IWAAS
IWAAS, IW (Information Warfare) saldırılarına karşı tehlike değerlendirmesi, sinyal ve uyarı oluşturabilmek amaçlı genel bir düşüncedir. Üç ana amaca bağlı açık kaynaklı karar destek sisteminin kavramsal mimarisidir.Bunlar Çeşitli kimseler tarafından ortaya çıkarılan IW tehditlerini ortaya çıkarmak, bir IW atağının belirtilerini ve uyarılarını (Indicators & Warnings) sağlamak, düşmanın harekete geçeceği yönü önceden tahmin etmek (Courses of Action). Bu rapor, bu sistemin dizaynının ve kavramsal olarak anlaşılması ile ilgili önemli noktaların genel hatlarıyla belirlenmesini sağlar. Potansiyel IW ataklarının yeteneklerini ve niyetini ölçebilmek için ülke risk analiz yaklaşımını adapte edebilme amacını genel hatlarıyla ortaya koyar.
1- Giriş
Askeri topluluklardaki açık sistemlere haraket ve COTS ( Commercial Off-The-Shelf) sistemleri saldırgan IW ( Information warfare ) tehditlerine karşı ilgiyi arttırmıştır. Ağ’ların yayılmasıyla şu ortaya çıkmıştır ki Bilgi Güvenliği ( İnformation Security), geniş tabanlı tehditlere karşı savunma kaynaklarını yönlendirebilecek, daha zeki InfoSec yaklaşımlarla güçlenmeye ihtiyacı vardır. Savunma Bilgi Savaşının anahtar problemlerinden biri, hükümetleri ve kurumları saldırı tehlikesine karşı değerlendirme yapabilmesini sağlayan zeki toplama ve analiz metedolojilerini geliştirmektir. Aynı zamanda muhtemel bir IW saldırısının yolda olup olmadığını, saldırının tipini, diğer özlliklerini, başladığı noktayı yani orijinini ve düşman haraketlerine benzer davranışları önceden sezme diğer anahtar meselelerdir.
Information Warfare Attack Assessment System (IWAAS) bu sorunu gidermek için oluşturulmuş kavramsal bir mimari ve araştırma çatısıdır. IWAAS araştırma programı saldırgan IW karşısında erken uyarı ve saldırı sezimi problemini çözümleyen sistematik metadojiler geliştirmektir. IWAAS DERA, King’s Collage London ve Anite Government Systems LTD. Technology tarafından ortak gerçekleştirilen bir araştırma projesidir.
IWAAS üç ana amacı olan bir karar destek sistemidir.
- Çeşitli kimseler tarafından ortaya çıkarılan IW tehditlerini ortaya çıkarmak.
- Bir IW atağının belirtilerini ve uyarılarını ( Indicators & Warnings ) sağlamak.
- Düşmanın harekete geçeceği yönü önceden tahmin etmek.( Courses of Action )
IWAAS dört ana temel kavram üzerine kurulmuştur. Öncelikle, savunma toplulukları nükleer ve askeri güçler tarafından veya terörist gruplardan gelebilecek tehditleri anlayabilmek için tehlike değerlendirme, belirleme ve erken uyarı sistemleri gibi araştırmaları vardır. Bu metodolojiler IW tehlikelerini belirleme konusunda bir yer ayırmışlardır ama bu fotoğrafın sadece bir kısmını oluşturabilmektedir. İkinci olarak IW tehditi geleneksel tehdit spektrumundan gelir. Öyleyse tehlike değerlendirmeleri dinsel olmalı, askeri faktörler yanında sosyal, ekonomik ve suçla ilgili özellikler içermelidir. Üçüncü olarak, ulusal bilgi güvenliği, sadece tehdit değerlendirmeleri ve erken uyarı sistemi, edüstri ve kamuya genel olarak dağıtılırsa başarılabilir.Bu sebebten dolayı erken uyarı sistemi açık kaynaklı girişler ile ve metodlar ile çalışmalıdır. Dördüncü olarak geleneksel olmayan IW saldırıları çeşitleri, bunların bir dizi metodoloji kullanılarak incelenmelerini gerektirir. IWAAS askeri, suçla ilgili, politik risk ve diğer disiplinlerdeki metodolojileri bütünleştirmelidir.
Souç olarak, IWAAS Defensive IW’nin istihbarat ihtiyaçları ile ilgilenen bir işlem ve araştırma ajandası olarak görülebilir.
