Siber Tehdit Paylaşımı ve Siber İstihbarat

Kategoriler

Siber istihbarat; ülkemizde siber güvenliğin alt alanlarından biri olarak önem kazanmaya başlayan konulardan bir diğeri, belki de en önemlisi olarak karşımıza çıkmaya başlıyor. Çok değil, 5 yıl öncesine kadar siber güvenlik dünyasının ileri gelenlerinin dahi tam olarak bilgi sahibi olmadığı bu önemli alan, şimdilerde siber güvenliğe olan bakış açımıza yön verecek kadar gündeme oturmuş durumda. En basit tanımı ile bu alanı bilgi güvenliğini tehdit eden tehlikelere karşı “ istihbarak toplama ve kurumlar arası bilgi paylaşımı” esasına dayanan bir yaklaşım olarak özetlemek yanlış olmayacaktır.

Proaktif Güvenlik

İleriki kısımlarda daha ayrıntılı olarak üzerinde duracağımız siber istihbarat alanını tam olarak kavrayabilmek için öncelikle “proaktif güvenlik” adını verdiğimiz bakış açısına sahip olmak gereklidir. Proaktif güvenlik; uzun dönemler boyunca bilgi güvenliğine hakim olan genel-geçer yaklaşımların aksine herhangi bir tehdit, yaşanmış bir saldırı haline gelmeden önlemeyi öngören yaklaşımdır. Zira gerçekleşmiş bir saldırıyı takiben, söz konusu saldırı hakkında bilgi sahibi olmak ve önlem geliştirmek son derece önemli olsa da doğru bir güvenlik yaklaşımının, saldırıların meydana gelmeden önlenmesi ilkesiyle şekillendirilmesi daha doğrudur. Siber istihbaratın hizmet ettiği amaç da tam olarak budur.

Siber İstihbarattaki Öncül Adımlar

11 Kasım 2011’de, Amerika Birleşik Devletleri'nde oylamaya sunulan Siber İstihbarat Paylaşımı ve Korunma Yasası (“Cyber Intelligence Sharing and Protection Act”) bu metodolojinin geleceğine yönelik önemli sinyaller vermiş olsa da, özellikle siber tehdit paylaşımının uygulanma biçimine ilişkin önemli bir boşluğun altını çizmiştir. Takiben, başta ABD olmak üzere siber güvenliğin standartlarını belirleyen ülkeler siber tehdit paylaşımının en verimli şekilde gerçekleşmesini hedefleyen düzenleme ve standartlar hazırlamıştır.

Tüm bu süreçler ışığında siber istihbarat, günümüzdeki “gerek devlet kurumları (ordu, kamu yönetimi, izleme-denetleme mercileri dahilen) ve kritik sektörlerde (silah, telekomünikasyon, enerji, finans, sağlık ve havacılık sanayileri dahil olmak üzere 13 farklı faaliyet alanı) faaliyet gösteren kuruluşlar arasında siber tehditlere ilişkin tehdit ve önleyici aksiyon bilgilerinin aktif biçimde paylaşılmasını sağlayan çözümler” halini almıştır.

Tabi ki standart taslaklarının hazırlanmasından günümüzün aktif siber tehdit paylaşım platformlarına kadar geçen süreç içerisinde, geniş bir yelpazedeki birçok farklı kurum ve kuruluşların katılımları söz konusu olmuş, ortaya çıkan standartların birçoğu günümüzün ileri düzey siber istihbarat platformlarının şekillenmesine öncülük etmiştir. Özellikle DARPA (ABD İleri Savunma Projeleri Ajansı - “Defense Advanced Project Agency”) ve MITRE tarafından hazırlanan standartlar siber tehdit paylaşımına ilişkin temel bileşenleri tanımlamada önemli bir yol kat etmiştir.

Tabi ki günümüz dünyasında siber istihbarat gibi aktif bir bilgi güvenliği yaklaşımının özel kurumların katılımı olmaksızın gereğince ilerlemesi pek mümkün olmadığından, siber güvenlik alanında faaliyet gösteren özel kuruluşlar da hazırlanan bu standart ve düzenlemelere katılım göstermiş ve siber istihbarat alanındaki belli-başlı birçok özel platformun temeli atılmıştır.

