilecek olan tehdit ve tehlikeler tespit edilebilir. - Teknik, Taktik ve Prosedürler: Siber güvenlik araştırmacıları, tehdit ve düşmanların internet üzerindeki faaliyetleri izleyerek ve inceleyerek onların teknik, taktik ve prosedürleri hakkında fikir sahibi olabilirler.

Siber Tehdit İstihbaratı Nasıl Kullanılır ?

Siber tehdit istihbaratı kullanılabilir olması önemli özellikleri arasındadır. Siber tehdit istihbaratı proaktif ve hızlı karar alma süreçlerinde aşağıdaki şekillerde kullanılır.

  • IT Operasyonları

  • Network Operasyonları

  • Patching (Yamalama)

  • Security Operation Center (SOC)

Siber Tehdit İstihbaratı Ürünleri Nelerdir ?

  • Malware Patrol
  • IBM X-Force Exchange
  • Malware Information Sharing Platform-MISP
  • Project Honey Pot
  • Cymon Open Threat Intelligence
  • Bt Scout
  • Bluliv Threat Exchange
  • Honey
  • DB
  • Anomali ThreatStream
  • Pal
  • o Alto Networks AutoFocus
  • LogRhythm Threat Lifecycle Management (TLM) Platform, verilen ürünler siber tehdit istihbaratında en yaygın olan ürünlerden bir kaçıdır.

AÇIK KAYNAK İSTİHBARATI (OPEN SOURCE INTELLIGENCE - OSINT)

Açık Kaynak İstihbaratı (OSINT) Nedir ?

OSINT Open Search Intelligence kavramının kısaltması olup, açık kaynak istihbaratı anlamına gelmektedir. OSINT herhangi bir gizlilik gerektirmeyen, kamuoyuna açık, belirli bir amaç için toplanan bilgilerin, istihbarat niteliği taşıyıp taşımadığına karar veren bir süzgeçten geçirilmesiyle (analiz edilerek) elde edilen istihbarat faaliyetleri olarak tanımlanır. OSINT kaynaklarına bakıldığı zaman gazete, dergi, radyo, televizyon, internet, bloglar, raporlar, basın toplantıları, resmi veriler, konuşmalar, hava ve meteoroloji uyarıları, konferanslar, sempozyumlar, profesyonel yayınlar ve akademik belgeler olarak sıralanmaktadır.Ayrıca OSINT, pasif bilgi toplamadır. "Pasif bilgi toplama nedir?" diyenler için hemen hatırlatalım.

Pasif bilgi toplama: Hedef sistem ile etkileşime geçmeden, internetteki kaynakları kullanarak bilgi toplamadır.

Hedefe uygun istihbarat toplamak için aşağıdaki sorulara net olarak cevap vermek gerekir: - Ne arayacağım? - Hangi amaçla araştıracağım? - Hedefim kim veya nedir? - Nasıl araştırma yapacağım?

Açık Kaynak İstihbaratının (OSINT) Aşamaları Nelerdir ?

  • Hedefle ilgili yapılan basit internet taraması,
  • Google, Bing, Yandex, DuckDuckGo, LinkedIn, Facebook, Twitter.. ve bir çok arama motorları ve sosyal medya hesapları araştırmaları.
  • Hedefe ait DNS kayıtlarının tespit edilmesi,
  • Hedefin IP adresinin tespit edilmesi,
  • Subdomainler, Açık Portlar ve Servisler.
  • Hedefe ait e-posta adreslerinin tespit edilmesi,
  • Daha önce yaşanan güvenlik açıklarından etkilenilme durumu kontrol edilmelidir.
  • Hedef uygulamalarda teknoloji altyapılarının tespit edilmesi,
  • Tespit edilen her türlü yazılım, program, ağ altyapısı bilgileri son derece önemlidir.
  • Kullanılan uygulamaların geçmiş kayıtlarının tespit edilmesi önemlidir.
  • Örneğin internete bağlı cihazların tespit edilmesi.
  • Hassas verilerin tespit edilmesi (Metadata Analizi) ,
  • API Key bilgleri, internete sızdırılmış (leaked) bilgiler,
  • Fotoğraf, video, lokasyon bilgileri.

