Son derece işlevsel bir Feedly for Threat Intelligence Hesabının Planı – Feedly Blog

Önde gelen siber güvenlik ekiplerinin çoğu, açık kaynaklı tehdit istihbaratlarını organize etmek ve otomatikleştirmek ve ortaya çıkan tehditlerin bir adım önünde olmak için Feedly’yi kullanıyor. 100 tanesini araştırma ve açık kaynaklı tehdit istihbaratı en iyi uygulamalarını inceleme şansımız oldu.

Bu makalede, zeka ihtiyaçlarını çeşitli yayın türlerine nasıl çevirdiklerini ve bu yayınları son derece işlevsel bir Feedly hesabına nasıl yapılandırdıklarını paylaşacağız.

Trend olan siber güvenlik haberlerini takip edin

Çoğu siber güvenlik uzmanı, güne Tehdit İstihbarat Kontrol Panelinde başlar. Ortaya çıkan tehdit ortamına geniş bir genel bakış sunar: trend olan siber güvenlik makaleleri ve saldırıları, yeni kritik güvenlik açıkları, aktif saldırganlar, yeni davranışlar ve kötü amaçlı yazılım aileleri, bu nedenle sadece birkaç dakika içinde neler olup bittiğini anlamak kolaydır.

İşte her bölüme kısa bir genel bakış:

• Trend Haberleri: Siber güvenlik topluluğunda hangi tehditlerin trend olduğunu görerek saldırıların bir adım önünde olun.
• Güvenlik açıkları: Tepki süresini iyileştirin ve ortaya çıktıklarında yeni güvenlik açıklarına hızla yanıt vererek siber güvenlik ekiplerinin ve müşterilerinin yaklaşan risklerden daha hızlı haberdar olmasını sağlayın.
• saldırganlar: Hangi Tehdit Aktörlerinin trend olduğunu bir bakışta belirleyin ve eylemlerini ve davranışlarını izlemek için hızla Web Uyarıları oluşturun.
• Taktikler ve Teknikler: Tehdit Aktörleri arasında hangi TTP’lerin en yaygın olduğunu kanıtladığını takip edin, diğer Tehdit Aktörü Profilleri ile karşılaştırmak veya savunma yeteneğinizdeki boşlukları belirlemek için verileri Gönye ATT&CK Navigator ile eşleyin.
• Yeni Kötü Amaçlı Yazılım: Yeni Kötü Amaçlı Yazılımların sistemleri etkilediğini araştırın ve ortaya çıkan tehditlere karşı tetikte olun.

Kritik güvenlik açıklarını keşfedin

Web genelinde kritik güvenlik açıklarını ve sıfır günleri izlemenin en etkili yolu, Feedly’nin yapay zeka araştırma asistanı Leo’dur. Leo, güvenlik açıklarını anlamak ve ciddiyetlerini değerlendirmek için önceden eğitilmiştir. Her gün milyonlarca makale okuyor ve kritik güvenlik tehditleri arıyor.

Leo bir CVE bulduğunda, CVSS puanını, ilgili açıklardan yararlanmaları ve kötü amaçlı yazılım ailelerini, tehdit aktörlerine bağlantıları, CWE bilgilerini ve yamaları otomatik olarak arar. Daha sonra tüm bu bilgileri zengin bir CVE istihbarat kartında düzenler.

CVE’nin henüz bir CVSS puanı yoksa Leo, CVSS puanını tahmin etmek için makine öğrenimini kullanır ve sizi en son ortaya çıkan tehditlerden bir adım önde tutar.

Tüm kritik güvenlik açıklarını hedefleyen geniş bir Leo Web Uyarısı oluşturmak, size tehdit ortamında neler olup bittiğine dair büyük bir resim sunarken, aramaya belirli tedarikçilerin eklenmesi odağı daha kesin ve yönetilebilir yayınlara daraltır.

Siber güvenlik ekipleri, genellikle ortamlarında dağıtılan ana ürünlerin her biri için bir Leo Web Uyarısı oluşturur ve bunları bir Güvenlik Açıkları klasöründe gruplandırır.

Düşman davranışlarını takip edin

Siber güvenlik ekiplerinin belirli Tehdit Aktörlerinin ve Kötü Amaçlı Yazılım Ailelerinin davranışlarını izlemesinin ve görselleştirmesinin bir yolu, Feedly’nin Mitre ATT&CK çerçevesiyle entegrasyonunu kullanmaktır. Leo, tehdit aktörlerini (Malpedia ile entegrasyon), Mitre ATT&CK (sürüm 10) ve tehdit istihbarat raporları kavramını anlamak için önceden eğitilmiştir. Bu üç kavram, seçilen rakiplerin davranışlarını izlemek için kolayca birleştirilebilir.