2 - İçerik
IWAAS genel düşüncesi İntelligence Fusion Systems’lere paralellik gösterir fakat aynı zamanda IW operasyonları için tehdit ve saldırı değerlendirme geliştirme çalışmaları, eski geleneksel çatışmalardan çok daha kompleks bir yapıya bürünmüştür. Bu komplekslik bir kaç faktör ile ortaya çıkmaktadır. Bunlar i) “cyberpeace” durum bilgisinin basit seviyesi, örneğin bir bilgi altyapısı için tehlike içermeyen seviyede saldırılar nelerdir ?, ii) Hacker’lardan veya daha önemli durumlardan, izlenmesi gereken tehdit varlığının geniş alanı, iii) Saldırı varlığının IW yeteneğinin seviyesini değerlendirmede ortaya çıkabilecek doğal güçlükler, iv) Geniş alana yayılmış ağlardan ve noktalardan, bilgiyi toplama, birleştirme ve analiz etmede ortaya çıkabilecek problemler.
2.1 - Mimari
IWAAS kavramı, birleşme işleminde üç seviyeli bilgi modeli içermektedir- kısa, orta ve uzun dönemli bilgi temelleri. Geneneksel olarak, kısa dönemli bilgi temeli “battlespace sensor” raporları sunabilir, uzun dönemli bilgi temeli savaş bilgi temellerinin tehdit sırasını sunabilir, orta dönemli bilgi temeli gelişen Situation Map’i sunabilir.
Benzer olarak IWAAS kavramında, kısa dönemli bilgi temeli, bilgi altyapısında içinde veya çevresinde bulunan anormal aktiviteleri gösteren algılayıcı (sensor) raporları sunar. Bu algılayacı takımı Attack Detection System (ADS) olarak isimlendirilir. Uzun dönem bilgi temeli, IW tehditleri hakkında birleştirilmiş bilgiden oluşur. Bu, Threat Assessment System (TAS) olarak isimlendirlir ve Threat Data Base (TDB) ve bir uzman sistem olan Intelligence Fusion System (IFS)’den oluşur. Orta dönem bilgi temeli duruma göre değerlendirme (Situational Assessment) sunar. Bu ise ADS tarafından anormal durumlar olunca ortaya çıkarılır ve TAS üzeriden süzgeçten geçirilerek zeki analistlere, tehdit değerlendirme, sinyal ve uyarı ve/veya öncede tahmin edilen düşman hareket yönleri formunda sunulur.
Bileşenler
ADS : Attack Detection System (ADS) kısa dönemli bilgi temelini oluşturur. IW saldırıları üzerinde bir grub algılayıcı tarafıdan bilgi toplar, karşılaştırır ve sistemin diğer üst seviyesine,IW saldırılarının devam eden tip ve seviyelerinin kısmen birleştirilmiş resmini pas eder. ADS, kavramsal olarak Intrusion Detection System (IDS)’ın genişletilmiş halidir. Sadece “sofware warfare” saldırılara cevap vermez, aynı zamanda daha geniş çapta IW olaylarına cevap verir. Bunlara kritik noktalara fiziksel ataklar, psikolojik operasyonlar, hile operasyonları örnek olarak verilebilir. Aynı zamanda bir IW saldırısı hazırlığını sinyalleyen tehdit istihbarat aktivitesini ortaya çıkarır.
TAS : Threat Assessment System (TAS) kısa dönemli bilgi temelini oluşturur. Bileşenleri ise Intelligence Fusion System (IFS) ve bir Threat Data Base (TDB)’dir. IFS kural temelli bir uzman sistemidir ve operatörün IW tehditleri hakkında yüksek seviyeli sorular sormasına olanak tanır. Bununla operatör şekillenmiş cevaplar alabilmek için TDB’yi sorgulamış olur. Üç kategoride sorular sorulabilir: tehdit değerlendirmesi (statik ve peiryodik güncellenen ürün), devam eden bir saldırının I&W’si ( dinamik ve gerçek zamanlı ürün ), düşmanın hareket yönlerinin önceden tahmin edilmesi (COAs) (dinamik ve önceden tahmin edilebilir ürün)
3 - Gerçekleştirme
IWAAS araştırma projesi, yukarıda listelenen bileşenlere materyal vermeyi amaçlar ve zeki analistlere ve bilgi güvenliği profösyönellerine yardım edecek prototip sistemlerde gerçekleştirilebilecek metodolojiler üretir. Şu anki araştırma odağı sistem elementleri üzerinde parametre tanımlamaktır.
3.1 Attact Detection System ( ADS )
ADS değerlendirme mekanizmasına duyumsal (sensory) girdi sağlar. Bilgi altyapılarına olan saldırıları ortaya çıkarır ve sınıflara ayırır. Bunun için başlangıç noktası şu an varolan Intrusion Detection Systems (IDS)’dir. Bir sonraki aşama ortaya çıkan sivil teknolojileri daha gelişmiş bir IDS ortaya çıkarmak için mümkün kılmaktır. Final aşaması ise mantıksal sızmaları, fiziksel psikolojik ve tüm IW saldırganlığının bir parçası olabilecek saldırılar ile genişletmek olmalıdır.
