Siber İstihbarat’ın Önemi ve Kritik Noktaları

Merhaba arkadaşlar,

Bu makalemizde sizler ile bugünlerde özellikle sıklıkta duyduğumuz Siber İstihbarat hakkında genel bilgiler vermeyi planlıyorum.Toplamda 3 Makale olarak aldığım bu konu hakkında yazdığım noktaları dikkatli bir şekilde okumanızı öneriyorum.İstihbarat ve Siber İstiharabat konularında 2 farklı yola çıkmaktadır.Birincisi İstihbarat ikincisi ise Siber ölçekli Haberleşme ağı.Peki biz bu tanımı parça parça işleyelim öncelikle İstihbarat nedir bunun genel tanımını konuşmak gerekirse; İstihbarat, siyasi makamlara sunulmak üzere toplanmış ve çözümlenmiş izlemsel veya taktik içerikli işlenmiş bilgilere denir. Her türlü kaynaktan elde edilen ham bilgi ilişkisiz gibi görünen parçalardan oluşan, çelişkili, güvenilmez, yanıltıcı veya yanlış olabilir. İstihbarat ise birleştirilmiş, değerlendirilmiş, çözümlenmiş, yorumlanmış ve ayıklanmış bilgi olarak geçen bir tanımı mevcuttur.

Aslında son 20 sene öncesinde İstihbarat kişilerin kendi veri alanlarında çevreden manuel veya kişi odaklı bilgi toplama süreçleri ile gelen datanın analizini raporlarken günümüzde İstihbaratın Teknoloji ile bütünleşmesi ile uygulama alanı Siber İstihbarata dönmüş vaziyettedir.

İstihbarat noktasında iki farklı türünde de (normal/bilişim) toplanan verilerin işlenerek anlamlı veriler elde edilmesi yani (dissemination and processing of information) dediğimiz hususun geçerli olmasıdır.Kirli bilgileri ayrıştırarak anlamlı ve yarar sağlayan verilerin işlenmesi istihbarat noktasında karşı koyma tedbirlerinde önemli bir husustur.

Günümüzde bilgi teknolojilerinin hayatımızın her alanına iyi veya kötü bir şekilde etki etmesi ile normal İstihbarat faliyetlerinin şekil değiştirmesi ve bilişim dünyasına uyarlanması zorunluluğunu getirmiştir.Siber istihbaratın gelişmesi aslında bir gereksinim olup,önleyici savunma sistemlerini devreye sokmak ve bu devreye sokulan sistemler ile beraber karşı tarafın hamlelerini bozarak saldıran kişi veya kuruluşların (resmi gayriresmi) olarak takibe alınması ile beraber önleyici saldırıların kullanılmasıda bu alanda faydalanılan yöntemlerden bir tanesidir.

Genelde devlet kurumlarında gördüğüm siber güvenlik noktasında hedef alınan kuruma yapılan saldırılarda güvenlik sistemleri devreye alınsada sadece önleme amaçlı faliyetlerin düzenlendiğini gözlemlemekteyim.Bunun yanında bu saldırı sonrası güvenlik firmaları kuruluşun güvenliğini sağlamaya yönelik olarak ham veriyi alarak hiç bir işlem veya analiz yapılmadan yayınlaması siber güvenlik alanındaki en büyük eksiklerden bir tanesidir.Karşıdaki saldırganın hangi amaçla ve neyi beklediğinide analiz etmek gerektiğini düşünüyorum. Bunun yapılması durumunda kuruluşlar kendilerine gelebilecek tehditlere karşı daha sağlıklı önlem almış olacaklardır. Saldırı veya saldırı sonrası karşıdaki hedefin iz bıraktığı bilgilerin analizinin sağlıklı şekilde hem ilgili kuruma hemde bu saldırılar ile karşılaşmamız kurumlara ilgili zararı bertaraf etme önlemini alma fırsatı doğrurur. Güvenlik açığını doğru okuyarak oluşturduğunuz bir istihbarat raporunu paylaşarak IPS,WAFF,Korelasyon/Analiz Programları, Firewall vb… cihazlar tarafından otomatik olarak işlenerek kurumun güvenliğine katkı sağlamasıda bu noktada önemli bir husustur.