Elde edilen tüm verilerin toparlanmasından sonra en önemli noktalara sızma testi gerçekleştirebilmek için aktif tarama öncesi genel bir bakış açısına sahip olunmalıdır.

Açık Kaynak İstihbaratı (OSINT) Araçları Nelerdir ?

Hedef hakkında bilgi toplarken yardımcı olacak araçlar kullanırız. Bunları aşağıdaki listeden görebilirsiniz.

  • Osrframework: Hedefin sosyal medya hesaplarını, domain adresini, e-posta adresi gibi bilgilerini keşfedebiliriz.
  • Shodan : Hackerların arama motoru diyebiliriz. Shodan’da arama yaptığımızda modem arayüzleri, kamera sistemleri, yazıcılar, switchler, serverlar gibi verilere erişebiliriz.
  • Maltego: Kali Linux sisteminde yüklü olarak gelmektedir. Maltego ile alan adları, Whois bilgileri, Ip adresi, ağ tespiti, e-posta adresi toplama, telefon, fax numaraları, sosyal paylaşım ağlarına erişebiliriz.
  • The Harvester: Bu araç hedef domain ve o domaine bağlı e-postaları tespit etmek için geliştirilmiş araçtır.
  • Google Dorks: Hedefe ait verileri hızlı ve net bir şekilde taramak için kullanılan etkili yöntemlerdendir.
  • Spyse: Aslında bu bir web sitesidir. Siber güvenlik arama motoru da denebilir.
  • Recon-ng: Metasploit’e benzer bir arayüzü bulunmaktadır. Web keşif amaçlı ve bilgi toplamak için kullanılır.
  • Cree-py: Sosyal medya platformlarını ve resim hosting sitelerini kullanarak geolokasyon hakkında bilgi edinir. Sonuçlar ve raporlar bir harita üzerinde gösterilir.

SOSYAL MEDYA İSTİHBARATI (SOCIAL MEDIA INTELLIGENCE - SOCMINT)

Sosyal Medya İstihbaratı (SOCMINT) Nedir ?

Açık veya kapalı her türlü sosyal medya hesabı ve paylaşımlar üzerinden hem müdahaleci hem de müdahaleci olmayan araçları ve yöntemleri kullanarak elde edilen verilerin teknik araçlar kullanarak orta çıkartılmış bir siber istihbarat türüdür. Bu tür istihbarat toplama, OSINT’ in (Açık Kaynak İstihbaratı) bir unsurudur. SOCMINT şirketlerin veya hükümetlerin Facebook veya Twitter gibi sosyal medya ağ sitelerini (SNS'ler) izlemelerine olanak tanıyan teknik ve teknolojileri barındırır. SOCMINT İstihbarat faaliyetlerini destekleyici en önemli unsurlar arasında gelmektedir. SOCMINT’in ana unsurlarına baktığımız zaman - Açık olan (müdahaleci olmayan) - Açık olmayan (müdahaleci)

Açık olan unsurda veri toplama ve istihbarat faaliyetlerini görmekteyiz. İkincisi yani açık olmayan istihbarat faaliyetlerinde NOSINT ya da gizli istihbarat (diğer insanların özel mesajlarını ya da e-postalarını okumak) kullanılır.

