SİBER TEHDİT İSTİHBARATI

Siber Tehdit İstihbaratı Nedir?

Siber tehdit istihbaratı (Cyber Threat Intelligence — CTI), dijital sistemlerin güvenliğini sağlamak amacıyla çeşitli kaynaklardan elde edilen bilgilerin yorumlanarak olası tehditlerin tespiti, analizi ve anlaşılması için gerçekleştirilen faaliyetlerin bütünüdür.

Siber tehdit istihbaratı saldırganlar, zararlı yazılımlar, Indicator of Compromise (IoC) adı verilen sistemin ihlal edildiğine dair göstergeler gibi çeşitli bilgileri içermektedir. Elde edilen bilgiler analiz edilerek ilgili kurumların önlemler almasına ve güvenlik stratejileri geliştirmesine olanak sağlar.

Siber tehdit istihbaratı 3 ana tipe ayrılmaktadır.

1. Stratejik Siber Tehdit İstihbaratı: Genellikle devletler, büyük ölçekli kuruluşlar, uluslararası örgütlerin stratejik kararlar almak maksadıyla kullandığı istihbarat çeşididir. Genel siber tehdit ortamı ve kurum için alınacak kararlar hakkında bilgi sağlar.
2. Operasyonel Siber Tehdit İstihbaratı:Saldırıların anlaşılması, zafiyet yönetimi gibi teknik konuları içerir. Özellikle SOC ekipleri için kullanışlı bir istihbarat çeşididir.
3. Taktiksel Siber Tehdit İstihbaratı: Zararlı yazılımlar, IoC bilgileri gibi verilere odaklanır. Genellikle kısa vadeli istihbarat sağlar.

Siber Tehdit İstihbaratı Toplama ve Analiz Süreçleri

Siber tehdit istihbaratı salt bilgilerin toplanmasından ziyade, bilgilerin analizini bir döngü içerisinde gerçekleştiren olaylar bütünüdür. Tehdit İstihbaratı Yaşam Döngüsü (Threat Intelligence Lifecycle) adı verilen siber istihbarat döngüsü kullanıcılar için bir framework görevi üstlenerek istihbaratın etkili ve sürekli yapılmasını sağlamaktadır (Şekil-1).

Şekil 1: Tehdit İstihbaratı Yaşam Döngüsü [1]

1. Gereksinim Belirleme

İlk aşamada yön belirleme işlemi gerçekleştirilir. Tehdit istihbaratı için yol haritasının çizildiği bu aşamada kurumun isteklerine bağlı olarak amaçlar, kapsam, metodoloji gibi bilgiler belirlenir. Saldırganlar, motivasyonları, saldırı yüzeyleri hakkında bilgiler elde edilmek istenir. Önceliklendirmeler yapılarak gerekli kaynaklar belirlenir.

2. Toplama

Bu aşamada bilgiler çeşitli kaynaklardan toplanır. Bilgi toplama amacıyla farklı kaynaklardan yararlanılabilir. Network cihazları, SIEM logları, blog sayfaları, deepweb ve darkweb forumları hatta insan istihbaratı gibi kaynaklardan veriler elde edilir.

3. İşleme

Önceki aşamada toplanan ham verilerin işlenerek bilgiye dönüştürüldüğü aşamadır. Bilgiler analiz aşaması için uygun formata dönüştürülür. Veri işleme gerçekleştirilerek gereksiz veya hatalı bilgiler ayıklanır. Bu aşamada AI araçlarından da faydalanılabilir.

Bu aşamada yapılan temel işlemlerden birisi veri normalizasyonudur. Veri daha kolay analiz edilmek amacıyla normalize edilir. Ardından veriye ek detaylar ve bilgiler eklenerek veri zenginleştirmesi işlemi gerçekleştirilebilir. IoC bilgilerine etkilenen sistemler, tehdit aktörleri gibi ek bilgiler eklenebilir. İşlenen veriler farklı göstergeler arası bağlantıları ifade etmek için korelasyon ve birleştirmeye tabi tutulur. Ardından bağlamlandırma ile kuruluşun konum, sistemleri gibi farklı faktörleri göz önünde bulundurularak tehditler derecelendirilir. Veri işleme için en önemli adımlardan biri olan filtreleme işlemi uygulanır. Verideki ilgisiz, yanlış, “gürültü” olarak nitelendirilebilecek her türlü verinin ayıklanması yapılır. Ayıklanan veri istihbarat türüne göre kategorize edilerek etiketlenir. Son aşamada ise bilgi değerlendirilerek zamansal ve kritik açıdan önceliklendirilir [2].

4. Analiz

İşlenen verilerin analizi gerçekleştirilir. İlk aşamada belirtilen sorulara cevaplar aranır. Veriler spesifik örüntüler, ilişkiler için incelenerek tehditlerin yapısı ve kapsamına cevap aranır. Teknik, taktik ve prosedürler belirlenir. Bu aşamada analist tarafından birtakım güvenlik önlemi tavsiyesinde bulunulabilir.

5. Yayma

Analiz sonucu elde edilen bilgiler rapor haline getirilerek ilgili kuruma sunulur. Uygun eylem planları kurum tarafından oluşturulur.

6. Geri Bildirim

Kurumdan geri bildirim alınarak gerekli iyileştirmeler yapılır.

Siber tehdit istihbaratı için farklı bir teknolojik çözüm olarak araçlardan faydalanılabilir. Bu araçlarla bilgiler çeşitli kaynaklardan toplanır, analiz edilir ve tehditlere karşı önlemler alınır. Anomali, Kaspersky, Bitdefender, IntSights gibi toollar örnek olarak gösterilebilir (Şekil — 2).

Şekil 2. 2024 yılı için en yaygın siber tehdit araçları [3]

Siber tehdit istihbaratı kurum ve kuruluşlar için önemli bir yere sahiptir. Önceden istihbar olunan bilgilerle olası veri kayıplarının önlenmesi, var olan zafiyetlerin giderilmesi, sistemlerin daha güvenli hale getirilmesini sağlamaktadır.

Siber tehdit istihbaratı yaşam döngüsü doğrusal bir süreç olmamakla birlikte sürekli devam eden dinamik bir yapıdadır. Döngüsel yapısıyla beraber güvenliğin sürekliliğini sağlamaktadır.

KAYNAKÇA

1. Baker, K. (2023, March 23). What is Cyber Threat Intelligence? Crowdstrike. https://www.crowdstrike.com/cybersecurity-101/threat-intelligence/

2. The five phases of the threat intelligence lifecycle. (2023, August 9). ELVTR DE

   Lerne von Expert:innen live & online. https://de.elvtr.com/blog/the-five-phases-of-the-threat-intelligence-lifecycle

3. Wadhwa, P. (2024, February 20). Top 11 cyber threat intelligence tools in 2024. Sprinto. https://www.wallarm.com/what/threat-intelligence