Siber İstihbarat Eğitim Dokümanı

[SİBER İSTİHBARAT EĞİTİM DOKÜMANI]
BGA Bilgi Güvenliği A.Ş. | www.bgasecurity.com | @BGASecurity
SİBER İSTİHBARAT
EĞİTİM DOKÜMANI
Stajyer: Gurbet Başakçi
Baskı:2019

İÇİNDEKİLER
SİBER TEHDİT İSTİHBARATINA GİRİŞ.............................................................................................. 9
İSTİHBARAT NEDİR? ................................................................................................................................. 9
SİBER TEHDİT İSTİHBARATI ......................................................................................................... 11
SİBER TEHDİT........................................................................................................................................ 11
SİBER TEHDİT İSTİHBARATI....................................................................................................................... 12
SİBER TEHDİT İSTİHBARATI NEDEN GEREKLİDİR? FAYDALARI NELERDİR?...................................... 14
VERİ KAYBI ÖNLEME .............................................................................................................................. 14
VERİ İHLALLERİNİ TESPİT ETME................................................................................................................. 14
OLAY YANITI ......................................................................................................................................... 14
TEHDİT ANALİZİ..................................................................................................................................... 15
VERİ ANALİZİ ........................................................................................................................................ 15
TEHDİT İSTİHBARAT PAYLAŞIMI ................................................................................................................ 15
BİR SALDIRI ÖNCESİ, SALDIRI SIRASI VE SALDIRIDAN SONRA YAPILACAKLAR................................ 16
SİBER SALDIRI ÖNCESİNDE....................................................................................................................... 16
SİBER SALDIRI SIRASINDA ........................................................................................................................ 16
SİBER SALDIRI SONRASINDA..................................................................................................................... 17
TEHDİT İSTİHBARATI YAŞAM DÖNGÜSÜ VE ÇERÇEVELERİ ............................................................ 18
YÖNLENDİRME ...................................................................................................................................... 18
TOPLAMA............................................................................................................................................. 19
İŞLEME................................................................................................................................................. 19
ANALİZ VE ÜRETİM ................................................................................................................................ 19
YAYGINLAŞTIRMA................................................................................................................................... 20
GERİ BİLDİRİM....................................................................................................................................... 20
TEHDİT İSTİHBARATI ÇERÇEVELERİ .............................................................................................. 21
COLLECTİVE INTELLİGENCE FRAMEWORK (CIF) ........................................................................................... 21
CROWDSTRİKE CTI SOLUTİON.................................................................................................................. 21
NORMSHİELD, THREAT AND VULNERABİLİTY ORCHESTRATİON....................................................................... 21
MISP, MALWARE INFORMATİON SHARİNG PLATFORM................................................................................ 21
TC COMPLETE....................................................................................................................................... 21
YETI, YOUR EVERYDAY THREAT INTELLİGENCE............................................................................................ 22
THREATSTREAM .................................................................................................................................... 22
PASSİVETOTAL ...................................................................................................................................... 22
INTERFLOW........................................................................................................................................... 22
STOQ................................................................................................................................................... 22
THREATEXCHANGE................................................................................................................................. 22
XFE, X-FORCE EXCHANGE....................................................................................................................... 23
TARDIS............................................................................................................................................... 23
TEHDİT İSTİHBARATI OLGUNLUK MODELİ.................................................................................... 24
SİBER TEHDİT İSTİHBARATINDA BİLİNENLER VE BİLİNMEYENLER.................................................. 26
GERÇEK ZAMANLI SİBER TEHDİT İSTİHBARATININ YARARLARI...................................................... 27
KARAKTERİSTİK ÖZELLİKLERİ....................................................................................................... 28

SİBER TEHDİT İSTİHBARATININ TEMELLERİ .................................................................................. 29
TEHDİT İSTİHBARATININ SIEM’E ENTEGRASYONU........................................................................ 30
SİBER TEHDİT İSTİHBARATI İŞİNİZE NASIL YARDIMCI OLUR?......................................................... 32
RİSK YÖNETİM SÜRECİ................................................................................................................ 33
RİSK YÖNETİMİ SÜRECİNDE İSTİHBARAT ..................................................................................................... 33
NIST SP 800-39 RİSK YÖNETİMİ SÜRECİ .................................................................................................. 33
SİBER TEHDİTLER VE SİBER ÖLÜM ZİNCİRİ METODOLOJİSİ............................................................ 36
SİBER TEHDİTLERİ ANLAMAK.................................................................................................................... 36
SİBER TEHDİTLERE GENEL BAKIŞ............................................................................................................... 37
Siber Güvenlik Saldırı Çeşitleri....................................................................................................... 37
Distributed Denial of Service (DDoS), Servis dışı bırakma saldırıları......................................................................... 37
Man in the Middle (MITM), Ortadaki Adam Saldırıları ............................................................................................. 37
Phishing (Oltalama ve Spear Phishing), Mızrak Avı................................................................................................... 37
Drive-by Attack......................................................................................................................................................... 38
SQL Injection Attack ................................................................................................................................................. 38
Cross-Site Scripting (XSS) Attack............................................................................................................................... 38
Eavesdropping Attack............................................................................................................................................... 39
Malware Attack ........................................................................................................................................................ 39
SİBER GÜVENLİK TEHDİT KATEGORİLERİ..................................................................................................... 40
Ağ Tehditleri.................................................................................................................................. 40
Mantıksal Saldırılar ................................................................................................................................................... 40
Kaynak Saldırıları ...................................................................................................................................................... 40
Uygulama Tehditleri ..................................................................................................................... 41
Mobil Uygulamaları .................................................................................................................................................. 41
Web Uygulamaları.................................................................................................................................................... 41
Host Tehditleri............................................................................................................................... 42
TEHDİT AKTÖRLERİNİN PROFİLLERİ............................................................................................................ 42
SİBER GÜVENLİK SALDIRILARININ MOTİVASYON VE AMAÇLARI....................................................................... 43
TEHDİT: NİYET, KAPASİTE, FIRSAT ÜÇLÜSÜ................................................................................................. 45
HACKİNG FORUMLARI............................................................................................................................. 45
ADVANCED PERSİSTENT THREATS (APT), GELİŞMİŞ KALICI TEHDİTLERİ ANLAMAK ........................ 46
APT TANIMI ......................................................................................................................................... 46
APT KARAKTERİSTİK ÖZELLİKLERİ ............................................................................................................. 46
APT YAŞAM DÖNGÜSÜ .......................................................................................................................... 47
APT ÖRNEKLERİ .................................................................................................................................... 48
SİBER ÖLÜM ZİNCİRİ’Nİ ANLAMAK.............................................................................................. 49
SİBER ÖLÜM ZİNCİRİ METODOLOJİSİ ......................................................................................................... 49
1- Keşif .......................................................................................................................................... 49
2- Silahlanma................................................................................................................................ 49
3- İletme........................................................................................................................................ 49
4- Sömürme................................................................................................................................... 50
5- Kurulum .................................................................................................................................... 50
6-Komuta ve Kontrol..................................................................................................................... 50
7- Hedeflenen Eylem..................................................................................................................... 50
TEKNİK, TAKTİK VE PROSEDÜRLER (TTP).................................................................................................... 51
Taktik ............................................................................................................................................ 51
Teknik............................................................................................................................................ 51
Prosedürler.................................................................................................................................... 51
DÜŞMAN DAVRANIŞLARINI TANIMA.......................................................................................................... 52
KİLL CHAİN DEEP DİVE SCENARİO, SPEAR PHİSHİNG .................................................................................... 52

INDİCATORS OF COMPROMİSE (IOC), UZLAŞMA GÖSTERGELERİNİ ANLAMAK .............................. 53
INDİCATORS OF COMPROMİSE (IOC)......................................................................................................... 53
IOC NEDEN ÖNEMLİ?............................................................................................................................. 53
ANAHTAR IOC GÖSTERGELERİ.................................................................................................................. 54
PYRAMİD OF PAİN.................................................................................................................................. 55
VERİ TOPLAMA VE İŞLEME.......................................................................................................... 57
TEHDİT İSTİHBARATI VERİ TOPLAMASINA GENEL BAKIŞ ................................................................................ 57
Veri Toplama Yöntemleri .............................................................................................................. 57
Veri Türleri .................................................................................................................................... 57
Tehdit İstihbaratı Veri Toplama Türleri......................................................................................... 58
TEHDİT İSTİHBARAT TOPLAMA YÖNETİMİNE GENEL BAKIŞ........................................................... 59
VERİ TOPLAMA İÇİN OPERASYONEL GÜVENLİĞİ ANLAMAK............................................................................ 59
VERİ GÜVENİLİRLİĞİNİ ANLAMA ............................................................................................................... 59
ÜÇÜNCÜ ŞAHIS İSTİHBARAT KAYNAKLARININ KALİTESİNİN VE GÜVENİLİRLİĞİNİN DOĞRULANMASI....................... 60
BİR TEHDİT İSTİHBARAT TOPLAMA PLANI OLUŞTURMA................................................................................. 61
TEHDİT İSTİHBARAT KAYNAKLARI VE YAYINLARINA GENEL BAKIŞ ................................................ 62
TEHDİT İSTİHBARAT YAYINLARI................................................................................................................. 62
TEHDİT İSTİHBARAT KAYNAKLARI .............................................................................................................. 63
TEHDİT İSTİHBARATI VERİ TOPLAMA VE KAZANÇLARINI ANLAMA................................................ 64
TEHDİT İSTİHBARATI VERİ TOPLAMA VE SATIN ALMA ................................................................................... 64
AÇIK KAYNAK İSTİHBARATI İLE VERİ TOPLAMA (OSINT) ............................................................................... 64
Arama Motorları ile Veri Toplama................................................................................................ 65
Gelişmiş Google Arama ile Veri Toplama.................................................................................................................. 65
Google Hacking Veritabanı ile Veri Toplama ............................................................................................................ 65
ThreatCrowd ile Veri Toplama.................................................................................................................................. 66
Deep Web ve Dark Web Aramasıyla Veri Toplama................................................................................................... 66
Web Servisleri ile Veri Toplama .................................................................................................... 67
Üst Düzey Etki Alanlarını ve Alt Etki Alanlarını Bulma............................................................................................... 67
İş Siteleri Üzerinden Veri Toplama ........................................................................................................................... 67
Gruplar, Forumlar ve Bloglar aracılığıyla Veri Toplama ............................................................................................ 68
Sosyal Ağ Siteleri Üzerinden Veri Toplama............................................................................................................... 68
Kara Listeli ve Beyaz Listeli Sitelerle İlgili Veri Toplama............................................................................................ 68
Web Sitesi Ayak İzi ile Veri Toplama............................................................................................. 68
Web Sitesi Trafiğini İzleme Yoluyla Veri Toplama..................................................................................................... 69
Web Sitesi Yansıtma ile Veri Toplama ...................................................................................................................... 69
Web Sitesi Bilgilerini https://archive.org adresinden çıkarmak................................................................................ 69
Genel Belgelerin Meta Verilerini Çıkarma ................................................................................................................ 69
Whois Lookup ile Veri Toplama .................................................................................................... 70
DNS Sorgulaması ile Veri Toplama ............................................................................................... 70
DNS Araması ve Ters DNS Araması ile Veri Toplama ................................................................................................ 70
Fast-Flux DNS Bilgi Toplama ..................................................................................................................................... 71
Dinamik DNS (DDNS) Bilgi Toplama.......................................................................................................................... 71
DNS Zone Transfer İle Bilgi Toplama......................................................................................................................... 71
OSINT’i Otomatikleştiren Araçlar/Yapılar/Komut Dosyaları......................................................... 72
MALTEGO ................................................................................................................................................................. 72
OSTrICa..................................................................................................................................................................... 72
OSRFramework......................................................................................................................................................... 72
FOCA......................................................................................................................................................................... 72
GOSINT ..................................................................................................................................................................... 72
İNSAN ZEKÂSI İLE VERİ TOPLAMA (HUMINT) ............................................................................................ 73
İnsan Tabanlı Sosyal Mühendislik Teknikleri ile Veri Toplama...................................................... 73
Sosyal Mühendislik Araçları.......................................................................................................... 73
CYBER COUNTERİNTELLİGENCE (CCI) İLE VERİ TOPLAMA .............................................................................. 74

Honeypots ile Veri Toplama.......................................................................................................... 74
Pasif DNS İzleme ile Veri Toplama ................................................................................................ 74
YARA Kuralları ile Veri Toplama.................................................................................................... 74
UZLAŞMA GÖSTERGELERİYLE VERİ TOPLAMA (IOC'LER)................................................................................ 75
Dış Kaynaklarla IoC Veri Toplama................................................................................................. 75
Ticari ve Endüstri IoC Kaynakları............................................................................................................................... 75
IT-ISAC................................................................................................................................................................. 75
Ücretsiz IoC Kaynakları ............................................................................................................................................. 75
AlienVault OTX .................................................................................................................................................... 75
Blueliv Threat Exchange Network ....................................................................................................................... 75
MISP .................................................................................................................................................................... 75
Threat Note......................................................................................................................................................... 76
Cacador ............................................................................................................................................................... 76
IOC Bucket................................................................................................................................................................ 76
Dahili Kaynaklarla IoC Veri Toplama ............................................................................................ 76
Splunk Enterprise...................................................................................................................................................... 76
Valkyrie Bilinmeyen Dosya Avcısı ............................................................................................................................. 76
IOC Finder................................................................................................................................................................. 77
RedLine..................................................................................................................................................................... 77
Özel IoC'ler Oluşturmak suretiyle Veri Toplama ........................................................................... 77
IOC Editör ................................................................................................................................................................. 77
TEHDİT GÖSTERGESİ İÇİN TEHDİT GÖSTERGELERİNİN (IOC'LER) ETKİN KULLANIMI İÇİN ADIMLAR . 79
KÖTÜ AMAÇLI YAZILIM ANALİZİYLE VERİ TOPLAMA ..................................................................................... 79
Statik Kötü Amaçlı Yazılım Analiziyle Veri Toplama...................................................................... 79
Dinamik Kötü Amaçlı Yazılım Analiziyle Veri Toplama ................................................................. 79
Kötü Amaçlı Yazılım Analiz Araçları .............................................................................................. 80
Valkyrie..................................................................................................................................................................... 80
Kötü Amaçlı Yazılım Veri Toplama Araçları .................................................................................. 80
VERİ YIĞINI TOPLAMAYI ANLAMA............................................................................................... 81
VERİ YIĞINI TOPLAMAYA GİRİŞ................................................................................................................. 81
VERİ YIĞINI TOPLAMA FORMLARI ............................................................................................................. 81
VERİ YIĞINI TOPLAMANIN YARARLARI VE ZORLUKLARI.................................................................................. 81
VERİ YIĞINI YÖNETİMİ VE ENTEGRASYON ARAÇLARI..................................................................................... 82
VERİ İŞLEME VE SÖMÜRÜYÜ ANLAMAK ...................................................................................... 83
TOPLANAN VERİLERİN YAPILANDIRMASI / NORMALLEŞTİRİLMESİ ................................................................... 83
VERİ ÖRNEKLEMESİ................................................................................................................................ 83
Veri Örnekleme Türleri.................................................................................................................. 83
DEPOLAMA VE VERİ GÖRSELLEŞTİRME....................................................................................................... 84
VERİ ANALİZİNE GENEL BAKIŞ ..................................................................................................... 85
VERİ ANALİZİNE GİRİŞ............................................................................................................................. 85
VERİLERİN BAĞLAMSALLAŞTIRILMASI (CONTEXTUALİZATİON) ........................................................................ 85
VERİ ANALİZİ TÜRLERİ ............................................................................................................................ 85
VERİ ANALİZİ TEKNİKLERİNİ ANLAMAK........................................................................................ 87
İSTATİSTİKSEL VERİ ANALİZİ ..................................................................................................................... 87
Veri Hazırlama .............................................................................................................................. 87
Veri Sınıflandırması....................................................................................................................... 87
Veri Doğrulama............................................................................................................................. 88
Veri Korelasyonu........................................................................................................................... 88
Veri Puanlama .............................................................................................................................. 88
İstatistiksel Veri Analizi Araçları ................................................................................................... 88
SAS/STAT Yazılımı ..................................................................................................................................................... 88
IBM SPSS................................................................................................................................................................... 88

RAKİP HİPOTEZLER ANALİZİ, ANALYSİS OF COMPETİNG HYPOTHESES (ACH).................................................... 89
Hipotez.......................................................................................................................................... 89
Kanıt.............................................................................................................................................. 89
Teşhis ............................................................................................................................................ 89
Tutarsızlık...................................................................................................................................... 89
ACH TOOL ........................................................................................................................................... 90
PARC ACH...................................................................................................................................... 90
RAKİP HİPOTEZLER YAPISAL ANALİZİ (SACH).............................................................................................. 90
TEHDİT ANALİZİNE GENEL BAKIŞ ................................................................................................. 91
TEHDİT ANALİZİNE GİRİŞ ......................................................................................................................... 91
TEHDİT ANALİZİ SÜRECİNİ ANLAMAK .......................................................................................... 92
TEHDİT ANALİZİ SÜRECİ VE SORUMLULUKLARI ............................................................................................ 92
SİBER ÖLDÜRME ZİNCİRİ METODOLOJİSİNE DAYALI TEHDİT ANALİZİ............................................................... 93
TEHDİT MODELLEMESİ GERÇEKLEŞTİRME................................................................................................... 93
TEHDİT MODELLEMESİ METODOLOJİLERİ................................................................................................... 93
STRIDE........................................................................................................................................... 93
PASTA............................................................................................................................................ 93
TRIKE............................................................................................................................................. 94
VAST.............................................................................................................................................. 94
DREAD........................................................................................................................................... 95
OCTAVE......................................................................................................................................... 95
TEHDİT MODELLEME ARAÇLARI................................................................................................................ 95
Microsoft Tehdit Modelleme Aracı ............................................................................................... 95
ThreatModeler.............................................................................................................................. 95
SecuriCAD Profesyonel.................................................................................................................. 95
IriusRisk......................................................................................................................................... 96
ELMAS MODEL FRAMEWORK İLE TEHDİT ANALİZİ SÜRECİNİ GELİŞTİRME ......................................................... 96
TEHDİT GÖSTERGELERİNİN DOĞRULANMASI VE ÖNCELİKLENDİRİLMESİ ........................................................... 96
FİNE-TUNİNG TEHDİT ANALİZİNE GENEL BAKIŞ............................................................................ 97
FİNE-TUNİNG TEHDİT ANALİZİ.................................................................................................................. 97
TEHDİT ANALİZİ YAZILIMI İÇİN KRİTERLER GELİŞTİRMEK ................................................................................ 97
RUNBOOK'LAR VE BİLGİ TABANI OLUŞTURMA............................................................................. 98
RUNBOOK'LAR GELİŞTİRME ..................................................................................................................... 98
BİLGİ TABANINDA SİBER TEHDİT BİLGİLERİNİ DÜZENLEME VE DEPOLAMA........................................................ 98
TEHDİT İSTİHBARATI ARAÇLARINA GENEL BAKIŞ........................................................................ 100
ALİENVAULT USM ANYWHERE.............................................................................................................. 100
IBM X-FORCE EXCHANGE ..................................................................................................................... 100
THREATCONNECT ................................................................................................................................ 100
SURFWATCH TEHDİT ANALİSTİ............................................................................................................... 100
Ek Tehdit İstihbarat Araçları ....................................................................................................... 100
İSTİHBARAT RAPORLAMA VE YAYGINLAŞTIRMA........................................................................ 102
TEHDİT İSTİHBARATI RAPORLARINA GENEL BAKIŞ ..................................................................... 102
TEHDİT İSTİHBARATI RAPORLARI............................................................................................................. 102
SİBER TEHDİT İSTİHBARAT RAPORLARI TÜRLERİ ......................................................................................... 102
TEHDİT İSTİHBARAT RAPORU ŞABLONU ................................................................................................... 102
RAPOR YAZMA ARAÇLARI...................................................................................................................... 110
MagicTree................................................................................................................................... 110
KeepNote .................................................................................................................................... 110

YAYGINLAŞTIRMAYA GİRİŞ ....................................................................................................... 111
İSTİHBARAT PAYLAŞMANIN YARARLARI .................................................................................................... 111
İSTİHBARAT PAYLAŞIMINDAKİ ZORLUKLAR................................................................................................ 111
BİLGİ PAYLAŞIMI KURALLARI .................................................................................................................. 112
TEHDİT İSTİHBARATININ PAYLAŞILMASINA GENEL BAKIŞ........................................................... 113
STRATEJİK TEHDİT İSTİHBARATININ PAYLAŞILMASI ..................................................................................... 113
TAKTİK TEHDİT İSTİHBARATI PAYLAŞIMI ................................................................................................... 113
OPERASYONEL TEHDİT İSTİHBARATININ PAYLAŞILMASI ............................................................................... 113
IT-ISAC (BİLGİ TEKNOLOJİSİ VE BİLGİ GÜVENLİĞİ VE ANALİZ MERKEZİ)......................................................... 113
TESLİMAT MEKANİZMALARINA GENEL BAKIŞ ............................................................................ 114
TESLİMAT FORMLARI............................................................................................................................ 114
MAKİNE TARAFINDAN OKUNABİLEN TEHDİT İSTİHBARATI (MRTI)................................................................ 114
TEHDİT İSTİHBARATINI PAYLAŞMA STANDARTLARI VE FORMATLARI .............................................................. 114
Trafik Işık Protokolü (TLP)........................................................................................................... 114
MITRE Standartları...................................................................................................................... 115
Yönetilen Olay Hafif Değişim, Managed Incident Lightweight Exchange (MILE) ....................... 116
VERIS........................................................................................................................................... 116
IDMEF.......................................................................................................................................... 117
TEHDİT İSTİHBARATI PAYLAŞMA PLATFORMLARINI ANLAMAK .................................................. 118
BİLGİ PAYLAŞIMI VE İŞ BİRLİĞİ PLATFORMLARI .......................................................................................... 118
Blueliv Tehdit Değişim Ağı .......................................................................................................... 118
Anomali STAXX............................................................................................................................ 118
MISP (Kötü Amaçlı Yazılım Bilgi Paylaşma Platformu) ............................................................... 118
Soltra Edge.................................................................................................................................. 118
İSTİHBARAT PAYLAŞIMI YASALARINA VE DÜZENLEMELERE GENEL BAKIŞ ................................... 119
SİBER İSTİHBARAT PAYLAŞMA VE KORUMA YASASI (CISPA)........................................................................ 119
SİBER GÜVENLİK BİLGİ PAYLAŞMA YASASI-CYBERSECURİTY INFORMATİON SHARİNG ACT (CISA)....................... 119
TEHDİT İSTİHBARATI ENTEGRASYONUNA GENEL BAKIŞ.............................................................. 120
TEHDİT İSTİHBARATINI ENTEGRE ETME .................................................................................................... 120
GEREKSİNİMLER, PLANLAMA, YÖN VE GÖZDEN GEÇİRMEK........................................................ 121
ORGANİZASYONA YÖNELİK KRİTİK TEHDİTLERİ BELİRLEMEK......................................................................... 121
KURULUŞUN MEVCUT GÜVENLİK BASKI DURUŞUNU DEĞERLENDİRİN ........................................................... 121
Kuruluşun Mevcut Güvenlik Altyapısı ve İşlemlerini Anlama...................................................... 122
SIEM........................................................................................................................................................................ 122
NGFW ..................................................................................................................................................................... 123
Gateway.................................................................................................................................................................. 123
IPS/IDS.................................................................................................................................................................... 123
Endpoint Çözümler ................................................................................................................................................. 123
TANIMLANMIŞ TEHDİTLER İÇİN RİSKLERİ DEĞERLENDİRİN ........................................................................... 123
GEREKSİNİM ANALİZİNİ ANLAMAK............................................................................................ 125
İSTİHBARAT İHTİYAÇLARINI VE GEREKSİNİMLERİNİ BELİRLEME ...................................................................... 125
TEHDİT İSTİHBARATI GEREKSİNİMLERİNİ TANIMLAYIN................................................................................. 125
İŞ İHTİYAÇLARI VE GEREKLİLİKLERİ ........................................................................................................... 125
İşletme Birimleri, İç Paydaşlar ve Üçüncü Taraflar ..................................................................... 125
Diğer Takımlar ............................................................................................................................ 126
GEREKSİNİMLERİ ÖNCELİKLENDİRME FAKTÖRLERİ...................................................................................... 126
GEREKSİNİMLERİN ÖNCELİKLENDİRİLMESİ İÇİN MOSCOW YÖNTEMİ ............................................................ 127
KURUMSAL VARLIKLARIN ÖNCELİKLENDİRİLMESİ ....................................................................................... 128
GİZLİLİK SÖZLEŞMESİ ............................................................................................................................ 128

