11 Mar, 2022

[:tr]Siber İstihbaratın Önemi[:en]The Importance of Cyber ​​Intelligence[:]

[:tr]

Siber Tehdit Nedir?

Temel seviyede anlatmak gerekirse kötü niyetli kişiler tarafından zarar vermek amacıyla gerçekleştirilen işlemlere siber tehdit denir.

Kimler tarafından Siber Tehdide maruz kalabilirsiniz?

Hackerler, teröristler, ticari rakipler, casuslar, devletler ve istihbarat kurumları, mutsuz çalışanlar, organize suç grupları tarafından siber tehdide maruz kalabilirsiniz.

Hangi tür saldırılara maruz kalabiliriz?

Malware; Zararlı yazılımlardır.

Spyware; Casus yazılımlardır.

Phishing; Oltalama saldırılarıdır.

Ransomware; Fidye amaçlı zararlı yazılımlarıdır.

Trojan; Bilgisayarın erişimini uzaktan sağlayan zararlı yazılımlardır. (Truva atı)

Man in the Middle (MiTM); Ortadaki Adam saldırılarıdır.

Botnet; Ele geçirilmiş (zombi) bilgisayarlar üzerinden yapılan saldırılardır genellikle DDoS amacı ile kullanılır.

Malvertising; Reklamlara gömülmüş zararlı yazılımlardır.

Wiper Attacks; Bulaştığı sistemde her şeyi geri getirilemeyecek şekilde silen zararlı yazılımlardır.

Distributed Denial of Service (DDoS); Servis dışı bırakma saldırılarıdır.

Data Breaches; Veri sızıntılarıdır.

Worm; Solucanlardır.

Keylogger; Klavye işlemlerini Kaydeden zararlı yazılımdır.

Backdoor; Sisteme tekrar (sessizce) erişmeyi sağlayan arka kapı yazılımıdır.

Advanced Persistent Threats; Hedef odaklı saldırılardır.

Bu Saldırılardan Nasıl Korunacağız?

Siber güvenlik dünyası 2010’ların başında güvenlik duvarı, anti virüs, DLP ürünleri gibi konvansiyonel siber güvenlik çözümlerinin siber tehditler ile mücadelede yeterli olmadığını anladı. Zira bu çözümler yalnızca bir saldırı başlatıldığında görev alabilen ‘reaktif’ araçlardı. 

Bu yaklaşım yeterli olmuyordu ve saldırılar hakkında önceden bilgi verebilecek ‘proaktif’ önlem mekanizmalarına ihtiyaç vardı. Bu ihtiyaç siber istihbarat dediğimiz alanın doğmasına sebep oldu. 

Siber istihbaratı, bir kurum için risk haline gelebilecek siber tehdit faktörlerini önceden analiz eden, kuruma bu yönde uyarı ve önlem alma fırsatı sağlayan farklı çözüm ve araçlar olarak tanımlayabiliriz.      

Önceden verilen bu bilgiler sayesinde kurumlar; kendilerini hedef alabilecek tehditler, kullandıkları yöntemler ve kurumlarındaki riskli hedefler hakkında bilgi seviyelerini yükselterek daha hazırlıklı hale geliyorlar.

siber-istihbarat

Siber istihbarat nedir?

Siber istihbarat, kurum ve kuruluşların herhangi bir seviyede iş unsurları ve güvenliğine zarar verebilecek olan tehditlerin elektronik ortamdan toplanarak derlenmesi ve ortaya çıkartılmasıdır.          

Elektronik ortamlardan toplanmış ve zenginleştirilmiş verilerin bir süreçten geçirilerek analiz edilmesi sonucu saldırganların amaçları, metotları ya da saldırı türleri tespit edilerek erken önlem alınmasına olanak sağlayan bir istihbarat türüdür.

Siber tehdit istihbaratı, seviyelerine göre gruplara ayrılmaktadır. Bunlar;

Stratejik İstihbarat: Düşmanı tanımaya yönelik olan istihbarat çeşididir. Zarar verme potansiyeli olan kurum, kuruluş, kişi, grupların izlenmesi sonucu oluşturulur. Saldırganların niyetlerine, motivasyonlarına, taktik ve stratejilerine, geçmişteki eylemlerine ve olması muhtemel saldırılarına yönelik bilgi içerir.

Operasyonel İstihbarat: Bu istihbarat çeşidi saldırganların teknik, taktik ve prosedürlerin içermektedir. Bu bilgiler SOC (Security Operation Center) hizmeti sağlayan ekiplere servis edilir ve onlar tarafından analiz edilip olası saldırılara karşı bir önlem olarak kullanılabilir.

Taktiksel İstihbarat: Bu istihbarat çeşidi, sistem ve ağ üzerindeki olası kötü amaçlı etkinlikleri tanımlayan verileri içermektedir. IoC (Indicators of Compromise) denilen bu veriler bulundukları yapıdaki olağan dışı ve şüpheli hareket verileridir. Taktiksel istihbarat, SIEM, Firewall, IDP/IPS, DLP, Anti-Spam, Endpoint Protection gibi güvenlik çözümlerine entegre edilmektedir.

Açık Kaynak Kodlu Siber İstihbarat Çözümleri

MISP

MISP; Hedefli saldırılar, tehdit istihbaratı, finansal dolandırıcılık bilgileri, güvenlik açığı bilgileri ve hatta terörle mücadele bilgilerinin uzlaşma göstergelerini paylaşmak, depolamak ve ilişkilendirmek için bir tehdit istihbarat platformudur

Aynı zamanda IoC’leri ve bilgileri BİT altyapılarına, kuruluşlara veya kişilere yönelik saldırıları, sahtekârlıkları veya tehditleri tespit etmek ve önlemek için kullanılmaktadır. 

