Profilleme ve Siber Tehdit İstihbaratı
Bugün profillemenin CTI alanında uygulanmasından bahsetmek istiyorum. Bununla birlikte CTI alanında bu gibi kavramların nasıl (kasıtlı?) çarpıtıldığına değineceğim. Çünkü canım öyle istedi.
Benim bildiğim kadarıyla son on senedir, belki daha da eskidir, dillerde bi “proaktif olmak” cümlesi dolanmış gidiyor. Pasif önlemler geçmişte kaldı, artık zaman PROAKTİF olmak zamanı… nidalarıyla bahsedilen bu proaktivite nedir?
Kelimenin kendisi “act forward” yani önceden davranmak manasına gelir. Bununla en yakından ilişkili olan diğer bir kavram “strateji”. Fakat bu kelime neyin “önceden davranmak” olduğuna dair bir tanımlama yapmıyor. Siber güvenlik sektöründe ise bu isimle pazarlanan şey aslında oldukça spesifik bir konsept.
Özellikle pazarlanan diyorum çünkü birileri bize hem proaktif olmanın en iyi yol olduğunu, hem de proaktif olmanın belli bir yordamı olduğunu ısrarla pazarlıyor/pazarlamaya çalışıyor.
MITRE ATT&CK, Cyber Kill Chain v.b. modellerin menşeinden anlaşılacağı üzere bu konseptin mucidi ABD. Günümüzde de ABD’li firmaların bu konsepti sıklıkla dillendirdiğini görebilirsiniz. Aynı konsepti Threat based defense, Intelligence-led defense gibi farklı isimlerle de görmeniz mümkün.
Efendim bu proactive defense bize der ki; etkili bir siber savunmanın tek yolu tehdit unsurlarına dair istihbarat edinmekten geçer. Ancak bu istihbarat vasıtasıyla savunmalarımızı organize edersek düşmanla mücadele edebiliriz. *insert cliché airport security example here*
Teoride güzel duruyor, fakat pratikte işler nasıl? Bu konuya değinmeden önce geleneksel istihbarat disiplinine ait iki kavramdan size bahsetmek istiyorum; tanımlayıcı (definitive) ve câri (predictive) istihbarat.
İsimlerinden de kolayca anlaşılacağı üzere; tanımlayıcı istihbaratın görevi bir unsuru veya hadiseyi tanımlamaktır. Bir örgütün faaliyetleri veya X ülkesinin yaptığı savunma harcamalarının malumatı tanımlayıcı türden bir istihbarattır. Siber alandan örnek vermek gerekirse de; bir hacker grubunun yürüttüğü faaliyetler, kullandığı araçlar, teknik, taktik ve prosedürler (TTP) bu alandaki tanımlayıcı istihbaratlara birer örnektir.
Câri istihbaratın görevi ise henüz gerçekleşmemiş fakat gerçekleşme ihtimali bulunan hadiseleri öngörmektir. Oynadığı rol itibariyle oldukça kritik öneme sahip bir istihbarat çeşididir. Câri istihbarat kimi zaman doğrudan haber alma yoluyla elde edilir. Yani hadise gerçekleşmeden önce, hadiseyi gerçekleştirecek kişi veya kişiler tarafından bunun malumatı alınır.
Fakat câri istihbaratın üretilmesi çoğu zaman analiz yoluyla olur. Yani bir vakayı inceleyip başka vakalar hakkında çıkarımda bulunursunuz. Burada analitik yöntemlerin sistemli biçimde kullanımı önemlidir. Bu çalışmanın sonucunda tahmin (estimation) ve gösterge (indicator) olmak üzere iki çeşit bilgi elde edilir (hayır indicator of compromise değil). Tahminler müşteriye iletilir, göstergelerse analist tarafından kullanılır. Çünkü müşteride göstergeleri takip edecek bir kapasite çoğu zaman bulunmaz.
Teoriyi örneklendirelim, 2018 yılının başında neredeyse tüm Türkiye’nin haberdar olduğu bir kriptopara hırsızlığı meydana geldi. Saldırganlar SIM kart klonlama metoduyla yüzlerce Türk borsa kullanıcısının parolasını sıfırlayıp kriptoparalarını çalmışlardı.
Medyada yer almayan kısım ise hadisenin birkaç gün öncesinde bir Türk yeraltı forumunda “2FA bypass hizmeti verilir” minvalinde bir başlıkla konu açılmış olmasıydı. Aynı kişi birkaç gün sonrasında olayla ilişkili olarak “gövde gösterisi” niteliğinde paylaşımlarda da bulundu.
Bu olayı iki açıdan ele alalım. Öncelikle “haber alma yoluyla câri istihbarat üretme” açısından değerlendirelim. Olayda, hadise gerçekleşmeye başladığı sırada eylemi yapan kişi eylemi üstlenecek paylaşımlarda bulunuyor. Yani şayet o esnada foruma üyeliğiniz varsa ve de bu kişiyi takip halindeyseniz, söz konusu malumatı çok kısa bir zaman avantajıyla müşteriye iletebilirdiniz. Fakat bu malumatı elde etseniz bile bunu doğrulamak için belli bir zamana ihtiyaç duyacak, aksi halde yeterince doğrulanmamış bir istihbaratı iletmenin riskiyle yüzleşecektiniz. İstihbaratı hızlıca doğrulayabildiğinizi varsaysak bile müşterinizin bu bilgi üzerine aksiyon alması için yeterli zamanı muhtemelen olmayacaktı.
Burada haber almanın câri istihbarat üretmede neden sürdürülebilir bir strateji olmadığını görüyoruz. Bu yöntem doğru zamanda doğru bilgiye erişebilmeyi zorunlu kılıyor. Ayrıca bilginin doğrulanabilmesi ve üzerine aksiyon alınabilmesi için de bize kısıtlı bir zaman aralığı bırakıyor. Özellikle siber saldırı gibi çok hızlı gerçekleşen eylem türlerinde bu zaman penceresi iyice daralıyor.
Öyleyse haber alma faaliyetleri gereksiz midir? Hayır kesinlikle değildir. Fakat yazının devamını artık sonra yazarım saat geç oldu.
ikinci part’da görüşmek üzere.