YAYGIN TEHDİT İSTİHBARAT TUZAKLARINDAN KAÇININ............................................................................... 129
TEHDİT İSTİHBARATI PROGRAMINI PLANLAMA ......................................................................... 130
İNSANLARI, SÜREÇLERİ VE TEKNOLOJİYİ HAZIRLAMAK................................................................................. 130
BİR VERİ TOPLAMA PLANI GELİŞTİRMEK .................................................................................................. 131
BİR BÜTÇE PLANLAYIN.......................................................................................................................... 132
PAYDAŞLARA İLERLEMEYİ GÜNCELLEMEK İÇİN İLETİŞİM PLANI GELİŞTİRİN...................................................... 132
TOPLANMIŞ TEHDİT İSTİHBARATI ............................................................................................................ 133
BİR TEHDİT İSTİHBARAT PLATFORMU SEÇİN.............................................................................................. 133
FARKLI HEDEFLER İÇİN TÜKETİCİ İSTİHBARATI............................................................................................ 134
PAYDAŞLARIN BİLGİLENDİRİLMESİ İÇİN METRİKLERİN İZLENMESİ .................................................................. 134
TEHDİT İSTİHBARAT EKİBİ OLUŞTURMA..................................................................................... 135
BAŞARILI BİR TEHDİT İSTİHBARATI EKİBİ İÇİN ÖNEMLİ KURALLAR ................................................................. 135
TEHDİT İSTİHBARATI ANALİSTLERİNİN SAHİP OLMASI GEREKEN ALIŞKANLIKLAR............................................... 136
Farklı Tehdit İstihbarat Rolleri ve Sorumluluklarını Anlama ....................................................... 136
Tehdit İstihbaratı Ekipleri Başarısız Olma Nedenleri................................................................... 137
TEHDİT İSTİHBARATI PAYLAŞIMINA GENEL BAKIŞ ...................................................................... 139
TEHDİT İSTİHBARATININ PAYLAŞILMASIYLA İLGİLİ HUSUSLAR ....................................................................... 139
ÇEŞİTLİ ORGANİZASYONLARLA İSTİHBARATI PAYLAŞMA............................................................................... 139

Siber Tehdit İstihbaratına Giriş
İstihbarat Nedir?
İstihbarat kelimesi Arapçadaki “istihbar” kelimesinin çoğuludur. Haberler, yeni alınan bilgiler
veya haber alma anlamına gelmektedir. TCK’daki anlamı da aynı şekilde “yeni öğrenilen
bilgiler, haberler ve duyumlar” olarak açıklanmaktadır. İstihbaratın ne demek olduğunu
anlamak için bazı kavramların üzerinde durmamız gerekmektedir.
Veri: Yönlendirme amacıyla kullanılan, işe yarayabilecek veya yaramayacak metin, belge ve
seslerin ham halidir.
Enformasyon: Enformasyon Fransızcada “danışma, tanıtma, haber alma, haber verme,
haberleşme” anlamlarına gelmektedir. Verini işlenmiş ve düzenlenmiş haline denir. Yazılı,
sözlü veya görsel bir mesajdır.
Bilgi (Anlamlı Bilgi): Enformasyonun zenginleştirilmiş halidir. Zenginleştirme işlemi deney,
tecrübe, yorum, analiz ve bağlam yoluyla yapılabilir.
İstihbaratın günümüzde yaygın olarak kullanılan anlamı şu şekildedir; Kişi, kurum-kuruluş,
devletler ve diğer organizasyonlar hakkında açık veya kapalı kaynaklardan haber, doküman
veya bilgi toplayıp, analiz ve değerlendirmeler işlemlerine tabi tutarak sonuca ulaşılması
işlemidir.
“Denilir ki başkasını ve kendini bilirsen sen, yüz kere savaşsan da tehlikeye düşmezsin;
başkasını bilmeyip, kendini bilirsen bir kazanır bir kaybedersin ne kendini ne de başkasını
bilmezsen, girdiğin her savaşta kaybetmeye mahkumsun demektir.”- Sun Tzu
İstihbaratı kaynaklarına göre sınıflandıracak olursak;

• Açık kaynak istihbaratı
• Görüntü İstihbaratı
• İnsan İstihbaratı
• Radar (İzleme, Ölçme ve İz) İstihbaratı
• Sinyal (İletişim, Elektronik, Cihaz Sinyali) İstihbaratı
• Teknik İstihbarat
İstihbaratını seviyelerine göre 3 başlıkta sınıflandırabiliriz;
• Stratejik İstihbarat
• Operasyonel İstihbarat
• Taktiksel İstihbarat
Stratejik İstihbarat: Güvenlik politikalarının geliştirilmesi ve uygulanmasında yakın veya
muhtemel önlemi bulunan, yabancı ulusların veya bölgelerin bir ya da birden fazla yönü ile
ilgilenen istihbarat çeşididir.
Taktiksel İstihbarat: Taktik istihbaratı, düşmanın aktüel amaç ve kapasitelerini anlamaya
yönelik toplanan istihbarat çeşididir. Stratejik istihbarat ile arasındaki en büyük fark şudur;
Taktiksel istihbaratın mevcut bilgiyi hemen kullanması gerekmektedir. Ama bu işlem, stratejik
istihbaratta uzun vadeli olabilir.
Operasyonel İstihbarat: İç içe geçmiş uyumlu taktiksel istihbarat eylemlerinden oluşturulmuş
olan istihbarat operasyonuna verilen isimdir.

Siber Tehdit İstihbaratı
İstihbarat, Tehdit İstihbaratı ve Siber Tehdit İstihbaratı birbirleriyle bağlantıları kavramlardır.
Aralarındaki ilişkiyi aşağıdaki Şekil 1’de gösterilmiştir.
Şekil 1: İstihbarat, Tehdit İstihbaratı ve Siber Tehdit İstihbaratı arasındaki ilişki
Siber tehdit istihbaratının ne olduğuna geçmeden önce Siber Tehdidin ne olduğuna
değinmemiz gerekmektedir.
Siber Tehdit
Siber tehdit, kötü niyetli kişi veya kuruluşların, kontrol sistemi cihazlarına veya şebekesine
yetkisiz erişim teşebbüsünde bulunması, ağ yapısını bozması veya kullanılamaz hale
getirmesidir. Siber tehditler çeşitli yerlerden, insanlardan, kurum veya kuruluşlardan
kaynaklanabilir.
Örneğin;
• Teröristler
• Hackerler
• Ticari rakipler
• Casuslar
• Düşman devletler
• Mutsuz çalışanlar
• Organize suç grupları

Yukarıda bahsedilen siber tehdit kaynaklarının, zarar vermek amacıyla gerçekleştirdikleri
işlemlere siber tehdit denir. Bu tehditler, saldırganların, kurbanlarına saldırı gerçekleştirirken
ne tür bir senaryo izleyebileceklerine dair fikir oluşturur. Bahsettiğimiz siber tehditlere örnek
vermek gerekirse;
• Malware; Zararlı yazılımlar
• Spyware; Casus yazılımlar
• Malvertising; Reklamlara gömülmüş zararlı yazılımla
• Man in the Middle (MITM); Ortadaki Adam Saldırıları
• Wiper Attacks; Bulaştığı sistemde her şeyi silen zararlılar
• Distributed Denial of Service (DDoS); Servis dışı bırakma saldırıları
• Ransomware; Fidye Zararlıları
• Botnets; Zombi Makineler
• Trojans; Truva Atları
• Phishing; Oltalama Saldırıları
• Data Breaches; Veri sızıntıları
• Worms; Solucanlar
• Keyloggers; Klavye İşlemlerini Kaydeden Programlar
• Backdoors; Arka Kapılar
• Malvertising; Reklam Zararlıları
• Advanced Persistent Threats; Hedef Odaklı Saldırılar
Siber Tehdit İstihbaratı
Siber tehdit istihbaratı (CTI), bir kurumun veya varlığın güvenliğini tehdit eden mevcut ve
potansiyel saldırılar hakkındaki bilgilerin toplanmasına, analiz edilmesine odaklanan siber
güvenlik alanıdır. Siber tehdit istihbaratının yararı, veri sızıntılarını önleme ve özellikle finansal
maliyetlerden tasarruf sağlamasıdır. Amacı kurum/kuruluşlara kendilerine karşı oluşan
tehditleri göstermek, anlamlandırılmasına yardım etmek ve korumaktır.
Siber tehdit istihbaratı, toplanan verilerin analizinden sonra saldırganların düşüncelerini,
amaçlarını, motivasyonlarını, yöntem ve metotlarını tespit etmek amacı taşır.
Siber tehdit istihbaratı çözümleri eyleme geçirilebilir çözümlerdir. Bu nedenle gerçek zamanlı
aksiyonlar alınabilir ve olası saldırılara karşı hazırlıklı olunabilir. Buna proaktif siber güvenlik
denir.
İstihbaratı seviyelerine göre üç gruba ayırdığımız gibi Siber Tehdit İstihbaratı’nı da seviyelerine
göre aynı gruplara ayırabiliriz.

Stratejik İstihbarat: Düşmanı tanımaya yönelik olan istihbarat çeşididir. Zarar verme
potansiyeli olan kurum/kuruluş/kişi/grupların izlenmesi sonucu oluşturulur. Saldırganların
niyetlerine, motivasyonlarına, taktik ve stratejilerine, geçmişteki eylemlerine ve olması
muhtemel saldırılarına yönelik bilgi içerir.
Operasyonel İstihbarat: Bu istihbarat çeşidi saldırganların teknik, taktik ve prosedürlerini
içermektedir. Bu bilgiler SOC (Security Operation Center) ekiplerine servis edilir ve onlar
tarafından analiz edilip olası saldırılara karşı bir önlem olarak kullanılabilir.
Taktiksel İstihbarat: Bu istihbarat çeşidi sistem ve ağ üzerindeki olası kötü amaçlı etkinlikleri
tanımlayan verileri içermektedir. IOC (Indicators of Compromise) denilen bu veriler
bulundukları yapıdaki olağandışı ve şüpheli hareket verileridir. Taktiksel istihbarat SIEM,
IDP/IPS, DLP gibi güvenlik çözümlerine entegre edilmektedir.

Siber Tehdit İstihbaratı Neden Gereklidir?
Faydaları Nelerdir?
Ponemon Enstitüsü tarafından 2015 yılının yapılan bir ankete göre; Şirketlerin %40’ında son
24 ayda maddi bir güvenlik ihlali yaşanmıştır ve ihlallerin %80’ninin, tehdit istihbaratı ile
engellenebileceği ya da hasarı en aza indirebileceği tespit edilmiştir.
Katılımcıların sadece %36’sı şirketlerinin savunmasını güçlü olarak değerlendirmiştir.
Katılımcıların neredeyse yarısı bir saldırının sonuçlarını önlemek veya azaltmak için aldıkları
istihbarat verilerini artırmaktadır.
Bu kurumlar ortalama olarak haftada 16937 alarm almaktadır. Alarmların sadece 3218’i (%19)
güvenilir olarak değerlendirilmiştir. Alarmların sadece 705’i (%4) araştırılabilmiştir. Yanlış
uyarılara karşılık yılda 1,27 milyon dolar harcadığı belirlenmiştir. Bu bahsedilen problemler
doğru siber tehdit istihbaratı yöntemleri ile minimuma indirgenebilir.
Siber tehdit istihbaratı, olası tehditler hakkında farkındalık kazandırılması amacı taşımaktadır.
Kurum içi istenmeyen olaylara gerçekleşmeden önce müdahale edilmesi için gerekli bir
alandır. Bu şekilde güvenlik çözümleri en üst seviyeye çıkarılmış ve gerekli önlemler alınmış
olur. Siber tehdit istihbaratının faydaları arasında; veri kaybını önleme, veri ihlallerini tespit
etme, olay yanıtı, tehdit analizi, veri analizi, tehdit istihbarat paylaşımı sayılabilir.
Veri Kaybı Önleme
Bir siber tehdit istihbarat sistemi, kötü niyetli IP’ler ve domainler alanları ile iletişim
girişimlerini izleyebilir, çalışanlara yapılabilecek olası phishing saldırılarını algılayabilir. Bu
verilerin toplanıp analiz edilmesi olası aynı durumlar için önlem niteliği oluşturabilmektedir.
Veri İhlallerini Tespit Etme
Gerçekleşmiş veya gerçekleşmekte olan bir veri ihlali ne kadar erken tespit edilirse, kurum
üzerindeki zararlı etkisi de o kadar az olur. Bu noktada veri ihlalleri ve sızıntıları tespiti hem
maddi açıdan yaşanacak kayıplara, hep kurumun saygınlık kaybetmesine bir önlem niteliği
taşımaktadır.
Olay Yanıtı
Yukarıda bahsettiğimiz ver kaybı veya sızıntısının hangi cihazlar üzerinde gerçekleştiği/
gerçekleşmekte olduğu bilgisi tehlikeye giren sistemleri belirlemeye yardımcı olur. Böylelikle
aynı ihlallerin gerçekleşmemesi adına alınacak önlemler daha bilinçli yapılandırılabilir.

Tehdit Analizi
Tehdit analizi, gerekli savunma mekanizmaları ve alınabilecek önlemler hakkında fikir verir. Bu
analiz, daha önce yapılmış saldırılar veya gerçekleşmeden önce tespit edilmiş saldırılar
üzerinden gerçekleşmektedir. Amaç saldırganların teknik, taktik ve prosedürlerini anlamak,
tehdit oluşturabilecek noktalara doğru çözüm önerilerini getirmektir.
Veri Analizi
Toplanan verilerin analiz edilmesi saldırganların oluşturdukları/oluşturabilecekleri tehditlere
karşı ek bilgiler elde edilmesine yardımcı olur.
Tehdit İstihbarat Paylaşımı
Tehdit istihbaratı paylaşımı kurumların elde ettikleri tehditsel verileri diğer kurumlarla
paylaşmasıdır. Amacı; hedeflenen saldırılara karşı kullanılan önlemlerin geliştirilmesine
yardımcı olmaktır. Gerçekleşmekte olan tehditlerle bireysel olarak savaşmak neredeyse
imkânsız olduğu için topluluklar arası bilgi paylaşımı hayati önem taşımaktadır.

Bir Saldırı Öncesi, Saldırı Sırası ve Saldırıdan
Sonra Yapılacaklar
Siber Saldırı Öncesinde
Bir siber savaş sırasında yapılabilecek en iyi savunma, tehditlerin gerçekleşmesine izin
vermemektir. Bunu yapmak için bazı önlemlerin alınması hayati nitelik taşımaktadır. Plan
oluşturmak, kritik varlıkların belirlenmesi ve bunlar için gerekli uygun teknolojilerin
kullanılması, kurum çalışanlarına gerekli eğitimlerin verilmesi gibi işlemler yapılabilir.
Plan Oluşturmak: Bir siber saldırı gerçekleşmeden önce dikkat edilmesi gereken kilit nokta BT
altyapımızın belirli prosedürlere tabi tutulmasıdır. Felaket senaryosu planı oluşturulması ve
plan oluşturulurken; iyi belgelenmeli, test edilmeli, açıklık verilen noktaları telafi edilmelidir.
İyi bir planın olması saldırıdan kurtulma şanımızı arttıracaktır.
Kritik Varlıkların Tanınması: Hangi programlar, sunucular, işlemler, veri tabanları devre dışı
kalması halinde yapılan işin devam edilmesine engel oluşturuyorsa, bunlar kritik varlıklardır.
Bu sistemlerin tanınması ve korumak için gerekli adımların atılmış olması gerekmektedir.
Kritik Varlıkları Korumak İçin Uygun Teknolojinin Kullanılması: Bu teknolojiler bir saldırıya
karşı önlem oluşturacak, gerçekleşmeden önceki veri ihlallerini bildirecek, olağan dışı olayları
rapor edecek teknolojilerdir. IPS/IDS sistemler, DLP yapıları, SIEM ürünleri, Syslog verileri
örnek olarak gösterilebilir. Bunların dışında kritik verilerin belirli sıklıklarla yedeklenmesi ve bu
yedeklerin tek bir noktaya değil birden fazla noktaya gerçekleştirilmesi de önlem niteliği taşır.
Gerekli Eğitimlerin Verilmesi: Kurumların çalışanlarına güvenlik eğitimleri vermeleri, olası
saldırı veya kritik durumlarda bilinçsiz harekete etmelerine engel oluşturur.
Siber Saldırı Sırasında
Kurumumuz yeterli olduğunu düşündüğü tüm önlemleri almış olsa bile, bir siber saldırının
gerçekleşmesine engel olamamış olabilir. Bu noktada durum değerlendirmesi, hasar kontrolü,
yedeklerin kullanılması, etkilenen sistemlerdeki kanıt niteliği taşıyan verilerin muhafaza
edilmesi ve yetkililerin bilgilendirilmesi gibi işlemler gerçekleştirilebilir.
Durum Değerlendirmesi: Öncelikle var olan durumun gerçekten bir siber saldırı mı olduğu
yoksa kurum içi gerçekleşen olağan bir durumun saldırı şeklinde algılanması mı olduğuna
cevap verilmelidir. Eğer bunun sadece gerçekleşen bir aksaklık ise kurtarma senaryosuna
gidilmez ama siber saldırı olduğu kesinleşirse daha önce yapılan planlardaki işlem adımları
devreye sokulur.
Hasarın En Aza İndirilmesi: Bu noktada verilmesi kararlar vardır. Örneğin; tehdidin daha
derine yayılmasını önlemek için sistemin kapatılması daha çok hasara mı neden verir? Yoksa

bu durum kötünün iyisi olarak değerlendirilebilir mi? Çok büyük yapılarda, saldırı sırasında,
gerçekleşen yoğun trafiği azaltmak ve asıl probleme odaklanmak için daha önce yazılmış
kurallarda değişiklik yapılabilir.
Yedekler: Gerçek zamanlı sistemlerde sistemin kapatılmaması durumunda, hizmet verdiği
insanların işlemlerini gerçekleştirmeye devam etmek için en hızlı şekilde yedeklerin geri
yüklenmesi gerekebilir.
Etkilenen Sistemlerden Adli Verilerin Toplanması: Saldırıyı gerçekleştiren saldırganlar,
kendilerini ele vermemek için bazı izleri silme eğilimde bulunabilirler. Bu duruma engel olmak
için sistemin anlık yapısının, topolojisinin, etkilenen sistemlerin üzerinde çalışan personel
kimlik bilgilerinin alınması, daha sonra yapılacak olan adli bilişim izleme sürecinde
kullanılabilir.
Yetkililere Bilgi Verilmesi: Olayın şirket personellerine ve saldırıdan etkilenebilecek olası
mağdurlara bildirilmesi gerekmektedir. Verilecek bu bilgiler aynı saldırının başkalarına verecek
hasarı önleyebilir veya azaltabilir. Potansiyel mağdurların bilgilendirilmemesi, istenmeyen
yasal işlemlere yol açabilir.
Yapılmaması Gerekenler: Bir siber saldırı sırasında yapılması gerekenlere verilen önem kadar
yapılmaması gerekenlere de dikkat edilmelidir. Örneğin: Etkilenen sistemin kullanılmaya
çalışılması, sisteme giden güç kaynağının kesilmesi, iletişimin tehlikede bulunan sunucu
üzerinden yapılması gibi işlemler yapılmaması gerekenler arasında sayılabilir.
Siber Saldırı Sonrasında
Kuruma gerçekleşen siber saldırı sonrasında etkilenen sistemler izlenmeli ve yaşanan
deneyimden çıkarılan olumlu olumsuz davranışlar, kontroller, müdahaleler göz önünde
bulundurularak var olan sistem güçlendirilmelidir.
Etkilenen Sistem/Sistemlerin İzlenmeye Devam Edilmesi: Saldırganlar girdikleri sistemlerde
arka kapılar bırakmış olabilirler. Bu nedenle etkilenen sistemlerin gözetim altında tutulması ve
gerekli testlerin yapılması gerekmektedir.
Gelecek Saldırıların Önlenmesi İçin Gerekli Önlemlerin Alınması: Bir saldırının
gerçekleşmesi demek, saldırganların kullanabilecekleri bir zafiyeti barındırmak demektir.
Öncelikle bu zafiyetin önüne geçilmesi gerekmektedir. Aynı tarz bir olayın gerçekleşmemesi
için gerekli incelemeler yapılması, personel bilgilendirilmeli, olaya sebebiyet veren kaynaklar
araştırılmalı ve müdahale edilmelidir.

Tehdit İstihbaratı Yaşam Döngüsü ve
Çerçeveleri
İstihbarat sürekli devam eden bir faaliyettir. Bu sebeple bazı işlemler sürekli olarak tekrar
etmektedir. Bu işlemlerin belirli bir form olmadan gerçekleştirilmesi, işleri zorlaştıracak ve
karışıklığa sebebiyet verecektir. Bu nedenle bir Siber İstihbarat Yaşam Döngüsü
oluşturulmuştur. Aşağıdaki Şekil 2’de bu yaşam döngüsünün adımları gösterilmiştir.
Şekil 2: Siber İstihbarat Yaşam Döngüsü
Yönlendirme
Tehdit İstihbaratı Yaşam Döngüsünün Yönlendirme aşaması, diğer aşamalara geçilmeden önce
yapılması gereken istihbarat çalışması için gerekli hedeflerin belirlenmesidir. Bu hedefler
zamanında ve doğru kararlar vermek için gerekli bilgilerdir. Korunması gereken bilgi ve iş
süreçleri, bu varlıkları kaybetmenin sonucunda oluşabilecek etkiler, bunları korumak için
ihtiyaç duyulan güvenlik çözümlerini belirlemek bu aşamada yapılması gereken işlemlere
örnek olarak verilebilir.

Toplama
Tehdit İstihbaratı yaşam döngüsünü ikinci aşamasını bilgi toplamak oluşturur. Teknik veya
teknik olmayan yöntemler kullanılarak, gereksinimleri karşılamak için belirlenen hedeflere
yönelik araştırma yapılır. Bu araştırmalar yapılırken kullanılan yöntemler;
HUMINT (Human Intelligence): Sahadaki insan/insanlardan elde edilen istihbarat çeşididir.
GEOINT (Geospatial Intelligence): Coğrafi konum istihbaratıdır. Uydu ve hava fotoğrafları
kullanılarak elde edilen verilerdir.
MASINT (Measurement and Signature Intelligence): Ölçüm İstihbaratıdır. Elektro-optik,
Nükleer, Jeofiziksel, Radar, Malzeme, Radyo frekansı ölçümlerinden elde edilen verilerdir.
OSINT (Open Source Intelligence): Açık kaynak istihbaratıdır. Açık kaynaklar kullanılarak elde
edilen verilerdir.
SIGINT (Signals Intelligence): Sinyal istihbaratıdır. Sinyallerin arasına girilerek elde edilen
verilerdir. COMINT (Communication Intelligence), Haberleşme istihbaratı ve ELINT (Electronic
Intelligence), Elektronik İstihbarat olarak 2 alt başlığı vardır.
TECHINT (Technical Intelligence): Teknik istihbarattır. Yabancı ülke silahlı kuvvetlerinin
kullandığı silah ve teçhizatları analizlerinden elde edilen verilerdir.
CYBINT/DNINT (Cyber Intelligence / Digital Network Intelligence): Siber güvenlik
istihbaratıdır. Siber güvenlik dünyasından elde edilen verilerdir.
FININT (Financial Intelligence): Finansal istihbarattır. Para transferlerinin sonucunda elde
edilen verilerdir.
Toplanan veriler siber güvenlik uzmanlarından alınan raporlar ile birleştirilip bir sonraki
aşamaya geçilir.
İşleme
Bu aşama verinin işlenerek bilgiye dönüştüğü aşamadır. Toplanan veriler, toplama işleminden
sonra yorumlanmalı ve anlaşılır bir forma sokulmalıdır.
Analiz ve Üretim
Analiz işlemi, işlenmiş verinin karar verilebilecek istihbarat bilgisi haline getirildiği süreçtir.
Verilecek bu kararlar; potansiyel bir saldırıyı önlemek için hangi önlemlerin alınması
gerektiğini, hangi güvenlik kontrollerinin güçlendireceğini veya ek güvenlik kaynağının
ekleneceğini içerebilir.

Yaygınlaştırma
Yaygınlaştırma aşaması, bitmiş istihbarat verisini/raporunu gitmesi gereken yerlere ulaştırma
aşamasıdır. Oluşturulan bu raporlar öncelikli olarak müşterilere veya yöneticilere teslim edilir.
Geri Bildirim
Tehdit istihbaratı yaşam döngüsü sürekli devam etmesi gereken bir döngüdür. Bir döngü bitip
diğer bir döngü başladığı zaman geri bildirimlerin göz önünde bulundurulması bir sonraki
aşamaları hızlandırabilme özelliği taşımaktadır. Bu aşama bir sonraki döngü için temel bilgileri
belirleyecektir. Önceki süreçlerin başarısına dayanarak, daha doğru, ilgili ve zamanında
değerlendirmeler üretmek amacı taşımaktadır.

