Tehdit avcılığı nedir?

Çoğu tehdit otomatik olarak ele alınabilse de, daha zor olanlar biraz daha fazla araştırma gerektirir.

Siber güvenlik savunmaları söz konusu olduğunda, kuruluşların proaktif bir duruş sergilemesi gerekiyor. Yalnızca otomatik güvenlik sistemlerine veya yapay zeka (AI) destekli araçlara güvenmek yeterince iyi değildir ve işletmelerin kendilerini tehlikeye atan tehditleri aktif olarak araması gerekir. İşte burada tehdit avcılığı devreye giriyor.

Siber güvenlik tehdidi avı, kuruluşların otomatik güvenlik yazılımı kullanarak tespit edilmesi zor olan gelişmiş tehditleri proaktif olarak keşfetmesini içerir . Bu tür faaliyetler, devlet destekli fidye yazılımı çeteleri gibi üst düzey bilgisayar korsanlarını bulmak için kullanılır. 

İşletmelerin kendilerinin araması gereken tehdit türleri de daha gizli ve kalıcıdır. Bu tehditler, otomatik güvenlik sistemlerinin algılayabileceği önemli kesintilere neden olmamak için kurumsal ağlarda daha uzun süreler için çok daha güçlü bir tutuş sağlayacaktır. Tehdit avcılığı cevaptır – dünyanın dört bir yanındaki siber güvenlik uzmanları en kötü şöhretli siber güvenlik risklerini manuel olarak araştırır. 

Tehdit avcılığı neden önemlidir?

IBM’e göre, şirketlerin siber güvenlik tehditlerini bulması yaklaşık 197 gün ve bir ihlali içermesi yaklaşık 69 gün sürüyor. Bu tür gecikmeler işletmeler için oldukça maliyetli olabilir. Şirketin araştırmasına göre, bir veri ihlali bir şirkete neredeyse 4 milyon dolara mal olabilir. Siber tehditleri avlamak önemlidir çünkü birçok tehdit bir kuruluşun otomatik güvenlik savunmaları tarafından yakalanırken, daha karmaşık tehditler kaçınılmaz olarak geçer. 

Güvenlik operasyon merkezlerinde çalışan otomatik araçlar ve analistler, normal tehditlerin büyük çoğunluğuyla başa çıkabilir. Bu, yine de baş bilgi güvenliği görevlilerine (CISO’lar) veya diğer üst düzey teknoloji liderlerine geceleri uyanık kalmaları için bir neden verebilecek önemli bir tehdit yığını bırakıyor. 

Etkili bir tehdit avlama stratejisi, ek bir koruma katmanı eklerken baskıyı hafifleten izinsiz giriş ve keşif arasındaki süreyi kısaltabilir.

Tehdit avcılığı nasıl çalışır?

Siber güvenlik tehdidi avı, bir organizasyonun zaten ihlal edildiği ve bilgisayar korsanlarının ağın içinde olduğu, onu izlediği ve hareket ettiği varsayımıyla çalışır. 

Bununla mücadele etmek için siber tehdit avcıları, tam ölçekli bir ihlale yol açabilecek kötü niyetli faaliyetleri bulmak için bir ağ üzerinden geçen ortalama faaliyetleri ve trafiği izler.

Bunu başarmak için, bir kuruluşun tehdit avına tam zamanlı bir yaklaşıma sahip olması gerekir. Sadece “olduğu gibi ve ne zaman” yapmak önemli sonuçlar vermez ve kendi kendini yenilgiye uğratabilir. 

Teknoloji ayrıca veri toplama biçiminde de rol oynar. İşletmeler, veri ve tehdit istihbaratı toplayan güvenlik sistemlerine sahip olacak . Bu, tehdit avcılığının çok önemli bir parçasıdır çünkü onsuz bu tür faaliyetler etkisiz olabilir.

Önde gelen tehdit avlama metodolojileri nelerdir?

Birçok tehdit avcısı, bir bilgisayar korsanının BT altyapısına zaten sızdığını varsayıyor . Bu nedenle, soruşturmalar, kötü niyetli faaliyetlerin görülme olasılığını ima edebilecek garip davranışlar arayarak nerede gizlenebileceklerini bulmak için başlar. Bu proaktif şekilde tehdit avı yapıldığında, bu soruşturmalar üç kategoriye ayrılır.

Hipoteze dayalı problar

Bu tür bir soruşturma, sıklıkla, bir bilgisayar korsanının en son taktikleri, teknikleri ve prosedürleri (TTP) hakkında bilgi veren çok sayıda kitle kaynaklı saldırı verisinden yüzeye çıkarılan yeni tanımlanmış bir tehdit tarafından başlatılır. Bu onaylandıktan sonra, tehdit avcıları, bilgisayar korsanlarının belirli davranışlarının kendi altyapılarında bulunup bulunmadığını tespit etmeye çalışacaklardır.