3.11 IDS taxonomy Issues
İlk görev anahtar problemleri belirleyebilmek için “intrusion detection” hakkında varolan ve öneride bulunan yaklaşımları anlamaktır.
“İntrusion” bir kaynağın güvenilebilirliğini ve kullanılabilirliğini tehliye düşürecek girişimde bulunan bir grup haraket olarak tanımlanabilir. Bu, British Computer Society’nin üç bölümlü bilgi güvenliği tanımıyla uyumludur.
1980 yılındaki öncü çalışmasıyla, Anderson sızma tehditlerini sınıflandırmıştır. Şu şekilde başlamak üzere; (a) dıştan gelen tehlikeler (external penetrator) (b) içten gelen tehlikeler (internal penetrators), rol yapan (masqueraders) ve (clandestine) gizli kullanıcılar , (c) ve misfeasors . “Masqueraders” başka bir yetkili kullanıcının kullanıcı ismi ve şifresi üzeriden çalışırlar. “Clandestine intruders” ise erişim haklarını ele geçirir ve takip mekanizmalarını inaktif ederler. “Misfeasors” ise elde etmiş oldukları haklarını kötüye kullana kullanıcılardır.
“Intrusive” davranış birkaç kategoriye ayrılmıştır. (a) “berak-ins” teşebbüsü (b) masquarede saldırıları (c) güvenlik kontrollerinin delinmesi (d) “denial of servive” ve (f) “malicious” kullanım. Bu konteksde “leakage” sistem kaynaklarının yetkili olmayan kullanıcılar tarafından kötüye kullanılması olarak bahsedilmekte, “malicious” kullanım ise virüsler, sanal bombolar ve Trojan atlarının yayılmasını içermektedir.
Intrusion Detection Systems (IDS)’ın asıl amacı herhangi bir bilgisayara veya ağa yapılan saldırıyı mümkün olduğunca çabuk ve güvenilir biçinde farketmektir. IDS özel olarak kullanıcı bilgisayarlarına, ağ sunucusuna, ağa bağlı belirlenmiş bir noktaya veya ağ geçitine kurulabilir. Bu karar çeşitli faktörler tarafından etkilenir. Bu faktörler güvenlik hususunu ve performans düşmesi gibi ne türlü bilginin izlenmesi gerektiğini içerir. IDS’in kalbinde anormalliklerini ve kötüye kullanımı belirleyebilmek için kullanıcıların davranışlarını analiz etme stratejisi yatmaktadır.
IDS’i ADS ( Anomaly Detection Systems ) ve MDS ( Misuse Detection Systems ) olarak ikiye bölmek kullanışlı olur. ADS sistem için normal aktivite profili olduğu temeline dayanır. Bu profilden istatiksel olarak önemli bir sapma, sisteme bir sızma (intrusion) olduğunu gösterir. Bununla birlikte beklenmedik intrusion stratejileri sezebilecek potansiyele sahip değildir.
MDS ise denetlemelerde aranabilecek numune ve imzalar gibi kişisel bilindik saldırıları sunabilme temeline dayanır. Bir MDS (bir çok antivirüs programları gibi) bilinmedik sisteme sızma stratejileri için etkisiz kalır ve sürekli güncellenme gerektirir. MDS için data kazancı önemli bir noktadır; gerekli imzaları elde edebileceği bütün ve up-to-date saldırı stratejilerini kaynaklarına gereksinim duyar. MDS spesifik özellikteki örnek ve imzalara baktığından kurnazca değişiklik göstermiş olan bilindik “intrusion” stratejileri kaçırılabilir. Aynı zamanda rastlantısal biçimde benzer bilindik örnek veya imzanın bulunduğu “non-intrusive” aktivite de yanlış değerlendirebilir. Özet olarak, MDS bilindik sızma davranışlarını algılamaya çalışırken ADS bilindik yöntemlerden yani normal davranışlardan sapma gösteren davranışları algılamaya çalışır.
IDS ayrıca “pasif” ve “aktif” olarak alt gruplara bölünebilir. Bir pasif IDS, analizlerini buldukları ile ilgili “after-the-fact” özeti bırakarak “off-line” gerçekleştirir. Bir aktif IDS ise analizlerini gerçek zamanlı olarak gerçekleştirir ve uygun sayım değerlerini “on-line” olarak alabilir. Çoğu operasyonel IDS genellikke pasif moda düşer. Bununla birlikte aktif IDS’in “reactive” ve “proakftif” durumları mümkündür. Önceden IDS sisteme bir sızma farkettiği zaman şüpheli olan işlemi sonlandırabilecek veya o kullanıcıyı sistemden koparabilecek bir cevap verirdi. Daha sonraki durumda ise IDS bir sızma durumu olmasını beklememektedir fakat bunun yerine önceden bazı ölçümler yapıp, tüm kullanıcı işlemlerini sorguya çekip, bunlardan onaylanmamış olanlarına son verecektir.
