Siber Tehdit İstihbaratı (Threat Intelligence)

1. Giriş

Siber güvenlikte yalnızca saldırılara tepki vermek yeterli değildir; önemli olan saldırıları önceden öngörebilmek ve proaktif savunma geliştirmektir. Siber tehdit istihbaratı (Cyber Threat Intelligence - CTI), saldırganların taktiklerini, tekniklerini ve prosedürlerini (TTP) analiz ederek kurumların daha hazırlıklı olmasını sağlar.

2. Tehdit İstihbaratı Nedir?

Tehdit istihbaratı, potansiyel veya mevcut siber tehditler hakkında toplanan, analiz edilen ve anlamlandırılan veridir.

Amaç:

3. Tehdit İstihbaratı Türleri

3.1 Strategic Intelligence

3.2 Tactical Intelligence

3.3 Operational Intelligence

3.4 Technical Intelligence

4. IOC (Indicator of Compromise)

IOC’ler saldırı izleridir.

Örnek IOC’ler:

5. TTP (Tactics, Techniques, Procedures)

Saldırgan davranışlarını tanımlar.

Örnek:

6. MITRE ATT&CK Framework

Saldırı tekniklerini kategorize eden framework.

Örnek teknikler:

7. OSINT (Open Source Intelligence)

Açık kaynaklardan bilgi toplama.

Kaynaklar:

8. Threat Intelligence Lifecycle

  1. Planning

  2. Collection

  3. Processing

  4. Analysis

  5. Dissemination

9. Veri Toplama Yöntemleri

10. Threat Feed’ler

Hazır tehdit verisi sağlayan kaynaklar.

Örnek:

11. STIX & TAXII

STIX:

TAXII:

12. Threat Hunting ile İlişki

Threat intelligence:
👉 “Ne aramalıyım?”

Threat hunting:
👉 “Bunu sistemde bulabilir miyim?”

13. Kullanım Alanları

14. Gerçek Senaryo

  1. Yeni zararlı IP listesi yayınlanır

  2. SIEM’e entegre edilir

  3. Sistem bu IP ile bağlantı kurar

  4. Alarm oluşur

  5. SOC müdahale eder

15. Zorluklar

16. Sonuç

Siber tehdit istihbaratı, modern güvenliğin proaktif katmanıdır. Saldırıları sadece tespit etmek değil, önceden anlamak ve önlem almak için kritik bir rol oynar. Etkili bir CTI stratejisi, güvenlik operasyonlarının başarısını doğrudan artırır.