Bu yazıda olası tehditlerin ve istenmeyen olayların önüne geçebilme yetenekleriyle maddi ve manevi kayıplara ulaşmadan önce ortaya çözüm koyabilen siber tehdit istihbaratı ve analistlerinin işlerini daha da kolaylaştıracak bir platformdan, OpenCTI’dan bahsedeceğiz.
TEHDİT İSTİHBARATI NEDEN ÖNEMLİDİR?
Öncelikle siber tehdit istihbaratının öneminden bahsetmek, OpenCTI kullanımının neden kritik olduğuna dair fikir sunmaya yardımcı olacaktır.
Kabaca siber tehdit istihbaratı, kurumunuzun içerisinde gerçekleşebilecek olaylara karşı farkındalık kazandırma ve bu olaylara müdahale edebilme amacı güder. Güvenlik önlemlerini üst düzeye çıkararak veri kaybı, veri ihlâli, olası olaylara yanıt verebilmeyi, size yönelik tehditlerin analizini ve tehdit istihbarat paylaşımını sağlar.
OpenCTI platformuysa gerek siber güvenlik tehditleriyle uğraşan siber güvenlik uzmanlarına gerekse siber tehdit analizlerine geniş çaplı fayda sağlaması açısından oluşturulmuştur. Bu platform aracılığıyla analist veya uzmanlar kendi taktiklerini iyileştirebilir, tehditler arası bağlantı kurabilir, tehditlerle nasıl başa çıkacaklarını etkin bir şekilde öğrenebilir.
OpenCTI NEDİR?
OpenCTI, her şeyden önce açık kaynaklı bir tehdit istihbarat yönetimi ve paylaşım platformudur. Söz konusu platform, kurumların siber tehdit istihbaratlarını tek bir çatı altına entegre etmek, depolamak, yönetmek, görselleştirmek ve paylaşmak için oluşturuldu.
BT yöneticileri açık kaynak yazılımları tuttu: “Diğer yazılımlardan çok daha fazlasını sunuyor”
OpenCTI platformunun temel amacı, tehdit trendlerini, tehditlerin yaşandığı ülkeleri, aktörlerin raporlarını, aktörlerin hedef aldığı sektörleri, aktörlerin kullandıkları yöntemleri ve analizleri, zararlı yazılımları etkin bir şekilde birbirleriyle bağlayarak, uzman veya analistlerin olası çözümlere daha rahat ulaşmasını amaçlıyor.
OpenCTI HANGİ ÖZELLİKLERE SAHİPTİR?
OpenCTI’ın kullanıcılarına sunduğu birbirinden farklı özellikleri bulunur. OpenCTI kurulumundan sonra sizleri karşılayan Dashboard’da, toplam raporlar, saldırı türleri, gözlemlenebilir dağıtımlar, hedeflenen ülkeler ve tehdit aktörlerinin olduğu gruplar bulunmakla birlikte buradaki veriler girilen raporlara ve saldırılara göre değişkenlik gösterir.
- Analysis kısmında çeşitli kaynaklardan raporlar, fikirler ve dış referanslar,
- Events kısmında olaylar, gözlemler ve gözlemlenebilir veriler,
- Oberservations kısmında gözlemlenebilirler, göstergeler ve altyapılar,
- Threats kısmında tehdit aktörleri, tehdit aktörlerinin kullandığı araçlar, zararlı yazılım türleri ve kampanyalar,
- Arsenal kısmında zararlı yazılımlar, saldırı düzenleri, araçlar, zafiyetler,
- Entities kısmında sektörler, ülkeler, şehirler, coğrafi konumlar, organizasyonlar, sistemler,
- Data kısmında OpenCTI içindeki veri ve veri yönetimi bulunur.
Dashboard altındaki tablardaysa;
- Overview kısmında varlık hakkında genel bilgi
- Knowledge kısmında varlıklar arasındaki ilişkiler, gözlemlenebilirler ve göstergeler arasındaki ilişkiler,
- Entities kısmında varlıklarla bağlantılı diğer varlıklar
- Observables kısmında IP adresi, alan adları, karmalar gibi gözlemlenmiş olabilecek teknik unsurlar,
- Data kısmında varlıklarla ilişkili dosyalar
- Sightings kısmında gözlemlenebilir veya göstergelerin görüldüğü yer
- Analysis kısmında varlığı içeren raporlar,
- Indicators kısmındaysa kötü niyetli davranışlar için tespit kuralları bulunuyor.
Kullanıcılar OpenCTI platformunu kullanarak platform içerisinde bulunan her bir bilgi parçasının birincil kaynağına, bilgiler arasındaki bağlantılara, ilk ve son görülen tarihlere, güven seviyelerine, verileri yapılandırmaya, veri kümeleri uygulamaya kadar birçok işlem gerçekleştirebilir.
Kendi girdiğiniz veriler de dâhil olmak üzere tüm veriler OpenCTI analistleri tarafından aktifleştirilip işlendikten sonra, bu bilgilerin anlaşılması ve temsil edilmesini kolaylaştırması için mevcut olan verilerden yeni ilişkiler üretebilir. Bu sayede kullanıcılar, ham verilerden anlamlı bilgiler çıkarabilir ve bunlardan yararlanabilir.
Ayrıca OpenCTI, MISP, TheHive, MITRE ATT&CK gibi diğer araçlar ve uygulamalarla entegre edilebilir.
OpenCTI, yalnızca içe aktarmaya değil, aynı zamanda farklı biçimlerdeki verilerin dışa aktarılmasına da izin verir.
OPENCTI NASIL KURULUR?
OpenCTI kurulumu için izlenebilecek çeşitli yöntemler olsa da genellikle önerilen Docker kullanılarak kurulmasıdır. Bunun yanı sıra VM üzerinde, manuel olarak veya Terraform’u kullanarak da OpenCTI kurabilirsiniz.
Linux ve Windows’un desteklediği OpenCTI için ihtiyacınız olan bilgilere buradan erişebilirsiniz.