Siber tehdit istihbaratının paylaşımına yardımcı olan ücretsiz ve açık kaynak kodlu bir projedir.

Cuckoo Sandbox; Herhangi bir şüpheli dosyayı ona atabilirsiniz ve birkaç dakika içinde Cuckoo, dosyanın gerçekçi ancak izole bir ortamda(test ortamı) yürütüldüğünde davranışını özetleyen ayrıntılı bir rapor sağlayacaktır. Cuckoo Sandbox içerisinde neler yapabilirsiniz?

  1. Windows, Linux, macOS ve Android sanallaştırılmış ortamlarında birçok farklı kötü amaçlı dosyayı (yürütülebilir dosyalar, ofis belgeleri, pdf dosyaları, e-postalar vb.) ve kötü amaçlı web sitelerini analiz edin.
  2. API çağrılarını ve dosyanın genel davranışını izleyin ve bunu herkes tarafından anlaşılabilir yüksek seviyeli bilgi ve imzalara ayrıştırın. 
  3. SSL/TLS ile şifrelenmiş olsa bile ağ trafiğini boşaltın ve analiz edin. Tüm trafiği düşürmek veya InetSIM, ağ arabirimi veya VPN üzerinden yönlendirmek için yerel ağ yönlendirme desteği ile.
  4. YARA kullanarak, Volatility aracılığıyla ve ayrıca bir işlem belleği ayrıntı düzeyi üzerinde virüs bulaşmış sanallaştırılmış sistemin gelişmiş bellek analizini gerçekleştirin.

yeti

YETI; Yeti’nin ideal dünyası, tüm özelliklerinin iyi kullanıldığı bir dünyadır. Bu, beslemeler, analizler ve dışa aktarmalar gibi veri odaklı özellikleri içerir, ancak aynı zamanda daha yüksek -TTP’lerin tanımlanması ve farklı aktörlere bağlanması gibi seviyeli bilgiler sağlar. CERT Société Générale ekibi tarafından sunulan FAME ve FIR, Yeti ile hem bilgi aktaran hem de çeken, yakın çalışmalarına olanak tanıyan özelliklere sahiptir.

FIR, genişletilebilir bir olay yönetimi platformu olmanın yanı sıra, bir olayın açıklamasında veya yorumlarında bulunan tüm gözlemlenebilirlikleri ayrıştırır ve herhangi bir eşleşmeyi görüntüleyerek onlar hakkında ne bildiğini görmek için Yeti’ye gönderir. Diğer taraftan, tanınmayan gözlemlenebilirler Yeti’ye itilebilir ve etiketlenebilir.

FAME, Yeti ile de yakından entegredir. Ne zaman bir örnekten gözlemlenebilirler çıkarılsa (FAME’nin birçok modülünden biri aracılığıyla), Yeti’nin bildikleriyle eşleştirilir ve sonuçlar FAME analizi sonuç sayfasında gösterilir. Bilinmeyen gözlemlenebilirler, bir kez daha etiketlenebilir ve Yeti’ye iletilebilir, böylece gönderilen diğer örneklerle hızlı bir şekilde ilişkilendirilebilir. 

Bu muhtemelen Yeti’yi günlük olay müdahale iş akışınızda kurmanın en iyi yollarından biridir. Bu kurulum, her göreve (tehdit istihbaratı, olay yönetimi, kötü amaçlı yazılım analizi vb.) özel rotasyonlara sahip ekiplerde özellikle iyi çalışır.

Diğer Hizmetlere Erişim;

Yeti, tehdit istihbaratı yönetimini kolaylaştırmayı amaçlayan, yakın zamanda piyasaya sürülen birçok araçtan biridir. Besleme verilerini derlemenize ve zenginleştirmenize sonuç elde etmenize olanak tanıyan çok geniş bir araç kombinasyonu vardır.

Yeti bu konuda çok esnektir ve hem besleme hem de ihracat yeteneklerine sahip olduğundan mevcut ekosisteminize kolayca bağlanabilir. Yeti, hali hazırda var olan diğer sistemleri tamamlayıcı niteliktedir ve verileriniz ve üzerinde gerçekleştirebileceğiniz istihbarat analizi konusunda size farklı bir yaklaşım sunacaktır.

Yeti’nin modülerlik göz önünde bulundurularak tasarlandığını belirtmekte fayda var. Yeni beslemeler, analizler ve dışa aktarmalar oluşturmak oldukça kolaydır. Yeti’nin tam sistemi HTTP API aracılığıyla da kullanılabilir, bu nedenle onunla diğer araçlardan veya hatta komut satırından etkileşim kurmak oldukça basittir. HTTP API’sine (devam eden çalışma) Python bağlamları, pyeti deposunda mevcuttur.

CIF (Collective Intelligence Framework); CIF, bir siber tehdit istihbarat yönetim sistemidir. CIF, birçok kaynaktan bilinen kötü amaçlı tehdit bilgilerini birleştirmenize ve bu bilgileri tanımlama için kullanmanıza (olay yanıtı), algılama (IDS) ve azaltma (boş yol) yapmanıza olanak sağlar. CIF’de depolanan en yaygın tehdit istihbaratı türleri, kötü niyetli faaliyetlerle ilgili olduğu gözlemlenen IP adresleri, FQDN’ler ve URL’lerdir.

Bu çerçeve, herhangi bir kaynaktan çeşitli veri gözlemlerini çeker; “zaman içinde” bir dizi mesaj oluşturur. Verileri sorguladığınızda, kronolojik olarak bir dizi mesajı geri alacak ve bir e-posta dizisine, belirli bir kötü oyuncu hakkında bir dizi gözlem yaptığınız gibi kararlar alacaksınız.

CIF, tehdit istihbaratı veri kümelerini ayrıştırmanıza, normalleştirmenize, depolamanıza, işleme koymanıza, sorgulamanıza, paylaşmanıza ve üretmenize yardımcı olur.