Bu kadar karmaşık tanımlamadan sonra genel olarak toparlarsak Siber İstihbarat; saldırganların ortamlarından ‘geleneksel istihbarati yöntemler’ ile toplanan verilerin, analistler yardımı ile işlenerek, ilgili kurumun hızlıca aksiyon alabileceği raporlama şeklinde toplarlanmasıdır.Genel olarak bu sistemin içerisinde belirli başlı siber tekniklerin kullanılmasında aktif ve pasif yöntemleri iyi bilmenin yanı sıra gelen her açığın ve zararlı yazılımların içerisinde bulunarak sadece defence olarak değil attacker olarakta bu bilgileri değerlendirerek istihbaratı yakalamanız önemli bir husustur.Bu nedenle Siber İstihbarat, sağlıyoruz demesi kolay ancak hakkıyla yapması bir hayli zor operasyondur.

Dünyada birbiri ile etkileşimli Kaç Çeşit İstihbarat Vardır?

A-Elektronik ve Teknolojik İstihbarat,

B-Siyasi ve Politik İstihbarat,

C-Askeri ve Tatiksel İstihbarat,

D-İç İstihbarat,

E-Dış İstihbarat,

F-Psikolojik İstihbarat,

G-Diplomatik İstihbarat.

Biz bu istihbarat çeşitlerinden ilgileneceğimiz tür ise Elektronik ve Teknolojik İstihbarat bölümüdür.Bu bölümdeki istihbarat alanı ise aşağıdaki dallara ayrılmış vaziyettedir.

*Yazılımsal ve Sistem odaklı istihbarat,

*İnsan odaklı istihbarat,

*Open Source (Açık kaynak) istihbaratı,

*İzleme,Analiz,Değerlendirme İstihbaratı,

*Sinyal (İletişim, Elektronik, Cihaz Sinyali) İstihbaratı,

*Teknik İstihbarat.

İstihbarat ve özellikle Siber İstihbarat ve güvenliği sağlama noktasında alakası çok ilişkili olmasada Sun Tzu’nun bir deyimini paylaşmak istiyorum.

Başkasını ve kendini bilirsen, yüz kere savaşsan tehlikeye düşmezsin; başkasını bilmeyip kendini bilirsen bir kazanır bir kaybedersin; ne kendini ne de başkasını bilmezsen, her savaşta tehlikedesin.

Bu aslında oldukça önemli biz sözdür.Düşmanını ve kendini iyi tanıman onun hamlelerini görmeni ve daha önce senin hamle yapabilmene olanak sağlar.

Bizde Siber İstihbarattaki en önemli farkındalığımız düşmanı sadece yüzeysel değil aynı zamanda onun yerine kendimizi koyarak ve neler yapabilme ihtimali olduğunu düşünerek karşı hamleleri gerçekleştirmek zorunda olduğumuzu unutmamamız gerekir.

Peki Siber istihbarat noktasında bize en lazım olan doneler nelerdir ? Siber dünyada İstihbarat türlerini genel olarak bir bütün şekilde anlatıyor olacağım.Ama önce İstihbaratın en temel kısımları bölerek ilerleyip sonucu bağlamak istiyorum.

Birinci alanımız Veri dediğimiz hemen hemen herkesin aklında fikir oluşturan bilgi alanı yada olay ve oluşumlardan elde edilen ham verilerdir.Bunların içerisinde yararlı/yararsız ayrımı ilerleyen aşamalarda devreye sokulur.

Peki Veri konusunu anladığımızı farzedelim.Fakat birde işin içerisinde bilgi katmanı var bu ikisini nasıl ayırt edebileceğiz ?

Aslında bu iki tanım arasındaki en büyük kritik fark Veri’nin ham olması ve işlenmemiş halde tutulması bunun yanında daha herhangi bir analiz edilmemiş bir parça olarak durmasıdır. Ham veriyi bilgi noktasında kesiştiren nokta verinin analiz edilip işlenince bilgi olmasıdır.

