Bir kuruluş karşılaştıkları olası tehdit ve risklere göre önceliklendirilmesi gereken varlıklara sahip olabilir. Bu varlıklar insanların süreçlerini, ürünlerini ve sağladıkları hizmetleri kapsamaktadır. Kurumun, bu tür varlıklardan hangisinin, iş faaliyetlerini yürütmek için kritik olduğunu anlaması önemlidir. Bu varlıklara yönelik kritik tehditleri tanımlaması ve bu tehdidin etkisine dayanarak öncelik vermesi gerekir.
Seviye / Önem Dereceleri
1 – Önemsiz Seviye
2 – Düşük Seviye
3 – Orta Seviye
4 – Yüksek Seviye
5 – Kritik Seviye
Siber İstihbarat Paylaşımı ve Yaygınlaştırma konumuzu bitirdikten sonra Siber İstihbarat makale dizimize, Siber İstihbarat Gereksinimleri, Planlama, Yön ve Gözden Geçirme konusu ile devam ediyoruz.
Kuruluşun Mevcut Güvenlik Baskı Duruşunu Değerlendirin
Siber güvenlik duruşunuzu tanımlamak, kurumunuzu, ihlallere ve izinsiz girişlere karşı korumak için çok önemlidir. Sİber güvenlik açısından ne kadar olgun olduğunuzu, hangi boşlukları düzeltmeniz gerekebileceğini ve aksiyonlarınızın neye öncelik verecek şekilde önceliklendirmeniz gerektiğine dair fikir verir.
Bu değerlendirmeyi yapmak için aşağıdaki adımlardan faydalanabilirsiniz:
Bu değerlendirmeyi yapmak için çeşitli adımları takip edebiliriz; Öncelikle Kurumunuzu için neyin tehdit oluşturup oluşturmadığını bilmek gerekir. Daha sonra bu tehditlerin tehlike altına soktuğu varlıkların belirlenmesi gereklidir. Kurumun sahip olduğu kaynaklar sınırlı olduğu için Bir önceliklendirme yapılmasında fayda vardır. Tüm varlıklar ve sistemler eşit kritik düzeye sahip olmadığı için bu işlem zaman ve kaynak kullanım açısından sağlıklı olacaktır. Bu sistemleri ve verileri korumak için gerekli siber güvenlik çerçevesini uygulamadan önce risk seviyesini belirlememiz gereklidir. Risk seviyesi belirlemesi ve güvenlik çerçevesi uygulamasından sonra mevcut kontrollerin yeterince iyi olup olmadığından emin olmak gereklidir. Sahip olduğunuz çözümlerin yetersiz kaldığı noktalarda iyileştirimeler yapılmalıdır. Aksi halde saldırganlar zayıf noktalarından faydalanabilir, sizin bile farkında olmadığınız zafiyetlerini sömürmeye çalışabilir.
- Kurumunuz için neyin tehdit oluşturduğunu bilmek: Kurumunuz için neyin gerçekte önemli olduğunu yakından takip etmek kritik bir noktadır.
- Korunması gereken risklerin önceliklendirilmesi
- Risk seviyenizi belirlemek
- Bir siber güvenlik çerçevesi uyalamak
- Siber güvenlik kontrollerini yeterince iyi olup olmadığını kontrol etmek
- Tehditlerin zayıf noktaları sömürüp sömürmediği den emin olmak
Kuruluşun Mevcut Güvenlik Altyapısı ve İşlemlerini Anlama
Kuruluşların mevcut güvenlik altyapısını ve operasyonlarını anlamak için aşağıdaki güvenlik kontrollerini göz önünde bulundurmak gereklidir:
SIEM
Bilgisayar güvenliği alanında , security information and event management ( SIEM ) yazılım ürünleri ve hizmetleri, güvenlik bilgileri yönetimi ( security information management) (SIM) ve güvenlik etkinliği yönetimini (security event management) (SEM) birleştirir. Uygulamalar ve ağ donanımı tarafından oluşturulan güvenlik uyarılarının gerçek zamanlı analizini sağlar.