Hem ADS hem de MDS çalıştırdıkları analiz stratejileri şartlarına göre sınıflandırılabilirler. ADS için kullanıla üç temel yaklaşım, istatiksel profiller, önceden tahmin ederek numune üretimi, neural ağlar. İstatiksel yaklaşımda profilin davranışı her konu için önceden üretilir ve profilden konunun esas davranışının sapması sürekli olarak kontrol edilir. İstatistiksel bir profil üretmek için hangi davranışsal ölçümlerin dahil edileceği bir soru işaretidir fakat tipik örnekler şöyledir, “kesystroke” hızı, kullanılan CPU zamanı, yapılmış ağ bağlantıları sayısı, başarısız “log-on” denemeleri, vs. Önceden tahmin ederek numune üretimi ise iliştirilmiş olası olaylar ile bir takım kurallar kullanarak konunun önceki peşisıra gelen davranışlarına bakarak sonrakileri tahmin etmeye çalışır. Sonuçlar ise tahmin edilenden çok fazla saptığı zaman sisteme bir sızma olduğu anlaşılır. Neural ağlar kullanıcı komut ve hareketleri temsilinden oluşan çalışma grubu kullanarak konununun önceki peşisıra gelen davranışlarına bakarak sonrakileri tahmin etmeye çalışır. Bu çalışma yapıldığında ağ bağlantılarında depolanmış davranışsal profil ile her hareketi karşılaştırır. Her uygunsuzluk profilden konu davranışına olan bir sapmayı gösterir.
MDS için altı büyük yaklaşım “keystroke” izleme, kural temelli, model temelli, durum geçiş analizi, numune eşlemesi ve kontrol döngü ölçmüdür. “Keystroke” izleme bilindik saldırı örneklerine karşı kullanıcı “keystroke”larını izler.Kural temelli yaklaşım içinde farklı sızma senaryoları bulunduran bir veritabanı barındıran bir uzman sistem kullanır ve örneklerini sistem denetimi veya log dosyasından sağlar. Tam tersi bir yaklaşımla model temelli yaklaşım verilmiş bir sızma senaryosunu sadece özel bazı hareketleri takip ederek sonuca varılabileceğini ileri sürer ve üç bileşenden oluşur – bilgi tabanı senaryo modelleriden şu anki senaryonun bir sonraki adımını tahmin etmeye çalışan “anticipator”; bu hipotezi denetleme mekanizması davranışına dönüştüren bir planlayıcı; ve denetleme mekanizmasını bu davranış için araştıran bir tercüman.
Durum geçiş analizi yalaşımı, sistemin çalışırken ve varolan sızmaları farketmesi durumunda güvenli durumdan özel duruma geçişi gerçekleştirmesi gereken savunma durumu koşullarında, sistemin durum geçişlerinin analizini yapar. Numune örnekleme modeli ise bilindik kullanıcı “intrusion signature” larını örnekler olarak belirler ve bunları gelen “audit trail” bilgileriyle eşler. Son olarak da kontrol döngü modeli ise odaklanılmış dış davetsiz misafirlerin aktivitelerini bir kontrol döngüsü olarak izler ve kontrol döngü imzası oluşturabilmek için davetsiz davetsiz misafirin ağ trafiğinin oluşturduğu zaman serisi bilgilerine DSP (digital signal processing) uygular.
Genel ortak karar hem ADS hem de MDS’den oluşan bir IDS tekniğinin gerekli olduğu yönündedir. Bu tür bir sistemde, MDS bileşeninde oluşmuş bri tamamlanmamış imza kümesi yüzünden oluşan bir olumsuzluk, özel saldırı stratejileri spesifik bilgisine ihtiyaç duymayan bir istatistiksel ADS bileşeni tarafından yakalanabilir.
3.12 “Intelligent Intrusion” karakteristik Analizi
IDS geliştirmekteki anahtar sorun yasal olmayan davranıştaki örnekleri farketme ve onlara gerçek zamanlı olarak yanıt verebilmektir. Bu alandaki araştırmacılar, sistemlerinin hileli veya anormal davranışları gerçek zamana yakın bir zamanda sezebilecek çeşitli akıllı teknolojiler geliştirmişlerdir.
IWAAS projesinde, sisteme sızma karakteristiklerini analizleme görevini mali sektörde kullanılan tekniklere adapte etme, risk yönetimi ve davranışsal tahminde bulunma bu araştırma üzerinde kurulması düşünülmüştür. Bu projeye benzer bir proje de TRACK adında ki ESPRIT-funded projesidir. Bu proje “neural” ağlar, bankalardan birden çok ürün kullanımında bulunmuş müşterilerin davranışsal profillerini belirleyen istatiksel analizler gibi zeki teknolojiler kullanır. “Cross-product marketing” avantajlardan kurumların faydalanmalarını sağlamak ve hileli kullanım örnekleri tespit etmek amaçlarını güdülmüştür.
