Haber ve Duyuru Analizi: RSS ve Sosyal Medya Akışlarını Tehdit Takibine Dönüştürme

müfettiş

müfettiş

Moderatör
Katılım
20 Ocak 2024
Mesajlar
325
Tepkime puanı
1
Puanları
18
Content-Blog-Banner_Q3-2023_1125x600_73-Social-Media-Platforms.png

Haber ve Duyuru Analizi: RSS ve Sosyal Medya Akışlarını Tehdit Takibine Dönüştürme​

Günümüzde sorun bilgiye ulaşmak değil, bilgi obezitesi (infobesity) ile başa çıkmaktır. Her gün milyonlarca tweet atılıyor, binlerce haber giriliyor ve yüzlerce güvenlik zafiyeti (CVE) yayınlanıyor. Bir analist için bu akışı manuel olarak takip etmek imkansızdır.

Ancak bir siber saldırı veya kriz anında, ilk öğrenen kazanır.Haber ve duyuru analizi; bu kaotik veri akışını, şirketiniz veya kendiniz için anlamlı, filtrelenmiş ve eyleme geçirilebilir bir Tehdit İzleme Sistemine dönüştürme sürecidir.

Bölüm 1: Neden Haber Takibi Bir İstihbarat Faaliyetidir?​

İstihbaratta "Durumsal Farkındalık" (Situational Awareness) diye bir kavram vardır. Etrafınızda neler olup bittiğini bilmek demektir.
  • Senaryo 1 (Zafiyet Takibi): Kullandığınız X yazılımında kritik bir açık bulundu. Hackerlar bunu sömürmeye başlamadan önce haberi görüp yamayı yapmalısınız.
  • Senaryo 2 (Marka İtibarı): Birileri Twitter'da "X Bankası hesabım boşaltıldı" diye yazmaya başladı. Bu tekil bir olay mı, yoksa bankaya yönelik büyük bir siber saldırının ilk sinyali mi?
  • Senaryo 3 (Fiziksel Güvenlik): Şirketinizin fabrikasının olduğu şehirde büyük bir protesto veya doğal afet haberi düştü.
Bu senaryoların hepsinde zamanlama hayatidir. Algoritmaların size ne göstereceğine güvenemezsiniz; kendi haber merkezinizi kurmalısınız.

Bölüm 2: RSS – İstihbaratın Unutulmuş Kralı​

Sosyal medya algoritmaları size "ilginizi çekecek" şeyleri gösterir (kedi videoları gibi). Ancak RSS (Really Simple Syndication), size sadece istediğiniz şeyleri, kronolojik sırayla ve sansürsüz gösterir.

Profesyonel istihbaratçılar RSS'e bayılır çünkü:
  1. Gürültü Yoktur: Reklamlar, yorumlar veya önerilen içerikler yoktur. Sadece başlık ve içerik vardır.
  2. Merkezi Takip: 500 farklı siber güvenlik blogunu, devlet duyuru sitesini ve haber kaynağını tek ekrandan takip edebilirsiniz.

Araçlar: Feedly ve Inoreader​

Bu araçlar modern RSS okuyucularıdır.
  • Keyword Alerts (Anahtar Kelime Alarmları): Feedly'de "Ransomware" AND "Energy Sector" diye bir kural oluşturursanız; takip ettiğiniz 1000 kaynak içinde bu kelimeler geçtiği anda size bildirim gelir. Bu, samanlıkta iğne aramayı bırakıp, iğnenin parlamasını beklemek gibidir.

Bölüm 3: Google Alerts ve Gelişmiş Sorgular​

Web'in tamamını taramak için Google Alerts en basit ve etkili araçtır. Ancak "Şirket Adı" yazıp bırakırsanız posta kutunuz çöp ile dolar.

İstihbarat Odaklı Kullanım:Google Dorking mantığını burada da kullanmalısınız.
  • Marka Takibi: "Şirket Adı" -site:sirketadi.com (Kendi sitem hariç, şirketimin adının geçtiği yerleri bul).
  • Sızıntı Takibi: "Şirket Adı" AND ("hacked" OR "leaked" OR "database") (Şirket adımla birlikte hacklenme kelimeleri geçerse haber ver).
  • Dosya Takibi: "Şirket Adı" filetype:pdf "gizli" (İnternete şirketimle ilgili gizli bir PDF düşerse haber ver).

Bölüm 4: Sosyal Medya İstihbaratı (Real-Time Monitoring)​

Haber siteleri olayları 1 saat sonra yazar, Twitter (X) ise anında yazar.

1. TweetDeck (X Pro)​

Siber güvenlik dünyası Twitter'da yaşar. TweetDeck, borsacı ekranı gibi çoklu sütunlar oluşturmanızı sağlar.
  • Sütun 1 (Sektör): #CyberSecurity, #Infosec, #Ransomware etiketleri.
  • Sütun 2 (Marka): @SirketAdi veya SirketAdi geçen tweetler (Mention atılmasa bile).
  • Sütun 3 (CVE Takibi): #CVE etiketiyle paylaşılan yeni zafiyetler.

2. Reddit ve Forumlar​

Teknik sorunlar ve sızıntılar genellikle Reddit'in r/netsec, r/sysadmin gibi alt forumlarında tartışılır.
  • Araç: F5Bot. Bu ücretsiz araç, Reddit'te belirlediğiniz anahtar kelime (örneğin şirketinizin kullandığı özel bir yazılımın adı) geçtiği anda size e-posta atar.

Bölüm 5: Değişiklik Takibi (Website Change Monitoring)​

Bazen haberin kendisi değil, bir web sitesindeki küçük bir değişiklik istihbarattır.
  • Senaryo: Rakibinizin web sitesindeki "Yönetim Kurulu" sayfasından CFO'nun resmi kaldırıldı. Bu henüz haber olmadı, ama şirkette bir kriz olduğunun işaretidir.
  • Senaryo 2: Bir fidye yazılımı grubu, sızıntı sitesine yeni bir şirket logosu ekledi.
  • Araçlar: Visualping, Distill Web Monitor. Bu araçlar, hedef web sitesini 5 dakikada bir kontrol eder ve piksel bazında bir değişiklik olduğunda (yeni bir yazı eklendiğinde veya silindiğinde) size ekran görüntüsüyle alarm üretir.

Bölüm 6: İstihbaratı Eyleme Dönüştürmek​

Veriyi topladınız, peki ne yapacaksınız?
  1. Doğrulama (Verification): Twitter'da "X bankası hacklendi" diyen hesap güvenilir mi? Yeni açılmış, yumurta kafa bir hesap mı? Dezenformasyon riskini eleyin.
  2. Önceliklendirme (Triage):
    • Kritik: Şirket adı ve "hack" kelimesi aynı cümlede -> CISO'yu uyandır.
    • Yüksek: Kullanılan işletim sistemi için yeni bir Zero-Day yayınlandı -> Yama ekibine haber ver.
    • Düşük: Sektörle ilgili genel bir makale -> Haftalık bültene ekle.

Sonuç: Erken Uyarı Sistemi​

Haber ve duyuru analizi, siber savunmanın "kule nöbetçisi"dir. Düşman surlara dayandığında değil, ufukta tozu dumana kattığında haber vermenizi sağlar.

RSS, Google Alerts ve sosyal medya izleme araçlarını doğru yapılandıran bir analist, sabah kahvesini içerken dünyadaki tüm gelişmelere hakim olur. Yapılandırmayan ise kriz anında ne olduğunu anlamaya çalışırken vakit kaybeder.
 
Cevap yazmak için giriş yap yada kayıt ol.
Geri
Üst