Veri ile bilgi arasındaki farkı şu şekilde çok kolay bir şekilde ayırtedebilirsiniz:

*Veri bilgisayar sistemleri için bir girdi olarak kullanılır. Bilgi ise bu girdinin bir çıktısıdır.

*Veri işlenmemiş rakamlar, sayılar ve figürlerdir. Bilgi verilerin işlenmiş halidir.

*Veri bilgiden bağımsızdır. Bilgi ise veriye bağımlıdır.

*Veri spesifik, kesin, belirli değildir. Bilgi spesifiktir, belirlidir.

*Veri tek bir üniteden oluşur.  Bilgi ise gruplandırılmış verilerden oluşabilir.

*Veri anlamsızdır. Bilginin bir anlamı vardır.

*Veri hamdır. Bilgi üründür.

Verinin oluşmasında en büyük etken ortada bir Enformasyon’nun oluşmasıdır.Ham veri bu noktada yararlı ve yararsız olmak üzere ayrı kategorilere sokulur ve düzenlenir.Genel tanımına bakmak gerekirse Enformasyon; En genel anlamda belirli ve görece dar kapsamlı bir konuya (bağlama) ilişkin, derlenmiş bilgi parçasıdır. Derleme süreci ölçüm, deney, gözlem, araştırma ya da haber toplama (istihbarat) bulgularının özetlenmesi biçimini almaktadır. Bulgular, onların biçimlendirilmesi ve sunulmasında kullanılan sembollerin genel olarak kabul görmüş bir yaklaşımla yorumu ile anlamlandırılmaktadır.

Bilişim dalında ise; Bir bilişim sistemi tarafından kayıt, depolama, sorgulama, düzenleme ve özetleme işlemlerinden geçirilerek biçimlendirilmiş ve anlamlandırılmış veriler anlamında kullanılmaktadır. Veriler tek başlarına herhangi bir anlam taşımamaktadır. İşlenerek enformasyona dönüştürüldükten sonra elde edildikleri bağlam içerisinde problem çözme ya da karar verme amacı ile kullanılabilmektedir.

Belirli bir konuda zamanla biriken enformasyon, ayıklanıp sınıflandıktan ve düzenlendikten sonra, genelliği ölçüsünde bilgiye dönüşmektedir. Bu açıdan, enformasyon özel bir konunun anlaşılmasına ya da özel bir problemin çözümüne hizmet ederken, bilgi görece daha genel bir konunun anlaşılması veya belirli türden problemlerin tümünün çözülmesi için kullanılmaktadır.

Enformasyon ise kendi içerisinde Anlamı Bilgi ve Anlamsız bilgi olarak ikiye ayrılmaktadır;

Anlamlı bilgi Enformasyonun zenginleştirilmiş halidir. Zenginleştirme işlemi deney, tecrübe, yorum, analiz ve bağlam yoluyla yapılabilir.

Bu noktada verinin bilgiye dönüşümü ve geçirilen süreçleri kısa bir üzerinden geçtikten sonra sıra geldi Siber İstihbaratın çalışma alanlarına.Esasında Siber Güvenlik Birimleri ve Siber İstihbarat birimlerinin odak noktaları şunlardır;

*Bilişim dünyasındaki Terörist oluşum ve Gruplar,

*Siyah ve Gri alanda bulunan Hackerler,

*Hackerları kullanarak Rakiplerini alt etmek isteyen ticari kuruluşlar,

*Devlet adına veya Rakip Devletler adına çalışan casuslar,

*Çalıştıkları kuruluşlarda Mobbing şiddetine mağruz bırakılan mutsuz çalışanlar

*Bilişim dünyasındaki organize suç grupları.