3.13 ADS Konseptinin metodolojiksel gelişimi
IDS sistemleri sadece bilgisayar ve iletişim ağlarındaki dijital saldırılarla ilgilenirler. Saldırgan IW operasyonları nasıl diğer saldırı türlerini kapsar, fiziksel ve psikolojik saldırıları da barındırır. Buna ek olarak geniş çaplı zeki bir hazırlık etkili bir IW saldırısından önde olmalıdır. IDS bu zeki hazırlanmanın siber alandaki parçalarını belirleyebilirken diğer zeki aktivitileri belirleyemeyecektir.
ADS daha önceden tasarlandığı gibi IDS’e ek olarak kaynaklardan sağlanacak olan girdilere ihtiyaç duyar. Böyle bir toplama ve bütünleştirme sistemi ilk olarak: metodolojik yapı ve meta-data tanımı; ikinci olarak örnek veri toplanması; üçüncü olarak da IDS tarafından alınmış verinin birleştirilmesine ihtiyaç duyar. Şüphesiz, önemli metodolojik girdi var olan anti-terörist uyarı sistemlerinden sağlanabilir fakat IWAAS’in bu bileşenenin belirlenmesi için daha fazla araştırma gerektirir.
3.2 Threat Assessment System
Tehdit değerendirme sistemi, istihbarat analisti için karar destek aracıdır. Operatörün İngilizce dilinde sorular sormasına imkan veren bir destek sistemi, IFS ( Intelligence Fusion Systems ), içerir. IFS sorulara olan cevapları organize edebilmek için üst ve alt kurallardan oluşan bir hiyerarşik kurallar vardır. IFS kural seti uzun dönemli bilgi tabanını ( Theat Data base ,TDB ) efektif bir biçimde sorgulamayı sağlar.
TAS üç tip soruya cevap verebilmek için dizayn edilmiştir. Karmaşıklıklığına göre küçükten büyüğe olarak bunlar: “x” den gelen tehdit nedir ? ( tehdit değerlendirmesi); Bir IW saldırısı işlemde mi ? ( I & W ); Saldırganın bir sonraki haraketi ne olacaktır ? ( COA ). Bu problemler zorlaştıkça, bu araştırma diğer sorulardan önce tehdit değerlendirmesi konusunda yoğunlaşıcaktır.
Tehdit değerlendirmesi
Amaç, ESA ( Empowered Small Agents ) tarafından veya yabancı durumlar tarafından ortaya çıkarılan IW tehditi seviyesinin sinyallerini nicel olarak oluşturmaktır. IFS her aktörden risk faktörlerini ölçebilmek için TDB üzerinde çalışacaktır. Gerçek dünyadan gelecek olan girdilerdeki değişikliklere olan cevaplara göre tetiklenmiş sinyallerin değiştireceği tehdit indeksini expert sistem birleştireceğinden tehdit indeksleri dinamik olacaktır.
IW tehditleri geleneksel askeri tehditleri gibi kolayca ölçülemeyeceğinden, IWAAS expert sistem ve veri tabanlarını oluşturabilmekte kullanılacak metodları geliştirmede yardımcı olabilmek için çeşitli araştırma disiplinleri incelemektedir. Üstte belirtilen nedenlerden dolayı odak nokta, IW sorununa paralellik gösteren açık kaynaklı akademik, iş ve yönetim yaklaşımıdır.
İncelenen disiplinler : i ) politik risk analizi ii ) etnik çatışma erken uyarısı iii ) Low-intensity çatışması erken uyarı sistemi iv ) geleneksel askeri uyarı sistemleri anti terörist ve anti-criminal erken uyarı sistemleri.
Bu projenin amaçlarından sadece politik risk analizi bu raporun konusudur. TAS’in bazı materyallerinin ana hatlarını vermek, bu proje veri tabanları ve uzman sistemlerin ciddi şeklini canladırmayı sunar fakat bu şekil tam anlamıyla adapte edilememiş olabilir.
W ve COA tahmini
IWAAS geliştirilirken dikkat tehdit değerlendirilmesinden atak sinyalleri ve uyarıları ve düşmanın hareket yönünü tahmin etme olayını geliştirmeye kaymıştır. I & W ve COA tahmini geliştirmede IFS ve TDB ayrılmış hassas şablonlar yardımıyla arabirim görevini üstlenecektir. Numune eşleme teknikleri, TDB’de birleştirilmiş olan aktivite örnekleri ve tahmin edilen ataklar ile gerçek zamanlı olay verisini ilişkilendirir.
