İstihbarat 101: Siber Tehdit İstihbaratı (CTI) Nedir? Neden Gereklidir?

müfettiş

müfettiş

Moderatör
Katılım
20 Ocak 2024
Mesajlar
325
Tepkime puanı
1
Puanları
18

images.jpeg

İstihbarat 101: Siber Tehdit İstihbaratı (CTI) Nedir ve Neden Gereklidir?​

Sun Tzu, asırlar önce yazdığı Savaş Sanatı eserinde şöyle der: "Düşmanı ve kendini tanıyorsan, yüzlerce savaşa girsen bile tehlikede değilsin demektir." Bu felsefe, mızrakların ve kalkanların yerini kod satırlarının ve algoritmaların aldığı modern siber savaş alanında hala geçerliliğini korumaktadır.

Günümüz dijital dünyasında kurumlar, görünmez düşmanlar tarafından sürekli kuşatma altındadır. Saldırganların kim olduğunu, nasıl saldırdığını ve hedeflerinin ne olduğunu bilmeden yapılan savunma, karanlıkta yumruk sallamaya benzer. İşte bu noktada Siber Tehdit İstihbaratı (Cyber Threat Intelligence - CTI) devreye girer. CTI, veriyi bilgiye, bilgiyi ise eyleme dönüştüren stratejik bir güçtür.

Bölüm 1: Siber Tehdit İstihbaratı (CTI) Nedir?​

Siber Tehdit İstihbaratı; bir organizasyonun güvenliğini tehdit eden mevcut veya potansiyel saldırılar hakkında toplanan verilerin, analiz edilerek anlamlı ve eyleme geçirilebilir (actionable) bilgilere dönüştürülmesidir.

Ancak burada kritik bir ayrım yapmak gerekir. CTI, sadece veri toplamak değildir.
  • Veri (Data): Tek başına anlam ifade etmeyen ham sayılar veya göstergelerdir (Örn: Bir IP adresi: 192.168.1.1).
  • Enformasyon (Information): Verinin bağlam kazanmış halidir (Örn: Bu IP adresi, bilinen bir saldırgan grubuna aittir).
  • İstihbarat (Intelligence): Analiz edilmiş, doğrulanmış ve karar vericilerin adım atmasını sağlayan bilgidir (Örn: Bu IP adresi, 'APT29' grubu tarafından finans sektörünü hedef alan yeni bir oltalama kampanyasında kullanılmaktadır, güvenlik duvarında X kuralı ile engellenmelidir).
CTI, kurumların "tepkisel" (reaktif) bir güvenlik anlayışından, "önleyici" (proaktif) bir güvenlik anlayışına geçmesini sağlayan yakıttır.

İstihbarat Yaşam Döngüsü​

CTI rastgele yapılan bir işlem değildir; döngüsel ve sürekli bir süreçtir. Bu süreç genellikle 6 aşamada tanımlanır:
  1. Planlama ve Yönlendirme: Neyin korunması gerektiği ve hangi sorulara cevap arandığı belirlenir.
  2. Toplama: Açık kaynaklar (OSINT), dark web, teknik veriler ve insan istihbaratı gibi kanallardan ham veri toplanır.
  3. İşleme: Toplanan veriler ayıklanır, normalize edilir ve analize hazır hale getirilir.
  4. Analiz: En kritik aşamadır. Veriler arasındaki bağlantılar kurulur, "ne, neden ve nasıl" soruları cevaplanır.
  5. Dağıtım: Elde edilen istihbarat, doğru formatta doğru kişilere (C-level yöneticilerden SOC analistlerine kadar) iletilir.
  6. Geri Bildirim: İstihbaratın işe yarayıp yaramadığı değerlendirilir ve döngü yeniden başlar.

Bölüm 2: CTI Türleri ve Hedef Kitleleri​

Siber istihbarat tek tip değildir; tüketicisine ve kullanım amacına göre üç ana kategoride incelenir. Buna "İstihbarat Piramidi" denir.

1. Stratejik İstihbarat (Üst Düzey Karar Vericiler İçin)​

Bu istihbarat türü, teknik detaylardan arındırılmıştır ve genellikle "Kim ve Neden?" sorularına odaklanır. Yönetim kurulları, CISO'lar ve üst düzey yöneticiler için hazırlanır.
  • İçerik: Sektörel risk trendleri, jeopolitik gelişmelerin siber uzaya etkileri, saldırgan grupların motivasyonları ve finansal etkiler.
  • Örnek: "Doğu Avrupa'daki gerilim nedeniyle enerji sektörümüze yönelik devlet destekli siber saldırı riski %40 artmıştır."

2. Operasyonel İstihbarat (Güvenlik Yöneticileri ve Avcılar İçin)​

Saldırganların davranışlarını, yöntemlerini ve niyetlerini anlamaya odaklanır. "Nasıl?" sorusuna cevap arar.
  • İçerik: TTP’ler (Tactics, Techniques, and Procedures - Taktikler, Teknikler ve Prosedürler). Saldırganın içeri nasıl sızdığı, yatayda nasıl hareket ettiği ve veriyi nasıl çıkardığı incelenir. MITRE ATT&CK çerçevesi burada sıkça kullanılır.
  • Örnek: "Lazarus grubu, X yazılımındaki bir açığı kullanarak sistemlere sızıyor ve ardından RDP protokolü üzerinden yanal hareket gerçekleştiriyor."

