İstihbarat Odaklı Siber Güvenlik: Threat Hunting

Gelişen ve değişen dijital dünya beraberinde siber güvenlik alanındaki saldırılarda da önemli değişimlere yol açmıştır. Özellikle yapay zekanın bilişim sektöründe hızlı bir şekilde yer edinmesi ve bilgisayar sistemlerinin güçlenmesi ile birlikte potansiyel siber saldırı gerçekleştirebilecek aktörlerin sayı ve niteliklerinin artması, siber saldırıların daha nitelikli ve komplike olmasına sebep olmuştur.

Kurumların yaklaşık %70’i siber saldırıların önlenebilmesi ve/veya zararlarının en aza indirilebilmesi için, yapay zekâ kullanımının gerekli olduğunu değerlendirmektedir. Söz konusu siber tehdit durumu:

  • Siber güvenlik alanında faaliyet yürüten uzmanların sayı ve niteliklerindeki yetersizlikler (cyber skill shortages),
  • İşlem süresinin (dwell time) uzun olması (Siber saldırı ya da tehditlere yönelik yürütülen işlemlerin yaklaşık süresi 191 gündür. Bu süre bilişim sistemlerindeki güvenliğin etkin bir şekilde sağlanabilmesi için oldukça uzundur.),
  • Siber saldırı ve tehditlerin çok boyutlu ve kompleks (multidimensional and complicated) bir hal alması,
  • Tehdit aktörlerinin sayı ve niteliklerindeki devam eden artış,
  • Siber güvenlik alanındaki kurum içi ve kurum dışı eğitimlerin yetersizliği,
  • Bilişim sistemlerinin güvenliğini temin için kullanılan araç ve üretici firma sayılarının fazla olması (too many tools from different vendors),

şeklinde ifade edilebilir.

Risk ve tehditlerin her geçen gün daha da karmaşıklaştığı ve çeşitlendiği günümüz bilişim dünyasında bilişim sistemlerinin güvenliğinin sağlanması da bir o kadar zor ve karmaşık bir hal almıştır. Artık önleyici ve koruyucu tedbirler (preventive and protective measures) güncel ve gelecek siber saldırılara karşı yetersiz kalabilmektedir. Söz konusu durumla başa çıkabilmenin en etkili yolu hiç şüphesiz proaktif (being proactive) olmak ya da olabilmekten geçmektedir.

İç ve dış tehditlere karşı kurumların, sistemlerini güçlendirme ve takviye etme (fortify themselves from both internal and external threats/attackers) adına ihtiyaç duyduğu en önemli husus siber saldırılar ve potansiyel aktörlere ait bilgiler ve diğer bir ifade ile istihbarattır.

Güvenlik Operasyon Merkezi (Security Operation Center / SOC)

Günümüz Güvenlik Operasyon Merkezlerinin (Security Operation Center / SOC), iki temel hedefe odaklandıkları ifade edilebilir. Bunlardan ilki sistemlerin zayıf noktalarını tespit ederek bunları istismar edilmeden önce gidermek (fix before exploitation) ve güvenlik merkezinde icra edilen gözlem faaliyetleri ile (monitoring network and logs) anormal hareketleri tespit ederek bunları analiz etmek ve tehdit/saldırı niteliği taşıyan faaliyetlere (events) karşı gerekli tedbirleri almaktır. Diğer önemli fonksiyon ise; gerçekleşmiş olan bir siber saldırı sonrası adli inceleme (forensic investigation) yaparak saldırganlara karşı yasal süreci başlatmak ve takip etmektir.

Yakın gelecekte gerçekleştirilecek olan muhtemel siber saldırılara karşı mevcut sistemlerin etkinliklerinin yetersiz kalabileceği değerlendirilmektedir. Bu durumla başa çıkabilmek için yeni nesil güvenlik stratejileri ve güvenlik politikalarına ihtiyaç duyulmaktadır. Bu minvalde karşımıza çıkan kavram ise, siber istihbarat ve analitik/analiz (cyber intelligence and analytics) olmaktadır. Bunun doğal bir sonucu olarak; geleneksel siber güvenlik korunma ve savunma bakış açısının (traditional protect and defense cybersecurity aspects) yanı sıra istihbarat ve proaktif yöntemlere ihtiyaç duyulmaktadır. Başka bir şekilde ifade edersek; özellikle siber tehdit avcılığının proaktif yönünün (proactive side of cyber threat-hunting) mevcut güvenlik sistemlerine ve güvenlik politikalarına entegre edilmesi büyük önem arz etmektedir.

