İstihbarat Döngüsü: Planlama, Toplama, İşleme, Analiz ve Yayım Aşamaları

müfettiş

müfettiş

Moderatör
Katılım
20 Ocak 2024
Mesajlar
325
Tepkime puanı
1
Puanları
18

Intel-Cycle-Wheel-Graphic.png

İstihbarat Döngüsü: Planlama, Toplama, İşleme, Analiz ve Yayım Aşamaları​

Siber güvenlik dünyasında sıkça düşülen en büyük hata, "istihbarat" kavramını sadece "veri toplamak" sanmaktır. Bir analistin elinde milyonlarca log dosyası, binlerce IP adresi veya terabaytlarca sızdırılmış veri olabilir. Ancak bu veriler işlenip, analiz edilip, doğru kişiye doğru zamanda sunulmadığı sürece sadece "dijital gürültü"dür.

Veriyi (Data) istihbarata (Intelligence) dönüştüren bu simyasal sürece İstihbarat Döngüsü (The Intelligence Cycle) denir. Bu döngü, istihbaratın kalbidir ve CIA'den modern siber güvenlik operasyon merkezlerine (SOC) kadar her yerde aynı prensiple çalışır.

Döngü 5 (bazen 6) temel aşamadan oluşur ve asla bitmez; son aşama, ilk aşamayı yeniden tetikler.

1. Planlama ve Yönlendirme (Planning and Direction)​

Her şey bir soruyla başlar. Bu aşama, istihbarat sürecinin en stratejik adımıdır. Eğer ne aradığınızı bilmiyorsanız, bulduğunuz şeyin bir değeri yoktur.

Bu aşamada PIR (Priority Intelligence Requirements - Öncelikli İstihbarat Gereksinimleri) belirlenir. Yöneticiler veya karar alıcılar şu soruları sorar:
  • "Rakibimiz kim?"
  • "Finans sektörünü hedef alan yeni fidye yazılımları neler?"
  • "CEO'muzun kişisel bilgileri Dark Web'de dolaşıyor mu?"
Planlama aşaması, kaynakların boşa harcanmasını önler. Analistin okyanusu kaynatmaya çalışması yerine, balığın olduğu yere ağ atmasını sağlar. Hedef kitle, kapsam ve bütçe burada belirlenir.

2. Toplama (Collection)​

Sorular belirlendikten sonra, cevapları barındıran ham verilerin toplanması aşamasına geçilir. Burası "ham madde" tedarik sürecidir. Siber istihbaratta toplama işlemi genellikle şu disiplinler üzerinden yapılır:
  • OSINT (Açık Kaynak İstihbaratı): Sosyal medya, haber siteleri, Whois kayıtları, GitHub depoları.
  • TECHINT (Teknik İstihbarat): Zararlı yazılım analizleri, IP repütasyon verileri, honeypot (bal küpü) logları.
  • HUMINT (İnsan İstihbaratı): Dark Web forumlarındaki gizli kaynaklarla kurulan iletişim veya içeriden bilgi sızdıran kişiler.
  • CLOSINT (Kapalı Kaynak İstihbaratı): Paralı tehdit istihbaratı akışları (Threat Feeds) veya özel raporlar.
Bu aşamada önemli olan "her şeyi toplamak" değil, "ilgili olanı toplamaktır". Aşırı veri toplama, analistlerin "analiz felci" (analysis paralysis) yaşamasına neden olabilir.

3. İşleme (Processing)​

Toplanan veriler genellikle dağınık, farklı formatlarda ve anlaşılmaz haldedir. Bir kaynak Rusça bir forum konuşması olabilirken, diğeri ikili (binary) kod formatında bir zararlı yazılım parçası olabilir.

İşleme aşaması, verinin analize hazır hale getirilmesidir:
  • Çeviri: Yabancı dildeki metinlerin çevrilmesi.
  • Decryption: Şifreli dosyaların çözülmesi.
  • Normalizasyon: Farklı formatlardaki (JSON, CSV, XML) verilerin standart bir yapıya (Örn: STIX formatı) getirilmesi.
  • Ayıklama (Data Reduction): Gereksiz (gürültü) verilerin elenmesi.
Bu aşama, mutfaktaki şefin (analist) yemek yapmaya başlamadan önce malzemeleri yıkaması, soyması ve doğramasına benzer.

4. Analiz ve Üretim (Analysis and Production)​

Burası sihrin gerçekleştiği yerdir. Artık elimizde "ne" olduğu belli olan veriler vardır; analiz aşaması "Peki bu ne anlama geliyor?" sorusuna cevap verir.

Analist, işlenmiş verileri birleştirir, kalıpları (pattern) arar ve noktaları birleştirir.
  • "Bu IP adresi daha önce APT29 grubuyla ilişkilendirilmişti, saldırı saatleri de Moskova çalışma saatleriyle uyuşuyor."
  • "Saldırganın kullandığı oltalama e-postasındaki dil bilgisi hataları, anadilinin İngilizce olmadığını gösteriyor."
Analiz aşamasında en büyük tehlike Bilişsel Önyargılardır (Cognitive Biases). Analist, görmek istediği sonucu veriye dayatmamalıdır. Bu nedenle "Alternatif Yarışan Hipotezler Analizi" (ACH) gibi yapılandırılmış teknikler kullanılır. Sonuç olarak, ham veri artık "İstihbarat"a dönüşmüştür.

5. Yayım ve Dağıtım (Dissemination)​

Dünyanın en iyi istihbaratını üretseniz bile, eğer bu rapor karar vericinin e-posta kutusunda spam'e düşerse veya çok geç iletilirse hiçbir değeri yoktur.

Bu aşamada istihbaratın:
  • Doğru Kişiye: Teknik rapor SOC ekibine, stratejik rapor CISO'ya.
  • Doğru Formatta: PDF rapor, MISP üzerinden JSON akışı veya telefon araması.
  • Zamanında: Saldırıdan sonra değil, saldırı sırasında veya öncesinde.
İletilmesi gerekir. Ayrıca verinin gizlilik seviyesini belirlemek için genellikle TLP (Traffic Light Protocol) kullanılır (Örn: TLP:RED - Sadece alıcı içindir, paylaşılamaz).

6. Geri Bildirim (Feedback)​

Döngünün kapanıp yeniden başladığı yerdir. Raporu alan kişi şu soruları cevaplar:
  • "Bu bilgi işime yaradı mı?"
  • "Zamanında geldi mi?"
  • "Daha fazla detaya ihtiyacım var mı?"
Eğer SOC ekibi "Verdiğiniz IP adresleri çoktan değişmiş, bu istihbarat eskimiş" derse, "Toplama" ve "İşleme" aşamalarındaki hız gözden geçirilir. Geri bildirim olmadan istihbarat döngüsü körleşir ve amacından sapar.

Sonuç: Sürekliliğin Gücü​

İstihbarat Döngüsü statik bir kontrol listesi değil, yaşayan bir organizmadır. Siber tehdit aktörleri taktiklerini değiştirdikçe, savunmacıların da bu döngüyü daha hızlı ve verimli çalıştırması gerekir.

Bir sonraki adımda, bu döngünün "Toplama" aşamasının en kritik araçlarından biri olan Arama Motorlarını nasıl "silah" olarak kullanabileceğimizi inceleyeceğiz.
 
Cevap yazmak için giriş yap yada kayıt ol.
Geri
Üst