Sosyal Medya İstihbaratı (SOCMINT) Kullanımı

Sosyal medya gibi İnternet kaynaklarından elde edilen istihbaratın etkin kullanımı, onun karar vericilere hızlı, güvenli ve doğru bir formatta sunulmasına bağlıdır. SOCMINT de diğer istihbarat ürünleri gibi bilgi raporu, istihbarat bülteni ve istihbarat değerlendirmesi formatlarında sunulabilmektedir. SOCMINT yayımı ile ilgili olarak üzerinde durulması gereken konulardan bazıları şunlardır:

Öncelikle SOCMINT'in toplanmasında, işlenmesinde ve analizinde bahsedilen zorlukların, hata olasılıklarının ve esnekliğin yayım aşamasına doğru olarak yansıtılması gereklidir. Büyük miktarda depolanan sosyal medya verilerinin istatistiksel yöntemlerle örnekler alınarak anlamlandırılmasında ve yorumlanmasında oluşabilecek hatalar buna örnek olarak verilebilir. Başka bir örnek ise hedef alınan sosyal medya kullanıcıları tarafından kasıtlı olarak yanıltmalara maruz kalınabileceği gerçeğidir. Hem istihbarat üreticileri hem de kullanıcıları tarafından tüm bu olasılıklar göz önünde bulundurulmalıdır.

İkinci olarak, SOCMINT'in yayımı ve arşivlenmesi yüksek bilgi güvenliği standartlarına göre gerçekleştirilmelidir. Bu süreçte gizlilik ihlalleri yaşanması durumunda, toplumda herkesin iletişiminin izlendiği algısı oluşabilecektir. Bu da kolluk kuvvetlerine ve istihbarat kurumlarına karşı güven kaybına yol açabilecektir.

SOCMINT'e örnek olarak 18 Aralık 2010 tarihinde Tunus’da başlayan ve daha sonra Mısır, Libya, Suriye, Bahreyn, Cezayir, Ürdün ve Yemen’de büyük çaplı hareketlerle kendini gösteren, ardından da Moritanya, Suudi Arabistan, Umman, Irak, Lübnan ve Fas’ta ise küçük çaplı olayların yaşandığı Arap Baharı sosyal medyanın etkinliğine gösterilebilecek en önemli olaylar arasında gelmektedir.

AÇIK KAYNAK KODLU SİBER TEHDİT İSTİHBARATI (OPEN SOURCE CYBER THREAT INTELLIGENCE - OpenCTI)

Açık Kaynak Kodlu Siber Tehdit İstihbaratı (Open Source Cyber ​​Threat Intelligence - OpenCTI) Nedir ?

OpenCTI, kuruluşların siber tehdit istihbaratı bilgilerini yönetmeye olanak tanıyan açık kaynak kodlu bir platformdur. Siber tehditler ile ilgili teknik ve teknik olmayan bilgileri yapılandırmak, saklamak, düzenlemek ve görselleştirmek için oluşturulmuştur. Verilerin yapılandırılması, STIX2 standartlarına dayalı bir bilgi şeması kullanılarak gerçekleştirilir. GraphQL API ve UX odaklı bir adet ön uç içeren modern bir web uygulaması olarak tasarlanmıştır. Ayrıca OpenCTI, MISP , TheHive , MITER ATT & CK , vb. Gibi diğer araçlar ve uygulamalarla entegre edilebilir.

STIX = Siber tehdit istihbaratı için yapılandırılmış bir dil. Yapılandırılmış Tehdit Bilgisi İfadesi (STIX ™), siber tehdit istihbaratını (CTI) değiştirmek için kullanılan bir dil ve serileştirme formatıdır. STIX, kuruluşların CTI'yi tutarlı ve makine tarafından okunabilir bir şekilde paylaşmalarına olanak tanıyarak, güvenlik topluluklarının hangi bilgisayar tabanlı saldırıları görme olasılıklarının en yüksek olduğunu daha iyi anlamalarına ve bu saldırıları daha hızlı ve daha etkili bir şekilde tahmin etmelerine ve / veya yanıtlamalarına olanak tanır.

GraphQL, API'ler için bir sorgu dili ve bu sorguları mevcut verilerinizle yerine getirmek için bir çalışma zamanıdır. GraphQL, API'nizdeki verilerin eksiksiz ve anlaşılır bir açıklamasını sağlar, müşterilere tam olarak neye ihtiyaç duyduklarını sorma gücü verir. API'leri zaman içinde geliştirmeyi kolaylaştırır ve güçlü geliştirici araçlarını etkinleştirir.