İşte, Lazarus Group tehdit aktöründen bahseden tüm tehdit istihbarat raporlarını ortaya çıkaran bir Leo Web Uyarısı örneği:

Siber güvenlik ekipleri, tehdit profili oluşturma listelerinde tanımlanan tehdit aktörlerinin ve kötü amaçlı yazılım ailelerinin her biri için genellikle bir Leo Web Uyarısı oluşturur ve bunları bir “Tehdit Intel” klasöründe gruplandırır.

Leo, TTP’leri belirlediği bir makale bulduğunda, o makalenin içeriğini ATT&CK gezginiyle eşleştirebilir, böylece siber güvenlik ekipleri düşman davranışını kolayca analiz edebilir ve mevcut savunmalarıyla karşılaştırabilir.

Leo ayrıca makalelerde tanımladığı tüm kötü niyetli IP’leri, karmaları, etki alanlarını ve URL’leri (IoC’ler) otomatik olarak işaretler, böylece STIX 2.1 kullanılarak tehdit aktörlerine, kötü amaçlı yazılım ailelerine ve güvenlik açıklarına bağlantılar ile kolayca dışa aktarılabilir ve Tehdit İstihbarat Platformlarına aktarılabilir ( İPUCU).

Siber saldırıları takip edin

Güvenlik ekipleri, sektörlerini veya tedarik zincirlerini hedefleyen siber saldırıları verimli bir şekilde takip edebilir. Leo, siber saldırı kavramını ve saldırının hedefinin kim olduğunu anlamak için önceden eğitilmiştir. İşte bir siber güvenlik uzmanının Leo’dan finans sektörünü hedef alan tüm siber saldırıları izlemesini nasıl isteyebileceğine dair bir örnek.

Odak, “kredi kartlarını etkileyen veri ihlalleri” veya “çok faktörlü kimlik doğrulama kullanan siber saldırılar” gibi daha spesifik tehditlere de daraltılabilir.

Güvenilir güvenlik beslemelerini takip edin

Feedly, siber güvenlik ekiplerinin web siteleri ve bloglar, haber bültenleri, Reddit toplulukları ve Twitter hesapları, aramalar ve hashtag’ler dahil olmak üzere çok çeşitli güvenilir beslemeleri tek bir yerden takip etmesine olanak tanır. Feedly’den en iyi şekilde yararlanan ekipler, ortak kaynakları tek bir yerde paylaşabilmeleri için onu tek noktadan istihbarat merkezlerine dönüştürür. Artık e-posta, Slack ve diğer mesajlaşma platformlarında geçici makaleler paylaşmadıkları için her hafta saatlerce tasarruf ediyorlar.

Kurullarla tehdit istihbaratı toplayın ve paylaşın

Önemli bir makale ortaya çıktığında Feedly, açıklama eklemek, vurgulamak, not eklemek ve makaleyi daha sonra gözden geçirilmek üzere bir Panoya kaydetmek için araçlar sağlar. Bir makale bir Ekip Panosuna kaydedildiğinde, Feedly for Threat Intelligence kullanıcıları, Bültenleri otomatik olarak oluşturmak, Slack veya Microsoft Teams ile paylaşmak veya mevcut bir iş akışına entegre etmek için Feedly’nin Rest API’sini kullanmak için ek seçeneklere sahiptir.

Siber güvenlik ekiplerinin düzenli kalmasına yardımcı olan birkaç Ekip Panosu örneği:

• Kritik Güvenlik Açıkları Pano: Bir siber güvenlik ekibinin araştırmak ve mümkün olan en kısa sürede yama yapmak isteyeceği, istismar edilebilir güvenlik açıkları ve sıfır günlerle ilgili makaleleri kaydedin.
• IoC Rapor Panosu: Bir tehdit istihbarat platformuna gönderilmesi gereken IoC’lere atıfta bulunan makaleleri kaydedin.
• Tehdit İstihbaratı Özet Kurulu: Bir yönetici ekibiyle paylaşmak için makaleleri kaydedin.
• Tehdit Aktörleri Kurulu: Sektörde aktif olan belirli tehdit aktörlerinin davranışlarını açıklayan ve ekibin geri kalanının araştırma yapması için TIP’e aktarılması gereken makaleleri kaydedin.
• Ortaya Çıkan Kötü Amaçlı Yazılım Pano: Ortaya çıkan kötü amaçlı yazılım aileleri tarafından kullanılan tekniklerle ilgili makaleleri kaydedin.
• Tedarik Zinciri Saldırıları Pano: Referans tedarik zincirine veya üçüncü taraf iş ortaklarına saldırı ve veri ihlali örneklerini kaydedin.