Site icon BGA Cyber Security – Siber Güvenlik Çözümleri

Siber İstihbarat Raporlama Türleri

Sızma Testi Planlarken

Sızma Testi Planlarken

Siber tehditleri tanımlamak için çoğu zaman birçok kaynaktan alınan bilgileri ilişkilendirerek bu bilgiyi analiz edilir.  Bu işlem, Güvenlik Merkezi algılama yeteneklerinin bir parçasıdır. Güvenlik Merkezi bir tehdit tespit ettiğinde , düzeltme önerileri de dahil olmak üzere belirli bir olayla ilgili ayrıntılı bilgiler içeren bir rapor yazarlar. Olay müdahale ekiplerine yardımcı olmak, tehditleri araştırmak ve düzeltmek için Güvenlik Merkezi, aşağıdakiler de dahil olmak üzere, tespit edilen tehditle ilgili bilgileri içeren bir tehdit istihbarat raporu içerir.

Siber Tehdit İstihbaratı Araçlarına Genel Bakış konumuzdan sonra Siber İstihbarat Raporlama Türleri konusu ile devam ediyoruz.

Siber Tehdit İstihbarat Raporları Türleri

Her rapordaki bilgi miktarı değişiklik gösterecektir. Ayrıntı düzeyi, kötü amaçlı yazılımın etkinliğine ve yaygınlığına bağlıdır.

Güvenlik Merkezi, saldırıya göre değişebilen üç tür tehdit raporuna sahiptir. Mevcut raporlar:

Tehdit İstihbarat Raporu Şablonu

Bir tehdit istihbarata raporu şablonu aşağıdaki gibidir;

Bu şablon, verileri yapılandırmak, tehdit istihdamı toplama çabalarını yönlendirmek ve olaya müdahale eylemlerini bilgilendirmek için siber tehdit istihbarat alanındaki (İzinsiz Giriş Öldürme Zinciri, Kampanya İlişkisi, Eylem Matrisi Dersleri ve Elmas Modeli gibi) çeşitli modellerden yararlanmaktadır.

Yönetici Özeti (Anahat)

İzinsiz girişle ilgili kilit gözlemlerinizi ve paket alımlarınızı açıklandığı kısımdır. Düşmanın taktiklerini, tekniklerini ve prosedürleri açıklanır. Saldırıya cevap verirken rakibe karşı savunmak için alınan en önemli eylem planlarını ana hatlarıyla belirtilir. Raporun geri kalanı bu özeti doğrulamalıdır.

Düşmanın Eylemleri ve Taktikleri (Anahat)

Bu paragrafta düşmanın eylemlerini ve taktiklerini ve izinsiz girişin kurbanlar üzerindeki etkilerini özetlenir. Raporun bu bölümü, kötü niyetli faaliyetlerin temel özelliklerini yakalamak için izinsiz giriş öldürme zincirinin elmas modeli köşeleri üzerindeki aşamalarını kapsar.

Düşmanın Açıklaması

İzinsiz girişin failleriyle ilgili olabilecek gözlem ve göstergeler tanımlanır. Potansiyel motivasyonları ve tanımlayıcı unsurların ana hatlarıyla belirtiidiği kısımdır. Bilgilerinizi, aşağıdaki tabloda yapılandırıldığı gibi izinsiz giriş öldürme zincirinin ilgili aşamasına göre kategorilere ayırın.

Kategoriler;

Düşmanın Yetenekleri

Düşmanın taktikleri, teknikleri ve prosedürleri (TTP’ler) açısından yeteneklerini açıklandığı kısımdır. İzinsiz giriş failleri tarafından kullanılan, arka kapılardaki suistimaller, evreleme yöntemleri ve durumsal farkındalık gibi araçları ve ticari ürünleri ele alınır. Bilgilerinizi, aşağıdaki tabloda yapılandırıldığı gibi izinsiz giriş öldürme zincirinin ilgili aşamasına göre kategorilere ayırmalısınız.