Açık Kaynak Kodlu Siber Tehdit İstihbaratı (OpenCTI) Amaçları Nelerdir ?

Kullanıcıların teknik (TTP'ler ve gözlemlenebilirler gibi) ve teknik olmayan bilgilerden (önerilen atıf, kurban bilgisi vb.) yararlanmasına olanak tanıyan kapsamlı bir araç oluşturmak. Her bilgi arasındaki bağlantılar, ilk ve son görülme tarihleri gibi özelliklerle birlikte verileri yapılandırmaya yardımcı olmak için MITRE ATT&CK framework kullanabilir. Kullanıcı ayrıca kendi veri setlerini uygulamayı da seçebilir. Veriler, OpenCTI içindeki analistler tarafından büyük harfle yazıldıktan ve işlendikten sonra, bu bilginin anlaşılmasını ve temsilini kolaylaştırmak için mevcut olanlardan yeni ilişkiler çıkarılabilir . Bu, kullanıcının ham verilerden anlamlı bilgileri çıkarmasına ve bunlardan yararlanmasına olanak tanır. OpenCTI yalnızca içe aktarmaya değil, aynı zamanda farklı formatlarda (CSV, STIX2 paketleri, vb.) Verilerin dışa aktarılmasına da izin verir . Bağlayıcılar şu anda araç ve diğer platformlar arasındaki etkileşimleri hızlandırmak için geliştirilmektedir.

Açık Kaynak Kodlu Siber Tehdit İstihbaratı (OpenCTI) Çözümleri

  • MISP: Yani diğer adıyla Malware Information Sharing Platform and Threat Sharing (Kötü Amaçlı Yazılım Bilgi Paylaşım Platformu ve Tehdit Paylaşımı) açık kaynak bir çözümdür. Bu yazılım sayesinde siber güvenlik olayları ve malware analizlerine ait pek çok bilgiyi toplamak, depolamak ve dağıtmak mümkün. Ayrıca elde edilen bu bilgiler yine aynı platform üzerinden kolaylıkla paylaşılabiliyor.

    MISP özelliklerinden birkaçı: - Etkili bir IOC ve indikatör veri tabanı. - Yapılmakta olan saldırılar, geliştirilmekte olan malware’lerin aralarında bir ilişki olup olmadığının incelenmesi ve analizi. - Farklı bilgilerin aynı potada eritilip, tek bir merkezden tüm kullanıcılarla paylaşılabilmesi. - Kullanıcı dostu arayüz sayesinde hızlı bir şekilde olay ya da bilginin paylaşılması. - IDS, OpenIOC, düz metin, CSV, MISP XML ya da JSON formatlarında dosya aktarımı. - Esnek özgür metin import aracı sayesinde hızlı bir şekilde raporların MISP’e entegrasyonu. - MISP kullanıcıları arasında paylaşılan bilginin otomatik olarak paylaşımı ve senkronizasyonu. - MISP ile kendi çözümlerinizi entegre edebilmenizi sağlayan esnek bir API. PyMISP Python kütüphanesini kulnarak Python ile geliştirilmiş diğer uygulamalarla entegrasyon. - Verilerin STIX formatında paylaşımı. - Bulk-importi batch-import, GFI sandbox, ThreatConnect CSV ve OpenIOC’dan import edebilme. - YETI: Tehdit göstergelerini (indicator of compromise) ve bu göstergelerin teknik, taktik ve prosedürleri (TTP) hakkındaki bilgileri tek bir depoda organize etmeyi amaçlayan bir platformdur. Tehdit göstergelerini (IOC) otomatik olarak zenginleştirebilme özelliğine sahiptir. Yeti kullanıcıların rahat bir ortamda çalışabilmesi için “Bootstrap” tabanlı bir kullanıcı arayüzü sunmaktadır. Bir web API arabirimi üzerinden diğer araçlarla entegre edilebilmekte ve kullanılabilmektedir.