Bilinen ve Bilinmeyen Siber Tehditler (Known/Unknown Threats)

Gizli, bilinmeyen ve ortaya çıkan (hidden, unknown and emerging) siber saldırılara karşı sistemlerin korunmasında, siber tehdit avcılığı önemli bir katkı sunmaktadır. SANS tarafından 2017 yılında yapılan tehdit avcılığı anketine göre; siber güvenlik uzmanlarının/liderlerinin yaklaşık %97’si, siber güvenlik avcılığının, tehditlere karşı hızı ve doğruluğu artırdığını ifade etmektedir.

IBM tarafından yapılan bir araştırmaya göre; bilinmeyen ve tespit edilememiş olan tehditlerin genel tehditler içerisindeki oranı yaklaşık olarak %20’dir. Bu grubun sistemlere vermiş olduğu zarar ise sahip olduğu payla ters orantılı olarak %80’dir. Her ne kadar SOC merkezlerindeki görevli siber güvenlik analistleri başta olmak üzere diğer güvenlik sorumluları görevlerini eksiksiz bir şekilde yerine getirmiş olsalar bile, mevcut yeteneklerle tespit edilemeyen tehditlerin varlığını muhafaza ettikleri görülmektedir. Tespit edilemeyen tehditlerin sayısı az olmakla birlikte sistemlere ve kurumlara en fazla zararı veren grubu teşkil etmektedir.

Bu olumsuz tabloya karşı bizlere en etkin ve esnek hareket alanı kazandıracak olan yetenek istihbarat odaklı bir siber güvenlik sistemi ve stratejileri geliştirmektir. Diğer bir ifade ile istihbarat temelli bilişsel güvenlik operasyon merkezi (intelligence led cognitive SOC) bizlere ihtiyacımız olan yeteneği kazandırabilecektir. Burada ön plana çıkan bir diğer önemli husus da muhtemel tehditler, potansiyel aktörler, olası saldırılar ve saldırganlarla ilgili teknik ve yöntemlere ait bilgilerin (data) toplanması, hızlı bir şekilde analiz edilmesi, değerlendirilmesi, karar sürecine dahil edilmesi ve etkin bir şekilde kullanılmasıdır. Bu yeteneği kazanabilme ve sistemlerin geleceğe daha hazır ve güvenli hale getirilebilmesi adına; istihbarata ve istihbarat temelli tehdit avcılığına gereken yatırımın yapılması gerektiği değerlendirilmektedir. Söz konusu yatırımın sadece teknik alanda yapılması tek başına yeterli olmayacaktır; bununla birlikte çalışanlara konu hakkında gerekli bakış açısı ve anlayışın kazandırılması ve ihtiyaç duyulan eğitimlerin önceden planlanması büyük önem arz etmektedir. Ayrıca kazanılacak bu yeteneğin hiç şüphesiz yapay zekâ ve kendi kendine öğrenen algoritma ile desteklenmesi de büyük bir önem taşımaktadır.

Kaynaklar

  1. http://info.learningtree.co.uk/wp-content/uploads/2015/11/UK1601_Known_Unkown_SB.pdf
  2. https://www.darktrace.com/en/resources/ds-unknown-unknowns.pdf
  3. https://www.securitymagazine.com/articles/94830-of-cyber-threats-previously-unknown-hp-research-finds
  4. https://www.computer.org/publications/tech-news/trends/the-use-of-artificial-intelligence-in-cybersecurity
  5. https://www.crowdstrike.com/cybersecurity-101/threat-hunting/
  6. https://www.ibm.com/topics/threat-hunting
  7. https://www.mcafee.com/enterprise/en-us/security-awareness/operations/what-is-cyber-threat-hunting.html