Bu saydığım maddeler kurum ve kuruluşlar için Siber Tehtit niteliğinde olan hususlardır.Bu noktada gerekli önlemleri ne şekilde alacağımıza ilerleyen konularda değineceğiz.Yanlız tehtit analiz etmeden önce tehtit kısmını tanımlamak gerekir.Yukarıdaki konuda bahsettiğimiz siber tehditlere örnek vermek gerekirse;

Yukarıdaki oluşan Siber Tehtilerin ne şekilde olduğunu biraz detaylandırmak gerekir ise;

Phishing Oltalama Saldırıları: Genelde dolandırıcıların rastgele kullanıcı hesaplarına e-mail gönderdikleri bir çevrimiçi saldırı türüdür.E-postalar, bilinen web sitelerinden veya kullanıcının bankasından, kredi kartı şirketinden, e-posta veya internet hizmeti sağlayıcısından gönderilmiş gibi gözükür. Genellikle hesapları güncelleyebilmek için kredi kartı numarası veya şifre gibi kişisel bilgiler sorulur. Bu e-postalarda kullanıcıları bir başka web sitesine yönlendiren URL bağlantısı yer alır. Bu site aslında ya sahte ya da değiştirilmiş bir web sitesidir. Kullanıcılardan da bu siteye gittiklerinde phishing saldırısını yapan kişiye iletilmek üzere kişisel bilgilerini girmeleri istenir.Bu tip saldırılarda çok dikkatli olmak gelen postanın SMTP Sunucusunu engellemek veya oltalama maili standarthazırlanarak kurumunuzdaki herkese gönderilmiş ise içeriğinin analiz edilip E-Mail Gateway ve Spam mail konfigürasyonlarında göndericinin mail ve ip bilgilerini alarak engellenmesi sağlanabilir.Mail içerisinde URL barındırıyor ise yönlendirilen URL de Web Filter kısmından engellenmelidir.

Peki bize normal bir kuruluştan gelmiş gibi gözüken mailleri nasıl bilgiler ile sahte veya gerçek olduğüunu tespit ederiz bunlardan bahsetmek gerekirse;

*Gelen mail adresi bilinen bir kuruluşun e-posta sağlayıcısından, internet hizmet sağlayıcısından mı geliyor bunları header bilgisinden kontrol edilmesi ve karşılaştırılması gerekir.

*Gelen mailde kişisel bilgiler isteniyormu ?

*Sosyal mühendislik kullanarak bazı konularda sizin gönderilen maile güven duymanız planlanmışmı ?

*Kullanılan dil ve yazılış tarzı standart prosedürlere uyuyormu ?

*Eğer e-postadaki bir link verilmiş ise o bağlantı aracılığıyla bir web sitesine yönlendirilmişseniz, tarayıcının adres çubuğunda yazan URL ile ziyaret ettiğinizi düşündüğünüz yasal şirketin URL adresi birbiri ile aynımı yoksa farklımı ?

Yukarıdaki durumların yanı sıra bir çok kontrol yöntemi mevcuttur.Bu konuda ilerleyen zamanda adli analizler kısmında değiniyor olacağım.

Botnet: Botnetler birçok yazılım ajan programından oluşur. Her yazılım ajan programı uzaktan kontrol edilir. Botnetler bir birim olarak hareket etme yeteneklerine sahiptir. Bir botnet tekrarlanan görevleri ve hedeflerini tamamlamak için bir çaba ile diğer benzer makinelerle iletişim kuran İnternet bağlantılı bilgisayarların bir dizisidir. Bu bir Internet Relay Chat (IRC) kanal kontrolü tutucu gibi sıradan bir şekilde olabilir ya da istenmeyen e-posta göndermek veya dağıtık reddi hizmet saldırılarına katılmak için kullanılabilir. Botnet kelimesi robot ve network bileşimidir. Terim genellikle olumsuz ya da kötü niyetli bir çağrışım ile birlikte kullanılır.Bu tür ağlar genellikle spam e-posta göndermek için kullanılır. Bir botnet saldırganın kontrolü altındadır ve zombi bilgisayarların onlarcası, binlercesi, ve hatta yüzbinlercesinde bir ağ olarak ifade edilebilir.Tabi bu botnet bilgisayarlarının birer çekirge sizin kurumsal ağınızında bir tarla olduğunu düşünür isek nasıl bir felaket ile karşı karşıya kalacağınızı kestirmeniz zor değil diye düşünüyorum J