Tehdit İstihbaratı Çerçeveleri
Collective Intelligence Framework (CIF)
CIF (Collective Intelligence Framework), bir siber tehdit istihbaratı yönetim sistemidir. CIF,
farklı siber tehdit istihbaratı servislerinden toplanan verileri birleştirmeye ve kullanmaya
yarar. CIF’de depolanan en yaygın veri türleri; IP adresleri, FQDN (Fully Qualified Domain
Name), zararlı faaliyetler gösteren URL’lerdir.
CIF, veri kümelerini ayrıştırmamıza, normalleştirmemize, saklamamıza, göndermemize,
sorgulamamıza, paylaşmamıza ve üretmemize yardımcı olur.
CrowdStrike CTI Solution
CrowdSTrike CTI Solution, kurumların kendilerine karşı gerçekleşebilecek saldırıları
öngörmeleri sağlamak, güvenlik ekiplerinin olası saldırılara etkili bir savunma oluşturmaları
için gerekli önceliklendirme odaklanmasını sağlar. Olay incelemenin gereksiz karmaşıklığını
ortadan kaldırmayı ve gerekli çözümlerin önerilmesini hedefler.
NormShield, Threat and Vulnerability Orchestration
NormShield Threat and Vulnerability Orchestration, kurum içi anormal ve olağan dışı
davranışları belirleme, bulguların analiz edilip önceliklendirilmesi, false-pozitif değerlerin
oluşmasını minimuma indirgeme, veri kayıplarına sebep olabilecek temel nedenlerin
keşfedilmesi, kullanılan güvenlik çözümlerinin yeterliliklerinin ölçülmesi gibi hizmetler
vermektedir.
MISP, Malware Information Sharing Platform
MISP Zararlı Yazılım Bilgi Paylaşım Platformu, siber güvenlik göstergeleri, siber güvenlik
olayları analizi ve kötü amaçlı yazılım analizleri hakkında tehdit toplamak, depolamak,
dağıtmak ve paylaşmak için geliştirilmiş açık kaynaklı bir yazılımdır. Bu platformun amacı,
hedeflenen saldırılara karşı kullanılan karşı önlemlerin geliştirilmesine yardımcı olmak ve
önleyici eylemler oluşturmaktır.
TC Complete
Hizmet verdiği kurumların, ileriye yönelik kurum içi güvenlik çözümleri kararlarını doğru
vermelerini hedefler. Başta verilerin analiz edilmesi ve tehditlere karşı proaktif bir çözüm
oluşturma gibi pek çok güvenlik hizmeti vermektedir.

YETI, Your Everyday Threat Intelligence
YETI Günlük Siber Tehdit İstihbaratı, tehdit göstergelerini ve bu göstergelerin teknik, taktik ve
prosedürleri hakkındaki bilgileri depolamak amacıyla oluşturulmuş bir platformdur. Amacı bu
bilgileri tek bir depoda tutmak ve karşılaşılan bir tehdidin tekrarlanmasını önlemektir.
Farklı tehditler arasındaki ilişkileri grafiklerle görselleştirme, ileriye yönelik oluşabilecek
tehditler hakkında doğru tahminlerin yürütülmesi, verilerin dışa aktarımı problemini kaldırmak
gibi çeşitli amaçları vardır.
ThreatStream
ThreatStream, bir makine öğrenmesi algoritması olan MACULA’yı kullanarak tehdit
göstergelerini puanlandırmak, kategorize etmek, ölçeklendirmek ve false-positive değerleri
ortadan kaldırmak amacıyla oluşturulmuş, Anomali’ye ait bir platformdur. Milyonlarca tehdit
göstergelerinin bir araya getirip optimize eden bu platform SIEM ürünlerine, Firewal’lara ve
diğer güvenlik ürünlerine entegre edilebilmektedir.
PassiveTotal
RiskIQ tarafından sunulan Passive Total platformu, analistlere saldırıları gerçekleşmeden önce,
önlem amaçlı mümkün olduğunca fazla veri sağlayan bir tehdit analiz platformudur.
Interflow
Interflow, Microsoft tarafından siber güvenlik alanında çalışan profesyoneller için oluşturulan
bir güvenlik ve tehdit bilgi alışverişi platformudur. Toplu olarak daha güçlü bir ekosistem için
topluluk içinde ve arasında güvenlik tehdit bilgilerinin paylaşılmasını sağlayan dağıtık bir
mimari kullanır. Birden çok yapılandırma seçeneği sunan Interflow, kullanıcıların topluluk
oluşturmasına imkân sağlayarak verinin kimler ile paylaşılacağına ve kimlerle iş birliği
yapılacağına karar verilmesine olanak tanır.
stoQ
stoQ, siber analistlerin tekrarlayan veri odaklı görevleri organize etmelerini ve
otomatikleştirmelerini sağlayan bir çerçevedir. Diğer birçok sistemin etkileşim kurduğu
eklentiler içerir.
ThreatExchange
Facebook’un ThreatExchange platformu verilerin standartlaştırılması ve doğrulanması
yönündeki problemlere çözüm üretmek amacıyla oluşturulmuştur. Bu platformda kullanıcılar
verileri yalnızca istenen gruplarla paylaşmayı mümkün kılar. Böylelikle gizlilik denetimleri

sağlayan, uygun yapılandırılmış ve kullanımı kolay bir API kullanarak tehdit verileri
paylaşılabilmektedir.
XFE, X-Force Exchange
Bulut tabanlı bir tehdit paylaşım platformudur. En son küresel güvenlik tehditlerini hızla
araştırmamıza, harekete geçirilebilir istihbarat biriktirmemize ve başkalarıyla iş birliği
yapmamıza olanak tanır.
TARDIS
Tehdit Analizi, Keşif ve Veri İstihbarat Sistemi (TARDIS), saldırı imzalarını kullanarak tarihsel
arama yapmak için açık kaynaklı bir çerçevedir.

Tehdit İstihbaratı Olgunluk Modeli
Tehdit İstihbaratı Olgunluk Modeli, kuruluşunuzun olgunlaşmış bir tehdit istihbarat programı
yolunda nerede bulunduğunu ve tehdit istihbaratına nasıl daha iyi uygulanabileceğini
anlamanıza yardımcı olacak sistematik bir rehberdir.
McAfee Threat Intelligence Maturity Model’i dört seviyeye ayırmıştır.
Bunlar; Basit Seviye, Temel Seviye, Operasyonel Seviye ve Güvenilir Seviye. Bu seviyelerde
yapılması gereken işlemler ve görevler aşağıdaki Tablo 1’ de gösterilmiştir.
BASİT SEVİYE TEMEL SEVİYE
● Ürünlere yapısına göre güvenlik
oluşturulması
● Sahip olunan veriyi koruma
● Tuzak sistemlerin oluşturulması
● İşlem kılavuzları kullanmak
● Kişilere yüksek güven ve onların
bilgisi
● Kurum içi genel özgüvenin
oluşturulması
● Siber Savunma odaklı çalışılması
● Çağa uyum sağlamaya çalışma
● Sofistike bir süreç izlemektense,
çalışanların güvenlik ürünleri
konusunda eğitilmesi
● Bu seviyedeki istihbarat paylaşılan
istihbarat değildir.
OPERASYONEL SEVİYE GÜVENİLİR SEVİYE
● Anahtar saldırı vektörlerinin tespit
edilmesi, korunması ve konfigüre
edilmesi
● Entegrasyon koordineli güvenlik
oluşturulması
● Tehdit istihbaratını (IOC) kullanarak
avlama ve yanıtlama
● İstihbarat göstergelerini kullanarak
daha verimli bilgi edinme
● Bu seviyedeki istihbarat paylaşılabilir
istihbarattır
● Dışarıdan veya içeriden gelebilecek
tehditlere karşı koruma, tespit etme
ve düzeltme işlemlerini
gerçekleştirmek için ölçülebilir ve
dengeli siber savunma yöntemlerini
kullanmak
● Adli analiz ve analitik araştırma
yapma
● Doğrudan kurumsal hedefleri
koruma destekleyen güvenlik
modelleri kullanmak
● İyi ve doğru tanımlanmış tehdit
istihbaratı göstergeleri kullanmak
Tablo 1: McAfee’ye göre Threat Intelligence Maturity Model Seviyeleri

Aşağıdaki Şekil 3’te Threat Intelligence Maturity Model’in genel yapısı gösterilmiştir.
Şekil 3: Threat Intelligence Maturity Model’in genel yapısı

Siber Tehdit İstihbaratında Bilinenler ve
Bilinmeyenler
“…Bildiğimiz gibi, bilinen bilinenler vardır; bunlar bildiğimiz bilgilerdir. Ayrıca bilinen
bilinmeyenler vardır; yani bilmediğimiz bazı şeyler olduğunu biliyoruz. Ama bilinmeyen
bilinmeyenler de var; neyi bilmediğimizi bilmediğimiz bilgiler. ”- Donald Rumsfeld
Tehdit istihbarat bilgileri toplamadan önce neyle karşı karşıya olduğumuzu bilmek, neyi
bildiğimizi, neyi bilmediğimizi ayırmak düşmanımızı tanımada yardımcı olur. Bilinen veya
Bilinmeyen bilgi ifadeleriyle tehditleri ayırabilir, gruplandırabilir, odak noktamızı ve
kuruluşumuzu doğru çözümlerle şekillendirebiliriz.
Bilinen ve Bilinmeyenleri Gruplayacak Olursak;
Bilinmeyen Bilinmeyenler: Doğası gereği ne olduğu, zaman aktifleştirildiği, hangi zafiyetleri
barındırdığı, hangi sistemleri etkilediği bilinmeyen tehditlerdir. Örneğin 0-day saldırıları.
Çözüm önerisi: BT güvenlik haberlerini takip etmek, son gelişmelerden zamanında haberdar
olmak, felaket senaryosu kurtarma planı oluşturmak...
Bilinen Bilinmeyenler: Bu tür tehditler var olduğu bilinen tehditlerdir. Ama doğaları gereği
sürekli değişkenlik gösterirler. Bu nedenle öngörüde bulunulması zor tehditlerdir. Örneğin
antivirüs yazılımlarından kaçan virüsler, belgelenmemiş güvenlik açıkları, daha önce
görülmeyen kötü amaçlı ekler içeren e-postalar.
Çözüm Önerisi: Davranış temelli Antivirüs yazılımları veya güvenlik çözümleri kullanmak, web
filtreleri kullanarak güncel kara liste URL adreslerine girişini engellemek, çalışanlara özellikle
phishing saldırıları başta olmak üzere siber güvenlik farkındalığı eğitimleri vermek...
Bilinen Bilinenler: Bu tehditler hakkında bilgi sahibi olduğumuz tehditlerdir. Tehditler iyi
belgelendirilmiş ve bunlara karşı alınacak aksiyonlar standart prosedürlerle belgelendirilmiştir.
Bu tehditler genellikle çok sık karşılaşılan ve en yaygın tehditlerdir.
Çözüm Önerisi: İmza tabanlı Antivirüs yazılımları veya güvenlik çözümleri kullanmak,
yazılımların gerekli güncelleştirmelerini geciktirmemek, DHCP taramasını etkinleştirmek,
çalışanlara parola oluşturma politikası uygulamak...

Gerçek Zamanlı Siber Tehdit İstihbaratının
Yararları
Gerçek zamanlı bilgi; etkin tehditler üzerinde çalışan, devam eden güvenlik olaylarının, yeni
teknolojilerin ve bir işletmeyle ilgili kişilikleri ve kuruluşların kapsamlı resmini sunan, güvenlik
ekiplerinin derhal harekete geçmeye ve doğru kararlar almalarına yardım edecek bilgilerdir.
Gerçek zamanlı siber tehdit istihbaratının faydaları:
● Kuruluşun karşılaştığı tehditler ve bunların kuruluş üzerindeki riskleri hakkında hızlı
bilgi edinme,
● Hangi güvenlik açıklarına değinilmesi kararlar vermek ve gerekli olan ön bilgilerin elde
edilmesi,
● Yeni ortaya çıkan tehditler hakkında ve tehdit oyuncuları hakkındaki bilgi toplamak,
● Sektöre özgü devam eden tehdit faaliyetlerini takip edebilme,
● Kurumunuzdan, markanızdan, ortaklarınızdan bahseden sosyal medya ve çevrimiçi
kanalların aktif olarak izlenmesi,
● Çevrimiçi iletişim kanallarının mevcut siber suç eylemlerini ve olası suç eylemlerini
kanıt niteliği taşması adına izlenmesi,
● Mevcut siber tehdit aktörleri, teknikleri ve araçları hakkında bilgi toplamak, kurumsal
güvenlik ekiplerinin bilgi bünyesine ve beceri setine katkıda bulunmak,
● Kuruluşun bulunduğu internet varlığının ne kadar savunmasız ve nerelerde eksik
noktaları oldu hakkında fikir sahibi olmasına yardım etmek,
● Güvenlik ihlallerini belirlemek ve gerekli önlemleri almak,
● Dolandırıcılık yoluyla verilmeye çalışılan zararları önlemek ve en aza indirgemek için
olay izleme,
● Kurumsal risk yönetimi ve işletme personeli ile varlıklarının korunması için gereken
bilgilere erişim,

Karakteristik Özellikleri
Kuruluşların en son tehditler, güvenlik açıkları ve istismarlar hakkında daha fazla bilgi sahibi
olmalı, bunlardan korunmak için hangi çözümlere başvurulması gerektiğini bilmesi
gerekmektedir. Siber tehdit istihbaratı bu sorulara cevap verebilmesi için sahip olması gereken
karakteristik özellikler bulunmaktadır. Bunlar; Nitelikli, güvenilir, üçüncü parti kaynaklı olması,
aktif bir tehdide yönelik olması, riske yönelik öngörü sağlaması, çözüm önerileri içermesidir.
Bu özelliklerin hepsini barındırmayan bir hizmetin başarılı olması beklenemez.
Nitelikli, Güvenilir, Üçüncü Parti Kaynaklı Olması: Çoğu kurumun, tehdit bilgilerini toplamak,
incelemek, düzenlemek ve analiz etmek için tek başına yeterli kaynağa sahip değildir. Bu
kaynakların nitelikli ve güvenilir olması koşuluyla bu hizmetler üçüncü parti
organizasyonlarından alınmalıdır.
Aktif Bir Tehdide Yönelik Olması: Birçok kurumda siber tehditler, güvenlik açıkları ve
istismarlar hakkında çok fazla ham bilgi bulunmaktadır. Asıl ihtiyaç duyulan şey bu ham
bilgilerin çokluğu değil, en son güvenlik tehditlerinin “kim, ne, nerede, ne zaman ve nasıl”
olduğunu içeren aktif tehditle hakkında bilgi edinmektir.
Riske İlişkin Öngörü Sağlaması: Tehdit istihbaratı bilgisi; risk olasılığı, riskin ticari etkisi ve her
ikisi hakkında bilgi vermelidir. Bu işlemlerde, öngörüler kuruluşa ve onun sahip olduğu
kaynaklara, teknolojilere, yazılımlara göre özelleştirilmelidir. Örneğin, aktif olarak devam eden
bir tehdit, kurumun kullanmadığı bir teknoloji üzerinden tehdit oluşturuyorsa, bu durum o
kurumu etkilemez ve tehdit niteliğinde değildir.
Çözüm Önerileri İçermesi: Karşı karşıya olan risklerin ne olduğu öğrenildikten sonra bu risklere
karşı nasıl aksiyon alınacağı karar verilmelidir. Gerekli çözüm için hangi teknolojiler
kullanılmalı, hangi yazılımlar yükseltilmeli, hangi güvenlik ürünü kullanılmalı ve ek
konfigürasyonlar yapılmalıdır? Şeklindeki sorulara ve daha fazlasına cevap niteliği oluşturacak
çözüm önerileri sunmalıdır.

Siber Tehdit İstihbaratının Temelleri
Siber tehdit istihbaratı yapan organizasyonların çoğu kendi ürünlerini ve dışarıdan satın
aldıkları ürünleri kullanırlar. Bu süreci kimin gerçekleştirdiğine bakılmaksızın, siber tehdit
istihbaratının süreç verilerine bakılmaksızın çıkarıldığı kilit kaynaklar şunlardır.
● Firewall
● Endpoints
● Honeypots
● Tanınmış Güvenlik araştırma grupları (CERT, CISO gibi)
● Güvenlik açığı değerlendirme verileri
● Kullanıcı davranış analizi
● Açık Kaynak kamu grupları / forumları
● Erişim ve kullanıcı hesabı bilgileri
● Üçüncü parti yöneticilerinin verileri
● Saldırı Tespit Sistemi raporları

Tehdit İstihbaratının SIEM’e Entegrasyonu
SANS Enstitüsü’nün yaptığı araştırmaya göre; Dave Shackleford dünya çapındaki 326 şirkete
Tehdit İstihbaratını nasıl kullandıklarını sormuştur. Bu şirketler her büyüklükte ve sektörde,
bilgi teknolojileri ile ilgilenen şirketlerdir. Bu 326 şirketin katıldığı anketin sonuçları aşağıdaki
şekilde gösterilmiştir.
Şekil: SANS Enstitüsü tarafından yapılan anket çalışması
Ankete katılanların %55 kadarı, çeşitli kaynaklardan aldığı tehdit istihbaratı verisinin toplamak
ve analiz etmek için SIEM ürünleri kullanmaktadır. Bu durumda Tehdit İstihbaratı ve SIEM’in
bir araya getirilmesi ve birbirine entegre edilmesi gerekmektedir.
Tehdit İstihbaratının SIEM’e entegrasyonunu anlamak için öncelikler aşağıdaki akış şeması
üzerinde duralım;
Sekil : Securosis.com’a göre güvenlik izleme iş akış diyagramı

Sol üst taraf tehdit istihbaratı koleksiyonunu gösterir. Tehdit istihbaratını toplamadan önce,
öncelikle ticari riskleri temsil eden rakiplerimizi tanımalı ve profillemeliyiz. Bu işlem doğru
tehdit istihbaratını seçmek için gereklidir. Daha sonra istihbarata toplamaya ve analiz etmeye
başlayabiliriz. Devamında tehdit istihbaratını SIEM’e entegre etmeye devam edebiliriz.
Yukarıdaki şekilde güvenlik analitiği bölümünde, ortamımızı standart SIEM yaklaşımında
olduğu gibi analiz etmeye başlayabiliriz, ancak bu kez algılama mekanizmalarımızı (imza ve
anomali tabanlı) tehdit istihbaratı ile ilişkilendirmeliyiz.
Tespit edilen tehditler, onları tetikleyen göstergelerin sayısına, sıklığına ve türlerine göre
önceliklendirilebilir. Öncelik sıralamasına göre veri tabanları sorgularıyla ilgili cihazlardan
derinlemesine bilgi toplama işlemi gerçekleştirebiliriz. Bu işlem ilerideki adli analiz
süreçlerindeki araştırmaları kolaylaştırır.
Son olarak eylem-aksiyon kutusunda gösterildiği gibi, uyarılar bir kez güvenlik operasyonları
ekibi tarafından gözden geçirildiğinde, true-positive ise onaylayabilir, false-positive ise alarmı
kaldırabilirler. Bir sonraki durumda eldeki istihbarat gözden geçirilebilir ve politikalarda yanlış
alarmları önlemeye yönelik değişiklik yapılabilir. Doğrulama işlemlerinden sonra uyarılar IR
(Investor Relations) ekiplerine gönderilebilir.
Tehdit istihbaratının SIEM’e entegrasyonunun birçok avantajı vardır. Tüm güvenlik ürünleri
satıcıları tehdit istihbaratının öneminin ve talebinin artması üzerine, ürünlerinde bu talebe
cevap vermek zorunda olduklarının farkındadır.
Yukarıdaki akış diyagramında gösterildiği gibi, toplanan tehdit istihbaratını kalite ve etki
açısından değerlendirilmesi gerekecektir. Siber İstihbarat Analizi ve Tehdit Araştırmaları
Merkezi Şefi Sergio Caltagirone’ya göre istihbaratın uygulanabilir olması için karşılaması
gereken dört nitelik;
Uygunluk: Tehdit istihbarat ekipleri, toplanan istihbaratın kuruma özel olmasını sağlamalıdır.
Tamlık: Tehdit istihbaratının yeterli ayrıntıya ve bağlama sahip olması gerekmektedir.
Güncellik: Doğru etkiyi yaratabilmek için istihbarat mümkün olduğunca hızlı bir şekilde
toplanmalı ve işlenmelidir.
Doğruluk: Etkin keşif sağlamada, tehdit istihbaratının yüksek doğruluk değerine sahip olması
için bir miktar false-positive değere sahip olması gerekmektedir.
Bu nitelikler tehdit istihbaratı verisinin verimliliğinin ve kullanışlılığını onaylamak için kriter
olarak kullanılabilirler.

Siber Tehdit İstihbaratı İşinize Nasıl Yardımcı
Olur?
SANS Enstitüsünün yaptığı araştırmaya göre kuruluşların %42’sinden fazlası siber tehdit
istihbaratı ekipleri bulundurmaktadır. Aşağıda doğru siber tehdit istihbaratı edinmenin,
işletmelerdeki siber güvenlik tehditlerine karşı ayakta durmalarını sağlayacak çeşitli yollar
bulunmaktadır;
● Çevreye etki eden tehdit ve saldırı metodolojilerinin görünürlüğünün arttırılması,
● Siber güvenlik eğilimlerine uyum sağlamak için güvenlik süreçlerini iyileştirilmesi,
● Uygulanan prosedürlerin ve kaynakların listelenmesi,
● Bilinmeyen tehditleri tespit etmek,
● Daha iyi tehdit yönetimi uygulamak,
● Saldırganlar tarafından sömürülecek sistemlerdeki güvenlik açıklarını tespit etmek,
● Siber güvenlik risklerini ele almak için daha geniş kapsam oluşturmak,
● Güvenlik olaylarını tespit etmek ve bunlara karşı koymak için zaman kazandırmak,
● Güvenlik ihlallerini proaktif olarak tahmin etme ve karşı koyma,
● Kuruluşunuzun siber güvenlik ekibini bilgisayar korsanlarına karşı korumaya hazır
olmalarını sağlamak,
● Kuruluşun sistemleri veya veri kayıpları üzerindeki etkisini azaltmak,
CTI'nın, Güvenlik Operasyonlarında Siber Tehdit İstihbaratı Araştırması SANS Anketi;

Risk Yönetim Süreci
Birçok kurum tehdit istihbaratı hizmetini kötü adamları takip etmek, kötü amaçlı yazılımları
tespit etmek ve önem almak, göstergeleri toplamak gibi işlevler için kullanmaktadır.
Tehdit istihbaratı var olan sistemi daha akıllı modeller haline getirir; akıllı modeller alınacak
kararları güçlendirir, güçlü kararlar daha iyi uygulamalar ve aksiyonlar oluşturur; daha iyi
uygulamalar risk yönetimini iyileştirir ve bu işlemler verimli bir şekilde gerçekleştirildiğinde
başarılı bir güvenlik programı oluşur.
Risk yönetimi Sürecinde İstihbarat
Risk yönetim sürecinde siber tehdit istihbaratını incelemek için öncelikle siber risk yönetim
kavuzlarını inceleyebiliriz. Bunun için Cybersecurity Framework, NIST SP 800-39 tarafından
hazırlanan risk yönetim kılavuzunu inceleyeceğiz.
NIST SP 800-39 Risk Yönetimi Süreci
NIST Special Publication 800-39; Kurumsal operasyonlara, kurumsal varlıklara, bireylere, diğer
kuruluşlara karşı bilgi güvenliği riskini yönetmek için bütünleşik ve kurum çapında bir program
için rehberlik sağlamak amacı taşımaktadır.
800-39, risk yönetimini, organizasyonların, güvenlik faaliyetlerinin sürekli iyileştirilmesi için
etkili iletişim ve geri bildirimler kullanarak riskleri sürekli olarak çerçevelemelerini,
değerlendirmelerini, yanıt vermelerini ve izlemelerini gerektiren kapsamlı bir süreç olarak
sunmaktadır. Bu işlem bileşenleri aşağıdaki şekilde gösterilmektedir.