Satıcılar SIEM’i yazılım, cihaz veya yönetilen hizmetler olarak satarlar; Bu ürünler aynı zamanda güvenlik verilerini kaydetmek ve uyumluluk amacıyla raporlar oluşturmak için de kullanılır
SIEM Ürünlerinin Özellikleri:
Veri toplama: Günlük log yönetimi , ağ, güvenlik, sunucular, veritabanları, uygulamalar dahil olmak üzere birçok kaynaktan gelen verileri toplar.
Korelasyon: Ortak özellikleri arar ve olayları anlamlı paketlerle birleştirir. Bu teknoloji, verileri yararlı bilgilere dönüştürmek için farklı kaynakları entegre etmek için çeşitli korelasyon teknikleri gerçekleştirme yeteneği sağlar. Korelasyon tipik olarak, tam bir SIEM çözümünün Güvenlik Olay Yönetimi bölümünün bir işlevidir.
Uyarı: İlişkili olayların otomatik analizini sağlar.
Panolar: Araçlar, olay verilerini alabilir ve örüntüleri görmeye veya standart bir örüntü oluşturmayan etkinliği tanımlamaya yardımcı olmak için bilgi çizelgesine dönüştürebilir.
Uyumluluk: Uyumluluk verilerinin toplanmasını otomatikleştirmek, mevcut güvenlik, yönetim ve denetim süreçlerine uyum sağlayan raporlar üretmek için uygulamalar kullanılabilir.
Elde Tutma: Zaman içinde verilerin korelasyonunu kolaylaştırmak için geçmişe ait verilerin uzun süreli olarak depolanması ve uyumluluk gereklilikleri için gerekli tutulmanın sağlanması işlemidir. Uzun vadeli log verilerinin tutulması adli araştırmalarda kritik öneme sahiptir, çünkü bir ağ ihlali keşfi gerçekleştiği zaman gerçekleşmesi muhtemel değildir.
NGFW
next-generation firewall-Yeni nesil bir güvenlik duvarı ( NGFW ), geleneksel bir güvenlik duvarını , çevrimiçi derin paket incelemesi (DPI) kullanan bir güvenlik duvarı gibi bir güvenlik duvarı denetimi (DPI), izinsiz giriş önleme sistemi kullanan bir uygulama güvenlik duvarı gibi diğer ağ aygıtı filtreleme işlevleriyle birleştiren üçüncü nesil güvenlik duvarı teknolojisinin bir parçasıdır. TLS / SSL şifreli trafik denetimi, web sitesi filtreleme, QoS / bant genişliği yönetimi, virüsten koruma yazılımı denetimi ve üçüncü taraf kimlik yönetimi entegrasyonu Gibi diğer teknikler de kullanılabilir.
Gateway
Ağ geçidi, farklı protokolleri bir arada kullanarak iki ağı birbirine bağlayan bir ağ düğümüdür. İki benzer ağ türünü birleştirmek için bir köprü kullanılırken, birbirine benzemeyen iki ağı birleştirmek için bir ağ geçidi kullanılır.
IPS/IDS
İzinsiz giriş tespiti(IDS), ağınızda meydana gelen olayları izleme ve bunları güvenlik politikalarınız için muhtemel olayların, ihlallerin veya yakın tehditlerin belirtileri açısından analiz etme işlemidir. İzinsiz giriş önleme(IPS) izinsiz giriş tespitini gerçekleştirme ve ardından tespit edilen olayları durdurma işlemidir. Bu güvenlik önlemleri, olası olayları tespit etmek ve durdurmak için ağınızın bir parçası olan izinsiz giriş tespit sistemleri (IDS) ve izinsiz giriş önleme sistemleri (IPS) olarak mevcuttur.
Endpoint Çözümler
Endpoint security veya endpoint protection; istemci cihazlara uzaktan köprülenen bilgisayar ağlarının korunmasına yönelik bir yaklaşımdır. Bağlantı dizüstü bilgisayarlar , tabletler , cep telefonları kurumsal ağlara ve diğer kablosuz cihazların güvenlik tehditlerine karşı saldırı yollar oluşturur. Uç nokta güvenliği, bu tür cihazların standartlara belirli bir düzeyde uyum göstermesini sağlamaya çalışır .