Aslında, amaç IW saldırılarının ortaya çıkarılmış bir örneğini almak ve bunu önceden hazırlanmış şablonlarla eşlemektir. Örneğin, atak imzaları, saldırının tipini türünü belirleyebilmek içim IW metodları veritabanıyla, saldırının operasyonel seviyedeki amaçlarını belirleyebilmek için amaçlar veritabanıyla ilişkilendirilir. Bu bilgiler aynı zamanda Motives ve Capablities veritabanlarıyla saldırganı belirleyebilmek, niyetini anlayabilmek ve COA’larını belirleyebilmek amacıyla eşlenir.
3.2.1 IFS (Intelligence Fusion System)
Karar destek sisteminin özü gerçekleri ve uzman görüşünü bir bilgi tabanına dahil edecek bir uzman sistemidir. İlk aşamada çıktı, tehdit değerlendirmesi formatında olacaktır. Uzman sistem analistin TAS’ıbir düşman tehlikesini değerlendirme olasılığını değerlendirme için sorgulamasına izin verir. Analist şu sorulara cevap vermek isteyecektir:“X’in ( potanisyel saldırgan ) herhangi bir askeri kaynağı veya bir kampanya yürütmek için teknolojik kapasitesi var mı ?”; “Eğer X saldırırsa en olası metod ne olacaktır ?”; “Bu tehditin olasılığı azlıyor mu artıyor mu ?”; “Hangi uyarının sinyalleneceği hakkında bir eşik var mı ?”
IFS tarafından sağlanan tehlike değerlendirme tipleri iki fonksiyon olarak alt gruplara ayrılabilir – Bir erken uyarı sistemi ( Early Warning System – EWS ) ve bir temel analitik aracı ( Fundamental Analytical Tool (FAT) ),
EWS: EWS’nin amacı muhtemel IW tehlikelerine karşı çabuk gözatan bir uyarı ve tanımlama sağlamaktır. Belirli yerlerden gelen ve tekrarlanan IW saldırıları gibi spesifik olaylar hakkında veri toplayarak EWS varolan IW tehlike ortamındaki değişiklikleri izler ve “surprise effect”i kısıtlayabilmek için aktivite örneklerindeki değişiklikleri belirler. EWS dizaynındaki esas kriter bir bölge veya ülkedeki politik, ekonomik veya teknik trendleri izleyebilecek kapasitesidir ve eski ve yeni çeşitli verileri birleştirmektir.
FAT: EWS’nin tam tersine Fundamental Analytical Tool (FAT), özel bölgelerde ve tek ülkede uzun dönemli IW trendlerine tercümanlık yapmada yardımcı olur. Bu nedenden dolayı FAT senaryo analizleri yapmada ve IW-defensive olasılı davranışlarını tasdik etme, onarma ve uygulamada kullanışlı bir araçtır. Çok daha çeşitli veri kümesine ihtiyacı olduğundan EWS’e göre çok daha kompleks bir yapıya sahiptir. FAT, IW perspektifine göre bir ülke veya bölgenin iç politik ve sosyo-ekonomik yapısını anlamaya yardımcı olacak şu an ki ve tarihsel istatistiklerini analiz edebilmelidir.
ES iteratif bir tarzda geliştirilecektir. Bilgi artan şekilde uzmanlardan sağlacaktır. Bu daha sonra bilgi tabanına dönüşürülecek ve yeni bir bilgi sağlanması başlamadan önce uzmanlar tarafından test ve tasdik edilecektir. Problem domain’nini alt domain’lere bölerek her bir alt domain’i ayrı ayrı incelemek yarar sağlayacaktır. Bu aşağıdaki diyagramda gösterilmiştir.
Factors / Tasks Concepts / Sub-domains Rating /Score
Şekil 1. Intelligence Fusion System Taslağı
Uzman sistemin gekiştirilmesi, uluslararası kurumlar için geliştirilmiş karşılaştırılabilir ticari sistemler üzerine kurulabilir. Bu tür sistemlerin amacı alternatif haraket yönlerini sonucunu tahmin ederek şirkete nereye yatırım yapacağına karar vermesi konusunda yardımcı olmaktır.
3.22 Threat Data Base
IWAAS araşrıma programı dahilinde olası tehdit veri tabanları yapısı ve içeriği, yukarıda bahsedilen çeşitli araştıma disiplinleri baz alınarak çalışılmıştır. Bunlar IW tabanına, uzman oylaması ve tarihsel durum çalışması süreciyle adapte edilecektir.Bu raporun amaçlarından dolayı bir olası yapı, politik risk metodolijisi, daha ayrıntılı incelenecektir.