Çerçeve; değerlendirme, izleme ve yanıtlama-müdahale etme alanlarında risk bazlı kararlar ve
yürütme stratejisi bağlamını belirler. Bunun bir kısmı, kuruluşların tehditler, ortaya çıkma
olasılığı, güvenlik açıkları ve sonuçlarıyla ilgili varsayımları belirlemelerini gerektirir. Tehdit
bilgisini elde etmek için kaynakların ve yöntemlerin tanımlanması, özellikle risk
çerçevelemesini bir ana çıktısı ve risk değerlendirmesinde bir ana girdi olarak özellikle
(Şekildeki Bilgi ve İletişim Akışları) belirtilir.
Değerlendirme; kuruluşa yönelik risk seviyesini (ortaya çıkan zarar olasılığı ve zarar derecesi)
belirlemek ve analiz etmek için yapılan her şeyi kapsar. Tehdit İstihbaratının, risk yönetiminin
tehditleri tanımlamasına, değerlendirmesine ve izlemesine ve bu tehditlerin ışığında mevcut
güvenlik açıklarını değerlendirmesine yardımcı olmada kritik bir rolü vardır.
Yanıtlama; risk değerlendirilip belirlendikten sonra kuruluşların hangi aksiyonu almayı
seçtiklerini ele alır. Çeşitli eylem rotalarını belirler ve değerlendirir. Hangisinin en iyisi
olduğunu belirler ve seçilen rotayı uygular. Önerilen çözüm gidişatının değerlendirilmesi, ele
alınan tehdidin nedenlerini, araçlarını ve yöntemlerini iyi bir şekilde anlamadan
gerçekleştirmek çok zordur.
İzleme; Önerilen çözümü doğrulamayı, devam eden etkinlikleri ölçmeyi, etkinliği ve riski
etkileyen değişiklikleri takip etmek gibi işlemleri içerir. Buradaki istihbaratın rolü önceki yanıt
bileşenlerinin uzantısı ve devamıydı. Başka bir deyişle doğrudan iç sistem/kontrol
değişikliklerini gerektirebilecek dış tehdit değişikliklerini mutlaka izlemeleri gerekir. Riskin
izlenmesi, güvenlik kararlarını ve pratiğini daha iyi desteklemek için istihbarat sürecindeki
değişiklikleri kontrol eder.
NIST SP 800-39 Risk Yönetimi Süreci, tehdit istihbaratının rolü ve açıklamaları

Siber Tehditler ve Siber Ölüm Zinciri
Metodolojisi
Siber Tehditleri Anlamak
Son yıllarda meydana gelen en çarpıcı veri ihlallerinin çoğu kredi kartı bilgileri, kullanıcı
parolaları gibi kişisel veriler içeren ihlalleridir. Bu ihlaller etkilenen kuruluşların güvenliğini
tehlikeye attığı gibi, bundan etkilenen, kullanıcı durumunda olan ve ihlalden haberi bile
olmayan binlerce kişinin de güvenliğini tehlikeye atmaktadır.
Kurumunuzun tehdit altında olmadığını ve tehdit aktörlerinin size zarar verme isteğinde
bulunmayacağını düşünüyorsanız kesinlikle yanılıyorsunuz. Kuruluşunuz küçük çapta bir
kuruluş ise, çok tanınan bir marka değilse, çok sık siber saldırılara maruz kalan endüstrilerden
birinde değilse endişelenmeye gerek olmadığı kanısına varmak doğru değildir. Var olan
tehditler her büyüklükteki, her prestijdeki ve her endüstrideki kurumları kapsamaktadır.
Maryland Üniversitesi’nde yapılan bir araştırmaya göre; İnternet erişimi olan bilgisayarların,
bilgisayar korsanları tarafından saldırıya uğrama istatistiği her 39 saniyede bir olarak
saptanmıştır. Her yıl üç Amerikalıdan birinin saldırı kurbanı olduğu sonucuna varmışlardır.
Siber saldırıların %43’ü küçük işletmeleri hedef almıştır. Şirketlerin %63’ü web tabanlı
saldırılara maruz kalmışken, %62’lik bir kısım kimlik avı ve sosyal mühendislik saldırılarına
maruz kalmıştır. %59 zararlı yazılım ve botnet, %51’i ise DDoS (Distributed Denial of Service)
saldırısı yaşamışlardır.
Küresel olarak işlenen siber suçların toplam maliyeti 2018 yılında 1 trilyon doların üzerine
çıkmıştır. Juniper Research verileri, siber güvenlik ihlali üzerine oluşacak suçların 2019’da
toplam 2 trilyon doların üzerine çıkacağını göstermektedir.
2013’ten beri gerçekleşen veri ihlalleri göz önüne alındığında; saatte 158 727, dakikada 2 645
ve her saniyede 44 veri ihlali gerçekleştiği bilinmektedir.
Küresel örgütlerin yalnızca %38’i gerçekleşecek bir siber saldırıya karşı hazırlıklı olduklarını
iddia etmişlerdir. Bu şirketlerin %54’ü son 1 yıl içerisinde bir veya daha fazla siber saldırıyla
karşı karşıya kaldıklarını belirtmişlerdir.
IBM’in SEO’su Gini Rometty: ”Siber Suçlar dünyadaki her şirket için en büyük tehdittir”
demiştir.

Siber Tehditlere Genel Bakış
Her geçen gün ortaya daha farklı formlarda ve boyutlarda tehditler çıkmaktadır. Ancak
bunların yanında her yıl bazı yinelemeler görülür. Bu yinelemeler çok sık kullanılan, çok fazla
kişiye zarar verebilen tehditlerdir. Bu saldırı çeşitleri içerisinde bilinen bilinmeyen çok fazla
seçenek mevcuttur. Bu saldırı çeşitleri küçük büyük demeden her endüstrideki kuruluşa tehdit
oluşturur niteliktedir.
Siber Güvenlik Saldırı Çeşitleri
Bir siber saldırı oluşturmak için, saldırganların kullanabilecekleri pek çok yöntem vardır. Bu
yöntemler bilgisayar bilgi sistemlerini, altyapıları, bilgisayar ağlarını ve kişisel cihazları hedef
alan saldırı yollarıdır. Bunlardan en çok kullanılanları aşağıda listelenmiştir.
Distributed Denial of Service (DDoS), Servis dışı bırakma saldırıları
Her sistemin kaldırabileceği bir yük miktarı vardır. Bu yük kapasitesi, kullanıcı sayısı gibi
kriterler göz önüne alınarak oluşturulur ve kısıtlı bir kaynağa sahiptir. Hizmet reddi saldırıları,
sistemin isteklere yanıt verememesi için sahip olduğu kaynakların zorlanmasıdır. İşletim
sistemlerinde bulunan zafiyetler, web sunucuları, arka planda çalışan uygulamadaki açıklıklar,
arka kapı bırakılmış olan yazılımlardaki zafiyetleri yararlanarak, sistemin işleyemeyeceği
şekilde bir istek gönderildiğinde, sistemin herhangi bir bileşeni bu isteğin işlenmemesi
durumunda sistem erişilemez hale gelmektedir.
Man in the Middle (MITM), Ortadaki Adam Saldırıları
Ortadaki adam saldırısı olarak dilimize geçen bu saldırı çeşidi iki bağlantı arasına sızılarak
dinleme işlemi gerçekleştirmesi üzerinde dayalıdır. Bu şekilde sistem verileri ve kullanıcı
hassas verileri elde edilebilir. Ağa dahil olma ve 2 network arasındaki bağlantıyı dinlemenin
çeşitli yolları vardır.
Phishing (Oltalama ve Spear Phishing), Mızrak Avı
Phishing saldırı çeşidi sosyal mühendislik saldırılarında en çok başvurulan yöntemdir. Online
dolandırıcılık için kullanılır. Saldırganlar bilindik bir domain adresine isim benzerliği olan bir
adres kullanıp web ara yüzünün birebir kopyasını kullanırlar. Ellerindeki linki e-posta, sosyal
medya, sms gibi platformlar üzerinde gönderirler. Kopyalanan web ara yüzünün kontrolü
saldırgan tarafta olduğu için, kurbanın vereceği tüm kritik bilgiler kötü niyetli şahıslara
ulaşacaktır. Kredi kartı bilgileri, parola bilgileri, kişisel veriler gibi kritik bilgiler ele geçirilmiş
olur.
Spear Phishing olarak bilinen sosyal mühendislik tekniği Phishing'in bir alt kümesi olarak kabul
edilebilir. Benzer bir saldırı yöntemidir. Farkı bu Phishing çeşidinin hedeflediği kitlenin daha
spesifik bir kitle olmasıdır. Bu yüzden daha fazla çaba gerektirebilir.

Drive-by Attack
Drive-by-Attack kötü amaçlı yazılımları yaymak için kullanılan yaygın bir yöntemdir. Bilgisayar
korsanları güvenli olmayan web sayfalarını ararlar ve sayfa HTTP ve PHP kodunda yazılmış kötü
amaçlı bir komut dosyası ekerler. Bu kötü amaçlı yazılım doğrudan web sayfasını ziyaret eden
insanların bilgisayarlarına yüklenebilir ve kötü amaçlı kişiler tarafından kontrol edilen işlemleri
gerçekleştirebilir.
Drive-by Attack; bir web sayfasını ziyaret ederken, gelen bir e-posta mesajını açarken, bir açılır
pencereyi görüntülerken gerçekleşebilir. Diğer saldırı türlerinde farklı olarak, örneğin zararlı
bir yazılımın bilgisayarınıza inmesi için tıklama işlemine ihtiyaç durmaz, kullanıcının
aktifleştirilmesi gereken bir durum yoktur.
SQL Injection Attack
SQL Injection veri tabanı odaklı web sayfalarını hedef alan bir saldırı çeşididir. Diyelim SQL
kullanan bir web sayfasında user 123 kullanıcı adı ve parolayla giriş yapılmaktadır. Giriş
butonuna tıkladığımızda yazılımın veri tabanındaki sorgu aşağıdaki gibidir.
SELECT * FROM users WHERE isim='user' AND parola='123'
Yukarıdaki kod çalıştığında user 123 bilgilerine sahip bir kullanıcı varsa giriş yapılacaktır. Şimdi
kullanıcı adı ve parola alanına OR 1=1 yazalım;
SELECT * FROM kullanicilar WHERE isim=''OR 1=1 ' AND parola=''OR 1=1 '
Yukarıdaki sorgu gönderildiğinde; eğer yazılım filtreleniyor SQL injection engellenip giriş
yapılmasına izin verilmeyecektir. Ama filtreleme işlemi yapılmıyorsa kullanıcı adı ve parola
doğru girilmiş gibi işlemler yürütülmeye devam eder ve girişe izin verilir. Çünkü ' OR 1=1 SQL
dilinde her zaman doğru değer döndürür.
Başarılı bir SQL injection saldırısı, veri tabanındaki hassas verileri okuyabilir, veri tabanı
verilerini değiştirebilir (ekleyebilir, çıkarabilir, güncelleyebilir), veri tabanı yönetim işlemlerini
yürütebilir.
Cross-Site Scripting (XSS) Attack
Siteler Arası Komut Çalıştırma (XSS) saldırıları, kötü niyetli komut dosyalarının, web sayfalarına
gömüldüğü bir injection çeşididir. XSS saldırılarında, tehdit aktörleri, komutlarını çalıştırmak
için web servisleri tercih ederler. Bu saldırıların başarılı olmasına sebebiyet veren zafiyetler
oldukça yaygındır. Saldırgan bir web sayfasının veri tabanına zararlı JavaScript içeren bir veri
yükü enjekte edebilir. Kurban bu sayfayı ziyaret ettiğinde, web sayfası, HTML görevinin bir
parçası olarak saldırganın kötü niyetli komutları da dahil iletilmesi gereken tüm kodları
kurbana iletir. Saldırgan zararlı yazılımıyla, kurbanın çerezlerine erişebilir ve oturum açma

bilgilerini elde edebilir. En tehlikeli sonuçlar XSS ile başka atak çeşitlerini birlikte
kullanılmasıdır. Örneğin klavye hareketleri dinleme (Keylogger), ekran görüntüsü alma, ağ
bilgilerini keşfetme ve toplama işlemleri kurbanın makinesine uzaktan kontrol için
kullanılabilir.
Eavesdropping Attack
Eavesdropping saldırıları, ağ trafiğinin durdurulması üzerine gerçekleşir. Saldırgan ağı
dinleyerek, ağ üzerinden gönderilen parolaları, kredi kartı numaralarını ve diğer kişisel bilgileri
elde edebilir. İki çeşidi vardır;
Pasif Gizli Dinleme: Saldırgan, ağı dinleyerek kritik verileri elde etmeye çalışır.
Aktif Gizli Dinleme: Saldırgan, kendini dost birim şeklinde tanıtır ve aktif bir şekilde kritik
verileri elde etmeye çalışır.
Malware Attack
Kötü amaçlı yazılımlar kullanıcı izni olmaksızın sistemimize yüklenen zararlı yazılımlar olarak
tanımlanabilir. Bu yazılımlar kendisini dizinlere kopyalayıp çoğaltabilen, zararlı olmayan
uygulamaların arkasına gizlenebilen ve internet üzerinden kendini klonlayıp güncelleyebilen
yazılımlardır. En sık kullanılan zararlı yazılım türlerinden bazıları şunlardır.
Makro virüsler: Bu virüsler, Microsoft Word ve Excel gibi uygulamaların içerisinde yer alırlar.
Makro virüsler uygulamanın başlama sırasında aktifleşirler. Uygulama açıldığında, virüs daha
önceden verilen talimatları gerçekleştirir.
Polimorfik virüsler: Sürekli olarak kendini değiştiren virüslerdir. Bulunması ve temizlenmesi
farklı teknoloji gerektiren bir virüs türüdür.
Boot Virüsleri: Disketlerin ‘boot sector’ veya sabit disklerin ‘master boot sector’ diye
isimlendirilen ilk sektörlerine sıçrarlar ve çoğalarak diğer bilgisayarlara disketler, e-mail gibi
yöntemlerle bulaşır ve yayılırlar. Bulunması ve temizlenmesi en kolay virüslerdir çünkü
konumları belirlidir.
Hoaxlar: Hoaxlar virüs olduğu söylenen fakat aslında virüs olmayan aldatmacalardır. Bunlar
sadece kullanıcılarda panik yaratmak için hazırlanmış olabileceği gibi daha sonradan yazılacak
bir virüsün etkisini artırmak amacıyla da hazırlanmış olabilir.
Trojan Virüsleri: Bu virüsler kendilerini kopyalayıp çoğaltamazlar. Bilgisayara girdiklerinde
kendisini özellikle gönderen kişinin buyruğuna girer ve ona hizmet ederler. Eğer bu hizmet
kötü niyetli bir kişiye yapılıyorsa bu kişinin isteklerine bağlı olarak bilgisayardaki verileri
kopyalayabilir, tehdit aktörlerinin bilgisayarın içinde gezinmesini sağlayabilir, gizli dosyalara
ulaşabilir, modem ya da hard diski bozabilirler.
Worms (Solucanlar): Adını aldıkları canlılara benzeyen bu virüsler, girdikleri bilgisayar
sistemlerinde birtakım ‘delikler’ açar. Kendilerini kopyalama özelliğine sahiptirler. İnternet ya
da yerel ağ üzerinde bilgisayardan bilgisayara yayılırlar. Bazıları zararsızdır ancak sistemde yer
kaplar ve bilgisayarı yavaşlatırlar. Bazıları ise zararlıdır ve bilgisayara zarar verirler.

Siber Güvenlik Tehdit Kategorileri
Ağ Tehditleri
Ağ güvenliği tehditleri tüm dünyadaki insanlar ve kuruluşlar için büyüyen bir sorundur ve her
geçen gün oluşturduğu tehdit büyümektedir. Ancak ağda oluşan sorunlar her zaman tehdit
aktörlerinden kaynaklı olmayabilir. Kötü yapılandırılmış ana bilgisayarlar ve beraberindeki
sunucular ağ güvenliğine yönelik tehditler gibi davranabilirler, çünkü kaynakları orantısız bir
şekilde tüketip, anormal davranışlar sergileyebilir ve örneğin DDoS saldırısına maruz kalınmış
izlenimi oluşturabilirler. Bu gibi durumların haricinde gerçekten tehdit oluşturan durumları
ortadan kaldırmak için en etkili araçlar tercih edilmelidir.
Ağımıza karşı olan tehditleri mantıksal saldırılar ve kaynak saldırıları olarak gruplandırabiliriz.
Mantıksal Saldırılar
Mantıksal Saldırılar sistemin çalışmasına zarar verecek zafiyetler, açıklıklar barındıran mevcut
güvenlik açıklarından yararlanılan saldırılardır. Bu yöntem ağ yapısına zarar verme, çalışma
performansını etkileme amacı taşıyan saldırganlar için çok sık tercih edilen bir yöntemdir.
Microsoft PNP MS05-039'un aşırı yüklenmesi zafiyetinin kullanılması bu yönteme örnek olarak
verilebilir. Ölüm pingi olarak adlandırılan saldırı çeşidi de örnek olarak gösterilebilir. Bu
saldırıda ICMP paketleri için ayrılan bant genişliğinden daha büyük paketler gönderilir ve
sistem bundan etkilenir.
Mantıksal saldırılardan korunmanın en etkili yöntemlerinden biri yazılımların ve sistemlerin
gerekli güncellemelerini yapmaktır.
Kaynak Saldırıları
Bu saldırı çeşidi özellikle CPU ve RAM gibi sistem için hayati önem taşıyan kaynakları hedef
almaktadır. Bu işlem ağa çok sayıda istek ve IP paketi gönderilerek gerçekleştirilebilir. Bu tür
saldırılar tipik botnet ve zombi saldırılarını kapsamaktadır. Bu tür kötü amaçlı saldırılar uzaktan
kumanda özelliği altında başarılı bir şekilde çalışmalarına olanak sağlayan iletişim altyapısının
yanı sıra, farklı tür saldırılar başlatma komutları da içerebilir.
Ağ Tehditlerine Örnek Saldırılar: Solucanlar, Truva Atları, DDoS Saldırıları, Sosyal Mühendislik
Saldırıları, Spoofing, Sniffing.

Uygulama Tehditleri
Uygulama güvenliği, tehditleri ve açıklıkları tespit ederek, çözerek ve önleyerek bir
uygulamanın güvenliğini test etmenin genel süreci olarak adlandırılabilir. Bu tehditler ve
güvenlik açıkları kötü amaçlı yazılım, kimlik avı saldırıları, DDoS saldırıları ve veri ihlallerini
içermektedir.
Mobil Uygulamaları
Akıllı telefonların ve tablet teknolojisinin benimsenmesiyle birlikte mobil cihazların kullanım
çok yaygınlaşmıştır. Saldırganlar bu durumu kendi lehine çevirmek isteyip yeni stratejiler
geliştirmek istemektedirler. Bu stratejilerin dikkat gerektiren bir dizi etkinliği kapsaması
gerekmektedir. Bunlar; Bring Your Own Device (BYOD)-Kendi Cihazınızı Getirin‘den Mobile
Device Management (MDM)-Mobil Cihaz Yönetimi‘ni kapsayan geniş bir yönetim ve kullanıcı
farkındalığı gerektiren çeşitli aktiviteleri kapsamaktadır.
Mobil uygulama güvenliğindeki en büyük problem mobil cihazları kullanan/yöneten
kullanıcılar ve kuruluşlar, indirdikleri ve kullandıkları uygulamaların gerçekte ne yaptığını
bilmemesidir.
Mobil uygulama güvenlik incelemesi; kod çalıştırılması, erişim yükseltilmesi, veri sızması,
bilginin dışarıya aktarımı ve diğer güvenlik sorunlarına yol açabilecek güvenli açıklarını ve yanlış
yapılandırmaları kapsamaktadır.
Web Uygulamaları
Web uygulamaları güvenliği kapsamlı bir web yelpazesini güvenlik ihlallerinden koruyan bir
bilgi güvenliği biçimidir. Bu kapsam veri tabanlarını, sosyal medya sayfalarını ve kullanılan
yazılımları içermektedir.
Web servisleri, XML, SOAP, WSDL, UDDI gibi açık standartları kullanarak web tabanlı
uygulamaları dahil etmenin kontrollü bir yolu olarak tanımlanabilir. Tüm bu platformlar ve
platformlar arası iletişim yolları, potansiyel bir saldırı için çeşitlilik oluşturmaktadır.
Örnek bir web hizmeti incelemesi, bir anahtarın gönderilmesine ve XML tarafından oluşturulan
verilerin indirilmesine izin veren SOAP tabanlı çevrimiçi XML üreticisinin güvenliğini
kapsamaktadır.
Bir web uygulaması testi gibi, Sense of Security hizmetleri testi, uygulandığı teknoloji ve
üzerinde çalıştığı Web sunucusu/arka uç veri tabanının güvenliği ne olursa olsun, Web
hizmetinin kendisinde bulunan önceden tanımlanmış güvenlik açıklarını belirler. Bu inceleme,
özel uygulama katmanındaki tehditleri modellemektedir.
Uygulama Tehditlerine Örnek Saldırılar: Kötü amaçlı yazılımlar, Kimlik Avı Saldırıları-Phishing,
DDoS Saldırıları, Veri Sızıntısı Olaylarıdır.

Host Tehditleri
Özellikle yeni ortaya çıkan tehditlerin yanı sıra mevcut risklere karşı en iyi korumayı sağlamak
için ana bilgisayarların işletim sisteminin ve uygulamalarının uygun şekilde sıkılaştırılması
gerekmektedir. Her iki durum da tamamlayıcı olduğundan ve farklı bakış açılarından model
tehditler oluşturduğundan, bir ana bilgisayar güvenlik değerlendirmesi ayrı olarak veya bir
penetrasyon testi ile yapılabilir.
İncelenen teknolojilerden bazıları şunları içerir:
● İşletim sistemleri
● Veri tabanı sunucuları
● Güvenlik duvarları
● Yönlendiriciler
● Anahtarlar
● Sanallaştırma uygulamaları
● Yük dengeleyiciler
● Saldırı Tespit Sistemleri
● Web proxyleri
● Web sunucuları
● Uygulama sunucuları
● Posta sunucuları
Tehdit Aktörlerinin Profilleri
Tehdit aktörleri kötü niyetli aktörler olarak tanımlanabilir. Bu kötü niyetli aktörler bir
kurumun/kişinin güvenliğini etkileyen olaylardan veya potansiyel olaylardan sorumlu
kişi/kişilerdir.
Devlet Destekli Tehdit Aktörleri: Bu tehdit grupları çok iyi finanse edilmekte ve sıklıkla
karmaşık hedefli saldırılar gerçekleştirmektedir. Genelde politik, ekonomik, teknik ve askeri
sebeplerden kaynaklı motivasyonları/hedefleri vardır. Casusluk amacıyla yararlanabilecek
rekabetçi bilgi, kaynak ve kullanıcı arayışları bulunur.
Organize Suç Ekipleri: Bu saldırı grupları en fazla karı getirecek eylemleri gerçekleştirmeyi
tercih ederler. Genelde müşterilerin ve çalışanların sosyal güvenlik numaraları, sağlık kayıtları,
kredi kartları ve bankacılık bilgileri gibi kişisel bilgileri ele geçirip bunlar üzerinden fidye alma
işlemini gerçekleştirirler.
Hacktivistler: Bu saldırganların genelde politik amaçları bulunur. Amaçları propagandayı
dağıtmaya yardımcı olan yüksek profilli saldırılar oluşturmak veya karşı oldukları kuruluşlara
zarar vermektedir. Temel amaç kendilerine fayda sağlamak ve problem olarak gördükleri bir
konuya dikkat çekmektir.

Fırsatçı Kişi/Kişiler: Bu saldırganlar genelde amatör oyunculardır ve tanınma, ünlü olma arzusu
barındırırlar. Ancak sadece zarar vermek amacıyla hareket etmezler. Kurumların, sistemlerin
buldukları güvenlik açıklıklarını bildirip, buradan hareketle isim duyurmaya da çalışabilirler.
Bunu gerçekleştirdikleri zaman para ödülü, teşekkür listesine isim yazdırma gibi
ödüllendirmeler alabilirler.
İşinden Memnun Olmayan Mutsuz Çalışanlar: Kurumunuza karşı kötü niyetli faaliyet gösteren
kişilerin tamamı dışarıdan gelmek zorunda değildir. İşinden memnun olmayan, mutsuz
çalışanlar daha fazla maddi kazanç elde etmek veya iş hayatında karşılaşılan tatsız olaylardan
dolayı intikam almak için karşı firmalarla iş birliği yapabilirler.
Siber Teröristler: İnternet'in, tehdit ya da yıldırma yoluyla siyasi ya da ideolojik kazanımlar
elde etmek amacıyla, can kaybı ya da ciddi bedensel hasara yol açan ya da tehdit eden şiddetli
davranışlarda bulunmak için kullanılmasıdır. Bilgisayar virüsleri, bilgisayar solucanları, kimlik
avı gibi araçlar aracılığıyla İnternete bağlı kişisel bilgisayarların kasıtlı, büyük ölçüde bilgisayar
ağlarını bozması gibi eylemleri içeren bir İnternet terör eylemi olarak kabul edilen eylemleri
gerçekleştirirler.
Casuslar: Siber casuslar, kişilerden, rakiplerden, gruplardan, hükümetlerden; kişisel,
ekonomik, politik ve askerî açıdan avantajları düşmana karşı kullanmak için bilgi edinmeye
çalışırlar. İnternete, ağ yapılarına veya kişisel bilgisayarlara kötü amaçlı yazılımlar bulaştırma
ve bunlarla istenilen bilgileri elde etmeye çalışmak siber casusların yaptıkları işlemlere örnek
gösterilebilir.
Ticari Rakipler: Aynı endüstri içerisinde bulunana firmalar, aralarındaki ticari rekabetten
dolayı karşı tarafa zarar verme girişiminde bulunabilirler. Bunu başka kurum ve kişilerle orta
gerçekleştirebilecekleri gibi bireysel olarak da hareket edebilmektedirler.
Siber Güvenlik Saldırılarının Motivasyon ve Amaçları
Düşmanının eylemlerinin arkasındaki nedeni bulmak, düşmanın neyin peşinde olduğunu ve
düşmana karşı neyi korumamız gerektiğini anlamanıza yardımcı olur. Düşmanın neyin peşinde
olduğunu anlamak için, onu bu eyleme iten motivasyonlarını gözlemleyebiliriz;
Mali motivasyonlar: Tehdit aktörleri doğrudan ve dolaylı olarak maddi kazanç sağlamak
isteyebilirler. Sektörel rakipler kurumunuza zarar vermek isteyebilir ve bunu yapmak için
maddi zarar vermek isteyebilir.
İdeolojik Motivasyonlar: Müşterilerinize karşı olan itibarınızı kaybetmeniz, hizmet verme
kalitesinin düşmesini isteyen düşmanlarınız bulunabilir. Bunlar dışarıdan gelen tehditler olmak
zorunda değildir. Kurum içerisinde mutsuz bir çalışan ve kurumla sıkıntı yaşamış eski bir
çalışanda aynı motivasyonu paylaşabilir.
Siyasi Motivasyonlar: Devlet destekli saldırıların arkasında siyasi motivasyonların bulunması
ihtimali çok yüksektir. Büyük çapta yapılan ve geniş bir kaynak kapasitesine sahip olan
saldırıların çoğunluğu bu motivasyonu paylaşır.