    YETI şunları yapmanıza izin verir: - Tehdit göstergelerini gönderebilir ve tehdidin yapısı hakkında fikir sahibi olma. - Tersine özelliğiyle bir tehdidin TTP’lerini gözlemleyebilir, analiz edebilir ve kötü amaçlı yazılımları listeleme. - Müdahale edenlerin olay yanıtının "Google the artefact" aşamasını atlamasına izin verme. - Farklı tehditler arasındaki ilişki grafiklerini görselleştirme.

    Kısacası YETI üzerine eklenen tüm bu verileri hızlıca listeleyebilir, analiz edebilir, ilişkilendirebilir ve dışa aktarım sağlayabilirsiniz. Örneğin bu veriler SIEM gibi ürünlere meşhur formatlarda aktarılabilir ve entegrasyon sağlanabilir. Bu sayede yapılan analizler sonucu bulunan tüm bulguları SIEM gibi yazılımlar üzerine aktarmakla uğraşmaktan kurtarmaktadır.

  • Cuckoo Sandbox: Herhangi bir şüpheli dosyanın analizini yaparak ayrıntılı bir rapor oluşturan %100 açık kaynaklı otomatik bir kötü amaçlı yazılım analiz sistemidir. Şüpheli dosyayı sandbox ortamına yükledikten bir süre sonra, Cuckoo dosyayı gerçekçi ancak yalıtılmış bir ortamda yürütür daha sonra size bu dosyanın davranışını özetleyen ayrıntılı bir rapor sunar.

    Cuckoo Sandbox neler yapabilir: - Windows, Linux, macOS ve Android sanallaştırılmış ortamlarda birçok farklı kötü amaçlı dosyayı (yürütülebilir dosyalar, ofis belgeleri, pdf dosyaları, e-postalar vb.) ve kötü amaçlı web sitelerini analiz eder. - API çağrılarını ve dosyanın genel davranışını takip eder ve bunu, herkes tarafından anlaşılabilecek yüksek seviyeli bilgi ve imzalara dönüştürür. - SSL / TLS ile şifrelenmiş olsa bile ağ trafiğini analiz edebilmenizi, yerel ağ yönlendirme desteğiyle, tüm trafiği kesebilir, InetSIM veya ağ arabirimi veya VPN aracılığıyla yönlendirebilirsiniz. - Enfekte edilmiş sanallaştırılmış sistemin gelişmiş bellek analizini, Volatilite ile birlikte YARA’yı kullanarak bir process memory parçacığı üzerinde çalışabilmektedir.

    Cuckoo, sandbox’ı istediğiniz framework’e istediğiniz şekilde, istediğiniz formata lisanslama gereklilikleri olmadan kolayca entegre etmek için tüm gereksinimleri sağlar.

  • Collective Intelligence Framework (CIF) : Siber tehdit istihbarat yönetim sistemidir. Siber istihbarat servisinden veri toplamanızı sağlar. Bu veriler IP adresi, FQDN, URL ve herhangi bir zararlı davranışa ait bilgiler olabilir. CIF çeşitli tehdit verilerini herhangi bir kaynaktan alabilmektedir.

    Collective Intelligence Framework Çalışma Mantığı; - Herhangi bir kaynaktan veri alma. - Bu veriyi kaydetme ve reputation (itibar)’a göre değerlendirme. - Sorgular aracılığıyla tekrar veriye erişim ve dışarı aktarma.

    CIF çalışma mantığı

  • Abuse.IO: Kötüye kullanım raporlarını almak, işlemek, ilişkilendirmek ve ağınızdaki kötüye kullanım vakalarıyla ilgili belirli bilgiler içeren bildirimler göndermek için herkesin kullanabileceği bir araç setidir. Açık kaynak kodludur. Amacı ise, kötüye kullanımla mücadele sürecini otomatikleştirmek ve iyileştirmek için çeşitli şirketlerin ve bireylerin çabalarını birleştirmektir.