Süreç;

Parse (Ayrıştırma), CIF, aynı türden birçok farklı veri kaynağının alınmasını destekler; örneğin veri kümeleri veya kötü amaçlı alanların “beslemeleri” gibi. Her benzer veri kümesi, birkaçını belirtmek için kaynak ve güven gibi farklı niteliklerle işaretlenebilir.

Normalize (Normalleştirme), Tehdit istihbaratı veri kümeleri genellikle aralarında küçük farklar barındırır. CIF, diğer uygulamalarda veya süreçlerde tehdit istihbaratından yararlanırken size öngörülebilir bir deneyim sağlayan bu veri kümelerini normalleştirir.

Post Process (İşlem sonrası), CIF, tek bir tehdit istihbaratından ek istihbarat elde eden birçok post işlemciye sahiptir. Basit bir örnek olarak, bir etki alanı ve bir IP adresinin CIF’e alınan bir URL’den türetilebilmesi olabilir.

Store (Depolama), CIF, milyarlarca tehdit istihbaratı kaydını depolamak için veri deposu olarak JSON ve ElasticSearch’ü kullanır.

Query (Sorgu), CIF, bir web tarayıcısı, yerel CLI istemcisi veya doğrudan API kullanılarak sorgulanabilir.

Share (Paylaşım), CIF kullanıcıları, grupları ve API anahtarlarını destekler. Her bir tehdit istihbarat kaydı, belirli bir kullanıcı grubuyla paylaşılmak üzere etiketlenebilir. Bu, tehdit istihbaratının federasyonlar arasında paylaşılmasını sağlar.

Produce (Üretme) CIF, depolanan tehdit istihbaratından yeni veri kümeleri oluşturmayı destekler. Bu veri kümeleri, türe ve güvene göre oluşturulabilir. CIF, yem oluşturma sürecinde beyaz listeye almayı da destekler.

ABUSE (Kötüye Kullanım Bilgi Değişimi Derneği); Botnet enfeksiyonları hakkında sözde güvenilir bildiricilerden veri toplar, analiz eder ve bir enfeksiyon durumunda müşterilerini uyarabilmeleri için verileri sağlayıcılara gönderir. 

Ayrıca, Kötüye Kullanım Bilgi Değişimi, dernek üyelerinin ilgili bilgileri paylaşabileceği bir forumdur.

Gizli Kaynaklı Siber İstihbarat Çözümleri

Dark Web

Dark Web Tehdit İstihbaratı Nedir?

Dark web, internetin mahremiyet ve anonimliğe odaklanan bir parçasıdır ve siber suçluların araçları ve bilgileri paylaşmaları ve hizmetlerini satışa sunmaları için ideal bir yer haline getirir. Bu aynı zamanda, Dark Web’de yayınlanan bilgilerin izlenmesi, mevcut siber suç ortamına ve siber saldırılardaki eğilimlere sansürsüz bir bakış sağladığından, Dark Web tehdit istihbaratını şirketler için paha biçilmez kılar.

Bir Dark Web Monitoring programı uygulamak, kuruluşların Dark Web zekasını siber risk yönetimi süreçlerine entegre etmelerine olanak tanıyarak ilgili, zamanında ve eyleme dönüştürülebilir içgörülerden yararlanarak güvenlik duruşlarını iyileştirmelerine olanak tanır.

Dark Web’de Tehdit Bulma

Dark web, analistlerin siber saldırıların gerçekleştirilme yollarını, hangi saldırı araçlarının satılık olduğunu ve satın alındığını, mevcut siber güvenlik kampanyalarının (çalınan verilerin satışına dayalı olarak) başarı oranları hakkında bilgi edinebileceği değerli bir tehdit istihbaratı kaynağıdır. Bununla birlikte, bu istihbaratı bulmak ve tehdit ortamının eksiksiz bir resmini oluşturmak zor olabilir ve Dark Web’in bir soruşturmanın nasıl yürütüleceğinin kapsamlı bir şekilde anlaşılmasını gerektirir.

Aranacak Tehdit Bilgileri

Siber suçlular, araç alışverişi yapmak, bilgi paylaşmak, veri satın almak ve satmak ve diğer faaliyetler için Dark Web kullanır. Bu, kurumların siber tehditleri tahmin etmek, tanımlamak ve kendilerini siber tehditlere karşı korumak için kullanabilecekleri zengin bir tehdit istihbaratı kaynağı olmasını sağlar. Analistlerin Dark Web’de bulabileceği bazı tehdit bilgisi türleri şunlardır:

Güvenlik açıkları

Siber suçlular genellikle yazılım güvenlik açıklarını tartışır ve kavram kanıtı veya açıklardan yararlanma yolları tartışılabilir veya Dark Web pazarlarında satışa sunulabilir.

  •  Veri Erişimi: Bir siber saldırının parçası olarak çalınan veriler satışa sunulabilir veya Dark Web’deki forumlarda tartışılabilir.
  •  Açık Kimlik Bilgileri:  Veri ihlalleri, kimlik bilgileri doldurma ve diğer saldırılar yoluyla açığa çıkan kullanıcı kimlik bilgileri, Dark Web pazarlarında sıklıkla satışa sunulur.

Dark Web’de açığa çıkan bu ve diğer bilgi türleri, analistlerin saldırıların hem etkisini hem de olasılığını değerlendirmesini ve ardından kuruluşlarını uygun şekilde savunmasını sağlayabilir.

Tehdit istihbaratı için Dark Web’i Tarama

Dark Web, değerli bir tehdit istihbarat kaynağı olabilir, ancak yararlı verilerin bulunması için profesyonel bir desteğe, uzman kişiye ihtiyaç vardır. Dark Web’in gizliliğe ve anonimliğe odaklanması, Dark Web sitelerinin hiçbir dizininin bulunmadığı anlamına gelir ve bu da Dark Web’deki önemli tehdit istihbaratı kaynaklarını tanımlamayı zorlaştırır.