Prestij ve Merak Motivasyonu: Kendilerini kanıtlama güdüsü hisseden tehdit aktörleri prestij
kazanmak ve isimlerini duyurmak için saldırı eylemleri gerçekleştirebilir. Bu motivasyonu
paylaşan kişilerin amaçları kötü yönde eğilim göstermek zorunda değildir. Örneğin kurumların
sistemlerinde açık bulup bunları bildiren, olası büyük kayıpların önüne geçmek için bu işi yapan
ve karşılığında ödül alan aktörler vardır.
Radware’in bilgilerine göre tehdit aktörlerinin zara verme eylemlerini arasındaki amaçlar şu
Şekildedir;
● Fidye %41
● İçeriden gelen tehdit %27
● Politik sebepler %26
● Rekabet %26
● Siber Savaş %24
● Sinirli kullanıcı %20
● Sebebi bilinmeyen 11%
%41’lik dilimle en büyük amacı fidye talebi oluşturmak için yapılan eylemler oluşturur.

Tehdit: Niyet, Kapasite, Fırsat Üçlüsü
Eğer ortada bir tehdit mevcut ise; bir düzeydeki tehdidin, tehlike seviyesini belirlemek için,
hedefine karşı olan niyet, kapasite ve fırsatlarının bilinmesi gerekir. Niyet, tehdit aktörünün
hareket etme arzusudur. Kapasite, ilgilenilen bir eylemde bulunmak için yeterli olan
kaynakların mevcudiyetidir. Fırsat, bir eylemin potansiyel hedeflerinin mevcut olduğu ve
harekete geçmeye duyarlı olduğu bir faaliyet ortamının var olmasıdır.
Tehdit; niyet, kapasite ve fırsat üçlüsünün herhangi birinin bozulmasını içeren bir bütünlük
olarak algılanabilir. Bu açıdan bakıldığında, geçerli tehditler, üç temel tehdit unsurunun (niyet,
kapasite, fırsat) mevcut olduğu ve üçlü bir bütünün temel bağımlılık ilişkileri yoluyla var olduğu
zaman ortaya çıkmaktadır. Potansiyel tehditler, en az bir temel bileşen olduğunda ortaya çıkar.
Bir operasyonel ortamda, mevcut tüm kaynaklardan derlenen bilgiler, saldırganın niyetine,
kapasitesine ve fırsatlarına dair kanıt sağlayabilecek kalıpları ayırt etme amacıyla tehdit
bilgilerinin analizin edilir. Bu kanıtlar tehdidin hedefine zarar verme etkisidir.
Hacking Forumları
● https://www.spyhackerz.com/forum/
● https://www.turkhacks.com
● http://onionlandbakyt3j.onion
● https://dailystormer.name
● http://3wcwjjnuvjyazeza.onion

Advanced Persistent Threats (APT), Gelişmiş
Kalıcı Tehditleri Anlamak
APT Tanımı
Gelişmiş kalıcı tehditler (APT), bir kişinin veya grubun bir ağa yetkisiz erişim sağladığı ve uzun
bir süre boyunca algılanmadığı gizli bir bilgisayar ağı saldırısıdır. Terimin tanımı gereği bu
saldırılar ulus-devlet destekli saldırılar ile doğrudan ilişkilendirilebilir ama APT sadece buna
değil ulus-devlet dışı kaynaklardan da gelebilmekte ve çok geniş çaplı hedeflere izinsiz giriş
gerçekleştirilebilmektedir.
Bir APT'nin ticari veya politik amaçları olabilir. APT süreçleri, uzun bir süre boyunca yüksek
derecede gizlilik gerektirir.
"Gelişmiş" işlem, sistemdeki güvenlik açıklarından yararlanmak için kötü amaçlı yazılım
kullanan karmaşık tekniklere işaret eder.
"Kalıcı" süreç, harici bir komut ve kontrol sisteminin sürekli olarak belirli bir hedeften veri
izleyip çıkardığını gösterir.
“Tehdit” süreci, saldırının düzenlenmesinde insan faktörünün olduğunu gösterir.
Bir APT’nin öncelikli hedefi genel olarak siber casusluktur. Amaçları; hedefi devlet olan, hassas
verilerin elde edilmesidir. Ayrıca finansal hedeflerden para çalmak, bir sistemin bütün
kontrolünü ele almak, sistemlere ve altyapılarına kritik zararlar vermek gibi amaçları da vardır.
Çok büyük ses getiren Stuxnet saldırısı APT saldırılarına bir örnektir.
APT Karakteristik Özellikleri
● Hedefler: Tehdidin son hedefi, düşmanı
● Zaman: Sistemi incelemek ve erişmek için harcanan zaman
● Kaynaklar: Hedef için kullanılan bilgi ve araç kaynağı
● Risk toleransı: Tehdidin tespit edilmeden ne kadar ileri gidebileceği
● Yetenekler ve Yöntemler: Tehdidin kullandığı araç ve teknikleri
● Eylemler: Tehdit ve tehditlerin tam olarak gerçekleştirdiği aksiyonlar
● Saldırı Başlangıç Noktaları: Eylemin başladığı kaynak noktalar
● Saldırıya Dahil Olan Her Şey: Eylemin; iç ve dış sistemler dahil olmak üzere ne kadar
bileşeni oluğu ve bundan kimlerin etkileneceği
● Bilgi Kaynağı: Çevrimiçi bilgi toplama yoluyla belirli tehditlerin herhangi biri ile ilgili
bilgi toplama

APT Yaşam Döngüsü
Gelişmiş kalıcı tehditlerin arkasındaki aktörler, belirli bir süreci izleyerek ve Cyber Kill Chain’i
izleyerek kuruluşların finansal varlıklarına, saygınlıklarına, altyapılarına risk teşkil ederler. 2013
yılında Mandiant, 2004 ve 2013 yılları arasında gerçekleşen Çin APT saldırılarına benzer
saldırıların araştırılması için ortaya bir yaşam döngüsü koymuştur. Bu yaşam döngüsü
aşağıdaki adımları içermektedir;
İlk temas: Sosyal mühendislik ile spear phishing yöntemiyle, e-posta üzerinden 0-day virüslerin
kullanılması. Diğer bir bulaştırma şekli olarak; örneğin işinden memnun olmayan ve mağdur
durumdaki çalışanların ziyaret edebileceği türden bir web sayfası oluşturup içerisine zararlı
yazılım gizlemek.
Bağlantı noktasını güçlendirme: Uzaktan yönetilen zararlı yazılımın kurban bilgisayarına
yerleştirilmesi, iç yapı ve altyapısına erişim sağlayan yollar oluşturulması.
Yetki yükseltme: Kurbanın bilgisayarında yöneticilik ayrıcalıklarını elde etmek için istismarların
ve şifre kırma yöntemlerinin kullanılması.
İç keşif: Sistemin iç yapısı, ilişkide bulunduğu yapılar, yazılımlar, işletim sistemi, ağ yapısı
hakkında bilgi toplamak.
İçerde yayılma: Kontrolü diğer bileşen sistemlere, sunuculara, ağ yapısına kadar genişletme
ve bilgi toplamak.
Varlığını koru: Daha önceki adımlar da elde edilen erişim yetkisi ve kimlik bilgileriyle sürekli
varlığını korumak.
Görevi tamamla: Kurbanın ağından toplanan verileri dışarıya aktarmak.
Şekil: APT yaşam döngüsünü ayrıntılı gösteren şema

APT Örnekleri
Sykipot APT kötü amaçlı yazılım ailesi, Adobe Reader ve Acrobat’taki zafiyetlerden yararlanır.
İlk olarak 2006’da tespit edilmiştir. Bu kötü amaçlı yazılımların 2013 yılına kadar kullanıcılarla
etkileşimini sürdürdüğü bilinmektedir. Tehdit aktörleri, Sykipot kötü amaçlı yazılım ailesini;
devlet kurumları, savunma sanayileri ve telekomünikasyon şirketleri de dahil olmak üzere ABD
ve İngiltere’deki kuruluşlara hedef alan siber saldırılarda kullanmışlardır.
GhostNet siber yayılma operasyonu ilk olarak 2009’da keşfedilmiştir. Çin’de başlayan bu
saldırılar ilk olarak zararlı ekler içeren e-postaların atılmasıyla başlamıştır. Bu saldırı 100’den
fazla ülkeye yayılmıştır. Saldırganlar, devletlerin bakanlıklarının ve elçiliklerinin ağ cihazlarına
erişim kazanmayı hedeflemişlerdir.
Stuxnet saldırısı İran’ın nükleer santrallerine saldırmak için oluşturulmuş, üzerinde 4 adet 0-
day barındıran bir çeşit solucan yazılımdır. 2010 yılında siber güvenlik araştırmacıları
tarafından keşfedilmiştir. Bu kötü amaçlı yazılım SCADA (Merkezi Denetleme Kontrol ve Veri
Toplama) sistemlerini hedef almış ve sadece bir usb bellek cihazı sayesinde içeride yayılmıştır.
Şekil: Sol alt köşesinde santrifüj dizilimleri görünen basına açık yayınlanmış fotoğraf
İran’a bağlı bir gelişmiş kalıcı tehdit grubu olan APT34, ilk kez 2017 yılında FireEye’deki
araştırmacılar tarafından ortaya çıkarılmıştır. En az 2014’ten beri aktif olduğu düşünülen bu
tehdit grubu Orta Doğu’daki kuruluşları ve devletleri hedef almıştır.
Reaper, StarCruft ve Group 123 olarak da tanınan APT37 grubu 2012’de ortaya çıktığı
düşünülen Kuzey Kore’ye bağlı bir gelişmiş kalıcı tehdit grubudur. APT37, Adobe Flash üzerinde
bulunan 0-day güvenlik açıklığını kullanmışlardır.

Siber Ölüm Zinciri’ni Anlamak
Siber Ölüm Zinciri kavramı ilk olarak askeriyede ortaya çıkmıştır. Lockheed Martin firması,
Siber Ölüm Zinciri modelini APT saldırılarını analiz etmek amacıyla siber güvenlik dünyasına
uyarlamıştır. Bir saldırının aşamalarını belirlemek ve önlem alma için gerek yöntemlerin
geliştirilmesine olanak sağlayan bir metodolojidir. Siber Ölüm Zinciri’nin etkili bir şekilde
anlaşılması, bilgi güvenliği uzmanlarına, güvenlik ekiplerine, varlıklarını korumaya yardımcı
olacak güçlü kontrolle ve karşı önlemler oluşturmada büyük ölçüde yardımcı olacaktır.
Siber Ölüm Zinciri Metodolojisi
Siber Ölüm Zinciri bir siber saldırının evrelerini ortaya koymaktadır. Bu evreler bilgi
toplamadan, sisteme sızmaya kadarki süreci kapsamaktadır. Siber Ölüm Zinciri aynı zamanda
savunmasız veya savunması zayıf bir ağın güçlendirilmesine yardımcı olmak için bir yönetim
aracı olarak da kullanılabilir. Lockheed Martin'e göre, tehditlerin 7 aşamadan geçmesi
gerekmektedir. Bu aşamalar Siber Ölüm Zinciri Metodolojisini oluşturmaktadır.
1- Keşif
Siber Ölüm Zinciri’nin ilk aşaması keşif aşamasıdır. Bu aşamada saldırgan hedefi teknik ve
teknik olmayan bir bakış açısıyla dışarıdan değerlendirir. Bu aşamadaki amaç saldırganın hangi
kaynaktan daha fazla fayda sağlayabileceğini saptamaktır. Saldırgan istismar edebileceği
güvenlik açıklarını arar. Bunu yaparken Aktif ve Pasif Bilgi topla olarak adlandırılan iki çeşit bilgi
toplama yöntemini kullanabilir.
2- Silahlanma
Bu aşama Siber Ölüm Zinciri’nin ikinci aşamasıdır. Bu aşamada tehdit aktörü, bir önceki
aşamada keşfedilen güvenlik açıklarına özel olarak hazırlanmış kötü amaçlı yazılımlar geliştirir.
Keşif aşamasında toplanan istihbarat temelinde, saldırgana silahlanma aşamasında nasıl bir
yol izlemesi gerektiğine karar vermesi için kullanılır. Bu aşamaya kısacası silahın belirlendiği
aşama diyebiliriz.
3- İletme
Siber Ölüm Zinciri metodolojisinin üçüncü aşaması, APT kodunun, kurbanı sömürmek için
hedef bilgisayara geçmesidir. 2018 Verizon Veri İhlali Soruşturma Raporundan gelen araştırma
ve analizler, bir ağ saldırısının büyük ölçüde kurumun iç çalışanlarını hedef alınarak Phishing
saldırılarından kaynaklandığı göstermektedir. Bilgi toplama aşamasında toplanan verilere
dayanarak, bir kuruma özel araştırılmış ve hazırlanmış Phishing saldırısı ile, APT zararlı yazılımı
kuruma bulaşabilmektedir.
Bu Phishing saldırıları aslında Spear Phishing olarak adlandırılan, hedef temelli saldırılardır.
Yine aynı şekilde hedefin kim olacağı da bilgi toplama aşamasında belirlenir ve en zayıf halka

hedef olarak seçilir. Spear phishing çoğunlukla Microsoft Word ve Adobe PDF belgesi gibi bir
ek içermektedir. Bu ek, APT’nin kurum içi ağa erişmesine sebep olacak ilk adımı oluşturur.
4- Sömürme
Sömürü aşamasına, APT kötü amaçlı yazılım kodu hedef ağda, uzaktan veya otomatik olarak
yürütülür ve hedeflenen bilgi sistemine erişimi sağlamak için mevcut güvenlik açıklarında
yararlanır.
5- Kurulum
Sistemin sömürülmesi başarılı olduktan sonra, APT kötü amaçlı yazılım kodu kendisini
hedeflenen bilgi sistemine yüklemeye çalışacaktır. Bu noktada ağ erişimi varsa, zararlı yazılım,
dışarıdan güncellemeler ve yazılımlar indirmeye başlayacaktır. Bu güncellemeleri kendini daha
fazla gizlemek ve iz sürülemez hale getirmek için kullanabilir.
6-Komuta ve Kontrol
Komuta ve kontrol Siber Ölüm Zinciri’in altıncı aşamasıdır. Bu aşama C2 (Command and
Control) olarak adlandırılabilir. Bu aşama saldırganın iletişim APT kodlarını hedef ağa
yerleştirdiği aşamadır. Bu yazılım, saldırganın ortamdaki APT kodunu tamamen yönetmesine
ve saldırganın ağda daha derin bir şekilde hareket etmesine, veri göndermesine ve arkasında
bıraktığı izleri yok etmesine olanak sağlar.
7- Hedeflenen Eylem
Hedef sistem ele geçirildikten sonra, saldırgan amacına ulaşmak için çeşitli eylemler
gerçekleştirir. Veri çalma, değiştirme ve silme, bulunduğu yerden başka bir sisteme sıçrama,
gibi eylemler örnek gösterilebilir. Asıl hedefine ulaşmak için yapması gereken tüm eylemlerin
yapıldığı aşamadır. Bu aşama Siber Ölüm Zinciri’nin son aşamasıdır.
Yukarıdaki aşamaların hepsi birbirine zincirleme bağlıdır. Bir aşamada gerçekleşecek aksilik
devamındaki aşamayı doğrudan, diğer aşamaları dolaylı olarak etkileyecektir. Bu nedenle her
aşamada yapılması gereken işlemler özenle planlanmalı ve organize edilmelidir.

Teknik, Taktik ve Prosedürler (TTP)
Teknik, Taktik ve Prosedürler (TTP) terimi, bir APT’nin çalışmasını analiz etme yaklaşımını
açıklar. Belirli bir aktörü profilleme aracı olarak kullanılabilir. Düşmanı anlamak ve onunla
savaşmak için saldırganın kullandığı Teknikleri, Taktikleri ve Prosedürleri (TTP) anlamak
gerekir. Bir rakibin Taktiklerini bilmek, yaklaşan saldırıları tahmin etmeye ve bunları önceden
tespit etmeye yardımcı olur. Saldırı sırasında kullanılan Tekniklerin anlaşılması, kurumun kör
noktalarının, güvenlik açıklarını belirlenmesine ve gerekli önlemlerin önceden alınmasına
olanak tanır. Son olarak, rakip tarafından kullanılan Prosedürlerin analizi, düşmanın hedef alt
yapısında ne aradığını anlamaya yardımcı olur.
Taktik
Bir APT grubunun taktikleri, tehdit aktörünün eylemlerinin farklı aşamalarda nasıl işlendiğini
açıklar. Başlangıçtaki bilgi toplama, ilk temasın gerçekleştirilmesi, zafiyetlerin aranması, kurum
içinde sistemler arası geçiş, yanal hareket yapılması gibi taktikleri içerir. Saldırının tamamını ve
bir kısmını gerçekleştirme biçimi ile ilgilendiği için, tespit edilme zorluğu da saldırı çeşitlerine
göre değişir.
Teknik
Bir APT grubu, saldırısını başarıyla yürütebilmek için çeşitli teknikler kullanır. Bu teknikler
başlangıçtaki girişi kolaylaştırmak, kontrolü sürdürmek, hedef altyapı içerisinde hareket
edebilmek, veri akışını yapıldığını gizlemek gibi işlemleri gerçekleştirmek için kullanılır.
Bu teknikler tehdit oyuncularına göre değişiklik gösterir. Bu nedenle APT gruplarını anlamak
için saldırının çeşitli aşamalarında kullanılan teknikleri anlamak önemlidir. Taktiklerde olduğu
gibi, teknikler de APT’nin yaşam döngüsünün her aşamasında analiz edilebilir. İlk aşamalardaki
teknikler temel olarak ilk bilgi toplama ve ilk temas noktası için kullanılan araçları tanımlar. Bu
aşamadaki teknikler teknolojik olmak zorunda değildir. Örneğin bazı sosyal mühendislik
teknikleri ile kurban ve saldırgan arasında bağlantı kurulabilir. Saldırının devamındaki aşamalar
genellikle sosyal mühendislikteki gibi teknolojik olmayan yöntemler kullanılmaz. Bu nedenle
ara aşamalardaki teknikler genellikle başlangıçta bağlantı kurulan sistemde daha yüksek
ayrıcalıklar elde etmek ve hedef ağ içinde yanal hareket ederek ilerleyebilmek için teknolojik
araçlar kullanılır. Kullanılan araçların her biri saldırganın tekniği hakkında fikir verir.
Prosedürler
Başarılı bir saldırı gerçekleştirmek için iyi taktik ve tekniklere sahip olmak yeterli değildir. Bu
nedenle bir dizi teknik kullanılarak gerçekleştirilen özel olarak düzenlenmiş bir taktiksel
harekete ihtiyaç vardır. Başka bir deyişle, APT oyuncuları tarafından saldırı döngüsündeki her
adımı gerçekleştirmek için prosedürler olarak adlandırılan eylemler kullanılır. Bir prosedürdeki
eylem miktarı genellikle prosedürün amacına ve APT grubuna bağlı olarak değişir. İyi
tasarlanmış bir prosedürün, saldırının yaşam döngüsündeki belirli bir adımın başarı oranını
arttırmasının ve ayrıca tespit edilme olasılığını azaltması beklenir.

Bir prosedür örneği olarak şunlar gösterebilir; Hedef hakkında ilk bilgilerin toplanması, kritik
noktalardaki bireylerin belirlenmesi, hedefe ait harici sistemlerin belirlenmesi, iletişim
detaylarının toplanması ve potansiyel savunmasız sistemler hakkında ayrıntılı bilgi toplanması,
toplanan bilgilerin belgelendirilmesi.
Taktiklerde ve tekniklerde olduğu gibi, belirli bir APT grubu tarafından kullanılan prosedürler
de bir tehdit aktörünün profilini çıkarmak için kullanılabilir. Keşif aşamasında kullanılan
prosedürleri gözlemlemek zor olsa da diğer aşamalar prosedürü yeniden oluşturmak için
kullanılabilecek izler bırakabilir. Örneğin bir adli bilişim soruşturması sırasında, saldırgan
tarafından gerçekleştirilen eylemler bir zaman çizelgesi yaklaşımında bir dosya sistemi analizi
ile yeniden yapılandırılabilir.
Düşman Davranışlarını Tanıma
Bilgisayar korsanlarının kim olduğunu ve ne istediklerini anlamak, ağ güvenliği ihlallerinin
etkisini en aza indirmenin en etkili yoludur. Ağınız bir saldırıyla karşı karşıya ise , ancak bundan
kimin sorumlu olduğunu ve motivasyonlarının ne olduğu hakkında hiçbir bilginiz yoksa;
güvenliğiniz, verileriniz, müşterileriniz, endüstrideki saygınlığınız tehdit altındadır. Bir ağ ihlali
gerçekleştiğinde, muhtemel saldırganlar hakkında bilgi toplamak, kurumun yararınadır. Bunun
nedeni, kim olduklarını ve nereden geldikleri bilmek, daha doğru bir hasar değerlendirmesi
çalışması yapmanıza yardımcı olur. Kim tarafından saldırıya uğradığını bilmek aynı zamanda
size neden saldırdıkların, neyin peşinde olduklarını ve işiniz için olası sonuçların ne olabileceği
hakkında bilgi veriri, tahmin yürütülmesine olanak sağlar.
En önemli katkısı geleceğe yöneliktir. Size kimin saldırdığını bilmek, gelecekteki güvenlik
planlarınızı belirlemenize ve güvenlik bütçenizi en iyi nasıl değerlendirebileceğinize dair karar
vermenize yardımcı olur. Örneğin hedefli bir saldırının merkezi olduğunuzu düşünüyorsanız ve
saldırganlar bunu yaparken başarısız oldular ise, tehlike teşkil eden açıklıkları kapatabilir, zayıf
halkaları güçlendirebilirsiniz.
Kill Chain Deep Dive Scenario, Spear Phishing
Spear Phishing, Mızrak Avı dolandırıcılığı, bir organizasyondaki belirli bireyleri ve grupları
hedefleyen bir Phishing yöntemidir. Kullanıcıların kişisel bilgileri ifşa etmelerine ve ağın
tehlikeye girmesine, veri kaybına ve finansal kayıplara neden olan eylemlerdir. Bu eylemleri
gerçekleştirmek için e-postalar, sosyal medya ve diğer platformlar kullanılabilir. Phishing
saldırıları rastgele kişilere toplu e-posta gönderirken, Spear Phishing saldırıları belirli hedeflere
odaklanır ve ön bilgi toplama işleminin merkezine bu hedefleri koyar.
Spear Phishing saldırıları genelde bir kullanıcının hesabına erişmek veya kurum içinde yüksek
yetki haklarına sahip bir kullanıcıyı taklit etmek için kullanılabilir. Spear Phishing saldırganları,
saldırılarını başlatmadan önce keşif yöntemlerini uygular. Bunu yapmanın çeşitli yolları vardır.
Örneğin hedef şirketin çalışanlarına e-posta adresi açarken nasıl bir isimlendirme kalıbı
kullandığını öğrenmek, kurban hakkında sosyal medyadan ve diğer açık kaynak sistemlerden
bilgi toplamak.