Veri tabanı geliştirmekteki ilk ve kritik adım modellemedir. Bir model yaratarak, veri tabanı tarafından sunulması gereken spesifik durumların veya ihtiyaçların anlaşılmasını artırmak mümkündür. Yeni verilerin veya yeni meta-data’ların eklenmesine olanak sağlayacak esneklikte veri tabanları yaratmak önemlidir. Bundan başka, model tasarımcıları, veri tabanının profösyönel analistlere şu an ki ve gelecek parametreleri tanımlayarak analizlerine yeniden biçim vermelerini sağlayacak yetenekleri nasıl verebileceğini değerlendirmesi gerekir. Son olarak, istenen önemli değişkenlerin büyük miktarda bilgililerden çekip çıkrılması için model hızlı veri indirgemesine izin vermelidir.
TDB’nin ana karakteristiklerinden biri gömülü disiplinli yapısıdır. Çeşitli ülke ve kaynaklar için ekonomik, politik,stratejik ve teknik bilgiyi birleştirmelidir. Bu karakteristikler data modelleme işlemini kompleks bir hale dönüştürmüştür. Bu sorunu çözecek ve IW tehdit değerlendirmesinde önemli sosyo-politik verileri sayacak bir yaklaşım zaten sigorta ve mali kurumlar tarafından geniş çaplı kullanılan Political Country Risk Analysis (PCRA)’i adapte etmektir. İş ve idari koşullarda PCRA, iş çevrelerinin doğasındaki beklenmedik değişiklik olasılığının değerlendirilmesidir. PCRA, bir ülkenin içişleri veya uluslararası politik ve ekonomik insiyatiflerinden iş organizasyonları için ortaya çıkan risk miktarını ölçebilmek için nitel ve nicel veriler kullanır.
PCRA’nın belirli karakteristikleri şöyledir: i) Ülkesel veya bölgesel değişiklerin iç ve dış elementlerinin tanımı ii) Durum nedenleri yüzünden belirtilerin ayrılması; iii) Sosya-ekonomik değişkenlerin birleşimini bir çok ülkeye uygun hale getirmek; iv) Güvenilir bilgi ve veri kaynağının geliştirilmesi.
PCRA mikro ve makro seviylerde gerçekleştirilebilir. İlk durumda, spesifik endüstri (input-market output market ve çekişme) ve şirket (yönetim problemleri, sorumluluk ve davranışsal önemli noktalar) kararsızlık seviyelerini anlama konusunda odaklanır. Makro PCRA ulusal ve bölgesel sosyo-ekonomik kararsızlık gibi genel çevresel kararsızlık üzerine odaklanmıştır.
The Economist de dahil olmak üzere bir çok PCRA modeli geliştirilmiştir, Business Environment Risk Intelligence (BERI) ve World Political Risk Forecasts, Political Risk Services tarafından geliştirilmiştir. Bu modellerin herbiri iç politik kararsızlığın seviyesinden silahlı isyan ve etnik tanisyona kadar değişen sosyal ve politik değişkenlere temellendirilmiştir. Analizin esas kısmı, akademik sosyal ve politik konularda güçlü bilgisi olan uzmanların oluşturdğu ağ tarafından sağlanır. Bu PCRA’ların ürünleri bir seri istatistiksel ve matematiksel uyarlama temel alınmış resmi reyting sistemleridir. Basit yapısı nedeniyle sıklıkla eleştirilmesine rağmen reyting sistemleri bazı avantajlara sahiptirler. Öncelikle, uzman olmayanlara ülke riski hakkında temiz ve şüphesiz belirti sağlarlar. İkinci olarak ülkeler veya bölgeler arasında kolay karşılaştırma sağlarlar. Aynı zamanda resmi reyting sistemlerinin dezavantajları derin ülke risk raporlarıyla örtülebilir.
PCRA’nın etkisi kesin olarak iki elamana bağımlıdır: modelin istatistiksel ve matematiksel kuruluşu ve veri miktarının niteliği. Sonraki faktör ise veri tabanı geliştirmedeki ikinci kritik adıma karşılık gelen veri seçimi ve dönüşümüdür.
Veri tabanının performansı direk olarak iki faktöre bağlıdır: veri güvenliği ve veri sürekliliği. Birincisi veri, nitel olgular ve uzman görüşlerinin göründüğü gibi olduğunu düşünür. Bu sadece veri yığını üzerine sıkı kontrol koymakla mümkündür. Veri sürekliliği ise sonraki yıllarda trend analizini mümkün kılabilmek için benzer bilginin ve düzenli güncellemenin zorluğundan sözeder.