MITM: İngilizcesi (Man – in – the – middle) olarak geçen bu saldırı tipinde esas amaç saldırganın erişmek istediğiniz servis ile sizin bilgisayarınızın arasına girerek size ait bilgileri izlemesidir.Bu saldırı OSI katmanının 2. seviyesinde MAC adreslerinin haberleşmesi için kullanılan ARP ( Address Resolution Protokolünün zaafiyetinden faydalanılarak yapılmaktadır. ARP Spoof yöntemi ile yapılır. Saldırgan network veya kablosuz ağınıza bağlanarak Gateway ile kurban olarak belirlediği bilgisayar arasına girer ve sürekli olarak ARP saldırısı ile networkteki gateway benim diye yayın yapar. Bu yayın sonucunda kurbanın bilgisayarı gataway olarak saldırganın bilgisayarını kullanır. Bu işlem sırasında kurban hiçbirşey olmamış gibi internet bağlantısına devam eder fakat bilgisayarı ile iletişim kurduğu tüm siteler artık filtrelenmektedir.Bu da siber tehtit anlamında oldukça sıkıntı yaratan modların başında gelmektedir.

Keylogger: Keylogger’lar, şifreleri ve klavyeden girilen diğer hassas bilgileri engellemek için kullanılan tuş vuruşlarını takip ederken, kullanıcılar ve kullanıcıların verileri için ciddi bir tehdittir. Bu, bilgisayar korsanlarına PIN kodlarına ve hesap numaralarına, çevrimiçi alışveriş sitelerinin şifrelerine, e-posta kimliğine, e-posta girişlerine ve diğer gizli bilgilere vb. Erişim avantajı sağlar.Bilgisayar korsanları, kullanıcıların özel ve hassas bilgilerine erişdiklerinde, kullanıcının hesabındaki çevrimiçi para işlemlerini gerçekleştirmek için elde edilen verilerden yararlanabilirler. Keylogger’lar bazen iş ve devlete ait şirketin verilerini tehlikeye atmak için casusluk aracı olarak kullanılabilir.Keylogger’ların temel amacı, bir tuşa basıldığında meydana gelen olaylar zincirine ve bir tuşa basmanın sonucu olarak veriler ekranda görüntülendiğinde müdahale etmektir. Video gözetimi sağlamak için klavyede bir kablolama veya donanım hatası ekleyerek bir keylogger yapılabilir; girdi ve / veya çıktıyı sonlandırma; veya klavye yığınında bir filtre sürücüsünün kullanımını da uygulayarak; ve genelleştirilmiş belgelenmiş yöntemleri kullanarak kullanıcının klavyesinden veri talep edebilir. Bilgisayar korsanları tarafından kullanılan iki rootkit yöntemi daha vardır: çekirdek modunda maskeleme ve kullanıcı modunda maskeleme.Bu iki maskelemede oldukça kritik ve tehlikeli modları temsil eder.

Advanced Persistent Threat (APT):Gelişmiş bir Kalıcı Tehdit olarakta bilinen (APT), bir bilgisayar ağına yetkisiz erişim sağlayan ve uzun bir süre boyunca tespit edilmeden kalan, genelde belirli kurumlar ve devletler tarafından desteklenen bir grup olan gizli bir bilgisayar ağı tehdit oyuncusu olarak niteleyebiliriz.Son zamanlarda, bu terim ayrıca belirli hedefler için geniş çaplı hedefli izinsiz giriş yapan devlet dışı sponsorlu gruplara da atıfta bulunabilir.

Bu tür tehdit oyuncularının motivasyonları tipik olarak politik veya ekonomiktir. Bugüne kadar, her büyük işletme sektörü, çalmak, casusluk yapmak veya rahatsız etmek isteyen özel hedefleri olan ileri düzey oyuncular tarafından saldırı örnekleri kaydetmiştir. Bunlar arasında hükümet, savunma, finansal hizmetler, yasal hizmetler, sanayi, telekomünikasyon, tüketim malları ve daha pek çok şey var.Bazı gruplar, sosyal saldırı, insan zekası ve ağ saldırılarını mümkün kılmak için fiziksel bir yere erişmek için sızma dahil olmak üzere geleneksel casusluk vektörlerini kullanır. Bu saldırıların amacı, belirli görevler için bir veya daha fazla bilgisayara özel kötü amaçlı kod yerleştirmektir.