Indicators of Compromise (IoC), Uzlaşma
Göstergelerini Anlamak
Indicators of Compromise (IoC)
IoC göstergeleri, bir sistem ve ağdaki olası izinsiz girişimlerin adli delilleridir. Bu deliller bilgi
güvenliği uzmanları ve sistem yöneticilerinin ağa izinsiz giriş denemeleri ve diğer kötü niyetli
etkinlikleri tespit etmelerini sağlar. Güvenlik araştırmacıları, belirli bir kötü amaçlı yazılımın
tekniklerini ve davranışlarını daha iyi analiz etmek için IoC verilerini kullanırlar. IoC’ler ayrıca
bir organizasyonun olay yanıtını ve iyileştirme stratejilerini daha iyi gerçekleştirebilmesi için
topluluk içinde paylaşılabilen eyleme geçirilebilir tehdit istihbaratı verileri sunar.
Güvenlik uzmanları ve araştırmacıları ihlalleri ve saldırıları azaltmalarına yardımcı olmak için
IoC’leri işleyen çeşitli araçlar kullanırlar.
IoC Neden Önemli?
IoC verileri, bilgi güvenliği uzmanlarının ağın tehlikeye girdiğini tespit etmesine ve tehlikenin
ne olduğu, kim olduğu ve saldırının ne zaman gerçekleştiği hakkında ayrıntılı bilgi almalarına
izin verir. Bilgi güvenliği danışmanları, söz konusu eylemin kötü amaçlı olup olmadığına dair ek
kanıtlar sağlayarak, uzlaşma göstergelerini otomatik güvenlik çözümlerine (Antivirüsler, SIEM,
IDS/IPS) entegre edebilirler.
IoC verileri ,bilgi güvenliği uzmanlarına potansiyel ve devam eden bir siber saldırı hakkında
sinyal veren kırmızı bayraklar olarak hareket eder. Özellikle APT’leri avlamada yardımcı olur.
Bir APT saldırısı, genelde sıradan güvenlik teknolojilerini atlatır. Keşfedilmeden yaklaşık bir yıl
kadar sistemin içerisinde varlık gösterebilirler. IoC’ler bilgi güvenliği uzmanlarının bir APT
varlığını tespit etmesine ve veri sızıntısının durdurulmasına yardım eder.
Carbanak’ın APT tespit etmek için kullandığı IoC örneklerinin ortak noktaları aşağıda
sıralanmıştır.
● Olağandışı BT araçlarının varlığı
● Sisteme uzaktan giriş yapılması
● Uzaktan yönetim araçları (RAT, Remote Access Trojan) içerisindeki varlığı
● Kullanıcıların izni dahilinde olmayan otomatik yeniden başlatmalar
● Şüpheli konumlardan erişim yetkisi

Anahtar IoC Göstergeleri
Aşağıda güvenlik uzmanlarının göz önünde bulundurduğu bazı IoC göstergeleri bulunmaktadır.
Olağan Dışı Ağ Trafiği: Ağın içindeki trafik genellikle göz ardı edilen bir göstergedir. Giden trafik
yoğun bir şekilde artarsa veya her zamankinden anormal bir hal alırsa bir sorunla karşılaşma
ihtimali artar. Ağ içerisinde en kolay izlenebilen gösterge ağ trafiği olduğu için herhangi bir
tehdit durumunda bu göstergelerden faydalanabiliriz.
Yüksek Yetkili Kullanıcı Hesaplarındaki Anormallikler: Tahdit aktörleri yüksek erişim
haklarına sahip kullanıcı hesaplarını ele geçirebilirler. Bu durum sadece yüksek öncelikli
hesaplar için değil tüm hesaplar için geçerlidir. Bir hesaptaki herhangi anormal bir davranış
takip edilmelidir.
Coğrafi Aykırılıklar: Kullanıcı hesabına alışılmadık bir coğrafi bölgeden erişim, saldırganların
uzaktaki ağ sistemlerine saldırdıklarının kanıtı olabilir. Etkileşiminizin bulunmadığı ülkeler
üzerinde trafik varsa, bu trafik takip edilmelidir. Bu göstergeler takip edilmesi kolay
göstergelerdir.
Anormal Girişler: Anormal girişler ve sistemsel bozukluklar, saldırganların girişimlerde
bulunduğunu gösterebilir. Mevcut bir hesapta çok sayıda başarısız oturum açma girişimi ve var
olmayan kullanıcı hesaplarıyla başarısız oturum açma eylemleri IoC göstergeleridir.
HTML Yanıt Boyutu: Anormal derecede büyük bir HTML yanıt boyutu, büyük bir veri parçasının
gittiğini gösterir.
Aynı Dosya İçinde Çok Sayıda İstek: Saldırganlar, sistemi ele geçirmek için çok sayıda deneme
yanılma kullanırlar. Bu başarısız denemeler ve hatalar, tehdit aktörlerinin ne tür bir sömürü
peşinde olduklarını gösteren IoC verileridir.
Veri Tabanı Okuma Hacminin Artması: Veritabanı okuma hacmindeki artış, ortada bir tehdit
aktörünün bulunduğunu gösterebilir. Veritabanı içerisindeki veriler saldırgan tarafa aktarılıyor
olabilir. Örneğin kredi kartı verilerinin bulunduğu veritabanı yüklü veri hacmine sahiptir ve
bunlar üzerinden işlem gerçekleştirildiğinde anormal davranışlar gözlemlenir.

Pyramid of Pain
Sqrrl’den David Bianco, IoC'leri sınıflandırmak için Pyramid of Pain adlı bir çalışma
gerçekleştirmiştir.
Pyramid of Pain’in seviyelerine ilişkin detaylar:
Şekil: David Bianco’nun hazırladığı piramit
Hash Değerleri: SHA1, MD5 ve belirli şüpheli ve kötü amaçlı dosyalara karşılık gelen diğer
karma değerlerdir. Genellikle, belirli kötü amaçlı yazılım örneklerine ve izinsiz girişe karışan
dosyalara benzersiz referanslar sağlamak için kullanılır. Hash değerlerinin değiştirilmesi kolay
bir işlemdir ve hash değerleri değiştirilebilecek çok fazla veri vardır. Bu nedenle izlenmesi çok
yüksek önceliğe sahip değildir.
IP Adresleri: IP adresleri en temel göstergedir. Ancak Tor ve benzeri bir isimsiz bir Proxy servisi
kullanılıyorsa, IP adresleri oldukça sık değiştirilebilir. Bu nedenle güvenlik ekipleri ellerindeki
IP adreslerine bağlı kalmak zorunda değillerdir.
Alan Adları: Alan adlarını değiştirmek IP adresini değiştirmeye nispeten daha zahmetlidir. Bu
iş için Proxy günlükleri ve bu tür işlemleri tespit etmek için web sunucusu günlükleri taranabilir.
Network/Host Yapıları: Network veya Host yapılarında, kötü amaçlı faaliyetlerin izleri
bulunabilir. Bunlar, kötü amaçlı bir yazılımın parçaları tarafından oluşturulduğu bilinen
değerler, belirli yerlere bırakılan dosyalar veya dizinler gibi ayırt edici özelliklerdir.

Araçlar: Düşmanın amacına hizmet eden yazılımlardır. Çoğunlukla harici yazılımlar ve
komutlardır. Phishing zararlı belgelerini oluşturmak için tasarlanmış yardımcı programlar, arka
kapıları kullanmak için gerekli uygulamalar örnek olarak gösterilebilir.
TTP’ler: Piramitin zirvesinde TTP’ler vardır. Tehdit aktörünün, amacını nasıl gerçekleştireceğini
ve aradaki adımları anlamaya yardımcı olur. Saldırganlara verilecek en büyük zarar bu seviyede
tespit yapmak ve karşı aksiyon oluşturmaktır.

Veri Toplama ve İşleme
Tehdit İstihbaratı Veri Toplamasına Genel Bakış
Veri toplama, araştırma problemine cevap bulmadaki hipotezi test etmek ve sonuçları
değerlendirmek için ilgili kaynaklardan bilgi toplama sürecidir. Veri toplama yöntemleri birincil
ve ikincil veri toplama yöntemleri olarak ikiye ayrılabilir.
Veri Toplama Yöntemleri
İkincil veri toplama türleri: İkincil veri toplama; kitaplarda, gazetelerde, dergilerde, çevrimiçi
portallarda yayınlanmış veri türüdür. Bu kaynaklarda bolca veri bulunmaktadır. Bu nedenle
araştırma yapılırken kısıtlamalar, kriterler belirleyerek çalışılması önerilir. Örneğin tarih, yazar,
kaynağın güvenilirlik seviyesi, tartışmaların kalitesi, analizlerin ayrıntı ve derinliği gibi kriterler
belirlenebilir.
Birincil veri toplama türleri: Bunlar kedi içinde nicel ve nitel veri toplama türleri olarak ayrılır.
Nicel veri toplama yöntemi: Nicel veri toplama ve analiz yöntemleri arasında kapalı uçlu
sorular içeren anketler, korelasyon ve entegrasyon yöntemleri, ortalama, mod, medyan gibi
yöntemler sayılabilir.
Nitel veri toplama yöntemi: Nitel araştırmalar, derinlemesine anlayış ve nitel veri toplama
yöntemlerinin daha yüksek düzeyde olmasını sağlamayı amaçlar; Röportajlar, açık uçlu sorular
içeren anketler, gözlem çalışmaları gibi çalışmalar örnek gösterilebilir.
Nicel ve nitel veri toplama yöntemleri arasındaki seçimimiz, araştırma alanımıza ve araştırma
amaç ve hedeflerine bağlıdır.
Veri Türleri
Sayısal Veri: Tüm sayı tiplerini içeren veri tipidir. Hesaplama işlemlerinde kullanılabilen tek
veridir. Pozitif veya negatif sayılar, tam sayı veya reel sayı olarak kullanılabilirler. Uzaklık, ücret,
yarıçap, matematiksel hesaplamalar gibi işlemlerde kullanılırlar.
Alfa numerik/Karakter Veri: Karakter veri setleridir. Bu veri setinde oluşan değerler tırnak
içinde gösterilir. Bu değerler; sayılar, harfler ve karakterler olabilir. Büyük/küçük harf
duyarlılığı vardır. ASCII (American Standard Codefor Information Interchange) olarak
adlandırılan karakter seti 256 karakterden oluşur. Bu karakterler hesaplama işlemlerinde
kullanılamazlar.
Mantıksal Veri: Bu veri setinde sadece 2 tane değer vardır; “Evet” ve “Hayır”. Bu veri seti
mantıksal karar verme süreçlerinde kullanılır.

Tehdit İstihbaratı Veri Toplama Türleri
Big Data-Büyük Veri: İnsan ve makine tarafından üretilen, devasa bilgi haznelerinin neden
olduğu, analiz ve işleme için standart bir veritabanına sığmayacak kadar büyük olan veri
miktarıdır. İstihbaratın yapı taşlarını oluşturan makine öğrenmesi, büyük verilerden yararlanır.
Büyük veriler üzerinden araştırmalar yapılabilir, istatistikler ve sayısal veriler çıkarılabilir ve
geleceğe yönelik stratejilerimizi buna göre şekillendirebiliriz.
Yapısal, Yapılandırılmamış, Yarı Yapılandırılmış Veri: Yapılandırılmış ve yapılandırılmamış
veriler arasındaki en büyük fark; verinin önceden tanımlanmış bir veri modeline sahip olup
olmamasına ve önceden tanımlanmış bir şekilde düzenlenmiş olup olmamasına bağlıdır.
Zaman Damgalı Veri: Zaman damgalı veriler, her bir veri noktasının yakalandığı ve toplandığı
sırasını tanımlayan bir zaman sırası kavramı olan veri kümesidir.
Makine Verileri: Makine verileri modern işletmeleri destekleyen sistemler, teknolojiler ve
altyapı tarafından oluşturulan dijital verilerdir. Bu veriler erişilebilir ve kullanılabilir hale
getirilirse, kurumların sorunlarına çözüm üretmelerine, tehditleri tespit etmelerine ve
gelecekteki sorunları tahmin etmelerine yardımcı olmak için kullanılabilir.
Spatiotemporal Veriler: Spatiotemporal veriler, aynı olay için hem yer hem de zaman
açıklamasının bulunduğu verilerdir. Bir konumdaki olayın zaman içerisinde nasıl değiştiğini
göstermeye yardımcı olur.
Açık Veri: Açık veriler, kullanımları ve telif hakkı, patentler ve diğer kontrol mekanizmaları
kısıtlama olmadan, yeniden yayınlama hakları açısından herkes tarafından ücretsiz olarak
erişilebilen verilerdir.
Karanlık veri: Karanlık veri kullanılmayan ve bir şekilde hareketsiz kalan veridir. Kuruluşun
sürekli topladığı ve sakladığı ama kullanmadığı verilerdir.
Gerçek Zamanlı Veri: İnsanların algılayamayacağı kadar hızlı gerçekleşen anlık hesaplamalar
için kullanılan verilerdir.
Yüksek Boyutlu Veriler: Yüksek boyutlu veriler, yüz tanıma teknolojilerine göre popüler hale
gelen bir terimdir. Bir insan yüzündeki çok karmaşık kantür sayısı nedeniyle, yüz fizyolojisi
içerisindeki tüm nüansları ve bireyleri tanımlayabilen hesaplamaları idare edebilecek kadar
çok yönlü yeni bir veri türüdür.
Doğrulanmamış Eski Veriler: Bu veriler, toplandıktan sonra, doğru yapıda ve tipte olup
olmadığı kimse tarafından bilinmeyen verilerdir.

Tehdit İstihbarat Toplama Yönetimine Genel
Bakış
Veri Toplama İçin Operasyonel Güvenliği Anlamak
Operasyon Güvenliği, bilgi varlıklarını sınıflandıran ve bu varlıkları korumak için gerekli
kontrolleri belirleyen analitik bir süreçtir. Bu Operasyonel Güvenlik 5 aşamalıdır;
1-) Hassas Verilerin Tanımlanması: İlk adım bir rakip tarafından elde edilmesi halinde hangi
verilerin kuruluşa zararlı olacağını kesin olarak belirlemektir.
2-) Tehditleri Belirleme: Bir sonra ki adım bu kritik bilgilere karşı kimin tehdit oluşturduğunu
belirmektir.
3-) Güvenlik Açıklarının Analizi: Bu aşama organizasyonun potansiyel düşmanlarına karşı
savunmasız bırakan zayıf noktalarını inceler.
4-) Risklerin Değerlendirilmesi: Güvenlik açıkları belirlendikten sonraki adım, her biri ile ilişkili
tehdit seviyesini belirlemektir. Kurum riskleri, belirli bir saldırının meydana gelme olasılığı ve
bu tür bir saldırının operasyonlara ne kadar zarar vereceği gibi faktörlere göre sıralamaktadır.
5-) Uygun Çözümlerin Uygulanması: Son adım riskleri en aza indiren bir plan oluşturmaktır.
Burada amaç en büyük riskten başlayarak, kuruma karşı olan risklerin hepsini en aza
indirmektir.
Veri Güvenilirliğini Anlama
İstatiksel bir analiz yaparken sorulması gereken ilk soru verilerin doğruluğudur. Veriler doğru
değilse eğer, hangi konuda analiz yaptığınız, hangi yöntemleri kullandığınız ya da analiz etme
konusundaki uzmanlığınız önemli değildir. Çünkü elde edilen sonuçlar güvenilir olmayacaktır.
Veri Güvenliğini en üst düzeye çıkarmak için yapılabilecek 3 kritik eylem;
1-) 5N1K: veriler toplanırken sorulması gereken sorular vardır. Bu soruların cevapları verinin
güvenilirliği hakkında bize fikir verecektir.
● Hangi veriler (Ne verisi)?
● Ne zaman elde edildi?
● Nerden elde edildi?
● Nasıl toplandı?
● Neden elde edildi?
● Kim topladı?

2-) Ölçüm Sisteminizin Test Edilmesi: Birçok kalite iyileştirme projesi, ağırlık, çap veya uzunluk
ve genişlik gibi faktörler için ölçüm verisi gerektirir. Ölçümlerinizin doğruluğunu
onaylayamamak, pratik olarak verilerinizin ve dolayısıyla sonuçlarınızın güvenilir olmadığını
garanti eder.
3-) Karışık ve Gizlenen Verilere Dikkat Edilmesi: Veriler toplarken, karışık ve gizlenen
değişkenleri analize eklemekten kaçınmamız gerekmektedir. Bu gizlenen değişkenler, en
ayrıntılı toplanan verileri bile güvenilmez hale getirebilir.
Üçüncü Şahıs İstihbarat Kaynaklarının Kalitesinin ve
Güvenilirliğinin Doğrulanması
Araştırmacıya veri bulma, kodlama veya şifreleme konusunda yardımcı olan çevrimiçi araçların
kullanılması, potansiyel sızıntı kaynakları veya sosyal mühendislik olabilir. Araştırmacının,
onları uyarmak suretiyle soruşturmaya yardımcı olabileceğine yardımcı olacak görünüşte
güvenli ve kullanışlı çevrimiçi araçların mevcut olduğu düşünülemez.
Ayrıca, bir üçüncü şahıs sevgili tarafından veri elde edildikten sonra, herhangi bir araştırmayı
tehlikeye atacak şekilde yararlanılabilir. Bu olasılıkların bir sonucu olarak, araştırmacı,
mümkünse gizli veya kritik verilerin doğrulanmamış bir üçüncü bölüme istemeden temin
edilmemesini temin ederek bilgi sızıntısını dikkate almalıdır.
Bunun bir örneklemesi, bir araştırmacının coğrafi konum gibi değiştirilebilen görüntü dosyası
formatı (EXIF) verilerini çıkarmak için üçüncü taraf bir foruma veya web uygulamasına bir
görüntü sağlaması; benzer bir iş. Resim yüklendikten sonra, araştırmacıya o resmin nasıl
kullanılabileceği belirsizdir.
Birçok şirket, karşısındaki riskleri küçümser ve third-party hizmetlerini abartılı bulur.
Kurumun karşılaşabileceği kötü sürprizlerden korunmak ve önlemek için third-part
kuruluşlarıyla iş birliği yapılabilir. Sağlam bir third-party durum tespiti prosedürü uygulanarak,
kuruluşunuzu hem maddi hem de prestij zararlarından koruyabilirsiniz.
Third-party kuruluşlarla iş birliği yapmadan önce dikkat edilmesi gereken noktalar vardır;
● İş birliği başlamadan önce birlikte çalıştığınız insanları ve varlıkları olabildiğince erken
tanımalı ve kırmızı bayrakları mümkün olduğu kadar erken tespit etmek için sözleşme
süresince gerekli riskleri izlemelisiniz.
● Gerek iş ortamını ve özel iş gereksinimlerini dikkate alan güçlü bir third-party risk
yönetim stratejisi uygulamalısınız.
● Hedeflerinize etkili bir şekilde ulaşmak için riskli bazı yaklaşımlarda bulunup
kanıtlanmış metodolojiye sahip aralardan yararlanabilirsiniz.
● Riskleri periyodik olarak ve sürekli izlemelisiniz. İk bulguların doğrulanması ve risk
durumunuzun en son duruma göre yeniden belirlenmesi gerekebilir.

Yüksek düzeyde bir iş bütünlüğü sağlayın, risk seviyesini azaltın ve kuruluşunuzun yararına
olacak şekilde genel uyumunuzu güçlendirin.
Bir Tehdit İstihbarat Toplama Planı Oluşturma
Bir tehdit istihbaratı programı ayrıntılı bir planlama olmadan gerçekleşemez. Tüm tehdit
istihbaratı programlarının gerçekleştirilebilmesi için gereken temel yönlerden biri, istihbaratın
şu şekilde analiz edilmiş ve işlenmiş veriler olmasıdır:
İlgili veriler: Bilgiler; işletme, sanayi, ağlar ve hedeflerinizle ilgili ve en azından potansiyel
olarak ilgili olmalıdır.
İşlem yapılabilir: Elde edilen bilgiler ile verilecek kararlar, harekete geçmeye ve önlem almaya
yönelik olmalıdır.
Değerli veriler: İlgili ve işlem yapılabilir olsa bile, veriler bir işletmeye katkıda bulunmuyor ise
hiçbir değeri yoktur.
Güvenlik uzmanlarının ilgili, işlem yapılabilir ve değerli bilgileri nasıl elde edeceklerini
bilemeleri önemlidir. Bir Tehdit İstihbaratı programı için gereken yatırımın gerekçelendirilmesi
sırasında, Tehdit İstihbaratı'nın tüm işletme üzerindeki etkisinin dikkate alınması gerekir. Bilgi
Güvenliği ve Siber Güvenlik ekipleri, sorumlu oldukları sistemleri güvence altına alan Tehdit
İstihbaratı programlarından doğrudan etkilenir. Bununla birlikte, Tehdit İstihbaratı
programları diğer birçok örgütsel işlevi etkilemektedir. Bunlar şunları içerebilir;
● Yasal olması
● Uyumlu olması
● Fiziksel güvenlik
● Pazarlama ve marka
● İnsan kaynakları
Başarılı bir tehdit istihbaratı programı oluşturmak için yapılması zorunlu olan işlemleri
sıralayabiliriz.
● Bilgi gereksinimleri
● Bilgi toplama sistemleri
● Bilgi toplama
● Sömürme
● Analiz
● Üretim
● Paylaşma
● Harekete geçme
● Tekrarlama
Projenin başarısını sağlamak için, yalnızca oluşturulması veya satın alınması gereken yazılımı
değil, bu yazılımın genel kuruluşunuza nasıl uyuştuğunu da düşünmek zorundasınız. Örneğin,
bu yazılımı çalıştıracak kişiler, amaçları ve uzmanlıkları, iş işlevleri, yazılımın yardım ettiği
hedeflere ulaşma yeteneği vb.

Tehdit İstihbarat Kaynakları ve Yayınlarına
Genel Bakış
Tehdit İstihbarat Yayınları
Siber tehdit istihbaratı disiplini, rakipler hakkında eyleme geçirilebilir bilgi sağlamaya
odaklanmaktadır. Bu bilgi kurumsal siber savunma için giderek daha önemli hale gelmektedir.
Bu önem, yatırımcılar ve tehdit oyuncuları hakkında birçok yeni / yenilikçi bilgi kaynağının
yaratılmasıyla sonuçlanmıştır.
Önemli Siber Tehdit İstihbaratı Yayınları:
● AlienVault.com: Düşmanları profilleyen çoklu kaynaklar bulundurur.
● Cyveilance.com: Benzersiz tehdit oyuncuları ile beslenir ve cezai yaptırımları belirtir.
● EmergingThreats.net: Çeşitli yayınları bulunmaktadır.
● FireEye.com: Dinamik Tehdit İstihbarat servisidir.
● HackSurfer.com: İşinize uyarlanmış bilgiler sunar.
● InternetIdentity.com: Tehdit, büyük veri çözümü ActiveTrust'ten beslenir.
● RecordedFuture.com: Web'den gerçek zamanlı tehdit zekâsı verileri sunar
● SecureWorks.com: Yayınlar ve ayrıca belgeler sağlar.
● Symantec.com: DeepInsight da dahil olmak üzere çeşitli konularda yayınları vardır.
● Spytales.com: Tehdit aktörlerinin geçmişi, bugünü ve geleceği hakkında bilmeniz
gereken bilgiler sunar.
● Team-Cymru.com: Tehdit istihbarat ve Bogon listeleri sunar.
● TheCyberThreat: Kendi Twitter yayınlarını sunar . Üst düzey ve kapsamlı yayınlardır.
● ThingsCyber.com: Günümüz savunmasıyla ilgili siber çatışma ve siber güvenlik
konusundaki kritik noktaları belirtir.
● ThreatConnect.com: Cyber Squared tarafından bilgi paylaşımına odaklanmış bir
servistir.
● ThreatGrid.com: Birleşik kötü amaçlı yazılım analizi üzerine çalışır.
● ThreatIntelligenceReview.com: Tehdit istihbarat kaynaklarının incelemesi ve
güncellenmesi üzerine çalışır.
● ThreatStop.com: IP kaynağına göre Bontet’lerin engellenmesi üzerine çalışır.
● ThreatStream.com
● ThreatTrack.com: Kötü amaçlı URL'lerin, IP'lerin ve kötü amaçlı yazılım / kimlik avı ile
ilgili verilerin akışı ile çalışmaktadır.
● Verisigninc.com:

Tehdit İstihbarat Kaynakları
Aşağıda devlet ya da kamu kaynaklı bazı tehdit istihbaratı kaynakları bulunmaktadır.
● FBI
● Krebsonsecurity
● DarkReading
● SANS Internet Storm Center
● The Defense Cyber Crime Center
● US Computer Emergency Response Team (US-CERT)
● ThreatBrief

Tehdit İstihbaratı Veri Toplama ve Kazançlarını
Anlama
Tehdit İstihbaratı Veri Toplama ve Satın Alma
Siber tehdit istihbaratında veri toplamak için oluşması gereken gereklilikleri yerine getirdikten
sonraki aşama ham verileri toplamaktır.
Açık Kaynak İstihbaratı ile Veri Toplama (OSINT)
Açık Kaynak İstihbaratı, istihbarat elde etme metotlarından biridir. Genel olarak, Tv (Kablolu,
Uydu, İnternet Yayınları), Radyo (Klasik, Uydu, İnternet Yayınları), Gazete (Ulusal, Yerel, Dış
Basın), Dergiler (Haber, Araştırma, Aktüel), Periyodik Yayınlar (Günlük, Haftalık, Aylık…),
Broşürler, Bildiriler, Kataloglar, Medya ve İnternet üzerinde yapılan kamu yayınlarını
içermektedir. Günümüzde istihbarat birimleri çalışmalarını %80 oranında açık kaynak verileri
üzerinden yürütmektedirler.

