Siber Tehdit İstihbaratı Nedir?
Siber Tehdit İstihbaratı, saldırılar gerçekleşmeden önce, saldırıya dönüşebilecek tehditlere dair verilerin çeşitleri ortam ve kaynaklardan toplanarak analiz edilmesi, elde edilen tehdit bilgilerinin gerekli iletişimlerinin yapılması şeklinde özetlenebilir.
Siber Tehdit İstihbaratı Girdileri
Siber Tehdit İstihbaratı olabildiğince çok sayıda kaynaktan beslenmelidir, ne kadar çok kaynak analiz edilirse olası tehditlerin belirlenme olasılığı aynı oranda artar. Siber Tehdit İstihbaratı aşağıda belirtilen kaynaklardan beslenebilir:
- İstihbarat Platformları
- Log Dosyaları
- Olay Müdahale Raporları
- Güvenlik Duvarı Logları
- DNS Logları
- Güvenlik Denetimleri
- Bloglar
- Kara Listeler
- Sosyal Medya
Siber Tehdit İstihbaratı Çıktıları
Siber Tehdit İstihbaratı sonucu elde edilen veriler analistler tarafından analiz edilerek kurum siber güvenliğine katma değer sağlayacak bilgilere dönüştürülür. Elde edilebilen bilgiler aşağıda belirtilmiştir:
- Ele geçirilen kullanıcı hesap bilgileri
- Tespit edilen zararlı yazılım yayan kaynaklar
- Tehlike altındaki bireysel kullanıcı IP’leri
- Oltalama faaliyeti yürüten IP’ler ve alan adları
- Siber dolandırıcılar tarafından ele geçirilen veya satılan kredi kartı bilgileri
- Ele geçirilen cihaz bilgileri
- Botnet komuta kontrol (C2) adres ve alan adları
- Kurum marka veya imajını etkileyebilecek bilgiler
Siber Tehdit İstihbaratının ISO 27001 Açısından Önemi
Bilgi güvenliği gereksinimleri; politikalar ve düzenlemeler, olay incelemeleri, Risk Analizleri ve tehdit modellemeleri gibi çeşitli yöntemler kullanılarak tanımlanmalıdır. Ayrıca bilgi güvenliği gereksinimleri düzenli olarak yeni potansiyel tehditlere karşı koyma açısından güncellenmelidir. Siber Tehdit İstihbaratı gereksinimlerin belirlenmesinin ve mevcut gereksinimlerin güncellemesinin etkin bir şekilde yapılmasını sağlar.
Siber Tehdit İstihbaratı aşağıda belirtilen ISO 27001 Ek-A kontrolleri ile yakından ilişkilidir;
- 6.2.2 uzaktan çalışma
- 8.1.3 varlıkların kabul edilebilir kullanımı
- 9.1.2 Ağlara ve ağ hizmetlerine erişim
- 9.2.4 Kullanıcılara ait gizli kimlik doğrulama bilgilerinin yönetimi
- 9.3.1 Gizli kimlik doğrulama bilgisinin kullanımı
- 9.4.5 Program kaynak koduna erişim kontrolü
- 12.2.1 Kötücül yazılımlara karşı kontroller
- 12.4.1 Olay kaydetme
- 12.5.1 İşletimsel sistemler üzerine yazılım kurulumu
- 12.6.1 Teknik açıklıkların yönetimi
- 13.1.1 Ağ kontrolleri
- 13.1.2 Ağ hizmetlerinin güvenliği
- 13.2.3 Elektronik mesajlaşma
- 14.1.1 Bilgi güvenliği gereksinimleri analizi ve belirtimi
- 14.1.2 Halka açık ağlardaki uygulama hizmetlerinin güvenliğinin sağlanması
- 14.1.3 Uygulama hizmet işlemlerinin korunması
- 14.2.3 İşletim platformu değişikliklerden sonra uygulamaların teknik gözden geçirmesi
- 14.2.4 Yazılım paketlerindeki değişikliklerdeki kısıtlamalar
- 14.2.5 Güvenli sistem mühendisliği prensipleri
- 14.2.8 Sistem güvenlik testi
- 16.1.3 Bilgi güvenliği açıklıklarının raporlanması
- 16.1.4 Bilgi güvenliği olaylarında değerlendirme ve karar verme
- 16.1.5 Bilgi güvenliği ihlal olaylarına yanıt verme
- 16.1.6 Bilgi güvenliği ihlal olaylarından ders çıkarma
- 16.1.7 Kanıt toplama
- 18.1.2 Fikri mülkiyet hakları
- 18.1.4 Kişi tespit bilgisinin gizliliği ve korunması
- 18.2.3 Teknik uyum gözden geçirmesi
Siber Tehdit İstihbaratının Kurumlara Katkıları
Kuruluşlara proaktif bir siber güvenlik duruşu geliştirmeleri ve genel risk yönetimi politikalarını desteklemeleri açısından siber tehdit istihbaratı önemli bir yere sahiptir.
Siber tehdit istihbaratı veri sızıntısını azaltarak veri kaybını önler ve kurumlara uygulanabilir strateji ve taktiksel seçenekler sunar.
Siber tehdit istihbaratı uygulamaları sömürüye açık kaynakların tespitini sağlayarak kurum kaynaklarının sömürülmesini engellemeye yardımcı olurken, tehditlerin olası etkilerini de azaltır.