Bu esnada, 2013 yılının başında, Türkiye odaklı hizmet veren kurumumuz tarafından USTA (Ulusal Siber Tehdit Ağı) Platformu geliştirilerek hizmet vermeye başlanılmıştır. USTA Platformu, dünyada geliştirilmiş olan tüm standartların gerçek anlamıyla uygulamaya konulduğu ilk platform olarak dikkat çekmiş, Belçika’da düzenlenen, NATO ve Interpol dahil olmak üzere önemli kurumlardan temsilcilerin katılım gösterdiği Siber İstihbarat Fuarında geliştirilmiş en kapsamlı siber istihbarat çözümü olarak anılmıştır. USTA; ülkemizde siber istihbarat ve siber tehdit paylaşımı alanında hizmet vermek üzere oluşturulmuş platformlar arasında, dünya standartlarına uygun tehdit bilgisi sağlayan tek platform olarak hizmet vermeye devam etmektedir.

Siber Tehdit Paylaşımı

Farklı siber güvenlik çözümleri, siber güvenliğe ayrılan kaynak miktarı ve yetiştirilen beyaz-şapkalı hacker’ların sayısı gitgide artsa da siber saldırganların cephesindeki artış miktarı çok daha hızlı gerçekleşmektedir. Özellikle bilişimin hayatla gitgide daha entegre hale gelmesi sebebiyle farklı motivasyonlara sahip siber saldırgan türleri oluşmaktadır. Terazinin bu iki kefesi arasındaki dengesizlik, ne yazık ki en basit bilişim sistemlerinden en kapsamlı bilişim altyapılarına kadar dijitalleşen dünyanın her alanını savunmasız hale getirmiştir.

Mevcut durum değerlendirildiğinde, gelişen siber tehditler karşısındaki en etkili çözümler hiç şüphesiz, (i) kurumlar arasında siber tehditlerin paylaşılması ve (ii) saldırganların cephesinden istihbarat elde edilmesidir.

Kurumların yüz-yüze geldikleri tehditlere ilişkin bilgileri, ortak bir platformdaki diğer üye kurumlar ile paylaşmasını temel alan siber tehdit paylaşımı her ne kadar basit bir süreç gibi görünüyor olsa da dikkat edilmesi gereken birçok önemli husus söz konusudur. Zira farklı kurumların, bilgi seviyeleri ve tehditlere olan yaklaşımlarının aynı olması söz konusu olamaz. Aynı kurum içerisinde dahi personel arasındaki bilgi seviyesinde farklılıklar olabilmektedir. Bu çerçevede en önemli husus söz konusu kurumun hangi sektörde faaliyet gösteriyor olursa olsun, yüzleşebileceği siber tehditleri herkesin anlayabileceği bir terminoloji ile paylaşabilmesidir. Bunun başarılabilmesi için (gerek dünyadaki öncül yönetmelikler, gerekse bizler tarafından ülkemizde hazırlanan standartlar doğrultusunda) siber tehditlerin kurumlar tarafından kolaylıkla açıklanabilmesine imkân sağlayacak bir terminoloji geliştirilmesi en uygun yoldur.

Örneğin USTA Platformunun Siber Tehdit Paylaşımı kısmında paylaşılan siber tehditler bileşenlerine ayrılmıştır. Böylelikle siber tehdit paylaşımında bulunan kurumlar, paylaşmak istedikleri tehditleri ve diğer siber olayları kolayca yetkili mercilere aktarabilecektir. Böylelikle, paylaşılan tüm tehditlerin, herkes tarafından ortak bir yaklaşım dahilinde paylaşılması ve anlaşılması mümkün olabilmektedir.

Diğer yandan, Siber Tehdit Paylaşımına yönelik bir diğer önemli husus ise paylaşılan tehditlerin doğrulanmasıdır. Sürecin bu aşamasında, yetkin bir onay ekibi gereksinimi doğmaktadır. Herhangi bir kurum tarafından payla- şılan tehditlerin diğer kurumlara aktarılmadan önce doğruluk ve tutarlılık yönünden doğrulanması, siber tehdit paylaşımı akışını temin edecek en önemli hususlardan biridir. Her ne kadar ideal olan bu doğrulama sürecinin siber güvenlik konusunda yetkin kamu mercileri tarafından yürütülmesi olsa da gerek “know-how” eksikliği, gerekse yasal mevzuat ve altyapıdaki aksaklıklar nedeniyle bu yaklaşım pratikte pek mümkün olamamaktadır. Örneğin USTA’nın siber tehdit paylaşım platformu dahilinde paylaşılan tehditler diğer kurumlara iletilmeden önce şu an için ekibimiz tarafından doğ- rulanmaktadır. Bu doğrulama mercileri ileride SOME ve USOM kapsamında bulunan kurumlar olacaktır.

