Siber Tehdit İstihbaratı (Cyber Threat Intelligence - CTI)

-

Siber güvenlik dünyasında, sistemlerimizi korumak için genellikle ateş duvarları (firewall), antivirüs yazılımları veya güncel yamalar gibi "savunma" mekanizmalarına odaklanırız. Ancak, modern tehdit ortamında sadece kapıyı kilitlemek yeterli değildir; kapıyı kimin, neden ve hangi maymuncukla açmaya çalışacağını önceden bilmek gerekir.

İşte siber güvenlik stratejisini reaktif (olay sonrası) olmaktan çıkarıp proaktif (olay öncesi) hale getiren bu kavrama Siber Tehdit İstihbaratı (Cyber Threat Intelligence - CTI) adı verilir.

Görünmeyeni Görmek: Siber Tehdit İstihbaratı (CTI) Nedir ve Nasıl Uygulanır?

Siber Tehdit İstihbaratı (CTI), kurumların bilişim altyapılarına yönelik mevcut veya potansiyel saldırılar hakkında toplanan, analiz edilen ve anlamlandırılan veriler bütünüdür.

Bir sistem yöneticisi için binlerce satırlık güvenlik duvarı logu sadece "veri"dir. USOM tarafından yayınlanan zararlı IP adresleri listesi bir "bilgi"dir. Ancak bu IP adreslerinin, ağınızda kurulu olan spesifik bir servisi (örneğin eski sürüm bir web sunucusu veya açık bir veritabanı portu) hedef alan belirli bir saldırgan grubuna (APT) ait olduğunu bilmek ve buna göre önlem almak istihbarattır.

1. Siber Tehdit İstihbaratının Katmanları

CTI, hitap ettiği kitleye ve içerdiği teknik detaya göre dört temel seviyeye ayrılır:

  • Stratejik İstihbarat (Strategic): Kurumun üst düzey yöneticileri için hazırlanır. "Siber saldırı trendleri neler?", "Eğitim veya kamu kurumları neden hedef alınıyor?", "Finansal riskimiz nedir?" gibi soruları yanıtlar. Teknik terimlerden uzaktır.

  • Operasyonel İstihbarat (Operational): Yaklaşan veya devam eden spesifik saldırı kampanyalarını inceler. Saldırganların kim olduğu (motivasyonları) ve hedeflerinin ne olduğu ile ilgilenir.

  • Taktiksel İstihbarat (Tactical): Güvenlik mimarları ve sistem yöneticileri içindir. Saldırganların nasıl saldırdığına odaklanır. Burada TTP (Tactics, Techniques, and Procedures) yani Taktik, Teknik ve Prosedürler kavramı devreye girer (Örn: Saldırganlar ağa sızmak için genellikle oltalama e-postaları kullanıyor ve ardından içeride yatay hareket etmek için Samba protokolündeki bir zafiyeti sömürüyor).

  • Teknik İstihbarat (Technical): SOC (Siber Güvenlik Operasyon Merkezi) analistleri ve ağ yöneticileri içindir. Kısa ömürlü ve teknik verilerdir. Bunlara IoC (Indicators of Compromise - Uzlaşma Göstergeleri) denir. (Örn: Zararlı yazılım barındıran bir IP adresi, kötü amaçlı bir dosyanın MD5 hash değeri, oltalama amaçlı bir domain).

2. CTI Yaşam Döngüsü (İstihbarat Çarkı)

Ham verinin işe yarar bir istihbarata dönüşmesi için belirli bir süreçten geçmesi gerekir. Bu süreç sürekli dönen bir çark gibidir:

  1. Yönlendirme ve Planlama (Direction): Neyi korumaya çalışıyoruz? Hangi verilere ihtiyacımız var? (Örneğin: "Öğrenci veritabanımızı fidyeci yazılımlardan (Ransomware) korumak için güncel saldırı vektörlerini bilmemiz gerekiyor.")

  2. Toplama (Collection): Verilerin toplanması aşamasıdır. Açık kaynaklardan (OSINT), haber bültenlerinden, NVD (Ulusal Zafiyet Veritabanı) kayıtlarından, USOM bildirimlerinden, güvenlik duvarı loglarından veya karanlık ağdan (Dark Web) veri toplanabilir.

  3. İşleme (Processing): Toplanan devasa verinin temizlenmesi ve yapılandırılmasıdır. (Örneğin: Farklı kaynaklardan gelen IP adreslerinin tek bir formata, örneğin JSON formatına dönüştürülmesi).

  4. Analiz (Analysis): Temizlenen verilerin anlamlandırıldığı aşamadır. "Bu veriler bizim altyapımız için ne ifade ediyor?" sorusu yanıtlanır.

  5. Dağıtım (Dissemination): Üretilen istihbaratın ilgili ekiplere (sistem yöneticileri, ağ uzmanları veya yönetim) doğru formatta ulaştığı aşamadır.

  6. Geri Bildirim (Feedback): Sağlanan istihbaratın işe yarayıp yaramadığının değerlendirildiği ve bir sonraki planlama aşamasının iyileştirildiği adımdır.

3. Sistem Yöneticileri ve Geliştiriciler İçin Pratik Uygulamalar

Siber Tehdit İstihbaratını teoriden pratiğe dökmek, büyük bütçeler gerektirmeden açık kaynaklı araçlarla da yapılabilir:

  • Açık Kaynaklı Platformlar (MISP): Malware Information Sharing Platform (MISP) gibi açık kaynaklı istihbarat paylaşım platformları kurarak, küresel olarak yayınlanan IoC (IP, Domain, Hash) verilerini otomatik olarak ağınıza çekebilirsiniz.

  • Altyapı Entegrasyonu: USOM veya AlienVault OTX gibi platformlardan alınan IoC'leri, doğrudan okullardaki veya veri merkezlerindeki güvenlik duvarlarına (Firewall), IDS/IPS (Saldırı Tespit Sistemleri) cihazlarına veya DNS filtreleme sunucularına otomatik kurallar olarak entegre edebilirsiniz.

  • Güvenli Yazılım Geliştirme: Kendi geliştirdiğiniz Python, Django veya Flutter uygulamalarında kullandığınız kütüphaneleri seçerken, bu kütüphanelerin geçmişte hangi TTP'lere veya CVE'lere maruz kaldığını bilmek, mimariyi baştan güvenli tasarlamanızı sağlar.

Özetle

Siber Tehdit İstihbaratı, "Gelecek saldırı ne olabilir?" sorusunun bilimsel ve veriye dayalı yanıtıdır. Doğru kullanıldığında, altyapınızdaki sanal makinelerden akıllı tahtalara kadar tüm uç noktaları körlemesine değil, hedefe yönelik ve bilinçli bir şekilde korumanızı sağlar. İstihbarat bir yazılım değil, bir süreçtir.

Siber Güvenlikte Tehdit Analizi ve İstihbarat Yönetimi

İçindekiler

  1. Giriş

  2. Siber Tehdit İstihbaratı Nedir?

  3. Siber Güvenlikte İstihbaratın Önemi

  4. CTI’nin Temel Amaçları

  5. Siber Tehdit İstihbaratı Türleri

  6. Stratejik İstihbarat

  7. Operasyonel İstihbarat

  8. Taktiksel İstihbarat

  9. Teknik İstihbarat

  10. IOC (Indicator of Compromise) Kavramı

  11. TTP Kavramı

  12. MITRE ATT&CK Framework

  13. Siber Tehdit Kaynakları

  14. Zararlı Yazılım Analizi

  15. Oltalama Kampanyalarının Analizi

  16. Tehdit İstihbaratı Toplama Süreci

  17. Açık Kaynak İstihbaratı (OSINT)

  18. Dark Web ve Siber Tehditler

  19. Tehdit İstihbaratı Platformları

  20. SIEM ve CTI İlişkisi

  21. SOC Merkezlerinde CTI Kullanımı

  22. Kurumlar İçin CTI Süreci

  23. Yapay Zekâ ve Tehdit İstihbaratı

  24. Gerçek Hayattan Siber Saldırı Örnekleri

  25. Siber Tehdit İstihbaratı Araçları

  26. Türkiye’de Siber Tehdit İstihbaratı

  27. Etik ve Hukuki Boyut

  28. Öğrenciler İçin Uygulama Çalışmaları

  29. Sonuç

  30. Terimler Sözlüğü

1. Giriş

Dijital sistemlerin yaygınlaşmasıyla birlikte siber saldırılar da giderek artmaktadır.

Saldırganlar artık:

  • Otomasyon sistemleri

  • Yapay zekâ destekli araçlar

  • Zararlı yazılımlar

  • Oltalama kampanyaları

  • Botnet ağları

kullanarak çok daha gelişmiş saldırılar gerçekleştirmektedir.

Bu saldırıları önceden anlayabilmek için yalnızca antivirüs kullanmak yeterli değildir.

İşte bu noktada Siber Tehdit İstihbaratı (Cyber Threat Intelligence - CTI) devreye girer.

2. Siber Tehdit İstihbaratı Nedir?

Siber Tehdit İstihbaratı (CTI):

Siber tehditlerle ilgili bilgilerin toplanması, analiz edilmesi ve anlamlı hale getirilmesi sürecidir.

Amaç:

  • Saldırıları önceden tespit etmek

  • Riskleri azaltmak

  • Kurumları korumak

  • Güvenlik ekiplerini bilgilendirmek

3. Siber Güvenlikte İstihbaratın Önemi

Eskiden güvenlik sistemleri saldırı gerçekleştikten sonra tepki veriyordu.

Modern CTI yaklaşımında ise:

  • Tehditler önceden analiz edilir

  • Saldırgan davranışları incelenir

  • Risk tahmini yapılır

  • Savunma önceden hazırlanır

Bu yaklaşım “proaktif güvenlik” olarak adlandırılır.

4. CTI’nin Temel Amaçları

Tehditleri Erken Tespit Etmek

Yeni saldırı yöntemleri takip edilir.

Saldırgan Davranışlarını Anlamak

Hacker gruplarının çalışma yöntemleri incelenir.

Kurumları Korumak

Savunma sistemleri güncellenir.

Olay Müdahalesini Hızlandırmak

Saldırı anında daha hızlı tepki verilir.

5. Siber Tehdit İstihbaratı Türleri

TürAmaç
StratejikYönetim seviyesinde risk analizi
OperasyonelGerçek saldırı kampanyalarını inceleme
TaktikselSaldırgan tekniklerini analiz etme
TeknikZararlı IP, hash, domain bilgileri

6. Stratejik İstihbarat

Üst düzey yöneticilere yönelik hazırlanır.

İçerik:

  • Ülke bazlı tehditler

  • Kritik sektör riskleri

  • Siber savaş analizleri

  • Finansal etkiler

Amaç:

Karar verme süreçlerini desteklemektir.

7. Operasyonel İstihbarat

Gerçek saldırı operasyonlarını analiz eder.

Örnek:

  • Fidye yazılımı kampanyaları

  • Oltalama saldırıları

  • Devlet destekli saldırılar

Bu istihbarat SOC ekipleri için önemlidir.

8. Taktiksel İstihbarat

Saldırganların kullandığı yöntemleri inceler.

Örnek:

  • Kimlik avı teknikleri

  • Zararlı makro kullanımı

  • Yetki yükseltme yöntemleri

9. Teknik İstihbarat

En teknik seviyedeki verileri içerir.

Örnek:

  • Zararlı IP adresleri

  • Hash değerleri

  • Domain bilgileri

  • Zararlı URL’ler

Bu bilgiler güvenlik cihazlarında engelleme için kullanılır.

10. IOC (Indicator of Compromise) Kavramı

IOC:

Bir sistemin saldırıya uğradığını gösteren teknik işaretlerdir.

Örnek IOC’ler:

  • Şüpheli IP adresleri

  • Zararlı hash değerleri

  • Anormal log kayıtları

  • Bilinmeyen bağlantılar

11. TTP Kavramı

TTP:

Tactics, Techniques and Procedures

anlamına gelir.

Saldırganların:

  • Nasıl hareket ettiği

  • Hangi teknikleri kullandığı

  • Hangi adımları izlediği

incelenir.

12. MITRE ATT&CK Framework

MITRE ATT&CK

MITRE ATT&CK saldırgan davranışlarını sınıflandıran önemli bir framework’tür.

İçerisinde:

  • Persistence

  • Privilege Escalation

  • Credential Access

  • Defense Evasion

gibi birçok saldırı tekniği bulunur.

13. Siber Tehdit Kaynakları

Açık Kaynaklar

  • Güvenlik blogları

  • CVE kayıtları

  • CERT raporları

Ticari Kaynaklar

Profesyonel güvenlik şirketlerinin raporları.

Dark Web

Siber suç forumları ve veri sızıntıları.

Honeypot Sistemleri

Saldırganları izlemek için kurulan sahte sistemler.

14. Zararlı Yazılım Analizi

CTI ekipleri zararlı yazılımları analiz eder.

Analiz Türleri

Statik Analiz

Kod çalıştırılmadan incelenir.

Dinamik Analiz

Sandbox ortamında çalıştırılır.

15. Oltalama Kampanyalarının Analizi

Phishing saldırıları CTI çalışmalarında önemli yer tutar.

İncelenen noktalar:

  • Sahte domainler

  • Gönderen adresleri

  • Zararlı bağlantılar

  • Sosyal mühendislik teknikleri

16. Tehdit İstihbaratı Toplama Süreci

1. Veri Toplama

Farklı kaynaklardan veri alınır.

2. Filtreleme

Önemsiz veriler ayıklanır.

3. Analiz

Tehdit değerlendirmesi yapılır.

4. Raporlama

Güvenlik ekiplerine bilgi sunulur.

5. Aksiyon

Koruma önlemleri uygulanır.

17. Açık Kaynak İstihbaratı (OSINT)

OSINT:

Open Source Intelligence

anlamına gelir.

İnternette herkese açık verilerin analiz edilmesidir.

Örnek kaynaklar:

  • Sosyal medya

  • Forumlar

  • GitHub depoları

  • Alan adı kayıtları

18. Dark Web ve Siber Tehditler

Dark Web üzerinde:

  • Çalıntı veriler

  • Zararlı yazılımlar

  • Exploit kitleri

  • Kimlik bilgileri

satılabilmektedir.

CTI ekipleri bu alanları takip eder.

19. Tehdit İstihbaratı Platformları

MISP

Açık kaynak tehdit paylaşım platformudur.

OpenCTI

CTI yönetimi için kullanılan platformdur.

ThreatConnect

Kurumsal CTI çözümüdür.

20. SIEM ve CTI İlişkisi

SIEM sistemleri log toplar ve analiz eder.

CTI ile birlikte kullanıldığında:

  • IOC eşleştirmesi yapılır

  • Zararlı IP’ler tespit edilir

  • Otomatik alarm oluşturulur

21. SOC Merkezlerinde CTI Kullanımı

SOC:

Security Operations Center

anlamına gelir.

SOC ekipleri:

  • 7/24 güvenlik izleme yapar

  • Tehditleri analiz eder

  • Olay müdahalesi gerçekleştirir

CTI verileri SOC için kritik öneme sahiptir.

22. Kurumlar İçin CTI Süreci

Risk Analizi

Kurumun tehdit profili belirlenir.

Veri Toplama

IOC ve tehdit bilgileri alınır.

Entegrasyon

SIEM ve güvenlik sistemlerine aktarılır.

Müdahale

Tehditlere karşı aksiyon alınır.

23. Yapay Zekâ ve Tehdit İstihbaratı

Yapay zekâ:

  • Büyük verileri analiz eder

  • Anormal davranışları tespit eder

  • Otomatik alarm üretir

Ancak saldırganlar da yapay zekâ kullanmaktadır.

Bu nedenle güvenlik sürekli gelişmelidir.

24. Gerçek Hayattan Siber Saldırı Örnekleri

WannaCry

Fidye yazılımı saldırısı.

SolarWinds

Tedarik zinciri saldırısı.

Log4Shell

Kritik uzaktan kod çalıştırma açığı.

Colonial Pipeline

Enerji altyapısını etkileyen saldırı.

25. Siber Tehdit İstihbaratı Araçları

Açık Kaynak Araçlar

  • MISP

  • OpenCTI

  • YARA

  • Wireshark

  • Zeek

Ticari Araçlar

  • CrowdStrike

  • Recorded Future

  • Palo Alto Cortex

  • IBM X-Force

26. Türkiye’de Siber Tehdit İstihbaratı

Türkiye’de:

  • USOM

  • SOME ekipleri

  • Kamu kurumları

  • Siber güvenlik firmaları

CTI faaliyetleri yürütmektedir.

Amaç:

Ulusal siber güvenliği güçlendirmektir.

27. Etik ve Hukuki Boyut

Tehdit istihbaratı çalışmaları etik kurallara uygun olmalıdır.

Dikkat edilmesi gerekenler:

  • Yetkisiz erişim yapılmamalı

  • Kişisel veriler korunmalı

  • Hukuki sınırlar aşılmamalı

28. Öğrenciler İçin Uygulama Çalışmaları

Çalışma 1

Bir IOC listesi oluştur.

Örnek:

  • Zararlı IP

  • Zararlı domain

  • Hash değeri

Çalışma 2

Bir phishing e-postasını analiz et.

İncele:

  • Gönderen adresi

  • Link yapısı

  • Dil hataları

Çalışma 3

Wireshark ile ağ trafiği incele.

Amaç:

Şüpheli bağlantıları tespit etmek.

29. Sonuç

Siber Tehdit İstihbaratı modern siber güvenliğin temel bileşenlerinden biridir.

CTI sayesinde:

  • Tehditler önceden tespit edilir

  • Savunma güçlenir

  • Olay müdahalesi hızlanır

  • Kurumlar daha güvenli hale gelir

Gelecekte yapay zekâ destekli CTI sistemleri daha da yaygınlaşacaktır.

30. Terimler Sözlüğü

TerimAçıklama
CTISiber Tehdit İstihbaratı
IOCSaldırı göstergesi
TTPSaldırgan davranış modeli
OSINTAçık kaynak istihbaratı
SOCGüvenlik Operasyon Merkezi
SIEMGüvenlik olay yönetim sistemi
MalwareZararlı yazılım
PhishingOltalama saldırısı
Sandboxİzole analiz ortamı
Threat FeedTehdit veri akışı

Mini Test Soruları

  1. CTI ne anlama gelir?

  2. IOC nedir?

  3. TTP kavramı neyi ifade eder?

  4. MITRE ATT&CK ne amaçla kullanılır?

  5. OSINT nedir?

  6. SOC merkezleri ne iş yapar?

  7. SIEM ve CTI nasıl birlikte çalışır?

  8. Dark Web neden önemlidir?

  9. Zararlı yazılım analizi neden yapılır?

  10. Yapay zekâ CTI süreçlerinde nasıl kullanılır?

Özet

Siber Tehdit İstihbaratı:

  • Tehditleri analiz eder

  • Saldırıları önceden anlamayı sağlar

  • Güvenlik ekiplerini güçlendirir

  • Siber savunmayı geliştirir

Modern siber güvenlik dünyasında CTI bilgisi hem kurumlar hem de öğrenciler için büyük önem taşımaktadır.