Tablo Başlıkları;

Rakip’in Altyapısı

Rakip tarafından kullanılan IP adresleri, etki alanı adları, program adları vb. Gibi altyapıların tanımlandığı kısımdır. Bilgilerinizi, aşağıdaki tabloda yapılandırıldığı gibi izinsiz giriş öldürme zincirinin ilgili aşamasına göre kategorilere ayırın.

Mağdurlar ve Etkilenen Varlıklar

Düşmanın eylemlerinden etkilenen mağdurların tanımlandığı kısımdır. Kişiler ve kuruluş adları gibi uygulanabilir mağdur tanımlayıcılarını ele alınır. Ayrıca, ağlar, sistemler ve uygulamalar gibi etkilenen mağdur varlıklarını da ana hatlarıyla belirtilir. Bilgilerinizi, aşağıdaki tabloda yapılandırıldığı gibi izinsiz giriş öldürme zincirinin ilgili aşamasına göre kategorilere ayırın.

Olay Müdahalesinde Eylemin Süreci – Anahat

Aşağıdaki bölüm eylemlerinizi daha ayrıntılı olarak açıklamalıdır.

Keşif

Aşağıdaki tabloda, logların, ağ paketleyicinin yakaladığı, adli verilerin ve diğer kaynakların analizine dayanarak belirlendiği gibi, saldırganın bir parçası olarak muhalifin ne yaptığını belirlemek için attığınız adımları açıklanır.

Sezmek

Aşağıdaki tabloda, rakibin ilgili izinsiz giriş aşaması ile ilgili gelecekteki etkinliklerini tanımlamak için uyguladığınız önlemleri açıklanır. Göstergeleri ve imzaları, ek sensörleri veya araçlar, güvenlik olay verileri monitörlerini vb. Nasıl tanımladığınızın ve kullandığınızın açıklandığı kısımdır.

Reddetmek

Aşağıdaki tabloda, düşmanın kötü niyetli eylemlerde bulunmasını, bu raporda açıklanan izinsiz giriş aşaması kapsamında kalmasını engellemek için uyguladığınız önlemleri açıklanır. Örneğin, çevre güvenlik duvarındaki belirli IP’leri engellediniz mi, hedeflenmiş güvenlik açıklarını yamaladınız mı, belirli kalıplarla eşleşen e-postaları engellediniz mi?

Bozmak

Aşağıdaki tabloda, düşmanın saldırısına müdahale etmek için devam etmesini engellemek için oluşturduğunuz önlemleri açıklanır. Örneğin, rakibin aktif ağ bağlantılarını, karantinaya alınmış şüpheli dosyaları, dağıtılmış güncellenmiş antivirüs imzalarını, vb. sonlandırmak için izinsiz giriş önleme sistemi veya güvenlik duvarı kullandınız mı?

İndirgemek

Aşağıdaki tabloda, devam etmekte olan saldırıyı yavaşlatmak ya da başka bir şekilde azaltmak için gerçekleştirdiğiniz eylemler açıklanır. Bu tür önlemlere bir örnek, ağ ekipmanını, rakiplere atfedilen bağlantıları hızlandıracak şekilde yapılandırmak olabilir.

Aldatmak

Aşağıdaki tabloda, düşmanı yanlış yönlendirmek için attığınız adımlar uygulanabilir izinsiz giriş aşaması bağlamında açıklanır. Aldatma, saldırganın ilgisini çekebilecek sahte varlıkların yerleştirilmesini, rakiplerin ağ bağlantılarının yönlendirilmesini, kötü amaçlı yazılımların hedeflenen sistemin zaten virüslü olduğuna inanmasını sağlamayı, honeypot kullanmayı (vb.) içerebilir.

Yıkmak

Aşağıdaki tabloda, saldırıyı gerçekleştirme yeteneklerini azaltmak için, düşmana karşı gerçekleştirdiğiniz saldırgan eylemleri açıklanır.