Bilinen uzlaşma veya saldırı belirteçleri

Bu tehdit avlama yöntemi, yeni tehditlerle ilgili uzlaşma göstergelerini (IoC’ler) ve saldırı göstergelerini (IoAs) listelemek için taktik tehdit istihbaratının kullanılmasını içerir. Bu, olası gizli saldırıları veya devam eden kötü niyetli faaliyetleri ortaya çıkarmak için bir tehdit avcısı tarafından bir soruşturmayı etkinleştirebilir.

Gelişmiş analitik ve makine öğrenimi 

Bu yöntem, olası kötü amaçlı etkinliklere işaret edebilecek anormallikleri tespit etmek için büyük miktarda veriyi taramak için veri analitiğini ve makine öğrenimini bir araya getirir. Bu usulsüzlükler, bilgi güvenliği analistlerinin gizli tehditleri bulmak için yapabilecekleri soruşturmaların başlatılmasına yardımcı olabilir.

Tehdit avcılığı için en iyi uygulamalar

Tehdit avcılarının, tehditleri ararken olabildiğince başarılı olmalarını sağlamak için normalde takip ettikleri birkaç öneri vardır.

Normal aktivite için temel bir standart belirleyin : Tehdit avcıları, anormallikleri yalnızca neyin normal olduğunu bildiklerinde bulabilirler. Bu nedenle, avcılar organizasyonun altyapısının tüm yönlerini bilmelidir. Buna mimari, iletişim akışları ve kullanıcı hakları dahildir. Bir kuruluşta normalde az sayıda kullanıcı belirli bir işlevi kullanıyorsa ancak bu işleve yönelik çok fazla trafik varsa, bu bir saldırı anlamına gelebilir.

Tehdit kaynaklarının verilere uygun olduğundan emin olun : Açık tehditler, mevcut güvenlik çözümleri tarafından zaten engellenecektir. Tehdit avcıları , hesaptan ödün vermeyle birleştirilmiş enjeksiyon saldırısı gibi çeşitli taktikleri birleştiren sıfırıncı gün açıkları ve saldırıları arıyor olmalıdır.

Daha etkili olmak için otomasyonu ve mevcut araçları kullanın : Tehdit avcılığı, insanların düşüncelerinde yaratıcı olmasını gerektirir, ancak otomasyon ve mevcut güvenlik araçları, çok sayıda manuel işi kesebilir ve analistlerin daha az sıradan tehditlere odaklanmasına neden olabilir.

Gelecekteki avlanma sonuçlarını iyileştirmek için geri bildirim kullanma : Bir avcı bir tehdit bulsun ya da bulmasın, süreç belgelenmeli ve kanıtlar toplanmalıdır. Bu, kuruluşun güvenlik sistemlerini ve uygulamalarını geliştirmeye yardımcı olabilir. Güvenlik protokollerini geliştirmek için de kullanılabilir. Gelecekteki avlarda daha iyi başarı oranları sağlamak için avlanma süreçleri değerlendirilmeli ve geliştirilmelidir.

Siber tehdit avcıları kimlerdir?

Tehdit avcıları, genellikle bir kuruluşun operasyonlarını ve sistemlerini bilen ve altyapıyı korumak için güvenlik verilerini araştırabilen siber güvenlik uzmanlarıdır. Gizli kötü amaçlı yazılım saldırılarını, arka kapıları ve kötü niyetli aktörleri ararlar ve her türlü tehdidi belirlemek için kuruluşun günlük işlevleri dahilinde tehlikeli kalıpları ve faaliyetleri ararlar. Bir tehdit belirlendiğinde, tehdit avcıları gelecekte benzer saldırıların olmasını önlemek için sistemlerin yamalanmasına yardımcı olabilir.

Tehdit avcılarının hangi niteliklere ihtiyacı var?

Siber tehdit avcıları çok talep görüyor ve uygun kalifiye personel çok az. Siber tehdit avcısı olmak için insanların siber güvenlik konusunda bir geçmişe sahip olmaları ve adli bilimler, veri analizi, istihbarat analizi, kötü amaçlı yazılımları tersine çevirme, ağ ve uç nokta güvenliği, saldırgan izleme ve güvenlikle ilgili diğer beceriler gibi alanlarda uygulamalı deneyime sahip olmaları gerekir. 

Siber güvenlik ortamının yapısını anlamaları ve mevcut ve geçmiş kötü amaçlı yazılım yöntemleri, saldırı metodolojileri ve TTP’ler hakkında derin bir bilgiye sahip olmaları gerekir. Ayrıca Windows ve Linux sistemleri de dahil olmak üzere işletim sistemleri hakkında iyi bir bilgiye ve TCP/IP gibi farklı ağ protokollerinin nasıl çalıştığına dair sağlam bir anlayışa ihtiyaçları vardır . Son olarak, tehdit avcıları Python gibi bir betik dilinde akıcı olmalıdır .

Makalenin orjinal kaynağını bu linkten okuyabilirsiniz.

Bir cevap yazın

E-posta hesabınız yayımlanmayacak.

This site uses Akismet to reduce spam. Learn how your comment data is processed.