Yorumlar

Yorum Gönder

Bu blogdaki popüler yayınlar

Android Telefon/Tablet Ekranını Pardus ETAP 23 Yüklü Akıllı Tahtaya Yansıtma

-
Resim
Bu eğitim, öğretmenlerin Android tablet veya telefonlarının ekranını kolayca tahta ekranına yansıtmaları için gereken tüm yöntemler ayrıntılı şekilde anlatılmaktadır. 1. Giriş Android cihazı akıllı tahtaya yansıtmanın amacı: Dersi telefondan yönetmek Mobil uygulamaları sınıfa göstermek YouTube, EBA, PDF, görsel veya kamera görüntüsünü aktarmak Kablosuz sunum yapmak Pardus ETAP 23 üzerinde yansıtma işlemi için en çok tercih edilen yöntemler: Scrcpy (USB + WiFi bağlantılı) — En stabil çözüm Third-party çözümler (TeamViewer Host, DeskScreen, Vysor vb.) Bu makalede en garantili ve ETAP 23’e en uyumlu yöntem olan Scrcpy başta olmak üzere tüm yöntemleri anlatıyoruz. 2. Scrcpy ile Yansıtma Scrcpy, Android cihazınızı yüksek kalite / düşük gecikme ile bilgisayara aktaran açık kaynaklı bir yazılımdır. Pardus ETAP 23 için mükemmel uyumludur. ✔️ 2.1. Kurulum Adım 1 — Gerekli paketleri yükle Terminali açın: sudo apt update sudo apt install scrcpy adb android-to...
Devamı

Pardus Etap 23’de Unutulmuş Etap Yetkili Parolasını Sıfırlama

-
Resim
Bu kısa eğitimde, Pardus sisteminde unutulmuş bir Etap Yetkli parolasının nasıl sıfırlanacağını öğreneceksiniz. Bu, etapadmin kullanıcısı olarak oturum açma ve yönetim görevlerini gerçekleştirme yeteneğinizi yeniden kazanmanıza yardımcı olacaktır. Öncelikle Pardus sisteminizi açın veya yeniden başlatın. Aşağıda gösterildiği gibi bir GRUB menüsüyle karşılaşacaksınız. İlk seçenekte devam edin ve sistem başlatılmadan önce klavyedeki " e " tuşuna basın. . Bu sizi aşağıda gösterilen ekrana yönlendirecektir. Aşağı kaydırın ve /boot/vmlinuz-* bölümünden önce gelen ve UUID 'yi de belirten ' linux ' ile başlayan satırı bulun.   İmleci bu satırın sonuna götürün ve ‘ ro quiet’ bölümünden hemen sonrasına getirin ve init=/bin/bash. parametresini ekleyin Ardından, kök dosya sistemini salt okunur (ro) erişim haklarıyla bağlayarak tek kullanıcı modunda önyüklemeyi etkinleştirmek için Ctrl + x tuşlarına basın. Parolayı sıfırlamak için erişim hakkını salt okunurdan okuma-ya...
Devamı

Pardus Etap 23 Yazıcı Kurulumu

-
Resim
1. CUPS Nedir? CUPS , "Common UNIX Printing System" (Yaygın UNIX Yazdırma Sistemi) kelimelerinin baş harflerinden oluşur.  Temel Görevi: Pardus gibi UNIX tabanlı işletim sistemleri için standart yazdırma sunucusudur. Bilgisayarınızdaki uygulamalardan (LibreOffice, tarayıcı vb.) gelen yazdırma isteklerini alır, bunları yazıcının anlayacağı dile (genellikle PCL veya PostScript) çevirir ve sıraya koyarak yazıcıya gönderir. Geliştirici: İlk olarak Michael Sweet tarafından geliştirildi, daha sonra Apple Inc. tarafından desteklendi ve günümüzde OpenPrinting topluluğu tarafından sürdürülüyor. Ağ Paylaşımı: CUPS'ın en güçlü yanlarından biri, bir yazıcıyı ağdaki diğer bilgisayarlara (Windows, macOS veya başka bir Linux) kolayca paylaştırabilmesidir. Yönetim Arayüzü: En karmaşık ayarları bile yapabilmenizi sağlayan, tarayıcı üzerinden çalışan yerel bir web arayüzüne sahiptir ( http://localhost:631 ). Pardus, Debian tabanlı olduğu için CUPS'ı varsayılan yazdırma sistemi ol...
Devamı