İzinsiz Giriş Kampanyası Analizi (Anahat)

Bu paragrafta, varsa, raporda daha önce tartışılan izinsiz giriş ile birlikte alındığında bir kampanya oluşturan diğer ilgili izinsiz girişler arasındaki ilişkiyi özetlenir. Kampanya içindeki izinsiz girişlerde paylaşılan göstergeler ve davranışlardan bahsedilir. Düşmanın faaliyetlerini motive etmiş olabilecek ticari, jeopolitik veya diğer faktörleri ana hatlarıyla belirtilir.

Kampanyadaki Diğer İzinsiz Girişler

Raporda daha önce tartışılan izinsiz giriş ile ortaklıkları paylaşan diğer olayları veya izinsiz girişler açıklanır. Paylaşılan özelliklerin izinsiz girişlerin daha büyük bir kampanya oluşturma ihtimalinin düşük / orta / yüksek olduğunu gösterip göstermediğini açıklanır. Dahili ve harici izinsiz giriş isimlerini veya diğer ilgili tanımlayıcıları girilir. İlgili iç ve dış belgelere referanslar eklenir. Saldırıların gerçekleştiği zaman netleştirilir.

Paylaşılan Saldırı Nitelikleri

Kampanyadaki izinsiz girişler arasında tutarlı olan kilit göstergeleri ve davranış özelliklerini belirtilir. Öznitelikler, sergilendikleri sırada öldürme zinciri aşamasına ve bunların ters tanımı, saldırı altyapısı, yetenekleri (taktikleri, teknikleri ve prosedürleri) ve etkilenen mağdurlarla ilgilerine göre sınıflandırılır. Mümkün olan her yerde, öldürme zincirinin her geçerli aşamasında, Düşmanı, Altyapıyı, Yetenekleri ve Kurbanı hesaba katmak gereklidir.

Kampanya Motivasyonları

İlgili ticari, jeopolitik veya diğer faktörler de dahil olmak üzere, saldırganın izinsiz giriş kampanyasındaki faaliyetleri için muhtemel motivasyonu ana hatlarıyla belirtilir. Mümkünse, kampanyanın belirli kişilere, gruplara veya ulus devletlere atfedilmesine ilişkin somut teoriler sunulur.

Üçüncü Şahıs Referansları

Bu raporda tartışılan izinsiz giriş, bir parçası olduğu kampanya veya ilgili rakiplerle ilgili üçüncü taraf verilere referanslar sağlar.

Siber İstihbarat Raporu Yazma Araçları

MagicTree

MagicTree bir penetrasyon test cihazı verimlilik aracıdır.Kolay ve anlaşılır veri konsolidasyonu, sorgulama, harici komut yürütme gibi işlemleri gerçekleştirir. Rapor oluşturmaya izin verecek şekilde tasarlanmıştır. “Tree” kelimesi,  tüm verilerin bir ağaç yapısında saklanmasından ve “Magic” kelimesi ise, penetrasyon testinin en zahmetli ve sıkıcı bölümünü yapmak için tasarlanmasından gelmektedir.

KeepNote

KeepNote, Windows, Linux ve MacOS X’te çalışan bir not alma uygulamasıdır. KeepNote ile notlarınızı, listelerinizi, araştırma notlarını, günlük kayıtlarını, vb. zengin metin formatına sahip basit bir dizüstü bilgisayar hiyerarşisinde saklayabilirsiniz. Tam metin aramayı kullanarak daha sonra açmak üzere herhangi bir notu alabilirsiniz.

KeepNote, platformlar arası ( Python ve PyGTK’da uygulanır ) tasarlanmıştır ve notlarınızı dosya formatlarını (HTML ve XML) işlemek için basit ve kolay bir şekilde saklar. Notlarınızı arşivlemek ve aktarmak, bir klasörü sıkıştırmak veya kopyalamak kadar kolaydır.

Özellikler

Makalemize bir sonraki bölüm 14 Siber İstihbarat Yaygınlaştırma konusu ile devam edeceğiz.

Yazar: Cyber Intelligence Analyst Gurbet Başakçi

Exit mobile version