Pulsedive ve AlienVault OTX: Topluluk Tabanlı İstihbarat Paylaşımı

Evillusions

Pulsedive ve AlienVault OTX: Topluluk Tabanlı İstihbarat Paylaşımı​

Giriş: Siber Bağışıklık Sistemi

Tıpta "sürü bağışıklığı" ne ise, siber güvenlikte de "Topluluk Tabanlı İstihbarat" odur. Bir virüsün biyolojik yapısını çözen bir doktor, bu bilgiyi diğer tüm doktorlarla paylaşırsa, virüs daha fazla yayılamadan durdurulur. Siber dünyada da mantık aynıdır: Bir banka yeni bir fidye yazılımı (Ransomware) IP adresini tespit ettiğinde, bunu diğer kurumlarla paylaşmalıdır.

Eskiden kurumlar "Hacklendiğimiz duyulmasın" korkusuyla verilerini gizlerdi. Ancak saldırıların sofistike hale gelmesi, "Biri Hepimiz İçin" anlayışını zorunlu kıldı. İşte bu paylaşımı sağlayan, dünyanın en büyük iki açık istihbarat platformu AlienVault OTX ve Pulsedive'dır.

AlienVault OTX: Dünyanın En Büyük Nöbetçi Kulesi

AT&T Cybersecurity çatısı altında bulunan AlienVault OTX (Open Threat Exchange), 140 ülkeden 200.000'den fazla katılımcının anlık veri paylaştığı devasa bir platformdur.
"Pulse" (Nabız) Mantığı​

OTX'te veriler "Pulse" adı verilen paketler halinde paylaşılır. Bir Pulse şunları içerir:

• Saldırının Adı: Örn: "Log4j Tarama Girişimleri"
• Referanslar: Blog yazıları, analiz raporları.
• IoC'ler (Indicators of Compromise): Saldırganın IP adresleri, zararlı dosya Hash'leri (MD5/SHA256), Domainler.

Nasıl Kullanılır?

Bir güvenlik analisti, sabah işe geldiğinde OTX'e girer ve sektöründeki (Örn: Finans) son Pulse'lara bakar. Eğer "APT29 Finans Saldırısı" diye bir Pulse görürse, içindeki 50 adet kötü amaçlı IP adresini tek tıkla indirip (veya API ile otomatik çekip) güvenlik duvarına "Engelle" kuralı olarak ekler. Böylece saldırı henüz kendisine gelmeden önlemini almış olur.

Pulsedive: İstihbaratı Zenginleştirmek​

OTX daha çok bir "Kütüphane" gibiyken, Pulsedive hem bir kütüphane hem de aktif bir "Analiz Laboratuvarı"dır.Pulsedive'ın farkı, sadece "Bu IP zararlı" demesi değil, "Neden zararlı?" sorusunu yanıtlamasıdır.

Risk Skorlaması: Bir göstergeyi (Indicator) sorguladığınızda, ona 0 ile 100 arasında bir risk puanı verir.
Zenginleştirme (Enrichment): O IP adresinin hangi ülkeye ait olduğunu, hangi portlarının açık olduğunu, SSL sertifikasının kime ait olduğunu ve geçmişte hangi saldırılarda kullanıldığını tek ekranda gösterir.
Aktif Tarama: Şüpheli bir URL'i Pulsedive'a verdiğinizde, sizin yerinize güvenli bir ortamda (Sandbox) o siteye gider, ekran görüntüsünü alır ve zararlı olup olmadığını test eder.
Kalabalığın Gücü (Crowdsourcing) vs. Gürültü (Noise)​
Topluluk tabanlı istihbaratın en büyük avantajı Hızdır. Dünyanın bir ucundaki analist tehdidi bulduğu anda siz de öğrenirsiniz.Ancak en büyük dezavantajı Yanlış Pozitiflerdir (False Positives).
Senaryo: Tecrübesiz bir analist, Google'ın DNS IP'sini (8.8.8.8) yanlışlıkla "Zararlı" olarak OTX'e yükleyebilir. Eğer siz bu veriyi sorgusuz sualsiz güvenlik duvarınıza eklerseniz, tüm şirketinizin interneti kesilebilir.
Çözüm: İstihbarat analistinin görevi, topluluktan gelen veriyi "Güvenilirlik Puanına" göre filtrelemektir. Sadece "AlienVault Onaylı" veya yüksek güven puanına sahip Pulse'ları kullanmak bu riski azaltır.
Entegrasyon ve Otomasyon​
Bu platformların gerçek gücü API (Application Programming Interface) entegrasyonunda yatar. Modern bir SOC (Güvenlik Operasyon Merkezi) ekibi, bu sitelere manuel olarak girmez.SIEM (Log Yönetimi) ürünleri, her 15 dakikada bir OTX ve Pulsedive API'larına bağlanır, yeni IoC'leri çeker ve ağ trafiğini bu listeyle karşılaştırır. Eşleşme olursa alarm çalar.
Sonuç​
Pulsedive ve OTX, siber güvenliğin demokratikleşmesidir. Milyon dolarlık bütçesi olmayan küçük bir şirket bile, bu ücretsiz platformlar sayesinde arkasında binlerce kişilik global bir istihbarat ordusunun gücünü hissedebilir. Paylaşılmayan istihbarat, ölü istihbarattır.