Skip to main content

Siber Güvenlik

19 Şubat 2025

Recorded Future siber tehditleri nasıl buluyor ve takip ediyor? Veri bilimi şefi açıklıyor.

Neque porro quisquam est qui dolorem ipsum quia dolor sit amet, consectetur, adipisci velit

Gökyüzüne karşı üzerinde Recorded Future yazan kırmızı bir bina cephesi.

Ben Fox Rubin

Başkan Yardımcısı, Editoryal İçerik

Siber güvenlik şirketi Recorded Future'da veri biliminin başında olan Matt Kodama, işini bir restoranda arka tarafta çalışmaya benzetiyor. Yiyecek alışverişini yapan, tarifleri tasarlayan, yemekleri pişiren ve tabağa koyan onun ekibi. 

Ekibinin birlikte çalıştığı bileşenler, web'in her yerinden topladıkları ve daha sonra müşterilerin kullanabileceği yararlı bilgileri ortaya çıkarmak için analiz ettikleri veri parçalarıdır. Bu bilgiler daha sonra Recorded Future'ın büyük finans kuruluşları, hükümetler ve diğer pek çok kişi tarafından kuruluşlarına yönelik hem çevrimiçi hem de gerçek dünyadaki potansiyel tehditleri gerçek zamanlı olarak izlemek için kullanılan yazılım platformuna aktarılır. 

Mastercard Haber Merkezi geçtiğimiz günlerde Aralık ayında Mastercard'ın bir parçası haline gelen Recorded Future'ın genel merkezini ziyaret etti ve Kodama ile bir araya gelerek çalışmaları hakkında bilgi alma fırsatı buldu. 

Aşağıdaki Soru&A, uzunluk ve anlaşılırlık için düzenlenmiştir. 

Hangi verileri kullanıyorsunuz?

Kamuya açık olan birçok veri türünden başlayarak tüm yelpazeyi kapsar. Spektrumun diğer ucunda, siber tehdit aktörleri tarafından sıklıkla kullanılan, ulaşılması zor yerlerden verilere erişmek için bazı akıllı ve sofistike yollar bulduk. 

Spesifik bir örnek paylaşabilir misiniz?

Tehdit aktörleri için şu anda şehirdeki en büyük oyunlardan biri, tek tek insanların bilgisayarlarından bilgi çalmak. Artık tehdit aktörleri oturum açma dizelerinizi, parolalarınızı, çerezlerinizi ve bilgisayarınızın neye benzediğine dair tüm bilgileri ele geçirmiştir. Bu verilerle, söz konusu tehdit aktörü sizin bilgisayarınıza benzeyen sahte bir makine oluşturabilir ve bu sahte makineden gelen tarayıcı trafiğini sizin şehrinizden geliyormuş gibi gösterebilir. 

Kurumsal fidye yazılımı oyununda çalışan bir tehdit aktörüyseniz, bu hedeflediğiniz ağa girmek için harika bir bilgidir. Bunun gibi virüs bulaşmış bilgisayarlardan satışa sunulan dosyaların sayısı çılgınca. Bu büyük bir iş.

Çılgın, çılgın bir dünya. Bit pazarı gibi. 

Birçok müşterinin önemsediği şey, VPN'leri gibi yüksek riskli bir girişin açığa çıktığını mümkün olduğunca hızlı bir şekilde öğrenip öğrenemeyecekleridir. Çok özel güvenlik önlemleri alabilirler. Eğer bir oturum varsa, oturumu kapatın. Bu girişte şu anda hangi şifre varsa, onu sıfırlayın, Çünkü bu temelde bir yarış: bu bilgi tehdit aktörleri tarafından ne kadar çabuk kullanılacak ve savunmacılar bunu ne kadar çabuk bulup düzeltebilecek. 

HİKAYE

Recorded Future'ın İçinde: Startup heyecanı, klasik rock ve siber güvenliğin geleceği

Mastercard Haber Merkezi, tam da iki ekip siber güçlerini birleştirirken bu tehdit istihbarat şirketinin merkezini ziyaret etti.

