Bir kuruluşun siber riskini azaltmak konusunda güçlü olmanızı sağlayan, bilgi ve uzmanlıktır. Siber tehdit istihbaratını (Tİ) her kuruluşun temel bir öncelik haline getirmesi için bu yeterlidir. Maalesef çoğu zaman durum böyle değildir. BT liderlerinin giderek daha karmaşık hale gelen saldırılara karşı koymalarına yardımcı olmak için dikkate alması gereken çeşitli koruyucu önlemler arasında tehdit istihbaratı genellikle göz ardı edilmektedir. Ancak bu çok önemli bir hata olabilir.
Tehdit istihbaratı, en gelişmiş olanlar da dahil, olası siber tehditlere ilişkin bilgileri toplayarak, analiz ederek ve bağlamsallaştırarak siber riski tanımlamak, değerlendirmek ve azaltmak konusunda önemli bir yöntem sunar. Doğru yapıldığında, kuruluşunuzun maksimum savunma için sınırlı kaynaklarını kullanacağı yerleri önceliklendirmesine ve böylece tehditlere maruz kalma oranını azaltmasına, olası saldırılardan kaynaklanan hasarı en aza indirmesine ve gelecekteki tehditlere karşı dayanıklılık oluşturmasına da yardımcı olabilir.
Tehdit istihbaratının ana türleri nelerdir?
Kuruluşunuzun önündeki zorluk, birçok Tİ satıcısının olduğu bir pazarda doğru seçimi yapmaktır. Sonuçta bu, 2033 yılına kadar değerinin 44 milyar doları aşacağı tahmin edilen bir pazardır. Ti’nin dört ana türü vardır:
- Stratejik: Teknik incelemeler ve raporlar aracılığıyla üst düzey yöneticilere iletilen bu belge, okuyucuyu bilgilendirmek amacıyla geniş kapsamlı trendlerin bağlamsal bir analizini sunar.
- Taktiksel: Uygulamalı güvenlik operasyonları (SecOps) ekip üyelerinin ihtiyaçlarına uygun olarak hazırlanan bu belge, saldırı yüzeyine ve kötü niyetli aktörlerin ortamı nasıl tehlikeye atabileceğine dair görünürlük sağlamak için aktör taktiklerini, tekniklerini ve prosedürlerini (TTP’ler) özetlemektedir.
- Teknik: SecOps analistlerinin yeni tehditleri izlemesine veya güvenlik ihlali göstergelerini (IOC’ler) kullanarak mevcut tehditleri araştırmasına yardımcı olur.
- Operasyonel: Yine IOC’leri kullanır ancak bu sefer düşmanın hareketlerini izlemek ve saldırı sırasında kullanılan teknikleri anlamak için.
Stratejik ve taktiksel Tİ’ler uzun vadeli hedeflere odaklanırken, son iki kategori saldırıların kısa vadede “ne?” olduğunu ortaya çıkarmakla uğraşır.
Bir tehdit istihbaratında dikkat edilmesi gerekenler
Kuruluşların tehdit istihbaratı kullanmalarının, sektör akışları, açık kaynak istihbaratı (OSINT), sektörler içinde akranlar arası paylaşım ve doğrudan satıcılardan alınanlar olmak üzere çeşitli yolları vardır. Bu alanda uzmanlıklarını sunan birkaç OSINT olduğunu söylemeye gerek yoktur. Aslında Forrester, ücretli ticari tehdit istihbaratı akışlarında 2021’den 2022’ye %49’luk bir artış kaydetmiştir.
Ancak bir tedarikçinin kuruluşunuz için uygun olup olmadığını değerlendirirken aşağıdakilere odaklanmanız daha doğru olacaktır:
- Kapsamlı hizmet: Dahili telemetri, OSINT ve harici akışlar da dahil olmak üzere çok çeşitli tehdit aktörlerini, tehdit vektörlerini ve veri kaynaklarını kapsayan kapsamlı bir Tİ yelpazesi sunmalıdırlar. IOC akışları, bağımsız bir hizmet yerine bütünsel bir Tİ hizmetinin parçası olarak düşünülmelidir.
