Siber Tehdit İstihbaratı (CTI) Nedir? Türleri, IoC, TTP ve Kurumsal Kullanımı

Hızlı cevap: Siber Tehdit İstihbaratı (CTI), "bana kimler, neden ve nasıl saldırabilir?" sorusuna veriye dayalı, eyleme dönüştürülebilir cevap üreten disiplindir. Amaç, saldırı gerçekleştikten sonra tepki vermek yerine, tehdidi öncesinde tanıyıp savunmayı tam ona göre kurmaktır. İyi bir istihbarat; sızıntı forumlarında satışa çıkan kurum verinizi, sektörünüzü hedefleyen yeni bir fidye grubunu ve sistemlerinizde aranması gereken somut saldırı izlerini (IoC) önceden bilmenizi sağlar. CTI, reaktif güvenliği proaktif güvenliğe çevirir ve sınırlı güvenlik bütçesini en doğru yere yönlendiren pusuladır. DSET olarak kurumunuza özel tehdit istihbaratı izlemesi sunuyoruz: +90 536 662 38 09.

CTI neden önemli? Reaktiften proaktife geçiş

Klasik güvenlik doğası gereği reaktiftir: bir alarm çalar, ekip koşar, hasarı sınırlamaya çalışır. CTI bu denklemi tersine çevirir. Sektörünüzü hedefleyen saldırganların kimliğini ve yöntemlerini önceden bilirseniz, savunmanızı tam o noktalara yoğunlaştırabilirsiniz. Somut bir örnek: sektörünüzdeki şirketleri vuran bir fidye grubunun belirli bir VPN ürünündeki zafiyeti kullandığını istihbarattan öğrenirseniz, o yamayı herkesten önce, saldırı size ulaşmadan uygulayabilirsiniz. İstihbarat, "her şeyi koru" gibi imkânsız bir hedef yerine, sınırlı kaynağı en olası tehdide yönlendirir.

Dört tür tehdit istihbaratı

İyi bir CTI programı, farklı kitlelere hitap eden dört katmanı birlikte kullanır:

Tür	Kime hitap eder	Yanıtladığı soru	Zaman ufku
Stratejik	Yönetim, karar vericiler	"Sektörümün ve kurumumun büyük resimdeki riski ne?"	Uzun vade
Taktik	Güvenlik mimarları, savunma ekibi	"Saldırganlar hangi teknikleri ve araçları (TTP) kullanıyor?"	Orta vade
Operasyonel	Olay müdahale ekibi	"Şu an aktif bir kampanya var mı, hedefi ve zamanlaması ne?"	Kısa vade
Teknik	SOC analistleri, otomasyon	"Hangi IP, hash, domain'i hemen engellemeliyim (IoC)?"	Anlık

Stratejik istihbarat bütçeyi ve yatırım kararlarını yönlendirir; teknik istihbarat ise doğrudan savunma araçlarını besler. İkisi olmadan program eksik kalır.

IoC ve TTP: istihbaratın iki dili ve neden TTP daha değerli?

CTI'da iki temel kavramı ayırmak kritiktir:

• IoC (Indicators of Compromise / Uzlaşma Göstergeleri): Bir saldırının somut, teknik izleridir: zararlı bir dosyanın hash değeri, kötü amaçlı bir IP adresi, bir sahte (phishing) domain. Bunlar güvenlik araçlarına (firewall, EDR, SIEM) beslenerek bilinen tehdit otomatik olarak engellenir. Ancak IoC'lerin büyük bir zaafı vardır: kısa ömürlüdürler. Saldırgan IP adresini, domain'ini ya da dosyasını dakikalar içinde değiştirebilir; böylece dünkü IoC bugün işe yaramaz.
• TTP (Tactics, Techniques, Procedures / Taktikler, Teknikler, Prosedürler): Saldırganın davranışıdır, yani işini nasıl yaptığıdır. Bir saldırgan IP'sini kolayca değiştirir ama yöntemini (örneğin "kimlik avıyla giriş yapıp PowerShell ile yayılma ve gölge kopyaları silip fidye bırakma") kolay kolay değiştirmez, çünkü bu onun uzmanlığı ve altyapısıdır. MITRE ATT&CK çerçevesi, bu davranışları sistematik olarak kataloglayan dünya standardıdır. Modern ve olgun savunma, kırılgan IoC'lerden çok, kalıcı TTP'lere odaklanır; çünkü davranışı yakalamak, sürekli değişen göstergeleri kovalamaktan daha dayanıklıdır.

