İstihbarat Paylaşım Platformları: MISP (Malware Information Sharing Platform)

müfettiş

müfettiş

Moderatör
Katılım
20 Ocak 2024
Mesajlar
325
Tepkime puanı
1
Puanları
18
Misp.webp


İstihbarat Paylaşım Platformları: MISP (Malware Information Sharing Platform)​

Bir bankanın güvenlik ekibinde olduğunuzu hayal edin. Sabah saatlerinde size özel bir zararlı yazılım (Malware) bulaştı. Büyük uğraşlarla analiz ettiniz, IP adreslerini ve dosya imzalarını (Hash) bulup engellediniz.

Aynı günün akşamı, yan sokağınızdaki diğer banka aynı virüsle saldırıya uğradı. Onlar da saatlerce analiz yaptı ve aynı sonuçları buldu.

Bu senaryodaki zaman ve emek kaybı korkunçtur. Eğer siz sabah bulduğunuz o IP adresini bir "havuza" atsaydınız ve diğer banka o havuzdan veriyi otomatik alıp güvenlik duvarına işleseydi, saldırı onlara ulaşamadan engellenmiş olacaktı. İşte MISP, bu "dijital bağışıklık sistemini" kuran platformdur.

Bölüm 1: MISP Nedir?​

Açılımı "Malware Information Sharing Platform" olsa da, günümüzde kapsamı genişlemiş ve **"Açık Kaynak Tehdit İstihbaratı Platformu"**na dönüşmüştür.

MISP; kurumların siber tehdit göstergelerini (IoC), finansal dolandırıcılık bilgilerini ve zafiyet verilerini güvenli, standartlaşmış ve yapılandırılmış bir şekilde saklamasını ve paylaşmasını sağlayan ücretsiz bir yazılımdır.

NATO'dan Avrupa Birliği'ne, ulusal CERT'lerden (Siber Olaylara Müdahale Ekipleri) özel bankalara kadar siber istihbarat dünyasının standart iletişim aracıdır.

Bölüm 2: MISP'in Çalışma Mantığı: Olaylar ve Nitelikler​

MISP karmaşık bir veritabanı gibi görünse de mantığı basittir. Veriyi hiyerarşik bir yapıda tutar:

1. Olaylar (Events)​

Her şey bir "Olay" ile başlar. Bu, istihbaratın kapsayıcı klasörüdür.
  • Örnek: "X Bankasına Yönelik Phishing Kampanyası - Aralık 2025"

2. Nitelikler (Attributes)​

Olayın içindeki teknik delillerdir (IoC).

3. Korelasyon (Correlation) - MISP'in Sihri​

Burası en kritik noktadır. Siz sisteme yeni bir olay girdiğinizde, MISP otomatik olarak veritabanını tarar.
  • "Hey! Senin şimdi girdiğin bu IP adresi, 6 ay önce İspanya'daki bir enerji şirketinin girdiği olayda da geçmişti."Bu özellik, birbirinden tamamen bağımsız görünen saldırılar arasındaki gizli bağlantıları ortaya çıkarır ve saldırganın kimliğini (Attribution) bulmanızı sağlar.

Bölüm 3: Paylaşım Modelleri ve Gizlilik​

Kurumlar veri paylaşmaktan korkar. "Ya müşteri verim sızarsa?" endişesi haklıdır. MISP bunu Dağıtım (Distribution) ayarlarıyla çözer.

Bir istihbaratı girerken şu seviyeleri seçebilirsiniz:
  1. Your Organization Only: Sadece benim ekibim görsün (Kişisel veritabanı).
  2. This Community Only: Sadece benim bağlı olduğum sunucudaki üyeler görsün (Örn: Sadece Türkiye Bankalar Birliği üyeleri).
  3. Connected Communities: Benim sunucumun konuştuğu diğer güvenilir sunucular da görsün.
  4. All Communities: Herkes görsün (Genellikle eski ve anonim veriler için).
Bu sayede, "hassas müşteri verisini" gizli tutup, sadece "saldırganın IP adresini" herkesle paylaşabilirsiniz.

Bölüm 4: Ekosistem – Galaksiler ve Nesneler​

MISP sadece IP ve Hash tutmaz, bağlamı (Context) da tutar. Buna MISP Galaxies denir.

Teknik veriyi stratejik bilgiye dönüştürür:

  • "Bu IP adresi (Teknik Veri), Lazarus Grubu (Tehdit Aktörü) tarafından, WannaCry saldırısında (Saldırı Adı), Enerji sektörünü (Hedef) vurmak için kullanıldı."
MITRE ATT&CK matrisi ile tam entegre çalışır. Analist, bir IoC'yi işaretleyerek "Bu bir T1059 (PowerShell) tekniğidir" diye etiketleyebilir.

Bölüm 5: Entegrasyon ve Otomasyon (API)​

MISP'in en büyük gücü, insan eli değmeden savunma yapabilmesidir.

Senaryo:
  1. US-CERT (Amerika Siber Güvenlik Merkezi), MISP üzerinden yeni bir fidye yazılımı IP listesi yayınladı.
  2. Sizin şirketinizin MISP sunucusu, bu veriyi otomatik olarak çekti (Sync).
  3. Sizin Güvenlik Duvarınız (Firewall) veya SIEM ürününüz, MISP API'sine bağlanıp "Yeni tehdit var mı?" diye sordu.
  4. IP listesini aldı ve otomatik olarak engelledi.
Analist sabah işe geldiğinde, sistem çoktan binlerce tehdidi öğrenmiş ve önlemini almıştır.

Bölüm 6: Nasıl Başlanır? (Feeds)​

Kendi MISP sunucunuzu kurduğunuzda içi boştur. Onu doldurmak için Feed (Besleme) eklemeniz gerekir.Dünyada güvenilir ve ücretsiz istihbarat sağlayan kaynaklar vardır:
  • CIRCL (Lüksemburg CERT): MISP'in geliştiricileridir, en kaliteli veri buradadır.
  • AlienVault OTX: Kalabalık kaynaklı istihbarat.
  • DigitalSide Threat-Intel: Güncel zararlı URL listeleri.
Bu kaynaklara abone olduğunuzda, dünyadaki siber tehditler anlık olarak ekranınıza akmaya başlar.

Sonuç: Dijital NATO​

Siber savaş asimetriktir. Saldırganın başarılı olması için binlerce denemeden sadece birinde haklı çıkması yeterlidir. Savunmacının ise her seferinde haklı çıkması gerekir.

Bu adaletsizliği dengelemenin tek yolu MISP gibi platformlardır. Bilgiyi paylaşmak, gücü kaybetmek değil; kolektif bir kalkan oluşturmaktır.

Unutmayın; siber güvenlikte rakibiniz diğer şirketler değil, saldırganlardır.
 

Ekli dosyalar

  • shutterstock_257074237_6fQHrja.width-800.jpg
    shutterstock_257074237_6fQHrja.width-800.jpg
    28.7 KB · Görüntüleme: 3
Cevap yazmak için giriş yap yada kayıt ol.
Geri
Üst