Siber Suçlular Besleme Hızını Geçtiğinde: Tehdit İstihbaratında Yeni Dönem Siber Güvenlik

Siber Suçlular Besleme Hızını Geçtiğinde: Tehdit İstihbaratında Yeni Dönem

Siber suçlular altyapılarını dakikalar içinde değiştirirken, güvenlik ekiplerinin eski tehdit beslemelerine güvenmesi riskli. Canlı veri ve AI ile yen

Siber güvenlik dünyasında, bir olayı araştırırken araç setinizin bir anda tarayıcı sekmeleri yığınına dönüştüğü anı bilirsiniz. Bir EDR uyarısı, proxy günlüğü veya güvenlik duvarı olayından gelen bir IP adresiyle başlarsınız. İlk soru basittir: Bu şey ne? Ama asıl kritik soru şudur: Şu anda ne yapıyor? İşte bu noktada birçok güvenlik operasyonu garip bir şekilde resmi olmayan yöntemlere başvurur. Kendi sistemlerimizden gelen telemetriye büyük paralar harcarız, ancak sahip olmadığımız İnternet hakkında eski, eksik veya ödünç alınmış bağlamları kabul ederiz. Bir besleme IP'yi kötü amaçlı olarak etiketlerken başka bir besleme temiz der; pasif DNS aracı üç aylık bir alan adı gösterir; bir tarama sitesi açık bir portu ama yetersiz geçmişi sunar. Analistler VirusTotal, Shodan, DNS, sertifikalar, ekran görüntüleri arasında gidip gelir. Bu kötü bir yöntem değil, gerçekler dağınık olduğunda iyi analistlerin yaptığı şeydir. Ancak sorun şu ki İnternet bu model için çok hızlı hale geldi.

Saldırganlar, altyapıyı kaydedip dağıtma, proxy kullanma, döndürme ve terk etme işlemlerini çoğu zenginleştirme hattının açıklayabileceğinden daha hızlı gerçekleştirebiliyor. Otomasyon, ölçek maliyetini düşürdü; sınır modeller giriş engelini azalttı ve açık kaynaklı modeller de geride değil. Sonuç sinematik bir siber kıyamet değil, daha sıradan ve operasyonel olarak daha sinir bozucu: daha fazla altyapı, daha hızlı değişiyor ve 'ilk görülme' ile 'vahşi ortamda kullanılma' arasındaki süre kısalıyor. Bu, savunmacıların dış istihbarattan ne beklemeleri gerektiğini değiştiriyor. Bir SOC, kamusal İnternet'i ikinci el söylentiler bütünü olarak ele almamalı; olay müdahalesi, tarihi üç farklı araçta kalan eserlerden yeniden inşa etmemeli; tehdit avcıları, ham İnternet verisi ile uzman küratörlü atıf arasında seçim yapmak zorunda kalmamalı.

Neyse ki, artık kendi AI araçlarınız var. Bunlar İnternet meta verilerini hızla işleyerek egzotik tehdit sinyalleri buluyor. Savunmacıların canlı bir İnternet altyapı haritasına ihtiyacı var: ana bilgisayarlar, hizmetler, portlar, protokoller, sertifikalar, DNS, web siteleri, ekran görüntüleri, yazılımlar, güvenlik açıkları, etiketler, geçmiş ve düşmanca altyapı sinyalleri. SOC, İnternet'in kendisine doğrudan sorular sorabilmeli: Bu IP bu sabah Cobalt Strike çalıştırıyor muydu? Bu sertifikayı başka neler paylaştı? Bu alan adı gece boyunca altyapı değiştirdi mi? Bu ana bilgisayar uyarı tetiklenmeden önce riskli bir hizmete maruz bırakıyor muydu? Bu tek seferlik bir gösterge mi, yoksa avlanabileceğimiz bir örüntünün parçası mı?

Bu sorular sadece triyaj için değil; olay müdahalesinde zaman ve tarih kapsamı belirler; tehdit avcılığında altyapı yeniden kullanımı, operasyonu ortamınıza ulaşmadan önce açığa çıkarabilir; tespit mühendisliğinde en iyi tespitler genellikle uç nokta yükü görmeden önce yukarı akışta başlar; maruziyet yönetiminde ise kendi İnternet'e açık varlıklarınız, düşman altyapısıyla aynı operasyonel resmin parçasıdır. Teslimat modeli de önemlidir. Bazı ekipler Censys web uygulamasında analist ister; bazıları SIEM'de zenginleştirme (sınırsız sorgulama API'si ile); bazıları özel beslemeler gibi davranan koleksiyonlar; bazıları SDK'lar, veri indirmeleri, webhook'lar, entegrasyonlar veya MCP ile kendi sistemlerinin ve AI iş akışlarının aynı soruları otomatik olarak sormasını ister. Esneklik, paketleme baş ağrıları pahasına olmamalıdır; bu, dış bağlamın bir arama alışkanlığı olmaktan çıkıp güvenlik işletim sisteminin bir parçası haline gelmesini sağlar.

Sistem Güvenliği

Hala elli sekme açabilirsiniz; iyi analistler her zaman yapacaktır. Ancak soru, günlüklerinizdeki altyapının bu sabah tehlikeli olup olmadığı olduğunda, cevap hangi sekmenin önce şanslı olduğuna bağlı olmamalıdır. Censys gibi platformlar, İnternet'in tamamını sürekli tarayarak ve meta verileri yapılandırılmış bir şekilde sunarak bu sorunları çözmeyi hedefliyor. Analistler, bir IP'nin geçmişini, ilişkili alan adlarını, sertifikaları ve hizmetleri tek bir sorguda görebiliyor. AI destekli iş akışları, anormallikleri otomatik olarak tespit edip uyarı üretebiliyor. Bu sayede, SOC ekipleri reaktif olmaktan çıkıp proaktif hale gelebiliyor.

Gelecekte Ne Bekleniyor?

Özetle, siber tehditlerin hızı arttıkça, güvenlik ekiplerinin de araçlarını ve yöntemlerini güncellemesi gerekiyor. Eski, statik tehdit beslemeleri yerine canlı, bağlamsal ve AI destekli istihbarat artık bir lüks değil, bir zorunluluk. Saldırganların altyapı döngüsüne ayak uydurabilmek için savunmacıların da aynı hızda veriye erişmesi ve analiz etmesi şart. Censys gibi çözümler, bu yeni paradigmada önemli bir rol oynuyor. Unutmayın, siber güvenlikte başarı, hangi sekmenin önce yüklendiğine değil, doğru veriye ne kadar hızlı ulaştığınıza bağlı.

Kaynak: cybersecuritydive.com

Paylaş: