Makaleler

KASPERSKY THREAT INTELLIGENCE NEDİR?

Kaspersky Threat Intelligence Nedir?

Kaspersky Threat Intelligence, Kaspersky’nin tehdit istihbaratı ve avını sağlamak için sağlamış olduğu bir hizmettir. Bu hizmet sayesinde dosyaları tehdit için gönderebilir, dosyaların itibarlarını görebilir ya da dosyanın zararlı olup olmadığı gibi işlemleri gerçekleştirebilmektesiniz.

Kaspersky Threat Intelligence, kendi içinde 7 farklı modül bulundurur. Bunları açıklamak gerekirse;

Threat Data Feeds

Bu bileşen, var olan bir tehdidi ya da dosya hakkında veri paylaşımında bulunur. Bu konuyu daha da açmak gerekirse IP itibar, zararlı ve phishing URL’ler, Botnet C&C URL’leri, Mobil Botnet C&C URL’leri, fidye yazılımı URL’leri, veri zafiyetleri, Gelişmiş hedefli saldırılar ve risk göstergeleri, Pasif DNS, Nesnelerin interneti URL’leri, zararlı hashler, Endüstriyel siber güvenlik hakkındaki veri hashleri, Zararlı mobil hashler, veri için izin listesi ve Maltego için Kaspersky dönüşümleri hakkında veri sağlar.

Resim 1: Threat Data Feeds yapısı

CyberTrace

Kaspersky CyberTrace modülü, Threat Data Feeds ile SIEM çözümleri arasındaki entegrasyonu sağlar. Herhangi bir tehdit istihbaratı sistemi ile JSON, STIX, XML ve CSV formatlarında entegre olabilmektedir. Çoğu SIEM çözümlerini ve denetim kaydı kaynaklarını desteklemektedir.

Resim 2: CyberTrace Çalışma mantığı

Gelişmiş Hedefli Saldırı İstihbaratı Raporlaması

Bu modülü kullanarak Kaspersky sizlere yürütülmekte olan araştırmaların ve keşiflerin erişimini sağlamaktadır. Bu erişimin içinde tam takım bir teknik veriler de yer almaktadır. Bu modül sayesinde bilinen veya bilinmeyen gelişmiş hedefli saldırıları tanınmadan tespit edebilir, tespitinize göre önlemler alabilirsiniz. Aynı zamanda Kaspersky’nin uzman ekibi siber suçluların saldırı davranışlarında herhangi bir değişiklik tespit ettiklerinde sizleri bilgilendireceklerdir. Genel olarak bu modül sizlere tanımlanmamış gelişmiş hedefli saldırılar, teknik veriler, tehdit unsuru olan kişiler veya gruplarve MITRE ATT&CK hakkında bilgiler verecektir.

Resim 3: APT Raporlaması

Dijital İz İstihbaratı

Kaspersky bu modülü sayesinde dark web gibi karanlık alanlarda yer alan siber suçluların atak şemasını, planlarını ve içerideki aktivitelerini size bildirebilmektedir. Ağ envanter parametresi sızma önleyici metotlar kullanarak müşterinin ağında yer alan kaynakları ve açıkta olan servislerinin yönetimini ve idaresini sağlar.

Resim 4: Dijital İz İstihbaratı yapısı

Threat Lookup

Günümüzde siber suçlular sınır tanımamaktalardır. Buna ek olarak teknik kabiliyetlerini de sürekli geliştirmektelerdir. Kaspersky’nin Threat Lookup hizmeti, siber tehditleri ve ilişkileri hakkındaki tüm bilgileri tek bir güçlü web servisi adı altında toplar. Amaç, müşterilerin güvenlik personellerine olabildiği kadar çok veri getirmektir. Platform, URL’ler, alan adları, IP Adres, dosya hashleri, tehdit adları, istatistiksel/davranışsal verileri, WHOIS/DNS verileri, dosya özellikleri, coğrafi lokasyon verileri, indirme zincirleri ve zaman damgası gibi verileri toplar. Böylelikle olay yanıtlaması ve adli kayıt alma imkanlarını geliştirir ve yönlendirir. Buna ek olarak tehdit göstergelerinde derinlemesine analiz yapar ve hedefli saldırıları hafifletir.

Resim 5: Threat Lookup çalışma mantığı

Bulut Sandbox

Günümüzde hedefli saldırıları geleneksel anti virüs araçları ile tam anlamıyla engellemek imkansızdır. Anti virüs motorları sadece bilinen tehditleri ve varyasyonları engelleme kapasitesine sahipken tehdit aktörleri zararlı yazılımlarını otomatik algılamaya yakalanmayacak şekilde geliştirmektedir.

Kaspersky Bulut Sandbox, petabyte derecesindeki istatistiksel verilerden alınan tehdit istihbaratını, davranışsal analizleri ve insan hareketlerini simüle eden bir sistemdir. Amaç, bilinmeyen tehditleri açığa çıkarmak ve engellemektir.

Resim 6: Bulut Sandbox bileşen açıklaması

Endüstriyel Kontrol Sistemleri için Tehdit İstihbaratı Raporlaması

Kaspersky’nin bu hizmeti, müşteriye derinlemesine istihbarat ve endüstriyel organizasyonları hedef alan zararlı aktiviteler hakkında farkındalık kazandırmaktadır. Raporlarınızı gelişmiş hedefli saldırılar, tehdit zemini, bulunan zafiyetler, zafiyet analizi ve hafifletme olarak 4 farklı başlık altında alabilmektesiniz.

Peki bu tehdit istihbaratı verileri ile ne yapabilirsiniz?

Tehditleri tespit edip önleyebilir, aktivite korelasyonu yaparak zararlı aktivilerin varlığını en aza indirebilir, endüstriyel çevreniz için zafiyet görevlendirmesi yapabilir ve atak teknikleri ve teknolojilerini inceleyerek elde ettiğiniz bilgileri kendi lehinize çevirebilirsiniz.

Hazırlayan: Mihail Frolov

Tasarım: Mutfak Yapım