Dark web izleme için akıllı bir yaklaşım, Dark Web izleme hizmeti kullanmaktır. Bu hizmetler, Dark Web’in faydalı bölümlerinin haritasını çıkarma ve önemli tehdit istihbaratı kaynaklarını belirleme çalışmalarını zaten gerçekleştirir. Bir Dark Web izleme hizmetiyle, bir kuruluş, şirket içi analistleri arama, toplama ve manuel olarak analiz etme ihtiyacı duymadan, şirketleri ve endüstrileriyle ilgili bir tehdit istihbaratı akışına sahip olabilir.

Dark Web’de Kimler Ve Neden Aktif?

Dark Web aktörleri, acemilerden ulus-devlet destekli bilgisayar korsanlarına kadar karmaşıklık bakımından farklılık gösterir. Dark Web’deki ana bilgisayar korsanları kategorilerinden bazıları şunlardır:

  • Script Kiddies:  Script Kiddies, çok az bilgisayar korsanlığı bilgisi ve deneyimine sahiptir veya hiç bilgileri yoktur. Bilgisayar korsanlığı araçlarını ve farklı saldırı türlerinin nasıl gerçekleştirileceğine ilişkin bilgileri bulmak için genellikle Dark Web kullanırlar.
  • Yetkin Hackerlar: Yetkin bilgisayar korsanları tek başlarına veya küçük gruplar halinde çalışırlar ve en azından bir düzeyde bilgisayar korsanlığı bilgisine sahiptirler. Dark Web’de araç ve bilgi aramaya ek olarak, saldırılarda kullanılmak üzere güvenliği ihlal edilmiş kuruluşlar veya kullanıcı hesapları hakkında bilgi satın alabilir veya satabilirler.
  • Suç Sendikaları: Organize suç, karlılığı ve siber saldırılara atfetmenin zorluğu nedeniyle siber suç alanına giderek daha fazla giriyor. Genellikle daha karmaşıktırlar ve diğer bilgisayar korsanlığı gruplarından daha büyük ölçekte çalışırlar.
  • APT’ler: Gelişmiş Kalıcı Tehditler (APT’ler), karanlık ağda bulunan en karmaşık hacker türüdür. Aynı zamanda, varlıklarını tespit etmek zor veya imkansızdır, genellikle en incelikli olanlardır.

Çeşitli düzeylerdeki bilgisayar korsanları da karanlık ağda farklı türde kötü amaçlı yazılımlar arar. Örneğin, Script Kiddies basit bir şifre kırıcıya sahip veya bunu web ortamında ararken, APT’ler genellikle birçok sıfırıncı gün istismarını ortaya çıkarır ve sömürürler. Çoğu durumda, fidye yazılımı gibi yüksek ödüllü kötü amaçlı yazılımlar organize suçların veya APT’lerin elindedir.

Dark Web’deki Tehdit Türleri

Dark web tehditleri çeşitli biçimlerde gelir. Dark Web’de tehdit istihbaratı yaparken, siber suçluların satışa sunduğu çeşitli veri ve hizmet türlerini aramak önemlidir.

Güvenlik Açığı Bilgileri

Yazılım güvenlik açıkları yaygındır ve bir saldırganın kurumsal sistemlere veya güvenlik açığı bulunan cihazlara erişmesine izin verebilir. Bir güvenlik açığı keşfeden tarafından etik olarak rapor edilirse, güvenlik açığının nasıl çalıştığına dair eksiksiz bir rapor genellikle bir yama yayınlanıncaya kadar yayınlanmaz. Ancak, yamanın ilk keşfi ile yaygın olarak uygulanması arasında genellikle bir boşluk vardır.

Dark web, siber suçluların etik olarak bildirilmeyen veya yamaların yaygın olarak bulunmadığı veya kullanılmadığı güvenlik açıklarını tartışmaları için bir forum sağlar. Tartışmalar, bir güvenlik açığının nasıl çalıştığı, olası açıklardan yararlanmalar ve güvenlik açığının çeşitli siber saldırı kampanyalarında kullanımına ilişkin bilgileri içerebilir.

Siber suçlular, onlar hakkında bilgi kamuya açıklanmadan önce karanlık ağdaki güvenlik açıklarını tartışıyor olabilir. Bu kanalların izlenmesi, bir kuruluşun güvenlik açığı bulunan yazılımları bir yama bulunana ve uygulanana kadar korumasını sağlar ve bir şirketin ürünlerinde önceden bilinmeyen güvenlik açıklarını ortaya çıkarabilir.

İçeriden Tehditlericerden-tehditler

İçeriden öğrenilen tehditler, bir kuruluşun BT varlıkları, fikri mülkiyeti ve diğer hassas verileri için önemli bir risk oluşturur. İçeriden öğrenilen tehditler, mevcut veya eski çalışanları, ortakları, satıcıları, bayileri ve hassas bilgilere erişimi olan diğer taraflar olabilir. Ek olarak, içeriden gelen tehditler, kuruluşu kasten veya ihmal yoluyla riske atabilir.

İçeriden gelen tehditlerle ilgili bilgiler Dark Web’de bulunabilir. İçerideki kötü niyetli kişiler, hassas veriler sunabilir veya Dark Web pazaryerlerinde satışa çıkarabilirler. Ek olarak, kullanıcıların bir kuruluştan toplanan yazılımları veya diğer verileri bazı platformlara yükleyebilirler. Bir kuruluş, bu mekânları izleyerek potansiyel içeriden riskleri ve tehlikeye atılmış hassas verileri belirleyebilir.

