Profilleme ve Siber Tehdit İstihbaratı — 3

Ne demişler efenim fala inanmayın falsız da kalmayın. Buyrun devam edelim.

Önceki yazılarda bahsettiğimiz çalışmaların neticesinde iki tür bilgi elde edilmektedir. Tahminler (estimate) ve göstergeler (indicator / signal). Tahminler aslında bu çalışmanın son ürünüdür ve yapılan öngörüyü barındırırlar. Bu bilgi uygun bir formatta müşteriye iletilir.

Göstergeler ise bir durumla alakalı meydana gelme ihtimali olan bir gelişmeyi, bu değişim gerçekleştiği esnada bize haber verecek olan bilgi kaynaklarıdır. Bu bilgi kaynakları analistler tarafından hangi değişimlerin takip edilmek istendiğine göre belirlenir. Indicators of Compromise ile karıştırılmamalıdır. Hemen örnek vakamız üzerinden somutlaştıralım:

1. Kriptopara kullanıcılarına ait verilerin satılığa çıkarılması. (Sinyal-1)
2. SIM kart klonlama / 2FA bypass hizmetlerinin verilmeye başlanması. (Sinyal-2)
3. Önceki saldırıyı gerçekleştirenlerin herhangi bir eylem hazırlığında olması. (Sinyal-3)

Görüldüğü üzere burada yapılan şey bir durumun oluşması için gerekli önkoşulları belirlemek ve bunları izlemeye almaktan ibarettir. Göstergelerimizden biri veya birkaçı gerçekleştiğinde ise öngördüğümüz olayın vuku bulacağını varsayarız.

Seçtiğiniz göstergelerin çeşidi ve sayısı öngörü kabiliyetinizi doğrudan etkileyecektir. Elbette bu göstergelerin hiçbirisi doğrudan doğruya bir olayı işaret etmeyecek. Yani hiçbir gösterge size failin ağzından “aga bak yarın X firmasına A B C yöntemleriyle saldıracam” lafını duymuşçasına bir kesinlik sağlamayacak. Dolayısıyla esas mesele mümkün olduğunca çeşitli gösterge kullanmaktır. Ayrıca göstergelerinizi seçerken bunları sürekli erişebileceğiniz şeylerden seçmeniz önemli. Aksi takdirde göstergelerinizi takip etmeniz zorlaşır veya sekteye uğrarsa asıl amacını (erken uyarı) gerçekleştiremezler.

bugün çinliler bize saldıracak

Tercih ettiğim diğer bir yöntem de belirlediğim göstergelerin her birisine bir skor atayıp, ardından bu skorların toplamı üzerinden olayın gerçekleşme ihtimalini hesaplamaktır. Aynı örnek üzerinde uygulayacak olursak:

1. Sinyal-1: Kriptopara kullanıcılarına ait verilerin satılığa çıkarılması. — (Risk Skoru: 2)
2. Sinyal-2: SIM kart klonlama / 2FA bypass hizmetlerinin verilmeye başlanması. — (Risk Skoru: 3)
3. Sinyal-3: Önceki saldırıyı gerçekleştirenlerin herhangi bir eylem hazırlığında olması. — (Risk Skoru: 1)

Buna göre eğer yalnızca Sinyal-2 olayı gerçekleşecek olursa benzer bir saldırının gerçekleşme ihtimali 3/6 yani %50'dir. Şayet Sinyal-1 ve Sinyal-2 olayları beraber gerçekleşecek olurlarsa bu sefer 5/6 yani %83 ihtimalle bu saldırı meydana gelecek demektir. Tabi burada verilen rakamlar tamamen keyfinize kalmış.

Teknik taraftan da bir örnek olması maksadıyla Leery Turtle çalışmasını ele alalım. Bu saldırılar incelendiğinde saldırıda kullanılan C2 sunucularına dair bazı karakteristikler keşfedildi. Tespit edilen karakteristiklere yönelik aşağıdaki göstergeler oluşturuldu.

1. Leery Turtle ile aynı örüntüye sahip, googl, drive, cloud, share, upload kelimelerinden en az ikisini içeren yeni bir domain satın alınması. (Sinyal 1: potansiyel Leery Turtle alan adı)
2. Alan adının yönlendirdiği sunucuda 80 ve 8080 portlarının aynı anda açık olması. (Sinyal 2: potansiyel Leery Turtle sunucusu)

Tanımladığımız koşulların ikisi aynı anda gerçekleştiğinde bu alan adı/sunucu Leery Turtle olarak etiketlendi. Ardından müşterilere bu alan adı ile IP adreslerinden saldırı gelebileceği bildirildi. Nitekim bir süre sonra bu alan adlarından birisi gerçekten de bir Leery Turtle saldırısında kullanıldı.

Gösterge/sinyallerin IOC veya TTP gibi bilgilerden en önemli farkı olayın kendisine değil öncesine odaklanmasıdır. Ayrıca imzalarla değil örüntülerle ilgilenir. Dolayısıyla bir olayda yer alan unsurların başka bir olaydakiyle birebir örtüşmesini gerektirmez. Bu vasıflarıyla hem esnektir, hem de IOC/TTP’lerin aksine olayı gerçekleşmeden önce tespit etmeyi mümkün kılar.

Peki işin nasılından yeterince bahsettik. Artık yazımın esas konusuna, yani “proaktif savunma” veya “intelligence-led defense” isimleriyle sektöre pazarlanan şeyin ne olduğuna dönmek istiyorum.

Sektörde baskın olan CTI yaklaşımının merkezinde Kill Chain ve ATT&CK gibi modeller yer almaktadır. Bununla ilişkili olarak TTP ve IOC kavramlarını da sıklıkla duyarsınız. Bu kavram ve modellere aşinalığı olanlar bilir ki, bunlar bir saldırıda kullanılan tekniklerin ve araçların tanımlanıp, imzalarının çıkarılmasında kullanılan yöntemlerdir.

Bu bilgiler saldırı tespiti ve tehdit avcılığı faaliyetleri için olmazsa olmaz elzem bilgilerdir. Fakat “proaktif” savıyla öne çıkan bir yaklaşımın merkezinde bu olguların yer alması oldukça gariptir. Zira hem saldırı tespiti, hem de tehdit avcılığı proaktif değil reaktif faaliyetlerdir. Zaten bu modeller çerçevesinde üretilen TTP/IOC bilgileri de câri değil tanımlayıcıdır.

Günümüzde CTI pratiklerini büyük ölçüde şekillendiren de sözünü ettiğimiz bu yaklaşımdır. Halbuki ne ATT&CK ne de Kill Chain modeli tek başına câri istihbarat üretme kabiliyetine sahip değildir. Peki bu durum kasıtlı mı, yoksa başka bir marketing faciası mı? Ne olursa olsun CTI’ya dair bakış açımızı bir an evvel değiştirmekte fayda var.

Umuyorum ki herkesin yararlanabileceği bir yazı dizisi olmuştur.

Bir dahaki sefere görüşmek üzere.