Devamını okuyun

Başka bir örneğiniz var mı?

İnternet üzerinden mesaj göndermeye çalışan tüm bilgisayarların, "Bu etki alanıyla çevrimiçi konuşmaya çalışıyorsanız, bu IP adresine bir mesaj gönderin" diyen bu tablolara sahip olması gerekir. İnternetin telefon rehberi gibi. 

Gerçekten basit ama aslında oldukça etkili bir analitik, tüm bu bilgileri alıp "Bugün burada olup da dün burada olmayan ne var?" demek. Sürekli olarak yeni işletmeler kuruluyor ve tabii ki birçoğu başarısız oluyor. Dolayısıyla yeni alan adlarının ortaya çıkıp kimseye zarar vermemesi ve sonra da ortadan kaybolması çok ama çok normal. Yani herkese "Hey, bu yeni bir alan adı, engelleyin" diyemem. Bunun yerine bu yeni alan adlarının her birine gidip bağlanmayı deneyebiliriz. Ve bana geri gönderdiği güvenlik sertifikası yeni bir sertifikaysa ve garip görünüyorsa, bunlar riskli olanlardır. 

Tüm bu hikayenin sonunda, bir müşterinin yapmaya çalıştığı şey, "Lütfen bana [Alan Adı Sistemi] filtreme koymam ve çalışanlarımdan hiçbirinin bu alan adına göz atmadığından emin olmam gereken alan adlarının çok kısa bir listesini verebilir misiniz?" demek. Eğer engelleyebilirlerse, bu altın standarttır. 

Yani bu şekilde, bir kimlik avı e-postası potansiyel kurbanlara gönderilmeden önce bir kimlik avı sitesini engelleyebiliyorsunuz?

İdeal olarak, evet. Kötü adamların kullanabilmeleri için önce altyapılarını kurmaları gerekir. Buradaki fikir, altyapının ne zaman son derece hızlı bir şekilde kurulduğunu tespit etmek ve ardından hangi yeni
altyapısı, tüm normal ve iyi huylu şeylerin aksine tehdit aktörleri tarafından işletilmektedir.

Müşteriler bu bilgileri nasıl kullanıyor?

Dünyadaki sorun, çok fazla kötü adam faaliyeti olması. Bir şirkete sihirli bir şekilde, engellemeleri gereken çok çok yüksek riskli alan adlarının tümünün bir beslemesini verebilseydim - bu sayıda alan adı için ölçeklendirilmiş güvenlik kontrollerine sahip değiller. Çok fazla kötü şey var. Müşteriler onlara verebileceğimiz her türlü bilgiye çok ama çok açlar - sadece bu alan adı riskli değil, kimin peşindeler ve hangi göstergeler benim gibi insanların peşinde olduklarını gösteriyor. Çünkü o zaman bu bilgiyi kendi güvenliğim için kullanmaya öncelik verirdim, açıkçası, muhtemelen 90% buna neredeyse tıpatıp benzeyen benzer tehditlere karşı, ama onlar başka birinin peşinde. 

Müşterilerin, güvenlik kontrollerinin sınırlı kapasitesi gibi çok zor bir optimizasyon sorunu var. Neye odaklanacaklar? Çok fazla var. Bu yüzden de bu optimizasyon sorununda kendilerine yardımcı olacak içgörüler sunmamıza açlar.  

Açıklayıcı

Tehdit istihbaratı nedir? İşletmenizi güvende tutmak için rehberiniz

Pandemi sonrası e-ticaret patlaması siber suçları aşırı güçlendirdi ve yapay zeka araçlarının artan erişilebilirliği kitlesel saldırıları otomatikleştirmeyi kolaylaştırıyor. Tehdit istihbaratı adı verilen nispeten yeni bir siber güvenlik dalı, ortaya çıkan tehlikelere zarar vermeden önce karşı koyuyor.

Daha fazla bilgi