Siber İstihbaratta Sonraki Adım: Karanlık Tarafı Dinlemek

Siber istihbarat alanı her ne kadar Siber Tehdit Paylaşımı ekseninde şekillendirilmiş olsa da bu, günümüz koşullarında pek yeterli değildir. Özellikle ülkemizde, kurumlar arasında kollektif güvenlik bilincinin olmaması veya yasal merciler tarafından bu tür platformlara katılım yönünde farkındalık çalışmalarının yetersiz kalması gibi sebeplerden dolayı siber tehdit paylaşımı istenilen düzeye taşınamamıştır.

 Ancak bu eksiklik, yine siber istihbarat metodolojisini kullanan ve çağın siber tehditleri adına çok daha değerli bulgulara ulaşmamızı sağlayan yeni bir teknoloji geliştirmemizi sağlamıştır: Siber İstihbarat Sensörleri.

Bugüne kadar dünyada gerek siber güvenlik, gerekse siber istihbarat alanında yapılan çalışmaların büyük bir çoğunluğu, mevcut tehditlere ilişkin istihbarat verilerinin kurbanlardan elde edilmesine odaklanmıştır. Ancak ne yazık ki siber-dolandırıcılardan devlet eğitimli hacker ordularına ve hacktivistlere kadar birçok farklı grubun farklı şekilde faaliyet gösterdiği “karanlık taraf”tan istihbarat alma yoluna pek gidilmemiştir. Özellikle bu istihbaratı saldırganlar fark etmeksizin ve sürekli olarak almak, günümüze kadar teorik geliştirilse de başarılı bir örneği bulunmayan bir amaç olarak kalmıştır.

Saldırganların faaliyet gösterdiği tespit edilen binlerce platforma bizlerin “sensör” adını verdiğimiz takip sistemleri yerleştirerek, clearweb ve deepweb’de yer alan en kötü şöhretli zararlı yazılım, siber dolandırıcılık ve siber saldırı kaynaklarını devamlı izleyen bir sistem geliştiren firmamız, bu alanda halen dünyanın sayılı siber istihbarat şirketleri arasında anılmaya devam etmektedir.

Özellikle savunma ve finans sektörlerinden çeşitli paydaşların faydalandığı USTA (Ulusal Siber Tehdit Ağı), gerek bu benzersiz niteliği, gerekse siber istihbarata olan profesyonel yaklaşımı sebebiyle ülkemizdeki en etkili siber istihbarat çözü- mü olmaya devam etmektedir. Özellikle gerek tek tek, gerekse istatistiksel veri olarak sunulabilen siber saldırgan çıktılarının özellikle siber güvenlik politikalarını şekillendiren kamu kurumları için önemi yadsınamayacak ölçüde büyüktür.

Sonuç olarak bakıldığında, özel bir kuruluş olarak ne kadar ileriye gidilirse gidilsin ülkemizdeki farkındalık seviyesi istenilen düzeye gelmediği sürece, en azından Türkiye’de hedeflediğimiz amaçlara ulaşmanın zor olacağı aşikardır.

Bu çerçevede, özellikle Türkiye’nin siber güvenlik alanındaki yeni teşebbüslerindeki koordinasyon eksikliği, özel sektör ile iletişim eksikliği, kritik sektörler genelinde farkındalık eksikliği ve tabi ki sunulan teşvik programlarındaki vizyon eksikliği gibi hususların altının bir kere daha çizilmesi; ortak bir vizyon geliştirmenin gerek kamu, gerekse özel sektör için son derece verimli olacağının anlaşılması gerekir.

Kaynak

Bu yazı İNTELRAD Güvenlik Operasyon Direktörü Sayın Koryak Uzan'ın TSE Standard Dergisinde çıkan yazısından alıntıdır.

Bir cevap yazın

E-posta hesabınız yayımlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir