- Katılım
- 20 Ocak 2024
- Mesajlar
- 51
- Tepkime puanı
- 0
- Puanları
- 8
Pulsedive ve AlienVault OTX: Topluluk Tabanlı İstihbarat Paylaşımı
Giriş: Siber Bağışıklık Sistemi
Tıpta "sürü bağışıklığı" ne ise, siber güvenlikte de "Topluluk Tabanlı İstihbarat" odur. Bir virüsün biyolojik yapısını çözen bir doktor, bu bilgiyi diğer tüm doktorlarla paylaşırsa, virüs daha fazla yayılamadan durdurulur. Siber dünyada da mantık aynıdır: Bir banka yeni bir fidye yazılımı (Ransomware) IP adresini tespit ettiğinde, bunu diğer kurumlarla paylaşmalıdır.Eskiden kurumlar "Hacklendiğimiz duyulmasın" korkusuyla verilerini gizlerdi. Ancak saldırıların sofistike hale gelmesi, "Biri Hepimiz İçin" anlayışını zorunlu kıldı. İşte bu paylaşımı sağlayan, dünyanın en büyük iki açık istihbarat platformu AlienVault OTX ve Pulsedive'dır.
AlienVault OTX: Dünyanın En Büyük Nöbetçi Kulesi
AT&T Cybersecurity çatısı altında bulunan AlienVault OTX (Open Threat Exchange), 140 ülkeden 200.000'den fazla katılımcının anlık veri paylaştığı devasa bir platformdur."Pulse" (Nabız) Mantığı
OTX'te veriler "Pulse" adı verilen paketler halinde paylaşılır. Bir Pulse şunları içerir:- Saldırının Adı: Örn: "Log4j Tarama Girişimleri"
- Referanslar: Blog yazıları, analiz raporları.
- IoC'ler (Indicators of Compromise): Saldırganın IP adresleri, zararlı dosya Hash'leri (MD5/SHA256), Domainler.
Nasıl Kullanılır?
Bir güvenlik analisti, sabah işe geldiğinde OTX'e girer ve sektöründeki (Örn: Finans) son Pulse'lara bakar. Eğer "APT29 Finans Saldırısı" diye bir Pulse görürse, içindeki 50 adet kötü amaçlı IP adresini tek tıkla indirip (veya API ile otomatik çekip) güvenlik duvarına "Engelle" kuralı olarak ekler. Böylece saldırı henüz kendisine gelmeden önlemini almış olur.Pulsedive: İstihbaratı Zenginleştirmek
OTX daha çok bir "Kütüphane" gibiyken, Pulsedive hem bir kütüphane hem de aktif bir "Analiz Laboratuvarı"dır.Pulsedive'ın farkı, sadece "Bu IP zararlı" demesi değil, "Neden zararlı?" sorusunu yanıtlamasıdır.- Risk Skorlaması: Bir göstergeyi (Indicator) sorguladığınızda, ona 0 ile 100 arasında bir risk puanı verir.
- Zenginleştirme (Enrichment): O IP adresinin hangi ülkeye ait olduğunu, hangi portlarının açık olduğunu, SSL sertifikasının kime ait olduğunu ve geçmişte hangi saldırılarda kullanıldığını tek ekranda gösterir.
- Aktif Tarama: Şüpheli bir URL'i Pulsedive'a verdiğinizde, sizin yerinize güvenli bir ortamda (Sandbox) o siteye gider, ekran görüntüsünü alır ve zararlı olup olmadığını test eder.
Kalabalığın Gücü (Crowdsourcing) vs. Gürültü (Noise)
Topluluk tabanlı istihbaratın en büyük avantajı Hızdır. Dünyanın bir ucundaki analist tehdidi bulduğu anda siz de öğrenirsiniz.Ancak en büyük dezavantajı Yanlış Pozitiflerdir (False Positives).- Senaryo: Tecrübesiz bir analist, Google'ın DNS IP'sini (8.8.8.8) yanlışlıkla "Zararlı" olarak OTX'e yükleyebilir. Eğer siz bu veriyi sorgusuz sualsiz güvenlik duvarınıza eklerseniz, tüm şirketinizin interneti kesilebilir.
- Çözüm: İstihbarat analistinin görevi, topluluktan gelen veriyi "Güvenilirlik Puanına" göre filtrelemektir. Sadece "AlienVault Onaylı" veya yüksek güven puanına sahip Pulse'ları kullanmak bu riski azaltır.