Cyber Threat Intelligence (CTI) Nedir?

Siber Tehdit İstihbaratını (Cyber Threat Intelligence), bir kaleyi korumakla görevli “dijital casuslar” veya “dedektifler” olarak düşünebilirsiniz. Bir kaleniz (şirketiniz, bilgisayarınız, ağınız) var ve bu kaleyi düşmanlara (hackerlara) karşı korumak istiyorsunuz. Sadece duvarlarınızı (güvenlik duvarı – firewall) güçlendirip beklemek yeterli değildir. Düşmanın kim olduğunu, nereden geleceklerini, hangi silahları (yazılımları) kullanacaklarını ve neden saldırdıklarını bilmek istersiniz, değil mi?

Siber Tehdit İstihbaratı tam olarak budur: Düşmanı tanıma sanatıdır.

Bu, sadece “bir hacker var” demek değildir. Bu, “X grubuna bağlı hackerlar, Y ülkesinden, özellikle Z sektöründeki şirketlere, şu sahte e-posta yöntemini kullanarak saldırıyor ve amaçları fidye yazılımı bulaştırmak” gibi detaylı ve eyleme geçirilebilir bilgiler toplamaktır.

Burada sıkça karıştırılan bir noktayı aydınlatalım: Veri, Bilgi ve İstihbarat aynı şey değildir.

• Veri (Data): Ham, işlenmemiş kayıtlar. Örnek: “192.168.1.5 IP adresi sisteminize bağlanmaya çalıştı.” (Bu iyi mi, kötü mü? Bilmiyoruz.)
• Bilgi (Information): İşlenmiş, anlamlı hale getirilmiş veri. Örnek: “192.168.1.5 IP adresi, son 24 saatte sisteminize 10.000 kez bağlanmaya çalıştı.” (Artık bunun normal olmadığını biliyoruz, bu bir saldırı olabilir.)
• İstihbarat (Intelligence): Analiz edilmiş, bir bağlama oturtulmuş ve “ne yapılması gerektiğini” söyleyen bilgidir. Örnek: “192.168.1.5 IP adresi, ‘Kara Ejder’ adlı bilinen bir hacker grubuna aittir. Bu grup, genellikle sunucuları ele geçirip fidye istemektedir. Derhal bu IP adresini engelleyin ve sunucularınızdaki X açığını kapatın.“

Gördüğünüz gibi, istihbarat size “Ne oluyor?” sorusunun ötesinde, “Bu neden oluyor?” ve “Ne yapmalıyım?” sorularının cevabını verir.

İstihbarat Döngüsü

Bu dijital dedektifler, ipuçlarını toplamak için birçok farklı yere bakarlar. Bu süreç genellikle “İstihbarat Döngüsü” olarak adlandırılır.

1. Direction (Yönlendirme / Planlama): İhtiyaçların ve önceliklerin belirlenmesi: Hangi tehditler, hangi sistemler veya varlıklar için takip edilecek? Hangi bilgiye ihtiyaç var?
2. Collection (Veri Toplama): Siber tehdit verilerinin toplanması: Loglar, OSINT kaynakları, dark web, honeypotlar, tehdit feed’leri, malware örnekleri vb.
3. Processing (İşleme / Ön İşleme): Toplanan ham verinin normalize edilmesi, deduplication, formatlama ve temizlenmesi. Bu aşama, veriyi analiz edilebilir hâle getirir.
4. Analysis (Analiz): Verinin incelenmesi, korelasyon yapılması ve anlamlı göstergeler (IOC, TTP) çıkarılması. Risk ve tehdit seviyelerinin değerlendirilmesi de bu aşamaya dahildir.
5. Dissemination (Paylaşım / Dağıtım): Üretilen istihbaratın ilgili paydaşlara uygun formatta iletilmesi (technical report, executive summary, STIX/TAXII paylaşımı).
6. Feedback (Geri Bildirim / Revizyon): Kullanıcıların ve sistemlerin geri bildirimleri doğrultusunda döngünün iyileştirilmesi, veri toplama ve analiz süreçlerinin güncellenmesi.

CTI Neden Önemli? (Tepkisel vs. Proaktif)

Tehdit istihbaratı olmasaydı, siber güvenlik şöyle olurdu:

• Tepkisel (Reaktif) Güvenlik: “Eyvah! Hacklendik! Hemen sistemi kapatalım, zararı temizleyelim.” (Yani, olay olduktan sonra müdahale etmek.)

Tehdit istihbaratı ile siber güvenlik şuna dönüşür:

• Önleyici (Proaktif) Güvenlik: “Hackerların bizi hacklemek için şu yöntemi kullanacağını öğrendik. Onlar saldırmadan önce o açığı kapatalım ve tuzaklarımızı kuralım.” (Yani, olay olmadan önce önlem almak.)

Sonuç olarak, Siber Tehdit İstihbaratı, dijital dünyada körü körüne dolaşmak yerine, haritayı ve düşmanın yerini bilerek akıllıca hareket etmektir. Tıpkı bir şehrin, suçluları yakalamak için sivil polisler ve muhbirler kullanması gibi, şirketler de dijital varlıklarını korumak için bu modern dedektiflere güvenirler.