Kaspersky Threat Intelligence Nedir?
Kaspersky Threat Intelligence, Kaspersky’nin tehdit istihbaratı ve avını sağlamak için sağlamış olduğu bir hizmettir. Bu hizmet sayesinde dosyaları tehdit için gönderebilir, dosyaların itibarlarını görebilir ya da dosyanın zararlı olup olmadığı gibi işlemleri gerçekleştirebilmektesiniz.
Kaspersky Threat Intelligence, kendi içinde 7 farklı modül bulundurur. Bunları açıklamak gerekirse;
Threat Data Feeds
Bu bileşen, var olan bir tehdidi ya da dosya hakkında veri paylaşımında bulunur. Bu konuyu daha da açmak gerekirse IP itibar, zararlı ve phishing URL’ler, Botnet C&C URL’leri, Mobil Botnet C&C URL’leri, fidye yazılımı URL’leri, veri zafiyetleri, Gelişmiş hedefli saldırılar ve risk göstergeleri, Pasif DNS, Nesnelerin interneti URL’leri, zararlı hashler, Endüstriyel siber güvenlik hakkındaki veri hashleri, Zararlı mobil hashler, veri için izin listesi ve Maltego için Kaspersky dönüşümleri hakkında veri sağlar.
Resim 1: Threat Data Feeds yapısı
CyberTrace
Kaspersky CyberTrace modülü, Threat Data Feeds ile SIEM çözümleri arasındaki entegrasyonu sağlar. Herhangi bir tehdit istihbaratı sistemi ile JSON, STIX, XML ve CSV formatlarında entegre olabilmektedir. Çoğu SIEM çözümlerini ve denetim kaydı kaynaklarını desteklemektedir.
Resim 2: CyberTrace Çalışma mantığı
Gelişmiş Hedefli Saldırı İstihbaratı Raporlaması
Bu modülü kullanarak Kaspersky sizlere yürütülmekte olan araştırmaların ve keşiflerin erişimini sağlamaktadır. Bu erişimin içinde tam takım bir teknik veriler de yer almaktadır. Bu modül sayesinde bilinen veya bilinmeyen gelişmiş hedefli saldırıları tanınmadan tespit edebilir, tespitinize göre önlemler alabilirsiniz. Aynı zamanda Kaspersky’nin uzman ekibi siber suçluların saldırı davranışlarında herhangi bir değişiklik tespit ettiklerinde sizleri bilgilendireceklerdir. Genel olarak bu modül sizlere tanımlanmamış gelişmiş hedefli saldırılar, teknik veriler, tehdit unsuru olan kişiler veya gruplarve MITRE ATT&CK hakkında bilgiler verecektir.
Resim 3: APT Raporlaması
Dijital İz İstihbaratı
Kaspersky bu modülü sayesinde dark web gibi karanlık alanlarda yer alan siber suçluların atak şemasını, planlarını ve içerideki aktivitelerini size bildirebilmektedir. Ağ envanter parametresi sızma önleyici metotlar kullanarak müşterinin ağında yer alan kaynakları ve açıkta olan servislerinin yönetimini ve idaresini sağlar.
Resim 4: Dijital İz İstihbaratı yapısı
Threat Lookup
Günümüzde siber suçlular sınır tanımamaktalardır. Buna ek olarak teknik kabiliyetlerini de sürekli geliştirmektelerdir. Kaspersky’nin Threat Lookup hizmeti, siber tehditleri ve ilişkileri hakkındaki tüm bilgileri tek bir güçlü web servisi adı altında toplar. Amaç, müşterilerin güvenlik personellerine olabildiği kadar çok veri getirmektir. Platform, URL’ler, alan adları, IP Adres, dosya hashleri, tehdit adları, istatistiksel/davranışsal verileri, WHOIS/DNS verileri, dosya özellikleri, coğrafi lokasyon verileri, indirme zincirleri ve zaman damgası gibi verileri toplar. Böylelikle olay yanıtlaması ve adli kayıt alma imkanlarını geliştirir ve yönlendirir. Buna ek olarak tehdit göstergelerinde derinlemesine analiz yapar ve hedefli saldırıları hafifletir.
Resim 5: Threat Lookup çalışma mantığı
Bulut Sandbox
Günümüzde hedefli saldırıları geleneksel anti virüs araçları ile tam anlamıyla engellemek imkansızdır. Anti virüs motorları sadece bilinen tehditleri ve varyasyonları engelleme kapasitesine sahipken tehdit aktörleri zararlı yazılımlarını otomatik algılamaya yakalanmayacak şekilde geliştirmektedir.
Kaspersky Bulut Sandbox, petabyte derecesindeki istatistiksel verilerden alınan tehdit istihbaratını, davranışsal analizleri ve insan hareketlerini simüle eden bir sistemdir. Amaç, bilinmeyen tehditleri açığa çıkarmak ve engellemektir.
Resim 6: Bulut Sandbox bileşen açıklaması
Endüstriyel Kontrol Sistemleri için Tehdit İstihbaratı Raporlaması
Kaspersky’nin bu hizmeti, müşteriye derinlemesine istihbarat ve endüstriyel organizasyonları hedef alan zararlı aktiviteler hakkında farkındalık kazandırmaktadır. Raporlarınızı gelişmiş hedefli saldırılar, tehdit zemini, bulunan zafiyetler, zafiyet analizi ve hafifletme olarak 4 farklı başlık altında alabilmektesiniz.
Peki bu tehdit istihbaratı verileri ile ne yapabilirsiniz?
Tehditleri tespit edip önleyebilir, aktivite korelasyonu yaparak zararlı aktivilerin varlığını en aza indirebilir, endüstriyel çevreniz için zafiyet görevlendirmesi yapabilir ve atak teknikleri ve teknolojilerini inceleyerek elde ettiğiniz bilgileri kendi lehinize çevirebilirsiniz.
Hazırlayan: Mihail Frolov
Tasarım: Mutfak Yapım