Arama Motorları ile Veri Toplama
Arama motorları internette araştırma yapmanın etkili bir yolunu sunan araçlardır. Bununla
birlikte araştırma yapmak için bunları doğru bir şekilde kullanmak, güçlü ve zayıf yanlarını yanı
sıra bunların nasıl ve ne zaman kullanılması gerektiğinin farkında olmamız gerekmektedir.
Arama motorları, aradığınız şey hakkında bir fikriniz olduğunda, ancak nereden başlayacağınızı
bilmediğiniz zamanlarda kullanışlı olur. Arama terimleri ne kadar spesifik olursa, araştırmamız
o kadar verimli hale gelecektir. Arama motorlarıyla doğru ve etkili arama yapmak için kullanım
teknikleri öğrenmek faydalı olacaktır.
Gelişmiş Google Arama ile Veri Toplama
Bir konuda araştırma yapmak için internete bağlanıldığında en çok tercih edilen arama motoru
Google’dır. En çok kullanılan bu arama motorunun bize sunduğu bazı arama teknikleri daha
özel aramalar yapmanıza olanak verir ve aradığınız sonuca daha hızlı bir şekilde erişebilme
imkânı verir. Bu etkin arama imkânı Google Dork ile sağlanır.
Google Dork Özellikleri;
● intitle: Anahtar kelimeyi sayfa bağlığında arar
● allintitle: Anahtar kelimeyi intitledaki gibi sayfa başlığında arar ama bunu tüm başlığı
göz önünde bulundurarak yapar.
● inurl: Anahtar kelimeyi URL linkin içerisinde arar
● filetype: Belirli bir dosya tipini arar.
● intext: Anahtar kelimeyi metinlerin içerisinde arar
● site: Anahtar kelimeyi belirli bir sitenin içinde arar
● link: Sayfalarla olan bağlantıları göz önünde bulundurarak arar
● inanchor: Anahtar kelime ile bağlantı olan içerikleri de arar
● numarange: Girilen numara aralığı ile kısıtlamalar yapılabilir
● daterange: Girilen tarih ve tarih aralığı ile kısıtlamalar yapılabilir.
● author: Girilen yazara ait arama yapar
● insubject: Anahtar kelime ile belirtilen içeriği kısıtlar
● msgid: Aramayı e-posta ID’si kullanarak kısıtlar
Google Hacking Veritabanı ile Veri Toplama
Google Hacking Database, Google’ın savunmasız Web uygulamalarını ortaya çıkarmak ve
bazen de belirli web uygulamalarındaki güvenlik açıklarını belirlemek, sorgulama için çeşitli
teknikler içeren bir yapıdır. Web uygulamalarındaki kusurları açığa çıkarmanın yanı sıra bir
siteyle ilişkili e-postalar, veritabanı dökümleri ve kullanıcı adlarıyla şifreleri olan diğer dosyalar,
korunmasız hassas dizinleri, korunmayan sayfalar, kullanımları, durumları ve konuları
hakkında bilgi almaya yarar.

ThreatCrowd ile Veri Toplama
Threatcrowd.org web sayfası üzerinden siber tehdit araması yapan bir arama motorudur. Etki
alanları, IP adresleri ve belirli tehditler için arama yapılabilecek bir platformdur.
Deep Web ve Dark Web Aramasıyla Veri Toplama
Deep Web, Google ve Yahoo gibi herhangi bir standart arama motoru tarafından
indekslenmemiş verileri barındırır. Deep web, kullanıcı veri tabanları, kayıt için gerekli web
forumları, web sayfaları gibi, arama motorlarının bulamadığı tüm web sayfalarını ifade eder.
Dark Web, tam bir gizlilik kullanarak, takip edilmeden çalışabileceğiniz bir yerdir. Dark Web,
Deep Web’den çok daha küçüktür ve uyuşturucu, silah hatta suikastçılar kiralayan her türlü
web sayfasından oluşur. Bunlar, Surface Web’deki varlıklarını engelleyen gizli ağlardır ve
genelde .onion uzantılıdır. “.onion” alan, alan adları normal arama motorları tarafından
indekslenmez, bu yüzden Dark Web’e yalnızca TOR olarak adlandırılan özel bir yazılımla
erişilir. TOR ücretsiz bir yazılımdır.
Deep Web arama motorlarına örnek;
● The WWW Virtual Library
● Deep Web Research Tools
● Surfwax
● IceRocket
● Stumpedia
● Freebase
● TechDeepWeb
Dark Web arama motorlarına örnek;
● Onion.City
● Onion.to
● Not Evil
● Memex Deep Web Search Engine

Web Servisleri ile Veri Toplama
Bir web servisi, kendisini internet üzerinden erişilebilir kılan ve standart bir XML mesajlaşma
sistemi kullanan herhangi bir yazılımdır.
Üst Düzey Etki Alanlarını ve Alt Etki Alanlarını Bulma
Etki alanı web sitenizin benzersiz adı/unvanıdır. Üst Düzey Etki Alanı-Top Level Domain yani
TLD, bir domainin son kelime ve harf dizisidir. En çok kullanılan TDL’lerin bazıları .com, .uk,
.net, .org, .edu’dur. Atanan isimler ve numaralar için Internet Corporation ve ICANN
yönetiminde, her bir TLD belirli bir kuruluş tarafından kayıt altındadır. ICANN, tüm TLD’leri dört
ayrı kategoriye ayırmaktadır;
● gTLD (Generic top-level domains/Genel üst düzey etki alanları): Bunlar en çok
bilinen uzantılardır. .com, .org, .edu benzeri uzantıları kapsar.
● ccTLD (Country code top-level domains/Ülke kodu üst düzey etki alanları): Ülke
kodu TLD’leri özel olarak işletilir ve belirli ülkeler için özel olarak tasarlanmıştır.
Topluluklara hizmet etmek için ayrılmıştır. ,tr, .us, .uk, .cn, .au örnek verilebilir.
● Uluslararası ülke kodu üst düzey etki alanları: Bu alanlar ccTLD’lere benzer ancak
Arap alfabesi ve Japon alfabesi gibi alfabetik olmayan yazı sistemlerini kullanan
ülkelere yöneliktir.
● Altyapı üst düzey etki alanları: Bu grup yalnızca bir etki alanından, Adres ve
Yönlendirme Parametre Alanı’ndan (ARPA) oluşur. Yalnızca teknik altyapı amaçları
için kullanılır.
İş Siteleri Üzerinden Veri Toplama
İnsanlar iş arama sayfaları ve arama motorları üzerinden takip edilebilir izler bırakabilirler.
Örneğin iş aramakta olan biri aşağıda örneği verilmiş sayfalar veya bunlardan daha fazla
sayıdaki diğer iş arama siteleri üzerinden CV ve iş arama ilanı bırakabilirler. Bu CV’lerden
telefon numarası, mail adresi, ev adresi, nitelikler, hobiler, ilgilendikleri teknik ve teknik
olmayan alanlar ile ilgili bilgiler çıkarılabilir. Bunlar üzerinden kişinin zayıf noktası belirlenip
sosyal mühendislik saldırıları için kullanılabilir.
Örnek iş arama sayfaları;
● Indeed
● LinkedIn
● Glassdoor
● Handshake
● SimplyHired
● ZipRecruiter
● Monster
● CareerBuilder Job Board

Gruplar, Forumlar ve Bloglar aracılığıyla Veri Toplama
İnsanların gruplar, forumlar ve bloglar üzerinde bıraktıkları yorumları, yazıları, iletişimleri
üzerinden kişilik analizi yapılabilir ve analiz sonucunda elde edilen bilgiler mızrak avı saldırısı
ve başka amaçlar için kullanılabilir.
Sosyal Ağ Siteleri Üzerinden Veri Toplama
Sosyal medya neredeyse hayatımızın her yönünü kaplayan bir yapı haline gelmektedir. Sosyal
medyanı düzenli olarak kullanıyoruz; verimlilik, etkileşim kurma, eğitim, oyunlar, müzik,
navigasyon ve daha birçok işlev için kullanılmaktadır.
Sosyal medyadaki her konuşma, gönderi ve uygulama ziyaretinde, kullanıcı geride kendi
hakkına bilgi parçacıkları bırakır. Bu bilgiler kişilerin tercihler, niyetleri, duyarlılık seviyeleri,
kişilik yapısı, dini inancı, potansiyel eylemleri gibi kritik veriler sunabilir.
Kara Listeli ve Beyaz Listeli Sitelerle İlgili Veri Toplama
Bireysel bilgisayar sistemlerini ve örgütsel ağları kötü niyetli yazılımların etkilerinden ve
yetkisiz kullanıcıların ve uygulamaları izinsiz girişlerinden korumak etkili bir erişim kontrolü
yöntemi ile başlar.
Kötü amaçlı ve şüpheli tehdit aktörlerinin bulunduğu listeye kara liste denir. Bu listelerde
çeşitli varlıklar bulunabilir. Bu varlıklar virüsler, truva atları, solucanlar, casus yazılımlar,
keyloggerlar ve diğer kötü amaçlı yazılımları içerir. Bunların haricinde IP adresleri ve blogları,
domain adları, ID numaraları gibi bilgiler barındırır. Karşımızdaki tehdit konusunda bir fikrimiz
yoksa eğer, daha önceden yakalanan tehdit veya tehdit aktörlerinin içinde bulunup
bulunmadığını kontrol etmek için bakabileceğimiz bir veritabanıdır.
Bir sisteme ve ağa erişmesine izin verilen kabul edilebilir varlıkların bulunduğu listeye beyaz
liste denir. Örneğin erişim yetkisi kısıtlı olan bir ağa sadece giriş izni olanların listesini ekleyip,
bunun haricindeki girişlerin red edilmesini sağlayabilirsiniz.
Web Sitesi Ayak İzi ile Veri Toplama
Ayak izi (keşif olarak da bilinir), bilgisayar sistemleri ve ait oldukları varlıklar hakkında bilgi
toplamak için kullanılan tekniktir. Bu bilgiyi almak için bir bilgisayar korsanı çeşitli araçlar ve
teknolojiler kullanabilir. Bu bilgi bütün bir sistemi kırmaya çalışan bir bilgisayar korsanı için çok
yararlıdır. Bilgisayar güvenlik sözlüğünde kullanıldığında, "Ayak izi" genellikle saldırı öncesi
aşamalardan birini ifade eder; Gerçek saldırı yapmadan önce gerçekleştirilen görevleri kapsar.
Bir bilgisayar korsanının hedef sistem hakkında bilgi edinmesini sağlar. Bu bilgi sisteme daha
fazla saldırı yapmak için kullanılabilir. Saldırının tam ve başarılı bir şekilde çözülebilmesi için
tüm bilgiler gözden geçirildiğinden dolayı ön saldırı olarak adlandırılabilir.

Web Sitesi Trafiğini İzleme Yoluyla Veri Toplama
Hedef organizasyon hakkında bilgi toplamak için kullanılan bu yöntem, hedefle ilgili ilgili
bilgileri sosyal medyadan, arama motorlarından, çeşitli web sitelerinden toplanılan pasif bilgi
toplama sürecidir.
Web sitesi trafiğini izleme, web sitesinin kullanıcı trafiğini ve genel performansını
değerlendirmek amacıyla web sitesi trafiğini inceleme ve analiz etme işlemidir.
Web sitesinin giriş ve çıkış trafiğini incelemek, analiz etmek ve hareket etmek amacıyla manuel
ve otomatik trafik izleme tekniklerinin kombinasyonu kullanılarak yapılır.
Web Sitesi Yansıtma ile Veri Toplama
Ayna web siteleri veya aynalar, orijinal web sitelerinin kopyalarıdır. Bu tür web siteleri, orijinal
siteden farklı URL’lere sahiptir, ancak aynı içerikleri barındırır. İyi huylu aynaların temel amacı
genellikle ağ trafiğini azaltmak, erişim hızını artırmak, orijinal sitenin kullanılabilirliğini
artırmak veya orijinal sitenin gerçek zamanlı yedeklemesini sağlamaktır. Kötü amaçlı ayna
siteleri, diğer kullanımların yanı sıra, kullanıcı bilgilerini çalmaya, kötü amaçlı yazılım
dağıtmaya veya orijinal sitenin içeriğinden faydalanmaya çalışabilir.
Web Sitesi Bilgilerini https://archive.org adresinden çıkarmak
Archive.org veya daha yaygın olarak bildiği gibi Wayback Makinesi , internetin tarihi
arşivlemesi için web sayfalarına yönelik bir web tarayıcısı ve indeksleme sistemidir.
İnternetin büyük bir yüzdesini taradığı için, web sitenizin kendi web tarayıcısı tarafından
taranması çok olasıdır. Herkese açık olan bu verileri alarak, önceden taşınan web sitesinin
site yapısının ne olduğuna dair bilgi sahibi olabiliriz.
Genel Belgelerin Meta Verilerini Çıkarma
Metadata, meta veri ya da üst veri, bir kaynağın ya da verinin öğelerini tanımlayan bilgilerdir.
Kısaca veri hakkında veri/bilgi olarak özetlenebilir. Pratikte kütüphanelerdeki kart kataloğu ya
da bibliyografya ile benzerlik gösterirler. Kitapları birer veri kaynağı olarak düşünürsek
kütüphane kartları nasıl kitaplar hakkında bilgi veriyorsa üst veri da data (veri) hakkında bilgi
verir.
Mesela Web sayfalarında HTML kodu içerisine eklenen meta etiketleri (tag) ile o sayfa
hakkında ek bilgiler elde edilebilir. Ya da dijital fotoğraf makineleri ile çekilen fotoğraflarda,
fotoğraf dosyası içerisine kaydedilen EXIF bilgileri (fotoğrafın çekildiği tarih, fotoğraf
makinesinin markası, modeli ve ayarları, fotoğrafın çekildiği yerin GPS koordinatları vs..) birer
üst veridir.

Whois Lookup ile Veri Toplama
WHOIS ("kim" olarak ifade edilir), yaygın olarak kullanılan bir alan adı , bir IP adres bloğu veya
özerk bir sistem gibi bir İnternet kaynağının kayıtlı kullanıcılarını depolayan veritabanlarını
sorgulamak için kullanılan bir sorgu ve cevap protokolüdür. Bu protokol, ayrıntıları bir
veritabanında depolamak ve ayrıntıları, insan tarafından okunabilir bir biçimde veritabanına
aktarmak için kullanılır. WHOIS'in tüm belgelerini RFC 3912'de bulabilirsiniz.
Bir alanın, IP bloğunun, vb. veritabanının WHOIS detaylarını alma işlemine WHOIS araması
denir. Birden çok yoldan yapılabilir. WHOIS araması yapmak için pek çok çevrimiçi araç
bulunmaktadır.
DNS Sorgulaması ile Veri Toplama
DNS, kolay ve akılda kalıcı olan alan adlarını, temel ağ protokollerine sahip bilgisayar
servislerini ve cihazlarını bulmak ve belirlemek için gereken sayısal IP adreslerine çevirir.
DNS Araması ve Ters DNS Araması ile Veri Toplama
Alışveriş, bankacılık, sosyal medya, e-kitap; hepimiz interneti her gün çeşitli işler için
kullanmaktayız. Bunu yaparken geride bıraktığımız izleri göremiyoruz. Ziyaret ettiğiniz her web
sitesi, doldurduğunuz form ve aldığınız e-posta, sizinle, bulunduğunuz yerle ve ilgi alanlarınızla
ilgili bilgilerle doludur. Kötü niyetli aktörler DNS sorgularıyla, bu kişisel verilerinize erişmek
isteyebilir.
DNS, genellikle bir etki alanı adını bir IP adresine çözmek için kullanılır. Bu hareket ileriye
dönük bir çözüm olarak bilinir ve internette bir siteyi her ziyaret ettiğinizde yürürlüğe girer.
Ters DNS (rDNS), adından da anlaşılacağı gibi, bir IP adresini bir etki alanı adına çözümleme
yöntemidir.

Bir IP adresini etki alanı adına çözümlemek için kullanılan DNS kayıtları, işaretçi (PTR) kayıtları
olarak bilinir. Ters DNS girişlerini saklamak için belirli bir PTR kaydı kullanılır. PTR kaydının isim
kısmı, bölümlerin tersine çevrilmiş IP adresidir ve kaydın sonuna “.in-addr.arpa” eklenmiştir.
Kaydın “.in-addr.arpa” kısmı “adres ve yönlendirme parametresi alanı” (arpa) anlamına gelir.
rDNS, IPv4 için “in-addr.arpa” ve IPv6 adresleri için “ip6.arpa” kullanılır.
Örneğin, IPv4 IP “1.2.3.4” için ters DNS girişi “4.3.2.1.in-addr.arpa” olacaktır.
Fast-Flux DNS Bilgi Toplama
Fast-Flux, botnetler tarafından, kimlik avı yapan kötü amaçlı ana bilgisayar ağının arkasındaki
kimlik avı ve kötü amaçlı yazılım dağıtım sitelerini gizlemek için kullanılan bir DNS tekniğidir.
Ayrıca, kötü amaçlı yazılım ağlarını keşif ve karşı önlemlere daha dayanıklı hale getirmek için
kullanılan eşler arası ağ iletişimi, dağıtılmış komut ve denetim, web tabanlı yük dengeleme ve
vekil yeniden yönlendirme kombinasyonuna da yardımcı olur.
Fast-Flux’un arkasındaki temel fikir , IP adreslerinin çok yüksek sıklıkta değiştirilip DNS kayıtları
değiştirilerek, tam bir tek etki alanı adıyla ilişkili sayısız IP adresinin bulunmasıdır.
Dinamik DNS (DDNS) Bilgi Toplama
DDNS olarak da bilinen Dinamik DNS, pahalı bir statik IP almanıza gerek kalmadan, adresinizi
tutarlı bir etki alanı adı ile ilişkilendirerek, konut IP adreslerini değiştirme sorununu çözer.
DNS Zone Transfer İle Bilgi Toplama
DNS Zone Transfer, yöneticilerin DNS veritabanlarını bir grup DNS sunucusunda çoğaltmak için
kullanabilecekleri birçok yöntemden biridir. Bir DNS’ten başka bir DNS’e kayıtların aktarılması
işlemidir.

OSINT’i Otomatikleştiren Araçlar/Yapılar/Komut Dosyaları
MALTEGO
Maltego, Paterva tarafından geliştirilen, açık kaynaklı, bilgi toplamaya yarayan, Java dilinde
yazılmış bir yazılımdır. Maltego, açık kaynaktan gelen verileri bulmak için bir dönüşüm
kütüphanesi sağlamayı ve bu bilgiyi link analizi ve veri madenciliği için uygun bir grafik
biçiminde görselleştirmeyi amaçlar.
Uygulamanın temel odağı, insanlar, gruplar, web sayfaları, alan adları, ağlar, internet altyapısı
ve sosyal medya gibi çevrimiçi hizmetlere sahip bağlantılar arasındaki gerçek dünyadaki
ilişkileri analiz etmektir. Veri kaynakları arasında DNS kayıtları, whois kayıtları, arama
motorları, çevrimiçi sosyal ağlar, çeşitli API'ler ve çeşitli meta veriler bulunmaktadır.
OSTrICa
OSTrICa Açık Kaynak Tehdit İstihbarat Toplayıcısı anlamına gelir ve Tehdit İstihbarat Bilgilerini
toplamak ve görselleştirmek için kullanılan ücretsiz bir Framework’dür. Toplanan istihbarat
analistler tarafından analiz edilebilir ve bağlantı analizi için bir grafik formatında da
görselleştirilebilir. Görselleştirilmiş bilgiler dinamik olarak filtrelenebilir ve birden fazla kötü
amaçlı yazılım arasındaki bağlantıları gösterebilir.
OSRFramework
OSRFramework, i3visio tarafından Açık Kaynak İstihbarat görevlerini yerine getirmek için
geliştirilen bir GNU AGPLv3 + kütüphanesidir. Kullanıcı adı kontrolü, DNS aramaları, bilgi
sızıntıları araştırması, dark web araması, düzenli ifadelerin çıkarılması gibi işlemleri
gerçekleştirir. Aynı zamanda, geçici Maltego dönüşümleri sayesinde, OSRFramework, bu
sorguları grafiksel olarak dökmenin yanında, benzer OSRFConsole ve bir web ara yüz ile
etkileşime geçmek için çeşitli ara yüzler de sağlar.
FOCA
FOCA (Fingerprinting Organizations with Collected Archives), taramalarında belgelerde meta
verileri ve gizli bilgileri bulmak için kullanılan bir araçtır. Bu belgeler web sayfalarında olabilir
ve FOCA ile indirilip analiz edilebilir.
GOSINT
GOSINT (Open Source Threat Intelligence Gathering and Processing Framework), IoC
verilerinin toplanması, işlenmesi ve paylaşılması için kullanılan bir projedir. Go ve JavaScript
dilleri ile yazılmıştır. GOSINT, güvenlik analistlerinin yapılandırılmış ve yapılandırılmamış tehdit
istihbaratını toplamasını ve standartlaştırması sağlar.

İnsan Zekâsı İle Veri Toplama (HUMINT)
İnsan istihbaratı-HUMIT sinyal istihbaratı (SIGINT), görüntü istihbaratı (IMINT) ve ölçüm ve
imza istihbaratı gibi daha teknik istihbaratı toplama disiplinlerinin aksine, kişiler arası temas
yoluyla toplanan zekâdır.
NATO HUMINT'i “insan kaynakları tarafından toplanan ve sağlanan bilgilerden türetilen bir
istihbarat kategorisi” olarak tanımlamaktadır. Tipik HUMINT aktiviteleri sorgulama ve bilgiye
erişimi olan kişilerle yapılan konuşmalardan oluşur.
HUMINT işlemlerinin yürütülme şekli hem resmi protokol hem de bilgi kaynağının niteliği
tarafından belirlenir. ABD ordusu bağlamında, çoğu HUMINT faaliyeti gizli faaliyetleri içermez.
Hem casusluk istihbaratı hem de HUMINT, gizli HUMINT ve gizli HUMINT operasyonel
teknikleri içerir.
HUMINT birkaç çeşit bilgi sağlayabilir. Seyahat sırasında veya seyahat edenlerden,
mültecilerden, kaçan arkadaş canlısı POW'lardan vb. diğer olaylar sırasında gözlemler
sağlayabilir. Konunun belirli bir bilgiye sahip olduğu, başka bir insan konusu olabileceği veya
hakaret ve casuslar hakkında bilgi verebilir. Kişiler arası ilişkiler ve ilgilenilen ağlar hakkında
bilgi sağlayabilir.
HUMINT, hem olumlu bir istihbarat kaynağı hem de güçlü karşı-istihbarat değeri bilgisidir .
Görüşmeler, istihbarat toplama rehberliği ve karşı istihbarat zorunluluklarının bilinen tüm bilgi
gereksinimlerini dengelemelidir.
İnsan Tabanlı Sosyal Mühendislik Teknikleri ile Veri Toplama
İnsan tabanlı bir bilgi toplama yöntemi olan sosyal mühendislik, bilgi güvenliği bağlamında,
insanların eylemleri yerine getirmelerine veya gizli bilgileri açığa çıkarmaya yönelik psikolojik
manipülasyonlarını ifade eder. Bu gizli bilgilerin ifşa edilmesini içermeyen sosyal bilimler
içindeki sosyal mühendislikten farklıdır. Bilgi toplama, sahtekarlık veya sisteme erişim amaçlı
bir tür güven hilesi, genellikle daha karmaşık bir sahtekarlık şemasındaki birçok adımdan
biridir.
Aynı zamanda "bir kişiyi kendi çıkarları doğrultusunda olabilecek veya olmayabilecek bir
eylemde bulunmasını etkileyen herhangi bir eylem" olarak tanımlanmıştır.
Sosyal Mühendislik Araçları
Social Engineer Toolkit, çevrimiçi sosyal mühendislik saldırılarını gerçekleştirmek için açık
kaynaklı bir araçtır. Bu araç, mızrak avcılığı ve web sitesi saldırı vektörleri dahil olmak üzere
çeşitli saldırı senaryoları için kullanılabilir. Sosyal Mühendislik Aracı Metasploit ile entegre bir
şekilde çalışır. İstemci tarafı saldırıların yürütülmesini ve kimlik bilgilerinin kesintisiz olarak
toplanmasını sağlar. Social Engineer Toolkit ile, bir çalıştırılabilir dosya arka kapıya girip
kurbana gönderilebilir.