Tam olarak bir APT’nin ne olduğunu merak edenler için genelde tanımları değişkenlik gösterebilir, ancak aşağıda belirtilen tanımlar ile genel özetlemek gerekir ise;

*Arka Kapı Operatörleri  emrinde tam bir istihbarat toplama teknikleri yelpazesine sahiptir. Bunlar, ticari ve açık kaynaklı bilgisayar izinsiz giriş teknolojilerini ve tekniklerini içerebilir, fakat aynı zamanda bir devletin istihbarat aygıtını da kapsayabilir. Saldırının ayrı ayrı bileşenleri özellikle “gelişmiş” olarak değerlendirilmese de (örneğin, genellikle kendin yapabileceğiniz kötü amaçlı yazılım yapım kitlerinden üretilen kötü amaçlı yazılım bileşenleri veya kolayca elde edilen sömürü malzemelerinin kullanımı), operatörleri genellikle daha gelişmiş erişebilir ve geliştirebilir gerektiği gibi araçlar. Hedeflerine ulaşmak ve bunlardan taviz vermek ve erişimlerini sürdürmek için sıklıkla çoklu hedefleme yöntemlerini, araçlarını ve tekniklerini birleştirirler. Operatörler ayrıca, “daha az gelişmiş” tehditlerden farklı kılan operasyonel güvenliğe bilinçli bir şekilde odaklandığını gösterebilir.

*APT Operatörleri  fırsatçı olarak finansal veya diğer kazançlar için bilgi aramak yerine, belirli bir göreve öncelik verir. Bu ayrım, saldırganların dış varlıklar tarafından yönlendirildiği anlamına gelir. Hedefleme, belirlenen hedeflere ulaşmak için sürekli izleme ve etkileşim yoluyla gerçekleştirilir. Sürekli saldırı ve kötü amaçlı yazılım güncellemeleri içeren bir öfke demek değildir. Aslında, “düşük ve yavaş” bir yaklaşım genellikle daha başarılıdır. Operatör hedeflerine erişimini kaybederse, genellikle erişimi yeniden dener ve en sık başarıyla başarılı olur. Operatörün hedeflerinden biri, yalnızca belirli bir görevi yerine getirmek için erişime ihtiyaç duyan tehditlerin aksine, hedefe uzun vadeli erişimi sağlamaktır.

 APT’ler bir tehdittir, çünkü hem yeteneği hem de niyeti vardır. APT saldırıları, akılsız ve otomatik kod parçaları yerine, koordine edilmiş insan eylemleriyle gerçekleştirilir. Operatörler belirli bir hedefe sahiptir ve yetenekli, motive, organize ve iyi bir şekilde finanse edilmektedir. Aktörlerin devlet destekli gruplarla sınırlı olmadığını unutulmamalıdır.

Wiper Attacks: Namını birazda Petrol şirketlerine saldırısından alan kod adı “Petrol Silici” olarak adlandırılan kötü amaçlı yazılımın en belirgin özelliği ise bulaştığı disklerin tamamını silerek kullanılamaz hale getirmesidir.Bu kötü amaçlı malware’in biraz sicilini inceler isek , 2012’de Suudi Arabistan petrol şirketi Saudi Aramco’ya yapılan siber saldırı gibi sırf şirketin yokedilmesini hedefleyerek ciddi ekonomik ve finansal kaosu tetiklediği görülmüştür. 2017’de, NotPetya da bu malware tarafından saldırıya uğrayarak şirketin yanı sıra küresel ekonomi ölçeğinde  4 ila 8 milyar dolar arasında küresel finansal kayıplara neden oldu. Nakliye firması Maersk’e yapılan saldırı yaklaşık 300 milyon dolarlık zararla sonuçlandı. Güvelik ile alakalı Carbon Black tarafından yayınlanan bir rapora göre, sağlık hizmeti veren CISO’ların% 45’i son 12 ayda bir bu kötü amaçlı yazılımın saldırısına uğradı.Bu kadar ciddi sıkıntılara neden olan bu yazılımda siber istihbarat ve analizinde oldukça kritik bir önem taşımakta.

Bir cevap yazın

E-posta hesabınız yayımlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir

error: Content is protected !!