Tanımlanmış Tehditler İçin Riskleri Değerlendirin
Siber tehditler belirlendikten sonra, kuruluşlar bu tehditlerle ilgili çeşitli riskleri değerlendirmek zorundadır. Siber riskleri değerlendirirken, kurumun çeşitli siber güvenlik önlemlerinden kaynaklanabilecek iş risklerini dikkate alması çok önemlidir. Ayrıca, bu güvenlik önlemlerinin hem şirket içindeki hem de müşterilerle olan işletme yasalarını ve ilişkilerini nasıl etkilediğini bulmaları gerekir.
Defansif stratejilerini test etmek için, risk değerlendirmesi yapmak adına üçüncü partilerle çalışılabilir. Üçüncü parti taraflar kuruluşun güvenlik değerlendirmesinde çok yardımcı olabilir.
Risk değerlendirmesinin sonucu, tespit edilen açıkları ve organizasyonel ağ üzerindeki etkileri ve kaza yapma olasılıkları açısından değerlendirilen riskleri içeren bir rapordan iletilir. Bu rapora dayanarak, kuruluş mevcut güvenlik duruşlarını geliştirmek için bir tehdit istihbarat programı oluşturmanın amaçlarını ve gerekliliklerini belirleyebilir.
Siber İstihbarat İhtiyaçlarını ve Gereksinimlerini Belirleme
İstihbarat ihtiyaç ve gereksinimlerinin belirlenmesi, istihbaratın katkıda bulunmasının beklendiği soruları tanımlamak anlamına gelmektedir. Gereksinimler ayrıca, belirli istihbarat türlerinin toplanmasının belirtilmesi anlamına da gelir.
Siber Tehdit İstihbaratı Gereksinimlerini Tanımlayın
Gereksinimlerin belirlenmesi, herhangi bir istihbarat araştırması ve toplanmasına zaman ayırmadan önce tamamlanması gereken ilk görevdir.
Farklı kaynaklardan (örneğin, paylaşım grupları, beslemeler, vb.) alınan toplam bilgi miktarı çok büyüktür ve bunun büyük kısmı kuruluşunuzla ilgili olmaz.
Yalnızca kuruluşumuzu ilgilendiren bilgi miktarına odaklansanız bile, çoğu zaman bu tür veriler yinede analistlerin kapasitesinin üstünde olacaktır.
Bu nedenle, en uygun ve en kritik bilgilerin işlendiğinden ve gürültüde kaybolmadığından emin olmak için, uygun bir model gereklilikleri ve bunların önceliğini tanımlamalıdır.
Gereksinim türlerini üç farklı gruba ayırabiliriz:
- Yüksek Seviye Gereksinimleri: Adından da anlaşılacağı gibi, bunlar ne tür bir tehdit aktörünün ilgi çekici olduğunu tanımlama, hangi işletme endüstrisi endüstrilerinin anlaşılması gibi genel şartlardır.
- İşlevsel gereksinimler: Bunlar, kuruluşunuzun ne tür alt yapıya sahip olduğunu gösteren daha pratik ve teknik gereksinimlerdir.
- Yetenek / Görünürlük Gereksinimleri: Bu, önceki iki kategoride tanımlanan gereklilikleri yerine getirmek için gereken uygun iç görünürlüğü elde etmek için analistin erişmesi gereken noktadır.
İşletme Birimleri, İç Paydaşlar ve Üçüncü Taraflar
İşletme Birimleri:Bir tehdit istihbarat programı geliştirmeden önce aşağıdaki iş birimlerinin ihtiyaç ve gereksinimleri dikkate alınmalıdır;
- Risk yönetimi
- İç denetim
- Yasal ve Uygunluk
- IT
İç Paydaşlar:Bir tehdit istihbarat programı geliştirmeden önce aşağıdaki iç paydaşlar ihtiyaç ve gereksinimleri dikkate alınmalıdır;
- İşletme yöneticileri
- yönetim
- son kullanıcılar
- baş bilgilendirme görevlisi
- CISO-Güvenlik Analisti / Güvenlik Yöneticisi
Third Party:Bir tehdit istihbarat programı geliştirmeden önce aşağıdaki third party ihtiyaç ve gereksinimleri dikkate alınmalıdır;
- Third Party anlaşmalı taraflar
- tedarikçileri
Diğer takımlar
- BT mimarları ve BT karar vericileri
- Güvenlik Operasyon Merkezleri
- Yanlış müdahale ekipleri
- Güvenlik kontrol yöneticisi
- Güvenlik açığı yönetim ekipleri
Siber İstihbarat Gereksinimleri Önceliklendirme Faktörleri
Gereksinimlerin önceliklendirilmesi, bir kuruluşun önemli varlıklarının saldırılara karşı korunmasında önemli bir adımdır. Öncelikli bir takım gereksinimler geliştirmek için analitik ve sosyal becerilerin bir birleşimi gerekmektedir. Varlıkların önemlerine göre bölünmesi veya sınıflandırılması için gerekli ve odaklanmış ihtiyaç analizi yapılmalıdır.
