Siber Tehdit İstihbaratı, siber güvenlik endüstrisi dışında pek bilinmeyen, ancak hem popülerliği hem de önemi hızla artan bir alandır. Siber saldırılar daha güçlü ve sık hale geliyor ve bu olayları anlamlandırmak, eyleme ve önceden harekete geçmeyi mümkün kılan bir biçimde bilgi sunabilmek için yetenekli bireylere ihtiyaç var.
Siber Tehdit İstihbaratı, bilgi toplama ve analiz etme sanatı veya bilimidir. Söz konusu bilgileri, işletmelerin güvenlikleri konusunda kararlar almak için kullanabilecekleri eyleme ve istihbarata dönüştürmek için kullanır. Siber Tehdit İstihbarat, yaygın tehditleri, etkilerini anlamayı ve ayrıca bunları önlemeyi içerir.
Siber güvenlik, özellikle artan sayıdaki veri ihlalleri, siber saldırılar ve organize suç gruplarından, ulus devlet gruplarından ve bilgisayar korsanlarından kaynaklanan hırsızlık nedeniyle giderek daha önemli bir konu haline geliyor. Kötü niyetli aktörler, çılgın bir hızla yeni araçlar, teknikler geliştiriyor ve siber savunucuları neye karşı savunma geliştirmeleri gerektiğini anlamaya çalışarak sürekli olarak bunlara ayak uydurmaya çalışıyor. Kimin saldırdığını, hangi araçları ve yöntemleri kullandıklarını görmek CTI analistlerinin işidir. Çoğu durumda, dahili olarak, Siber Tehdit İstihbarat ekipleri, Güvenlik Operasyonları Merkezi (SOC) ile birlikte çalışır.
İşletmeler, siber tehdit istihbarat birimleri oluşturmanın gerekliliğini çok hızlı bir şekilde anlamaya başladı. Kuruluşa yardımcı olabilecek ve hangi kötü amaçlı yazılımların hangi sektörleri veya tedarikçilerini/satıcılarını hedefleyebileceğini söyleyen profesyoneller burda çok önemli bir göreve sahip. Özellikle daha sonra bu bilgileri yalnızca saldırıları önlemek için değil, aynı zamanda siber saldırılardan kaynaklanan olaylara yardımcı olmak için de kullanabilenler.
Bir istihbarat analistinin en büyük varlığı okumak ve araştırmaktır. Tehdit ortamını ve en büyük tehditlerin neler olduğunu anlamanın etkili bir yoludur. Endüstri olayları, kilit oyuncuları ve teknik gelişmeler hakkında güncel kalmak hayati önem taşımaktadır.
Tehdit istihbaratında analist olmak bir bilgi birikimi, bilgileri ilişkilendirmek, ilişkilendirmek için analiz becerileri ve iyi bir yazma becerisi gerektirir. Çoğu zaman, CTI raporunun amacı, kısa ya da uzun olsun veya daha fazla görsel içersin, bir anlatı oluşturma, sonuç çıkarma, yargıda bulunma ve bunları bulundururken aynı zamanda başkalarının da rahatlıkla anlayabileceği düzeyde olmasını sağlamaktır.
Kimler İçin?
Siber tehdit istihbaratı, yüzyıllardır varlığını sürdüren, rakip klanlar ve ulusların ilk casusluk girişimlerine dayanan temel istihbarat uygulamalarına dayanmaktadır. Amaç, eylemleri planlamaya veya yürütmeye yardımcı olabilecek bilgileri hedef bir kişi veya gruba sağlamaktır. Geçmişte bu, izciler, casuslar ve gizli belgelerle yapılırdı. Bu unsurlar bugün hala mevcut olsa da, artık birçok istihbarat toplama işlemi bilgisayarlar ve elektronik varlıklarla yapılıyor.
İstihbaratın tarihi orduda yatar. Eğer bir ordu veya hükümet rakiplerinden daha iyi istihbarata sahip olsaydı, örneğin ikmal hatları, mevzilenme, birlik sayısı hakkında bilgi sahibi olsaydı, avantajı olurdu. İstihbarat küresel ölçekte gelişti ve kısa süre sonra hükümetler istihbarat toplamayı birinci öncelik haline getirdiler ve belirli hedeflere ulaşmak için hükümetlerine rapor verecek olan CIA ve FSB gibi gruplar yarattılar. İstihbarat analizi yürütme eylemi başlı başına bir disiplindir ve CTI kavramı ortaya çıkmadan önce de vardı.
O halde ‘kimin için?’ sorusuna cevap verelim. İstihbarat, her biri kendi amaçları olan üç alana bölünmüştür:
-Taktik
-Operasyonel
-Strateji
Taktik
Bu, dahili bir SOC sağlayabilen ve onları dahili ve harici tehditleri izlemek ve avlamak için kullanabilecekleri temel göstergelerle donatabilen kısa vadeli, hızlı sindirilebilir istihbarat alanıdır. Bu göstergeler Uzlaşma Göstergeleri (IOC’ler) adıyla anılır ve bu bilgilere ulaşmanın birkaç yolu vardır. Yöntemler, veri akışlarını, güvenlik araştırmalarını ve istihbarat platformlarını içerir.
Operasyonel
Düşmanları gözlemleme ve siber suçluların, grupların nasıl çalıştığını anlama alanıdır. Bu gibi ayrıntılı bilgilere ulaşan bir İstihbarat Analisti, veriler ve taktikleri arasında bir bağlam oluşturmak için insan analizini kullanır ve bunu, bu bilgilerden yararlanabilecek bir dizi farklı takıma besler:
-Güvenlik Açığı Yönetim Ekibi
-Olay Müdahale Ekibi
-Tehdit Takibi Ekibi
Saldırıların arkasında kimin olduğunu, bunu neden yaptıklarını ve nasıl yaptıklarını açıklayarak siber saldırılara karşı savunma yapmak hayati önem taşır.
Strateji
Yönetimin üst kademeleri ve organizasyon içindeki karar mercileri için ayrılmıştır. Stratejik istihbarat daha geniş kapsamlıdır ve kıdemli liderlerin, olayların bir resmini çizebilmek için siber güvenlik riskinin daha geniş, küresel iş ve jeopolitik riskle nasıl bağlantılı olduğuna dair bir anlayışa sahip olması gerekir. Stratejik istihbarat, uzmanlardan daha fazla kaynak, deneyim ve zaman harcamalarını gerektirdiğinden, genellikle bir istihbarat işlevi içinde uygulanacak en son istihbarattır. Daha sonra bu, organizasyonda uzun raporları okumak için yeterli teknik bilgiye sahil olmayan yöneticiler için kolay anlaşılabilecek görseller, grafikler, çizelgeler oluşturulmalıdır. Açıklamalara ihtiyaç duyulan taraflarda ise teknik yazılar kolay anlaşılabilecek bir düzeye dönüştürmelidir.