    AbuseIO'nun ana özellikleri: - Kötüye kullanım mesajlarını (örneğin Postfix gibi bir posta sunucusu işleyicisi aracılığıyla) alır ve bunları otomatik olarak kötüye kullanım raporlarına ayrıştırır - Gürültü miktarını azaltmak için zaten açık bir servis talebi olan raporları birleştirir - Her bir kötüye kullanım türünü sınıflandırır ve belirli durumlarda eylemler oluşturur - Müşterilere IP adreslerini çözmek için yerel olarak tanımlanmış müşteriler ve / veya ağ blokları oluşturur veya kendi IPAM sisteminizi kolayca entegre eder - Otomatik yükseltme yollarını, tetikleyicileri ve eylemleri ayarlar - IPv4 ve IPv6 adresleriyle çalışır - Olayları yanıtlama, kapatma veya not ekleme, organize olmalarını sağlamaktadır

  • stoQ / Analysis, Simplified: StoQ, bir analistin yapması gereken sıradan ve tekrarlayan görevleri basitleştirmeye yardımcı olan bir otomasyon çerçevesidir. Analistlerin ve DevSecOps takımlarının farklı veri kaynaklarından, veritabanlarından, decoder/encoderlardan ve diğer birçok görevden hızla geçiş yapmalarına olanak tanır. stoQ, bireysel güvenlik araştırmacıları için yeterince kullanışlıdır. Ayrıca kurumsal hazır ve ölçeklenebilir olacak şekilde tasarlanmıştır.

    StoQ özellikleri: - AsyncIO'yu tam olarak destekler. - Herkese açık ve geniş bir eklenti yelpazesi vardır. - stoQ, iş akışınız hakkında hiçbir varsayımda bulunmaz. Analistler, verilerin nereden kaynaklandığına, nasıl taranacağına / çözüldüğüne / işlendiğine ve nereye kaydedileceğine kadar her şeye karar verirler. - Tüm temel işlevler ve eklentiler yazımdan yararlanır ve işleme sırasında tür kontrolü yapılır. - İstemci / sunucu altyapısına ihtiyaç duymadan kurumsal bir ortamda veya bireyler tarafından kullanılabilir.

  • Loki IOC Scanner: APT Tarayıcısı THOR’un ana analiz modüllerinin tam bir yeniden yazımı olan ücretsiz ve basit bir IOC(tehdit göstergeleri) tarayıcısıdır. Bu tehdit göstergeleri, labınızda oluşturduğunuz olay raporlarından, adli bilişim analizlerinden veya zararlı yazılım örneklerinden elde edilebilir. LOKI, sistemlerinizi bilinen IOC’ler için taramanın basit bir yolunu sunmaktadır.

    • MD5 / SHA1 / SHA256 hashleri
    • Yara Kuralları
    • Regex (Düzenli ifadeler) (örnek \testdirectory.exe)
    • Dosya isimleri ve dizinler
  • GOSINT Framework: Bir güvenlik analistinin yapılandırılmamış tehdit istihbaratını toplamasına ve standartlaştırmasına olanak tanımaktadır.GOSINT’i tehdit göstergeleri için bir transfer istasyonu olarak düşünebilirsiniz. Yazılım, tehdit istihbaratı analistlerine bir göstergenin izleme değerinde olup olmadığını veya reddedilmesi gerektiğini değerlendirmesine izin verir. Bu karar verme aşaması, herhangi bir tehdit göstergesini yönetmede çok önemlidir. Hem bir insan analisti hem de GOSINT’in kendisi tarafından tetkik edilmesi, göstergelerin tehdit algılama etkinliğini arttırır. Ekleyebileceğiniz gösterge kaynakları sayısında da bir sınır bulunmamaktadır.