3. Taktiksel İstihbarat (SOC Analistleri ve Sistemler İçin)​

En yaygın ve en teknik istihbarat türüdür. "Ne?" sorusuna odaklanır ve genellikle otomatize edilebilir.
  • İçerik: IOC’ler (Indicators of Compromise - Uzlaşma Göstergeleri). Kötü amaçlı IP adresleri, dosya özetleri (hash), URL’ler ve alan adları.
  • Örnek: "Şu SHA-256 hash değerine sahip dosya zararlıdır, antivirüs veritabanına eklenip engellenmelidir."

Bölüm 3: Siber Tehdit İstihbaratı Neden Gereklidir?​

Pek çok kurum "Biz zaten firewall ve EDR kullanıyoruz, neden ayrıca istihbarata bütçe ayıralım?" diye sorabilir. İşte CTI'ın bir lüks değil, zorunluluk olmasının temel nedenleri:

1. Reaktif Savunmadan Proaktif Savunmaya Geçiş​

Geleneksel güvenlik, saldırı kapıya dayandığında alarm verir. CTI ise saldırgan daha hazırlık aşamasındayken sizi uyarır. Örneğin, şirketinizin çalışanlarına ait sızdırılmış parolaların dark web'de satıldığını tespit etmek, saldırgan bu parolaları kullanmadan şifreleri değiştirmenizi sağlar. Bu, yangını çıkmadan önlemektir.

2. Uyarı Yorgunluğunu (Alert Fatigue) Önleme​

Güvenlik Operasyon Merkezleri (SOC) her gün binlerce alarm alır. Bu alarmların çoğu "false positive" (hatalı alarm) olabilir. CTI, bu alarmları zenginleştirerek analistlerin hangisinin gerçek bir tehdit, hangisinin önemsiz olduğunu anlamasına yardımcı olur. Bağlam (context) sunarak zaman kaybını önler.

3. Daha Hızlı Olay Müdahalesi (Incident Response)​

Bir saldırı gerçekleştiğinde, analistlerin en büyük sorunu belirsizliktir. "Bu dosya ne yapıyor? Arkasında kim var?" sorularıyla vakit kaybetmek yerine, CTI sayesinde; "Bu saldırı X grubuna ait, genellikle şu kayıt defteri anahtarlarını değiştirirler" bilgisine sahip olmak, müdahale süresini saatlerden dakikalara indirebilir.

4. Yatırım Kararlarını ve Risk Yönetimini İyileştirme​

Her şirket sınırsız bütçeye sahip değildir. Stratejik istihbarat, kurumun hangi tehditlere daha açık olduğunu gösterir. Eğer sektörünüzde en büyük tehdit fidye yazılımları (ransomware) ise, bütçenizi DDoS korumasından ziyade veri yedekleme ve oltalama eğitimlerine kaydırmanız gerektiğini söyler. Veriye dayalı yatırım yapılmasını sağlar.

5. İşbirliği ve Bilgi Paylaşımı​

Siber suçlular kendi aralarında muazzam bir bilgi paylaşım ağına sahiptir. Bir saldırganın geliştirdiği kodu diğeri kullanır. Savunma tarafının da aynı şekilde organize olması gerekir. CTI, kurumların tehdit bilgilerini (örneğin STIX/TAXII protokolleri ile) paylaşarak kolektif bir bağışıklık sistemi oluşturmasına olanak tanır.

Bölüm 4: Zorluklar ve Gelecek​

CTI her derde deva sihirli bir değnek değildir. En büyük zorluğu "gürültü" (noise) faktörüdür. Çok fazla veri, doğru analiz edilmezse istihbarat değil, kafa karışıklığı yaratır. Ayrıca, nitelikli siber istihbarat analisti bulmak küresel bir sorundur.

Gelecekte, Yapay Zeka (AI) ve Makine Öğrenimi (ML) CTI süreçlerinde daha fazla rol alacaktır. Saldırı verilerinin otomatik analizi ve tehditlerin insan hızından çok daha hızlı bir şekilde tahmin edilmesi, AI destekli CTI araçları ile mümkün olacaktır.

Sonuç​

Siber Tehdit İstihbaratı, modern siber güvenliğin beynidir. Sadece duvarları yükseltmek yerine, kapının dışındaki tehlikeyi anlamamızı sağlar. Kurumlar için CTI kullanımı; sürpriz saldırı riskini azaltır, müdahale süresini kısaltır ve güvenlik yatırımlarının en doğru yere yapılmasını garanti eder.

Siber savaş alanında kazananlar, en kalın duvarlara sahip olanlar değil; yaklaşan fırtınayı en erken görenlerdir.
 
Cevap yazmak için giriş yap yada kayıt ol.
Geri
Üst