Önceliklendirmeyi önemlerine göre etkileyen çeşitli faktörler vardır.
- Yarar
- Ceza
- maliyet
- Risk
- Bağımlılıklar
- Zaman Duyarlılığı
- istikrar
- Düzenleyici / Politika Uyumluluğu
Gereksinimlerin Önceliklendirilmesi İçin MoSCoW Yöntemi
MoSCoWyöntemi yönetimi, kullanılan önceliklendirme tekniğidir iş analizi , proje yönetimi ve yazılım geliştirme ile ortak bir anlayışa ulaşmak paydaşların her teslimi verdiğimiz önemi üzerinde gereksinimi ifade etmektedir.
MoSCoW Metoduna başlamadan önce gereksinimleri belirlemek en ideal yoldur. Gereksinimleri belirlerken, tüm paydaşlar için neyin önemli olduğunu göz önünde bulundurmalısınız. İlgili herkesle beyin fırtınası yapmak, iyi ve kaliteli gereksinimlere yol açacaktır.
Gerekliliklerin pahalı veya gerçekçi olmamalarını önlemek için gereksinimlere öncelik verilir. Asıl amaç, şirket için en fazla değeri katan gereksinimlerin ortaya çıkmasıdır. Kategoriler aşağıda gösterilmiştir:
1-) Mo (Must-Haves)
Must, sonucun yerine getirmesi gereken önceden belirlenmiş asgari şartlar ile ilgilidir. Bu gereklilikleri yerine getirmeden proje başarısız olur ve ürün kullanılamaz. Çalışılabilir bir ürün için bir zorunluluktur ve alternatif yoktur. ‘Olması gerekenler’ esastır. MUST aynı zamanda Minimum Kullanıma Dayalı Meblağların kısaltması olarak da açıklanmaktadır.
2-) S (Should-Haves)
Should, yüksek önceliğe sahip, ancak kullanılabilir bir son ürün için gerekli olmayan ek gereksinimlerdir. Bu gereksinimler karşılanmasa bile ürün kullanılabilir. Bulundukları zaman, sadece ürünün değerine katkıda bulunacaklardır. Mevcut zamana bağlı olarak, daha sonra her zaman bu gereksinimlere geri dönülebilir.
3-) Co (Could-Haves)
Bu şartlar, zamanın kalması durumunda dikkate alınabilir. Olmazsa, sorun olmaz ve nihai sonuç üzerinde olumsuz bir etkisi olmaz. ‘Could-Haves’, ‘Should-Haves’lerden daha düşük bir önceliğe sahip olabilir. Bu seçenek ancak çalışmasını sağlamak için gerçekten yeterli zaman varsa, eklenecektir.Bunlar mutlak bir gereklilikten çok bir istektir..
4-) W (Won’t- and Would-Haves)
Bunlar geleceğe yönelik dileklerle ilgilidir. Eğer basit bir şekilde mümkün değilse, üzerinde hiçbir enerji israf etmemek en iyisidir. Eğer başarılabilirse, o zaman çok fazla zaman (ve para) yatırılmak zorunda kalacak ve “Yapacak” olarak etiketlenecektir. İlk proje bittikten sonra sık sık sonraki bir aşamada “olurlar” takip edilir.
Kurumsal Varlıkların Önceliklendirilmesi
Birçok kuruluş kritik verilerini bulutta veya dijital kaynaklarda tutar. Bu veriler, çalışanlar / müşteri kayıt iş altyapısı ve başlangıçlar, finans kayıtları gibi kişisel bilgileri içerir. Yetkisiz erişime ve veri kullanımına izin vermeden önce, bu eklentilere öncelik verilmelidir.