CTI kaynakları nereden gelir?

İyi bir istihbarat, çok sayıda kaynağı harmanlar:

• Açık kaynak (OSINT): CISA, ENISA, ulusal CERT'ler (Türkiye'de USOM/TR-CERT) ve güvenlik araştırmacılarının yayımladığı uyarılar, raporlar ve göstergeler.
• Ticari beslemeler: Uzman firmaların derleyip doğruladığı, gerçek zamanlı tehdit verileri.
• Dark web ve sızıntı izleme: Kurum kimlik bilgilerinizin, çalışan parolalarınızın ya da müşteri verinizin yeraltı forumlarında satışa çıkıp çıkmadığının takibi.
• Sektörel paylaşım toplulukları (ISAC/ISAO): Aynı sektördeki kurumların, ortak düşmanlara karşı tehdit bilgisi paylaştığı güven toplulukları.

İstihbaratı eyleme dönüştürmek: asıl değerin doğduğu yer

Toplanan istihbarat, bir eyleme dönüşmezse yalnızca ilginç bir haberdir. Olgun bir program, istihbaratı şu noktalara doğrudan besler: SIEM korelasyon kuralları (yeni IoC ve TTP'lere göre tespit yaz), EDR/XDR engelleme (bilinen kötü göstergeleri otomatik durdur), yama önceliklendirme (aktif istismar edilen zafiyetleri öne al) ve olay müdahale senaryoları (beklenen saldırgana göre prova yap). İstihbarat ile savunma arasındaki bu kapalı döngü, CTI'nın gerçek değerinin doğduğu yerdir.

Sıkça Sorulan Sorular

CTI yalnızca büyük kurumlar için mi?

Hayır. Küçük ve orta kurumlar için bile "sektörümü kim hedefliyor, çalışanlarımın parolaları bir sızıntıda ortaya çıktı mı, marka adım dolandırıcılıkta kullanılıyor mu" gibi bilgiler son derece değerlidir. Bu kurumlar için CTI, genelde bir yönetilen güvenlik hizmeti içinde, kendi analist ekibi kurmadan sunulur.

Sadece IoC engellemek yeterli mi?

Tek başına yetersizdir, çünkü IoC'ler hızla eskir; saldırgan göstergelerini sürekli değiştirir. Kalıcı koruma için, davranışsal (TTP) tespite de yatırım yapmak ve IoC'leri bu davranış bağlamı içinde kullanmak gerekir.

Tehdit istihbaratını kendim mi toplamalıyım?

Açık kaynakları izlemek mümkündür ve değerlidir; ama bu veriyi sürekli toplamak, gürültüden ayıklamak, doğrulamak ve eyleme dönüştürmek ciddi zaman ve uzmanlık ister. Çoğu kurum için, bu işi yönetilen bir hizmetten almak hem daha hızlı hem daha güvenilir sonuç verir.

CTI ile zafiyet taraması aynı şey mi?

Hayır ama birbirini güçlendirir. Zafiyet yönetimi "bende hangi açıklar var" sorusuna, CTI ise "bu açıklardan hangileri şu an gerçekten istismar ediliyor" sorusuna yanıt verir; ikisi birleşince yamayı doğru sıraya koyarsınız.

Sektörünüze özel tehdit istihbaratı için bize ulaşın: +90 536 662 38 09.

Kaynaklar

• MITRE ATT&CK (saldırgan TTP kataloğu)
• CISA: Cyber Threats and Advisories
• ENISA Threat Landscape (yıllık tehdit raporu)
• USOM / TR-CERT (Ulusal Siber Olaylara Müdahale Merkezi)