Bu raporun amaçlarından dolayı PCRA’nın bir biçimi adapte edildiği farzedilmiş ve bu model TDB’nin bileşenleri olarak dört veri tabanının inşasına ihtiyaç duyar. Bunlar i) Capabilities; ii) Motives; iii) Objectives; iv) Methods.
i)Capabilities Veri Tabanı
Bu veri tabanının amacı şu veri kümelerine bakarak ülke/ESA IW yetenekliliklerini tarif etmektir: ekonomik veriler; yerli IT market verileri; çalışma durumu; ulusal IT programları; askeri ve istihbarat yeteneklilikleri.
ii) Motives Veri Tabanı
Bu veri tabanı bir kişinin IW saldırısına başlayacağı yüksek seviyede sosyo-politik-stratejik olasılığını hakkında ölçümler sağlar. Bu veri tabanının modellemesi şunları içeren ilk teorik adımlara ihtiyaç duyar: Çeşitli ülkelere uygulanabilecek bir kritere, sosyo-politik değişkenleri birleştirme, sağlamlık ve değişkenliğin iç ve dış sebeplerini belirleme. Motives veritabanı üç değişken üzerinde yoğunlaşacaktır: içişleri durumu; uluslararası ilişkiler; stratejik görünüm.
iii) Objectives Veri Tabanı
Bu veri tabanı bir IW saldırısının operasyonel seviyedeki amaçları hakkında ölçümler sağlar. Bu veri tabanı senaryo temelli olacak ve hassas değerlendirme çalışmalarından elde edilecektir. Geliştirilecek senaryo kategorileri şunları içerecektir: Major Strategic Attack; Strategic Attack; Regional/Local Attacks; Espionage; Criminal; Nuisance
iv) Methods Veri Tabanı
Bu veri tabanı bir IW saldırısının araçları teknikleri ve metodları üzerinde bilgi sağlayacaktır. Bu verilerin büyük bir kısmının hükümet ve özel sektörün elindeki veri kümeleri tarafından sağlanabildiği halde, güncelleme, istatistiksel coğrafi analiz, tasdik ve diğer veri tabanları ile integrasyona gereksinim duyar.
4 Sonuç
IW tehlikesine karşı etkili bir savunma, etkili bir tehdit değerlendirmesi ve erken uyarı sistemini temel almalıdır. Bir analistin vurguladığı gibi, “bir IW yetenekliliği... zeki savunma elemanları ile desteklenmeli, geleneksel savaştaki I &W yetenekliliklerinde denk düştüğü gibi. Çoğu savunmasal IW ölçümlerini başarılı bir biçimde kullanabilmek için, biri diğerinin bilgi sistemine olan saldırıları belirlemeli, lokalize etmeli ve teşhis etmelidir.” Bu taktikten stratejiğe kadar tüm seviyelerde geçerlidir. Taktiksel seviyede, sınırlı InfoSec kaynakları sadece eğer yapısal tehdit değerlendirme işlemi tarafından rehberlik edilirse en iyi bir şekilde uygulanabilir. Stratejik seviyede ise, IW simülasyonları göstermiştir ki, policymaker’lar tarafından karşı karşıya kalınan en önemli sorunlardan biri ulusal altyapılar için tehdit değerlendirmesi ve erken uyarı mekanizmaları geliştirmektir.
IWAAS bu gereksinimleri karşılayacak kavramsal bir mimari sağlar. Taktik seviyesinde, bireysel ağlarda veya ağların ağlarında intrusion detection ile yardım edebilmek için ortaya çıkan analitik teknikleri adapte etmeyi içerir. Ayrıca birleşmiş non-cyber IW elemanları ile cyber saldırılarındaki verileri birleştirmeyi amaçlar. Daha yüksek bir seviyede, bir IW çevresinde kullanılmak için hangi tehdit değerlendirme ve erken uyarı metodolojilerinin değerlendirilip adapte edileceği konusunda araştırma çatısı sağlar.
IWAAS projesi henüz erken aşamalarında olmasına rağmen US Presidential Commission on Critical Infrastructure Protection (PCCIP) gibi kurullar tarafından belirlenmiş öncelikli belirlenmiş önemli isteklere cavap verebilir. Ekim 1997’de PCCIP Chairman Robert Marsh USA’de şunun dikkatini çekmiştir, “Komisyonun inanacağı, gerçek zamanlı belirleme, tanımlama ve yanıtlama araçlarında tipler üzerindeki çok az R&D çabası önemlidir.” Ve bu konudaki araştırmaları iki katına çıkarmayı önermiştir. Aynı zamanda kurumu “public-private Information Warning and Analysis Centre” kuruluşunu tavsiye etmiştir. IWAAS, bir kurumun ihtiyacı olan tam bir karar destek aracı tipidir.
Kısatlamlar
ADS Attack Detection System
COA Course of Action
ESA Empowered Small Agents
EWS Early Warning System
FAT Fundamental Analytical Tool
IDS Intrusion Detection System
IFS Intelligence Fusion System
IW Information Warfare
IWAAS Information Warfare Attack Assessment System
TAS Threat Assessment System
TDB Threat Data Base
- Yorum yazmak için giriş yapın veya kayıt olun