Bunların arasında kilit öncelikli varlıkların bazıları öncelikli ve korumalı olmalıdır;
- kişisel detaylar
- finansal bilgi
- fikri mülkiyet
- hassas iş verileri
- giriş detayları ve IT sistem bilgisi
Gizlilik Sözleşmesi
non-disclosure agreement (NDA)-Gizlilik Sözleşmesi;En az iki taraf arasındaki belirli amaçlar için birbirleriyle paylaşmak istedikleri, ancak üçüncü şahısların erişimini kısıtlamak istedikleri gizli bilgi ve amaçlar için gerçekleştirilen yasal bir sözleşmedir. Bu tarafların anlaşma kapsamındaki bilgileri ifşa etmemmyi kabul ettiği bir sözleşmedir.Bir gizlilik sözleşmesi kamuya açık olmaayan ticari bilgileri korur.
Gizlilik sçzleşmesi (NDA), tek taraflı, iki taraflı ve çok taraflı olarak sınıflandırılabilir:
Tek Taraflı: Tek taraflı bir NDA, yalnızca bir tarafın belirli bilgilerinin korunmasını gerektiren sözleşmelerdir.
İki Taraflı: İki taraflı bir NDA, her iki tarafın belirli bilgilerinin korunmasını gerektiren sözleşmelerdir.
Çok Taraflı: Çok taraflı bir NDA, taraflardan en az birinin diğer taraflara bilgi vermeyi beklediği ve bilgilerin daha fazla açıklamadan korunmasını gerektirdiği üç veya daha fazla tarafı içerir. u NDA türü yalnızca iki taraf arasında tek taraflı veya iki taraflı NDA’lara olan ihtiyacı ortadan kaldırmaktadır.Çok taraflı bir NDA avantajlı olabilir, çünkü taraflar yalnızca bir anlaşmayı gözden geçirir, uygular ve uygular. Bununla birlikte, bu avantaj, tarafların çok taraflı bir anlaşma konusunda oybirliği ile uzlaşmaya varması için gerekli olabilecek daha karmaşık müzakerelerle telafi edilebilir.
Yaygın Tehdit İstihbarat Tuzaklarından Kaçının
Zayıf tasarlanmış bir tehdit istihbaratı programı sadece para ve zaman israfı olarak kalabilir. Bir tehdit istihbaratı programının varlığın güvenmek ve bunun rahatlığına kapılmak da aynı şekilde oluşması gereken bir rahatlıktır.
Başarılı bir tehdit istihbaratı oluşturmaya yönelik pek çok yol vardır, ancak bu yolda karşımıza potansiyel engeller çıkabilmektedir. Bu engeller ve tuzaklardan kaçınabilmek için öncelikle bunların ne olduklarını kavramamız gerekmektedir.
Yanlış önceliklendirme: Daha önce değindiğimiz risklerin önceliklendirilmesi konusunun önemi burada baş göstermektedir. Önceliklendirmenin yanlış yapılması zaman ve kaynak tüketiminni olumsuz yönde kullanılmasına sebep olmaktadır.
Yanlış teknoloji: Çalışma alanının en iyilerinden olan bir tehdit tehdit istihbaratı programın, risk izleme, araştırma, görselleştirme ve bilgi yönetimi gibi işlemleri yaparken kullandığı teknolojiler olmadan çalışamaz. Bu teknolojilerin yanlış yapılandırılması ve yanlış teknolojilerin, çözümlerin, eklentilerin kullanılması çalışma verimini olumsuz yönde etkileyecektir.
Yanlış kişiler: İnsan bir istihbarat programında önemli bir yere sahiptir ve yanlış seçilmeleri çok kolay gerçekleşebilen bir olaydır. Özellikle işe alım süreçlerinde, örneğin bir yöneticinin ve insan kaynakları personelinin insani duyguları ve geçmişe ait önyargıları bu süreci tetikleyebileketdir.
Yukarıdaki dikkat edilmesi gereken tuzak kavramlara ek olarak; Güvenilmez tehdit istihbaratı kaynakları, çalışanlar arasında ve yöneticilerle olan iletişimin zayıflığı, ortak gürültüsü gibi olaylarda başarılı bir tehdit istihbaratı programı için tuzak niteliğindedir.