Birçok şirket için tehdit istihbaratı yalnızca belirli siber suç araçlarına ilişkin veri ve bilgi güvenliği risk göstergesi anlamına gelse de aslında ağdaki etkinliklerini izlemek de dahil olmak üzere tehdit aktörleri hakkında çok daha derin bir bilgi sunar. Bazen bu bilgiler, yalnızca işlenen suçun yöntemi ve kullanılan taktikler hakkında fikir edinmenizi değil, aynı zamanda bir siber suçu önlemenizi de sağlar. Latin Amerika’daki bir ülkenin merkez bankasına yönelik düzenlenen saldırı, bunun canlı bir örneği.
Ne oldu?
Siber suç faaliyetlerini incelerken uzmanlarımız, bir grubun bankanın ağına erişmeyi başardığını öğrendi. Müfettişler derhal kurbanı bilgilendirdi, Interpol ile temasa geçti ve olayla ilgili kapsamlı bir soruşturma yürüttü. Sonuç olarak kurumsal altyapıdaki zafiyetleri ortadan kaldırmayı ve gerçek finansal kayıpların önüne geçmeyi başardılar. Ne yazık ki olaya ilişkin ayrıntıları paylaşamıyor, saldırganların bankanın ağına nasıl girdiğini açıklayamıyoruz.
Uzmanlarımız ağa sızan kişilerin faaliyetlerini tespit etmeyi nasıl başardı?
Tüm siber suçlular, hedefe yönelik ilk çalışmadan son hamleye (genellikle veri veya para sızdırma veya fidye yazılımı bulaştırmak) kadar saldırıyla ilgili sürecin tamamından sorumlu değildir. Yalnızca şirketlerin altyapısına erişim sağlama konusunda uzmanlaşmış gruplar bulunur: Ağa başarılı bir şekilde sızdıktan sonra, dark web’de veya hacker forumlarında saldırı düzenleyebilecek kişilere erişim satmaya çalışırlar. Ayrıca erişim satın alan ve ardından bu erişimleri diğer siber suçlulara satan İlk Erişim Aracıları (Initial Access Brokers) denen kişilerde bulunur.
Araştırmacılarımız tamamen başka suçlulara ait faaliyetleri incelerken birilerinin, bir tür siber dolandırıcılık amacıyla bir bankaya saldırı düzenlemek için ortak aradığını fark etti. Bankanın altyapısına erişimin sağladıklarına ilişkin kanıt olarak da bazı bilgiler paylaşmışlardı ve bu, uzmanlarımızın kurbanı tespit etmesine ve suçu önlemesine yardımcı oldu.
Tehdit istihbaratı bir şirkete nasıl yardımcı olabilir?
Bu olayda uzmanlarımız, belirli bir bankaya yönelik saldırıya dair işaretleri aramıyordu. Söz konusu banka müşterimiz bile değildi. Bununla birlikte araçlarımız, belirli bir işletme özelindeki tehditleri izleme imkanı da sunar. Digital Footprint Intelligence hizmetine sahip Threat Intelligence portföyümüz, bir işletmenin dinamik bir “dijital portresini” oluşturmanıza ve ardından dark web ve deep web’deki açık kaynaklar aracılığıyla tehlike işaretlerini izlemenize olanak tanır. Bazen bu, oldukça ciddi siber olayları önlemenizi sağlar.
Ayrıca, karmaşık saldırılara karşı koruma sağlamak için Yönetilen Tespit ve Yanıt gibi hizmetlerin kullanılmasını öneriyoruz. Bu, şirket altyapısına yönelik karmaşık saldırıları erken bir aşamada tespit edip durdurmak için siber güvenlik ekibinizin şirket dışındaki uzmanlardan yardım almasına olanak tanır.