Açık Kimlik Bilgileri

Veri ihlalleri, kimlik bilgisi doldurma saldırıları ve benzer siber saldırıların bir parçası olarak açığa çıkan kimlik bilgileri, genellikle Dark Web pazarlarında satılmaktadır. Açıkta kalan kimlik bilgileri, belirtilen hesaba erişim sağlamak için veya saldırganın kimlik bilgilerinin hedefin bilgisayarına yükledikleri kötü amaçlı yazılımlar tarafından toplandığını iddia ettiği bir hedef odaklı kimlik avı kampanyasının parçası olarak kullanılabilir. Alternatif olarak, açıkta kalan kimlik bilgileri, siber suçluların ihlal edilen kimlik bilgilerinin birden fazla hesapta yeniden kullanılıp kullanılmadığını test ettiği kimlik bilgisi doldurma saldırıları için kullanılabilir.

Güvenliği ihlal edilmiş kimlik bilgileriyle ilgili bilgiler, kurumsal siber güvenlik için çok değerli olabilir. İhlal edilen parolalarla ilgili veriler, parola politikalarının iyileştirilmesine yardımcı olabilir ve bir kuruluşun çalışanlarının kimlik bilgileri ihlal edilirse, bu, hesap parolasını değiştirmek ve ele geçirilmiş kimlik bilgilerinin olası kullanımını araştırmak için kırmızı bir işarettir.

Hedefli Saldırılar

Siber suçlular, uzmanların hizmetlerini satış için sunduğu hizmet tabanlı bir ekonomiye doğru giderek daha fazla ilerliyor. Çoğu durumda, bu hizmetler Dark Web pazaryerlerinde satılmaktadır.

Örneğin, bir botnet operatörü, alıcının değişen fiyatlar için kendi seçtiği bir hedefe yönelik saldırının zamanlamasını, süresini ve yoğunluğunu seçebildiği dağıtılmış hizmet reddi (DDoS) saldırıları satıyor olabilir. Alternatif olarak, Dark Web pazarındaki bir alıcı, diğer önemli kişinin sosyal medya hesabını hacklemek gibi çok özel bir saldırı satın alabilir.

Satılık hedefli saldırılarla ilgili bilgiler, bir kuruluşun güvenliğine yönelik bilinmeyen ve yaklaşan tehditleri belirlemesine yardımcı olabilir. Bir saldırgan, bir kuruluşun yazılımına veya çevrimiçi hesaplarına erişim sunuyorsa veya bir alıcı kurumsal varlıklara karşı bir DDoS saldırısı istiyorsa, bunun için daha fazla araştırma ve yanıt gerekir.

Saldırıya uğramış hesaplar

Saldırıya uğramış hesaplar genellikle Dark Web pazarlarında satılır. Saldırıya uğramış kişisel hesaplar, finansal hesaplara, e-postaya, sosyal medyaya, e-ticaret sitelerine ve diğer çevrimiçi hesaplara erişimi içerir. Ayrıca, siber suçlular satış için kurumsal hesaplara erişim sunarak diğer saldırganların o kuruluşa ulaşmasına izin verebilir.

Saldırıya uğramış hesapların satışı için Dark Web pazar yerlerini izlemek, bir kuruluşun verilerini ve ağ güvenliğini korumak için çok önemlidir. Kurumsal ağlara veya verilere erişim satışı, kuruluş için mevcut bir tehdidi gösterir. Ek olarak, saldırıya uğramış e-posta ve diğer kişisel hesaplar, bu hesaplara parola sıfırlama e-postaları gönderilirse veya saldırgan kişisel e-postalardan kurumsal kaynaklara erişimini genişletirse şirketi olumsuz olarak etkileyebilir.

Satılık Botnet’ler

Botnet’ler, bir siber suçlunun kontrol ettiği ve otomatik saldırılarda kullandığı güvenliği ihlal edilmiş makineler topluluğudur. Örneğin, bir saldırgan, bir dizi güvenlik açığı bulunan cihazın kontrolünü ele geçirmek için bir IoT cihazındaki güvenlik açığından yararlanabilir. Bu IoT cihazları daha sonra dağıtılmış hizmet reddi (DDoS), kimlik bilgisi doldurma ve diğer otomatik saldırılar için kullanılabilir.

Botnet operatörleri, kontrolleri altında binlerce bot bulundurabilir ve botnet’lerini daha küçük gruplara ayırabilir. Dark Web pazarlarında, bu operatörler, saldırılarında kullanmak isteyen diğer siber suçlulara botlar veya bot setleri üzerindeki kontrolleri satabilir.

Botlar siber suçlular için faydalıdır çünkü siber saldırıları arkalarındaki kişiye kadar takip etmeyi zorlaştırırlar. Bir güvenlik olayını araştırırken, saldırının ilişkilendirilmesine yardımcı olmak için botnet satışlarını izlemek faydalı olabilir.

Bu hizmetlerin profesyonel kişiler tarafından yapılması gerekmektedir. Konusunda uzman olmayan kişiler tarafından alınan siber istihbarat hizmeti, kurumunuzu uçuruma götürebilir. 

Kaynakça

  • https://www.bankinfosecurity.com/blogs/cyber-intelligence-what-exactly-it-p-1061
  • https://www.recordedfuture.com/threat-intelligence/
  • https://www.misp-project.org
  • https://cuckoosandbox.org
  • https://yeti-platform.github.io/yeti-ecosystem
  • https://csirtgadgets.com/collective-intelligence-framework
  • https://github-wiki-see.page/m/csirtgadgets/massive-octo-spice/wiki/What-is-the-Collective-Intelligence-Framework%3F
  • https://www.ericooi.com/threat-intelligence-cif/
  • https://www.logsign.com/blog/cyber-threat-intelligence-framework/
  • https://tricksonflicks.blogspot.com/2017/11/collective-intelligence-framework-v3_7.html
  • https://www.abuseinformationexchange.nl
  • https://www.britannica.com/story/whats-the-difference-between-the-deep-web-and-the-dark-web
  • https://flare.systems/resource-center/blog/dark-web-threat-intelligence/
  • https://www.cybersixgill.com/dark-web/

Siber Güvenlik, Dijital Dönüşüm, MSSP, Sızma Testi, KVKK, GDPR, ISO 27001, ISO 27701 ve DDO Bilgi ve İletişim Güvenliği Rehberi başlıklarıyla ilgili teklif almak için lütfen tıklayın.