- Doğruluk: Yanlış istihbarat, analistleri yanlış bilgilerle bunaltabilir. Satıcıların dikkatli çalışması gerekir.
- Uygunluk: Akışlar, şirket ortamınıza, sektörünüze ve şirket büyüklüğünüzün yanı sıra kısa ve uzun vadede kuruluşunuza en uygun (taktik/stratejik) unsurlara göre uyarlanmalıdır. Ayrıca hizmeti kimin kullanacağını da düşünün. Tİ pazarlama, uyumluluk ve hukuk ekipleriyle bile kapsama alanını genişletmeye devam ediyor.
- Zamanlılık: Tehditler hızlı hareket ettiğinden herhangi bir akışın faydalı olabilmesi için gerçek zamanlı olarak güncellenmesi gerekir.
- Ölçeklenebilirlik: Tedarikçiler, kuruluşunuz büyüdükçe onun Tİ ihtiyaçlarını karşılayabilmelidir.
- İtibar: Tİ başarısı konusunda kendinden emin olan bir satıcıyla çalışmak her zaman fayda sağlar. Bu geleneksel olarak Tİ ile ilişkilendirilmeyen ancak bunun yerine SOAR, XDR veya benzer bitişik alanlarla ilişkilendirilebilen bir satıcı olabilir.
- Entegrasyon: SIEM ve SOAR platformları da dahil olmak üzere mevcut güvenlik altyapınıza tam olarak uyan çözümleri değerlendirin.
Tehdit istihbaratı pazarının yönelimi
Tİ pazarı, yeni tehditlerin değerlendirilmesine yardımcı olacak yeni kategorilerin ortaya çıkmasıyla sürekli gelişiyor. Bu, doğru seçeneği/seçenekleri tercih etmeyi zorlaştırabilir. Stratejinin sürekli olarak yeniden değerlendirilmesinden kaçınmak için gereksinimleriniz hakkında daha uzun vadeli düşünmek faydalı olacaktır; ancak bunun ilgi ve çeviklik ihtiyacıyla dengelenmesi gerekir.
Kuruluş geçmişinizin kaç tane ve hangi tür Tİ hizmetinin benimseneceği konusunda büyük rol oynayacağını da akılda tutmakta fayda var. Özel ekiplere ve kaynaklara sahip olan kuruluşlar ticari, OSINT ve ücretsiz tekliflerde 15’e kadar Tİ kaynağı kullanabilir.
Günümüzün tehdit aktörleri iyi kaynaklara sahip, dinamik, kararlı ve sürpriz unsurundan yararlanabilen aktörlerdir. Tİ, kuruluşların rakiplerini anlayarak, tehdit ortamını değerlendirerek ve daha bilinçli kararlar vererek oyunda eşitlik ve üstünlük sağlamanın en iyi yollarından biridir. Bu, yalnızca saldırıları kuruluş üzerinde bir etki yaratmadan önce durdurmanın değil, aynı zamanda gelecek için dayanıklılık oluşturmanın da yoludur.
Her kuruluşun kendisine uygun Tİ karışımı yapması gerekecektir. Ancak satıcılara bakarken verilerin en azından eksiksiz, doğru, alakalı ve zamanında olduğundan emin olun. Seçilmiş akışlar, kendi ekibiniz için zamandan ve kaynaktan tasarruf etme konusunda size önemli bir avantaj sağlayacaktır. Önemli olan, akışlarına güvendiğiniz bir satıcı bulmaktır. IDC’ye göre, 2024 yılına kadar G2000 şirketlerinin %80’i tehdit istihbaratına yaptığı yatırımı artıracak. Başarılı olmak için gereken hazırlığı yapın.