 [:en]

What is a Cyber ​​Threat?

To put it at a basic level, the actions taken by malicious people with the aim of causing harm are called cyber threats.

Who can be exposed to Cyber ​​Threat?

Hackers, terrorists, commercial competitors, spies, governments and intelligence agencies, unhappy employees, organized crime groups.

What types of attacks can we be exposed to?inte

Malware; They are malicious software.

Spyware; They are spyware.

Phishing; They are phishing attacks.

Ransomware; They are ransomware.

Trojan; It is malicious software that provides remote access to the computer. (Trojan horse)

Man in the Middle (MiTM); Man-in-the-Middle attacks.

Botnet; Attacks made on compromised (zombie) computers are generally used for DDoS purposes.

Malvertising; They are malicious software embedded in advertisements.

Wiper Attacks; They are malicious software that irreversibly deletes everything on the infected system.

Distributed Denial of Service (DDoS); They are denial-of-service attacks.

DataBreaches; They are data leaks.

Worm; They are worms.

Keylogger; Malware that Logs keyboard actions.

Backdoor; It is backdoor software that allows you to (silently) access the system again.

Advanced Persistent Threats; They are targeted attacks.

How Do We Protect Against These Attacks?

The cyber security world realized in the early 2010s that conventional cyber security solutions such as firewall, antivirus and DLP products are not sufficient to combat cyber threats. Because these solutions were ‘reactive’ tools that could only take charge when an attack was launched.

This approach was not enough and ‘proactive’ prevention mechanisms were needed that could provide advance information about attacks. This need led to the emergence of the field we call cyber intelligence.

We can define cyber intelligence as different solutions and tools that pre-analyze the cyber threat factors that may become a risk for an institution and provide the institution with the opportunity to take warning and precautions in this direction.

Thanks to this information given beforehand, institutions; they become more prepared by increasing their level of knowledge about the threats that may target them, the methods they use, and the risky targets in their organizations.

siber-istihbarat

What is Cyber Intelligence?

Cyber ​​intelligence is the collection and discovery of threats that can harm business elements and security of institutions and organizations at any level, from electronic media.

It is a type of intelligence that allows early measures to be taken by detecting the aims, methods or attack types of the attackers as a result of analyzing the data collected and enriched from electronic media through a process.

Cyber ​​threat intelligence is divided into groups according to their level. These;

Strategic Intelligence: It is the type of intelligence aimed at recognizing the enemy. It is formed as a result of monitoring institutions, organizations, individuals and groups that have the potential to cause harm. It contains information about the attackers’ intentions, motivations, tactics and strategies, past actions and possible attacks.

Operational Intelligence: This type of intelligence includes the techniques, tactics and procedures of the attackers. This information is served to the teams providing the SOC (Security Operation Center) service and can be analyzed by them and used as a precaution against possible attacks.

Tactical Intelligence: This type of intelligence includes data that identifies potential malicious activity on the system and network. These data, called IoC (Indicators of Compromise), are unusual and suspicious movement data in their structure. Tactical intelligence is integrated into security solutions such as SIEM, Firewall, IDP/IPS, DLP, Anti-Spam, Endpoint Protection.

Open Source Coded Cyber ​​Intelligence Solutions

MISPMISP; It is a threat intelligence platform to share, store and correlate reconciliation indicators of targeted attacks, threat intelligence, financial fraud information, vulnerability information and even counter-terrorism information.

At the same time, IoCs and information are used to detect and prevent attacks, frauds or threats against ICT infrastructures, organizations or individuals.

It is a free and open source project that helps share cyber threat intelligence.

cuckooCuckoo Sandbox; You can throw it at it planned in a plan and you will plan a few minutes Cuckoo about a plan outlining that you will plan a plan(test) in the plan of the file. What can you do in the Cuckoo Sandbox?

1) Detects many different malicious people (executable files, office documents, pdf analysis files, etc.) and malicious websites etc in Windows, Linux virtualized environments.

2) Parse the API calls and the overall state of the file into high information and scores by the followers.

3) Offload and analyze the gateway even if it is encrypted with SSL/TLS. Forwarding local routing to forward or forward all remediation or InetS.

4) Perform a detailed inspection of the vehicle in the virtual environment using YARA, through Volatility, and in a detailed preparation phase.

yeti

YETI; The ideal world of the Yeti is a world where all its features are used well. This includes data-driven features such as feeds, analytics, and exports, but also provides higher-level information such as identifying TTPs and connecting them to different actors. FAME and FIR, offered by the CERT Société Générale team, have features that allow them to work closely with Yeti, both transmitting and attracting information.In addition to being an extensible event management platform,

FIR, parses all observables found in an event’s description or comments and displays any matches and sends them to Yeti to see what it knows about them. On the other hand, unrecognized observables can be pushed to the Yeti and tagged.

FAME, is also closely integrated with Yeti. Whenever observables are extracted from a sample (via one of FAME’s many modules), they are matched with what Yeti knows, and the results are displayed on the FAME analysis results page. Unknown observables can, once again, be tagged and forwarded to Yeti so it can be quickly associated with other submitted instances.

This is probably one of the best ways to set up Yeti in your daily incident response workflow. This setup works particularly well in teams with rotations specific to each task (threat intelligence, incident management, malware analysis, etc.).

What is the Collective Intelligence Framework?

CIF is a cyber threat intelligence management system. CIF allows you to combine known malicious threat information from many sources and use that information for identification (incident response), detection (IDS) and mitigation (null route). The most common types of threat intelligence warehoused in CIF are IP addresses, FQDNs and URLs that are observed to be related to malicious activity.

This framework pulls in various data-observations from any source; create a series of messages “over time” (eg: reputation). When you query for the data, you’ll get back a series of messages chronologically and make decisions much as you would look at an email thread, a series of observations about a particular bad-actor.

CIF helps you to parse, normalize, store, post process, query, share and produce data sets of threat intelligence.

The Process

Parse; CIF supports ingesting many different sources of data of the same type; for example data sets or “feeds” of malicious domains. Each similar dataset can be marked with different attributes like source and confidence to name a few.

Normalize; Threat intelligence datasets often have subtle differences between them. CIF normalizes these data sets which gives you a predictable experience when leveraging the threat intelligence in other applications or processes.

Post Process; CIF has many post processors that derive additional intelligence from a single piece of threat intelligence. A simple example would be that a domain and an IP address can be derived from a URL ingested into CIF.

Store; CIF uses JSON and ElasticSearch as it’s data store to warehouse billions of records of threat intelligence

Query; CIF can be queried via a web browser, native CLI client or directly using the API.

Share; CIF supports users, groups and api keys. Each threat intelligence record can be tagged to be shared with specific group of users. This allows the sharing of threat intelligence among federations.

Produce; CIF supports creating new data sets from the stored threat intelligence. These data sets can be created by type and confidence. CIF also supports whitelisting during the feed generation process.

ABUSE; It collects and analyzes data about botnet infections from supposedly reliable reporters and provides the data to providers so they can alert their customers in case of an infection.

In addition, the Abuse Information Exchange is a forum where members of the association can share relevant information and information.

Confidential Source Cyber ​​Intelligence Solutions

Dark Web

What Is Dark Web Threat Intelligence?

11

The dark web is a portion of the internet focused on privacy and anonymity, making it an ideal location for cybercriminals to share tools and information and offer their services for sale. This also makes dark web threat intelligence invaluable for companies as monitoring information posted on the dark web provides an uncensored view into the current cybercrime landscape and trends in cyberattacks.

Implementing a Dark Web Monitoring program allows organizations to integrate dark web intelligence into their cyber risk management process, enabling them to improve their security posture by taking advantage of relevant, timely, and actionable insights.

Finding Threats On The Dark Web

The dark web can be a valuable source of threat intelligence where analysts can learn about the ways that cyberattacks are performed, which attack tools are for sale and being purchased, and the success rates of current cybersecurity campaigns (based on the sales of stolen data). 

However, finding this intelligence and creating a complete picture of the threat landscape can be difficult and requires a thorough understanding of the dark web and how to conduct an investigation.

Threat Information to Look For

Cybercriminals use the dark web to exchange tools, share information, buy and sell data, and for other activities. This makes it a rich source of threat intelligence that organizations can use to predict, identify, and protect themselves against cyber threats. Some types of threat information that analysts can find on the dark web include:

  • Vulnerabilities: Cybercriminals will commonly discuss software vulnerabilities, and proof of concept or exploit code may be discussed or available for sale on dark web marketplaces.
  • Data Access: Data stolen as part of a cyberattack may be offered for sale or discussed in forums on the dark web.
  • Exposed Credentials: User credentials exposed via data breaches, credential stuffing, and other attacks are frequently offered for sale in dark web marketplaces.

 These and other types of information exposed on the dark web can enable analysts to assess both impact and probability of attacks, and then defend their organizations appropriately.

Scanning the Dark Web for Threat intelligence

The dark web can be a valuable source of threat intelligence, but useful data can be difficult to locate. The dark web’s focus on privacy and anonymity means that no directory of dark web sites exists, making it difficult to identify important sources of threat intelligence on the dark web.

A smart approach to dark web monitoring is to use a dark web monitoring service. These services have already performed the work of mapping out useful sections of the dark web and determining important sources of threat intelligence. With a dark web monitoring service, an organization can subscribe to a feed of threat intelligence regarding their company and industry without the need to employ in-house analysts to seek out, aggregate, and analyze it manually.

Who Is Active On The Dark Web And Why?

Dark web actors vary in sophistication from complete novices to nation-state-sponsored hackers. Some of the main categories of hackers on the dark web include:

  • Script Kiddies: Script kiddies have little or no hacking knowledge and experience. They commonly use the dark web to find hacking tools and information on how to perform different types of attacks.
  • Proficient Hackers: Proficient hackers work solo or in small groups and have at least some level of hacking knowledge. In addition to seeking out tools and information on the dark web, they may also buy or sell information about compromised organizations or user accounts for use in attacks.
  • Crime Syndicates: Organized crime is increasingly moving into the cybercrime space due to its profitability and the difficulty of attributing cyberattacks. They are often more sophisticated and operate at a larger scale than other hacking groups.
  • APTs: Advanced Persistent Threats (APTs) are the most sophisticated type of hacker present on the dark web. They are also often the most subtle, making their presence difficult or impossible to detect.

The various levels of hackers also seek out different types of malware on the dark web. For example, script kiddies are more likely to have or be looking for a password cracker, while APTs are generally the only ones with access to many zero-day exploits. In most cases, high-reward malware, such as ransomware, is in the hands of organized crime or APTs.

Types Of Threats On The Dark Web

Dark web threats come in a variety of forms. When searching for threat intelligence on the dark web, it’s important to look for the various types of data and services that cybercriminals offer for sale.

Exposed Credentials

Credentials exposed as part of data breaches, credential stuffing attacks, and similar cyberattacks are commonly for sale on dark web marketplaces. Exposed credentials may be used to gain access to the named account or as part of a spear-phishing campaign where the attacker claims that the credentials were collected by malware that they installed on the target’s computer. Alternatively, exposed credentials can be used for credential stuffing attacks, where cybercriminals test to see if breached credentials are reused across multiple accounts.

Information on compromised credentials can be invaluable for corporate cybersecurity. Data on breached passwords can help to improve password policies, and, if the credentials of an organization’s employee(s) are breached, this is a red flag to change the account password and investigate for potential use of the compromised credentials.

Targeted Attacks

Cybercriminals are increasingly moving toward a service-based economy where specialists offer their services for sale. In many cases, these services are sold on dark web marketplaces.

For example, a botnet operator may be selling distributed denial of service (DDoS) attacks where the buyer can select the timing, duration, and intensity of the attack against a target of their choice for varying prices. Alternatively, a buyer on a dark web marketplace may be able to purchase a very tailored attack, such as hacking a social media account of their significant other.

Information about targeted attacks for sale can help an organization to identify unknown and upcoming threats to its security. If an attacker is offering access to an organization’s software or online accounts or a buyer is seeking a DDoS attack against corporate assets, this requires further investigation and response.

Vulnerability Information

Software vulnerabilities are common and can allow an attacker access to enterprise systems or vulnerable devices. If a vulnerability is ethically reported by the discoverer, a complete report of how the vulnerability works is typically not published until after a patch has been released. However, there is often a window between initial discovery and widespread application of the patch.

The dark web provides a forum for cybercriminals to discuss vulnerabilities that have not been ethically reported or for which patches are not widely available or used. Discussions can include information on how a vulnerability works, potential exploits, and the use of the vulnerability in various cyberattack campaigns.

Cybercriminals may be discussing vulnerabilities on the dark web before information about them is publicly available. Monitoring these channels enables an organization to protect vulnerable software until a patch is available and applied and may reveal previously unknown vulnerabilities in a company’s products.

Insider Threats

icerden-tehditler

Insider threats pose a significant risk to an organization’s IT assets, intellectual property, and other sensitive data. Insider threats may include current or former employees, partners, vendors, resellers, and other parties with access to sensitive information. Additionally, insider threats may put the organization at risk either intentionally or via negligence.

Information on insider threats may be available on the dark web. Malicious insiders may offer sensitive data or access for sale on dark web marketplaces, and discussions on dark web forums may reveal the identities of other security risks within an organization. Ayrıca sensitive internal information may be included in uploads to paste sites, where users can upload software or other data collected from an organization. By monitoring these venues, an organization can identify potential insider risks and compromised sensitive data.

Hacked Accounts

Hacked accounts are commonly for sale on dark web marketplaces. Hacked personal accounts include access to financial accounts, email, social media, e-commerce sites, and other online accounts. Additionally, cybercriminals may offer access to corporate accounts for sale, allowing other attackers to purchase a foothold within an organization’s environment.

Monitoring dark web marketplaces for sales of hacked accounts is essential to protecting an organization’s data and network security. Sales of access to corporate networks or data indicate a current threat to the enterprise. Additionally, hacked email and other personal accounts may impact the company if password reset emails are sent to those accounts or the attacker expands their access from personal emails to corporate resources.

Botnets for Sale

Botnets are collections of compromised machines that a cybercriminal controls and uses in automated attacks. For example, an attacker may exploit a vulnerability in an Internet of Things (IoT) device to gain control over a set of vulnerable devices. These IoT devices can then be used for distributed denial of service (DDoS), credential stuffing, and other automated attacks.

Botnet operators can have thousands of bots under their control and the ability to break their botnets up into smaller groups. On dark web marketplaces, these operators may sell control over bots or sets of bots to other cybercriminals looking to use them in their attacks.

Bots are useful to cybercriminals because they make it more difficult to trace cyberattacks back to the person behind them. When investigating a security incident, it can be useful to monitor for botnet sales to help with attribution of the attack.

These services must be performed by professionals. The cyber intelligence service received by people who are not experts in their field can lead your institution to the abyss.

For the future of your company/institution, we strongly recommend you to take cyber intelligence service in order to be protected from cyber dangers. As CyberArts, we provide our cyber intelligence service with our professional team.

Contact us in order to prevent financial loss, data loss, loss of reputation as a result of a possible cyber attack, and to be prepared for cyber attacks.

Do not be unprepared for cyber attacks.

Bibliography

  • https://www.bankinfosecurity.com/blogs/cyber-intelligence-what-exactly-it-p-1061
  • https://www.recordedfuture.com/threat-intelligence/
  • https://www.misp-project.org
  • https://cuckoosandbox.org
  • https://yeti-platform.github.io/yeti-ecosystem
  • https://csirtgadgets.com/collective-intelligence-framework
  • https://github-wiki-see.page/m/csirtgadgets/massive-octo-spice/wiki/What-is-the-Collective-Intelligence-Framework%3F
  • https://www.ericooi.com/threat-intelligence-cif/
  • https://www.logsign.com/blog/cyber-threat-intelligence-framework/
  • https://tricksonflicks.blogspot.com/2017/11/collective-intelligence-framework-v3_7.html
  • https://www.abuseinformationexchange.nl
  • https://www.britannica.com/story/whats-the-difference-between-the-deep-web-and-the-dark-web
  • https://flare.systems/resource-center/blog/dark-web-threat-intelligence/
  • https://www.cybersixgill.com/dark-web/

To request a quotation for the following: Cyber Security, Digital Transformation, MSSP, Penetration Testing, KVKK, GDPR, ISO 27001 and ISO 27701, please click here.


 [:]

İçerik Hakkında:
Sosyal Medyada Paylaş:
Facebook
Twitter
LinkedIn
Telegram