Cyber Counterintelligence (CCI) ile Veri Toplama
Honeypots ile Veri Toplama
Honeypots, saldırıya uğraması veya tehlikeye girmesi beklenen bir kaynak olarak özellikle
dağıtılan bilgisayarlardır. Saldırganın tuzak sistemlere yaptıkları saldırılar ile saldırganı ve
saldırı yöntemlerini öğrenebiliriz. Saldırılar hakkında edinilen bilgilerden güvenlik
sistemlerimizi ne yönde sıkılaştırmamız gerektiğini çıkarabiliriz.
Pasif DNS İzleme ile Veri Toplama
Pasif DNS, gerçek zamanlı olarak ana bilgisayarda gösterilen, sürekli güncellenen bir veri
kümesidir. Pasif DNS, DNS işlemlerini yeniden birleştirmek için DNS’ler arası trafiği pasif olarak
ele geçirerek toplanan verilerdir.
Pasif DNS’in Avantajları:
● Uyuşmaları tespit etmek
● Yöneticilerin şüpheli yeni alan adlarını engelleme kararına yardımcı olmak
● Potansiyel veri/bilgi ihlallerinin belirlenmesi
● Kötü amaçlı eylemi engellemek
● Domain adlarını tanımlamak
● Tehdit istihbaratı toplamak
YARA Kuralları ile Veri Toplama
YARA, kötü amaçlı yazılım araştırmacılarına, kötü amaçlı yazılım örneklerini tanımlama ve
sınıflandırma konusunda yardımcı olmayı amaçlayan (ancak bunlarla sınırlı olmayan) bir
araçtır. YARA kuralları, hedefli saldırıları ve ortamınıza özgü güvenlik tehditlerini tanımlamak
için tamamen özelleştirilebilen kötü amaçlı yazılım algılama kalıplarıdır. YARA ile, metinsel
veya ikili desenlere dayanarak kötü amaçlı yazılım ailelerinin (veya ne tanımlamak istediğinizi)
açıklamalarını oluşturabilirsiniz. Her açıklama, her kural, bir dizi dizeden ve mantığını
belirleyen bir boolean ifadesinden oluşur.
YARA’yı, Windows, Linux ve Mac OS X üzerinde çalışan çok platformlu ve komut satırı ara yüzü
veya yara-python uzantılı kendi Python komut dosyalarınızdan kullanılabilirsiniz.

Uzlaşma Göstergeleriyle Veri Toplama (IoC'ler)
Dış Kaynaklarla IoC Veri Toplama
Ticari ve Endüstri IoC Kaynakları
IT-ISAC
IT-ISAC (Bilgi Teknolojileri Bilgi Paylaşımı ve Analiz Merkezi) Ocak 2001'de BT endüstrisi şirketi
(Oracle, IBM, EDS ve Computer Sciences dahil) tarafından güvenlikle ilgili bilgilerin merkezi bir
deposu olarak hizmet veren bir tesistir. Grubun amacı, her kuruluşun güvenlik saldırıları ve
güvenlik açıkları hakkındaki bilgilerini tüm üyeler arasında paylaşmaktır. Üye şirketlerden,
sahip oldukları güvenlik sorunları veya buldukları bu sorunlara çözümler hakkında bilgi
vermeleri beklenir. IT-ISAC, - FBI tahminlerine göre - ortalama güvenlik saldırısının bir kuruluşa
400.000 $ 'a mal olabileceği belirtmektedir.
Ücretsiz IoC Kaynakları
AlienVault OTX
AlienVault OTX, tehdit araştırmacıları ve güvenlik uzmanları topluluğuna açık küresel bir erişim
sağlar. Şu anda 140 ülkede, günde 19 milyondan fazla tehdit göstergesine katkıda bulunan
100.000'den fazla katılımcısı bulunmaktadır. Topluluğun oluşturduğu tehdit verilerini sağlar,
ortak araştırmalar gerçekleştirir ve güvenlik altyapınızı herhangi bir kaynaktan gelen tehdit
verileriyle güncelleme işlemini otomatikleştirir. OTX, güvenlik topluluğundaki herhangi
birisinin, diğerlerinin de aynısını yapmasına yardım ederken savunmanızı güçlendirerek aktif
bir şekilde tartışmasını, araştırmasını, onaylamasını ve paylaşmasını sağlar.
Blueliv Threat Exchange Network
Blueliv Tehdit Değişim Ağı topluluğu günümüzün en son tehditlerine karşı koruma sağlamak
için IP'ler, URL'ler ve dosya karmaları gibi IoC'leri paylaşmak için tasarlanmıştır. Topluluk
kullanıcıları tek bir platformdan, Cyber Threat Map, Kötü Amaçlı Yazılım Analiz Sandbox, Kötü
Amaçlı IP Sorgu ve yeni Tehdit İstihbarat Değişim Ağı gibi sistemlere erişebilirler.
MISP
MISP, siber güvenlik göstergeleri, siber güvenlik olayları analizi ve kötü amaçlı yazılım analizleri
hakkında tehdit toplamak, depolamak, dağıtmak ve paylaşmak için geliştirilmiş açık kaynaklı
yazılımdır. Bu güvenilir platformun amacı, hedeflenen saldırılara karşı kullanılan karşı
önlemlerin geliştirilmesine yardımcı olmak ve önleyici eylemler oluşturmaktır. Yapılandırılmış
bilgileri verimli bir şekilde paylaşmak için günlük operasyonları desteklemek üzere, olay
analistleri, güvenlik ve ICT uzmanları tarafından tasarlanmaktadır.

Asıl amacı güvenlik grupları arasında bilgilerin paylaşılmasını teşvik etmektir. Bilgi alışverişini
desteklemek için işlevsellik sağlar. Aynı zamanda Network Detection Intrusion System (NIDS),
LIDS, günlük analiz araçları, SIEM’ler için tüketilecek, işlenecek veri sağlar.
Threat Note
Threat Note, Savunma Noktası Güvenliği tarafından güvenlik araştırmacılarına araştırmalarıyla
ilgili göstergeler ekleme ve alma kabiliyetini sağlamak için oluşturulmuş bir web uygulamasıdır.
Cacador
Cacador, metin bloklarından IoC göstergelerini çıkartmak için kullanılan bir araçtır.
IOC Bucket
IOC Bucket, topluluk destekli ve açık kaynak bir tehdit istihbaratı paylaşım platformudur.
Amacı tehdit istihbaratının basit ve etkili bir şekilde paylaşılmasını sağlamaktır.
Dahili Kaynaklarla IoC Veri Toplama
Splunk Enterprise
Splunk, San Francisco, California merkezli bir Amerikan kamuya ait çok uluslu şirkettir ve
makine tarafından üretilen büyük verileri Web tarzı bir arabirim üzerinden aramak, izlemek ve
analiz etmek için yazılımlar üretir. Splunk, grafikler, raporlar, uyarılar, gösterge panoları ve
görselleştirmeler üretebileceği gibi aranabilir bir depodaki gerçek zamanlı verileri yakalar,
indeksler ve ilişkilendirir. Splunk'un misyonu, veri kalıplarını tanımlayarak, ölçümler
sağlayarak, sorunları tanımlayarak ve ticari işlemler için istihbarat sağlayarak makine verilerini
bir kuruluş genelinde erişilebilir hale getirmektir . Splunk, işletme yönetimi ve web analitiğinin
yanı sıra uygulama yönetimi , güvenlik ve uyumluluk için kullanılan yatay bir teknolojidir.
Valkyrie Bilinmeyen Dosya Avcısı
Gelişmiş bir kalıcı tehdidi (APT), geleneksel bir virüsten koruma yazılımının yakalayabilmesi
aylar alabilmektedir. Bu süre zarfında, tehdit kurbanın bilgisayarında kalmaya devam etmekte
ve planlarını sürdürmektedir.
Comodo Bilinmeyen Dosya Avcısı-Unknown File Hunter (UFH), ağınızdaki bilinmeyen ve
potansiyel olarak zararlı dosyaları tanımlayan bir tarayıcıdır. Sistemlerinizi taradıktan sonra,
denetlenen tüm dosyaları 'Güvenli', 'Kötü Amaçlı' veya 'Bilinmeyen' olarak sınıflandırır.
'Güvenli' dosyalar iyi durumdaki dosyalardır, 'Kötü Amaçlı' dosyalar yok edilmesi gereken
dosyalardır, zero-day tehditlerin çoğu 'Bilinmeyen' kategorisindedir. UFH, bu dosyaları, zararlı
olup olmadıklarını ortaya çıkarmak için tasarlanmış bir çalışma süresi testine tabi tutulacakları
Valkyrie sunucularımıza yüklemenizi sağlar. Bu testlerin sonuçlarını UFH ara yüzünde
görebiliriz.

IOC Finder
FireEye Uzlaşma Göstergeleri (IOC) Bulucu, ana bilgisayar sistem verilerini toplamak ve
IOC'lerin varlığını bildirmek için kullanılan ücretsiz bir araçtır. IOC'ler olay yanıt verenlerin
tehditler hakkında çeşitli bilgiler yakalamasına yardımcı olan açık standart XML belgeleridir.
IOC Bulucu özellikleri:
● Genel IoC eşleştirme gereklilikleri için yeterli olan tüm verilerin toplanması
● Birden fazla ana bilgisayardan toplama için taşınabilir bir depolama cihazının kullanımı
● IoC verilerini, HTML ve MS Word XML formatlarında raporlama
● Belirli ana bilgisayarlar veya tüm ana bilgisayarlar için rapor oluşturma
RedLine
FireEye'nin ücretsiz uç nokta güvenlik aracı olan Redline, kullanıcılara hafıza ve dosya analizi
ve bir tehdit değerlendirme profilinin geliştirilmesi yoluyla kötü niyetli etkinlik belirtileri bulma
konusunda araştırma yetenekleri sunar.
Redline ile şunları yapabilirsiniz:
● Bellek, dosya sistemi meta verileri, kayıt defteri verileri, olay günlükleri, ağ bilgileri,
hizmetler, görevler ve web geçmişinden çalışan tüm işlemleri ve sürücüleri denetleyip
toplamak.
● TimeWrinkle ve TimeCrunch özellikleriyle Redline'ın Zaman Çizelgesi işlevini kullanarak
belirli bir zaman dilimindeki sonuçları filtreleme yeteneği de dahil olmak üzere içe
aktarılan denetim verilerini analiz edip ve görüntülemek.
● Göreceli önceliğe dayalı kötü amaçlı yazılımları analiz etmek için kanıtlanmış bir iş
akışıyla bellek analizini kolaylaştırmak.
● Uzlaşma Göstergeleri (IOC) analizi yapmak. Bir dizi IOC ile verilen Redline Portable
Agent, IOC analizi ve bir IOC hit sonuç incelemesi için gereken verileri toplamak üzere
otomatik olarak yapılandırmak.
Özel IoC'ler Oluşturmak suretiyle Veri Toplama
IOC Editör
FireEye Uzlaşma Göstergeleri (IOC) Editör, IOC'lerin mantıksal yapılarını yönetmek ve verileri
yönetmek için bir arayüz sağlayan ücretsiz bir araçtır. IOC'ler, olay yanıtlayanların kötü niyetli
dosyaların öznitelikleri, kayıt defteri değişikliklerinin özellikleri ve bellekteki eserler gibi
tehditler hakkında çeşitli bilgiler yakalamasına yardımcı olan XML belgeleridir. IOC Editör
şunları içerir:

● IOC'yi tanımlayan mantıksal yapıların manipülasyonu
● Ayrıntılı açıklamalar veya isteğe bağlı etiketler dahil olmak üzere, meta-bilgilerin
IOC'lere uygulanması
● IOC'lerin XPath filtrelerine dönüştürülmesi
● IOC’lerde kullanılan “terim” listelerinin yönetimi

Tehdit Göstergesi için Tehdit Göstergelerinin
(IoC'ler) Etkin Kullanımı İçin Adımlar
Kötü Amaçlı Yazılım Analiziyle Veri Toplama
Hassas verilerin kötü amaçlı yazılımlar tarafından ele geçirilmesi, dünya genelinde işletmeler,
araştırma kuruluşları, ulusal güvenlik ve bireyler üzerinde felaket etkisi olan ciddi bir siber
tehdittir. Her gün binlerce siber suçlu, önemli verileri ihlal etmek, verilere zarar vermek veya
manipüle etmek veya yasadışı finansal transferler yapmak amacıyla kötü amaçlı yazılımlar
kullanarak bilgisayar sistemlerine saldırmaya çalışmaktadır. Bu nedenle bu verilerin korunması
araştırma toplulukları için kritik bir konudur. Hassas veriyi veri madenciliği ve makine
öğrenmesi sınıflandırma tekniklerini kullanarak kötü amaçlı tehditlere karşı korumak için kötü
amaçlı yazılımları sınıflandırmak ve tespit etmek için kapsamlı bir çalışma yapılmalıdır. Bu işte
hem imza temelli hem de anomali temelli özellikleri analiz ederek kötü amaçlı yazılım
sınıflandırması ve tespiti için sağlam ve etkili bir yaklaşım kullanılmalıdır.
Statik Kötü Amaçlı Yazılım Analiziyle Veri Toplama
Statik analiz, kötü amaçlı yazılım kodunu gerçekten çalıştırmadan ikili kod analiz etme
işlemidir. Statik analiz genellikle, ikili dosya için benzersiz bir tanım olan ikili dosyanın imzasını
belirleyerek yapılır ve dosyanın şifreleme karmasını hesaplayarak ve her bir bileşeni anlayarak
yapılabilir.
Kötü amaçlı yazılım ikili dosyası, yürütülebilir dosyayı IDA gibi bir parçalayıcıya yükleyerek
tersine mühendislik yapılabilir. Makinede çalıştırılabilir kod, derleme dili koduna
dönüştürülebilir, böylece insanlar tarafından kolayca okunabilir ve anlaşılabilir. Analistler daha
sonra bu bilgileri gözden geçirmek isteyebilirler.
Dinamik Kötü Amaçlı Yazılım Analiziyle Veri Toplama
Dinamik analiz, kötü amaçlı yazılım örneğini çalıştırmayı ve bu etkiyi gidermek veya diğer
sistemlere yayılmasını durdurmak için sistemdeki davranışını gözlemlemeyi içerir. Sistemden
kapalı, yalıtılmış bir sanal ortamda kurulur, böylece kötü amaçlı yazılım örneği sisteminize
zarar verme riski olmadan ayrıntılı bir şekilde çalışabilir.
Gelişmiş dinamik analizde, diğer tekniklerin kullanılmasıyla elde edilmesi zor olan zararlı
yazılımın işlevselliğini belirlemek için bir hata ayıklayıcı kullanılabilir. Statik analizin aksine,
davranışa dayalı olduğundan dolayı önemli davranışları kaçırmak zordur.

Kötü Amaçlı Yazılım Analiz Araçları
Valkyrie
Valkyrie, kötü niyetli hareketleri belirlemek için bilinmeyen dosyaları çeşitli statik ve
davranışsal kontrollerle test eden çevrimiçi bir dosya karar sistemidir. Valkyrie bir dosyanın
tüm çalışma zamanı davranışını analiz ettiğinden, klasik antivirüs ürünlerinin imza temelli
algılama sistemleri tarafından kaçırılan 0-day tehditlerin tespit edilmesinde daha etkilidir.
Kötü Amaçlı Yazılım Veri Toplama Araçları
SysAnalyze: SysAnalyzer, sistemin ve işlem durumlarının çeşitli yönlerini izleyen otomatik bir
malcode çalışma zamanı analiz uygulamasıdır. SysAnalyzer, analistlerin bir ikili sistemin
gerçekleştirdiği eylemler hakkında hızlı bir şekilde kapsamlı bir rapor oluşturmalarını sağlamak
için tasarlanmıştır.
Regshot 1.9.0: Regshot, kayıt defterinizin hızlı bir şekilde anlık görüntüsünü almanızı ve daha
sonra sistem değişikliklerini yaptıktan veya yeni bir yazılım ürünü yükledikten sonra yapılan
ikinciyi karşılaştırmanızı sağlayan açık kaynaklı (GPL) bir kayıt karşılaştırma aracıdır.
Wireshark: Wireshark bir ağ paket analizörüdür. Bu ağ paketi analizörü, ağ paketlerini
yakalamaya çalışacak ve bu paket verilerini mümkün olduğu kadar ayrıntılı göstermeye
çalışacaktır.
Robtex Online Hizmet: IP, Etki Alanları, Ağ Yapısı Analizi aracıdır.
VirusTotal: Virustotal, şüpheli dosyaları ve URL'leri analiz eden ve virüslerin, solucanların,
truva atlarının ve antivirüs motorları tarafından tespit edilen her türlü kötü amaçlı yazılımın
hızlı bir şekilde algılanmasını kolaylaştıran bir hizmettir.
Mobile-Sandbox: Mobile-Sandbox.com Android işletim sistemi akıllı telefonları için statik ve
dinamik kötü amaçlı yazılım analizi sağlar.
Malzilla: MalZilla, kötü niyetli sayfaları araştırmak için kullanışlı bir programdır. Kendi kullanıcı
temsilcinizi ve yönlendiricinizi seçmenize izin verir ve proxy kullanma yeteneğine sahiptir. Size
web sayfalarının tamamını ve tüm HTTP başlıklarını gösterir.
Volatility: Volatility, dijital verilerin uçucu bellek (RAM) örneklerinden çıkarılarak, çalışma
zamanı analizi için kullanılmasını sağlayan açık kaynak bir yazılımdır.

Veri Yığını Toplamayı Anlama
Teknolojinin gelişmesi ve yaygınlaşması ile veri üretimi de hızla artmış ve son yıllarda o zamana
kadar üretilen verilerin toplamını ikiye, üçe katlayarak günümüze kadar gelmiştir. İnternet
kullanımının artması, sosyal medya devrimi gibi nedenlerle dijital ortamda üretilen veri miktarı
da hızla büyümeye devam etmiştir. Bu artış sadece veri miktarında değil aynı zamanda veri
çeşitliliğinde de meydana gelmiştir. Bloglar, ağ günlükleri, görüntü ve ses dosyaları, GPS
verileri, sensör verileri, log dosyaları gibi değişik kaynaklardan gelen farklı formattaki verilerin
hızla büyümesi sonucu dijital ortamda “bilgi çöplüğü” olarak tabir edilen bir yığılma ortaya
çıkmıştır.
Veri Yığını Toplamaya Giriş
Bugün artık pek çok kurumun, kullandıkları yazılımlar sayesinde müşterilerine ilişkin
“yığınlarca” bilgisi bulunmaktadır. Büyük veri, artık onlar için dev bir veri yığını halinde
gelmiştir. Burada önemli olan, dataya sahip olup detaylı raporlar edinmekten ziyade, bunların
anlamlı birer bütün haline getirilip kullanılabilmesi, yani veriye işlev kazandırılmasıdır.
Karmaşık ve yığın halindeki verileri anlaşılabilir metinlere dönüştürmektir.
Veri Yığını Toplama Formları
Veri toplamanın çeşitli yöntemleri vardır. Bu yöntemlerin sonucunda büyük veri yığınları elde
edilebilir. Yöntemlere örnek olarak şunlar gösterilebilir.
● Web
● Anahtar Kelime
● QR Kod
● Kişi Kartı
● Dosyadan Aktarım
● API
Veri Yığını Toplamanın Yararları ve Zorlukları
Veri yığınları toplamanın ve üzerinde çalışmanın bazı yararları ve zararları olacaktır. Veri yığını
toplamanın yararları arasında şunlar sayılabilir:
● Tutarlılık
● Analiz edilebilirlik
● Erişilebilirlik
● Hareketlilik
● Sürdürülebilirlik

Veri Yığını Yönetimi ve Entegrasyon Araçları
Günümüzün aşırı rekabetçi iş dünyasında, gittikçe daha çok sayıda yönetici büyük verinin
kullanılması gerektiğini kabul ediyor ve veri odaklı stratejik kararlar geliştirmek istiyorlar. Veri
entegrasyonu büyük veri yığınlarının analizini kolaylaştırmaktadır. Farklı veri ambarlarında
depolanan verilere erişim sağlayarak, bir kurumsal uygulamadan diğerine değişiklikleri
eşleyerek ve amaçlanan kullanıcılara gerçek zamanlı bilgi sağlayarak, veri entegrasyonu
işletmelerin analiz için çeşitli sistemlerden gelen büyük verileri toplamalarını ve
temizlemelerini sağlar.
Kapsamlı veri entegrasyon araçları genellikle aşağıdaki iki kategoriden birine girer:
Kurumsal Servis Veri Yolu - Enterprise Service Bus (ESB): ESB teknolojisi, 2 yıldan fazla bir
süredir kullanılmaktadır. Bir ESB, farklı sistemlerin ve uygulamaların birbiriyle iletişim
kurmasını ve birbiriyle iletişim kurmasını sağlamak için merkezi olarak görev yapan bir
entegrasyon aracıdır. ESB çözümleri son derece özelleştirilebilir. Bir ESB çözümünün, diğer bir
ESB çözümünden önemli ölçüde farklılıkları olabilir. Bu, kurum içi ve eski sistemleri entegre
etme gibi karmaşık entegrasyonlar için idealdir. Yapılandırılabilmesinin yanı sıra, her bileşen
bir işletmenin BT altyapısı içinde herhangi bir yerde barındırılabilir ve böylelikle bir işletmenin
karmaşık iç sistemlerinin ve mimarisinin genişletilmesi için çok uygundur.
Hizmet Entegre Olan Platform-Integrated Platform-as-a-Service (iPaaS): iPaaS halen Bulut'ta
bulunan eski Açık Kaynak ESB teknolojisine dayanan yeni bir araçtır. Şirket içi ve bulut tabanlı
hizmet, uygulama ve işlemlerin birbirine bağlanmasına yardımcı olmak için geliştirilmiştir.
Bağlayıcılar, haritalar, iş kuralları ve entegrasyon akışlarının geliştirilmesine izin veren
dönüşüm araçlarını içerir. Bulut tabanlı yazılım ve çözümlerin yaygınlığına yanıt olarak
tasarlanan iPaaS çözümleri, hafif ve bulut tabanlı entegrasyonlar için en uygun çözümdür.
iPaaS çözümleri, JSON, XML, B2B ve API'ler gibi genel hafif web servis protokollerini kullanarak
işletmelerin ve geliştiricilerin yazılım ve uygulamaları daha hızlı teslim etmelerini sağlar.

Veri İşleme ve Sömürüyü Anlamak
Toplanan Verilerin Yapılandırması / Normalleştirilmesi
Veri Yapılandırması: Veri ve bilgilerin yararlı olduğunu kanıtlamak için onu tutarlı bir yapı
içinde düzenlenmesidir.
Veri Normalizasyonu: Varlık tiplerinin uyumunu artırmak için bir veri modeli içindeki veri
niteliklerinin organize edildiği süreçtir. Bir veri bilimcisi, veri normalizasyonu yardımı ile veri
ambarında bulunana büyük verileri azaltarak en uygun madencilik süresini sağlayabilecektir.
Veri Örneklemesi
Veri analizinde, örnekleme, daha büyük veri setindeki anlamlı bilgileri ortaya çıkarmak için tüm
verilerin bir alt setini analiz etme uygulamasıdır. Örneğin, ağaçların dağılımının tek biçimli
olduğu 100 dönümlük bir alandaki ağaç sayısını tahmin etmek istiyorsanız, 1 dönümdeki ağaç
sayısını bulup 100 ile çarpabilirsiniz, ya da ağaçları yarım dönüm olarak sayabilir ve 100
dönümün tamamını doğru bir şekilde göstermek için 200 ile çarpabilirsiniz.
Veri Örnekleme Türleri
Verilerden örnekler çizmek için birçok farklı yöntem vardır; ideal olan veri setine ve duruma
göre değişir. Örnekleme, örnek için seçilen noktalar arasında korelasyon bulunmasını
sağlamak için veri setindeki noktalara karşılık gelen rastgele sayıları kullanan bir yaklaşım olan
olasılığa dayalı olabilir.
● Basit rastgele örnekleme: Tüm popülasyondan rastgele örnekler seçmek için kullanılır.
● Tabakalı örnekleme: Veri kümeleri veya popülasyonun alt kümeleri, ortak bir faktöre
dayanarak yaratılır ve örnekler, her bir alt gruptan rastgele toplanır.
● Küme örneklemesi: Daha büyük veri seti tanımlanmış bir faktöre dayanarak alt
kümelere ayrılır, ardından rastgele küme örneklemesi analiz edilir.
● Çok aşamalı örnekleme: Daha karmaşık bir küme örnekleme biçimi olan bu yöntem
aynı zamanda daha büyük popülasyonu bir dizi kümeye bölmeyi de içerir. İkinci aşama
kümeleri daha sonra ikincil bir faktöre göre parçalanır ve bu kümeler daha sonra
örneklenir ve analiz edilir. Bu aşama, çoklu alt kümeler tanımlandığı, kümelendiği ve
analiz edildiği şekilde devam edebilir.
● Sistematik örnekleme: Daha büyük popülasyondan veri elde etmek için bir aralık
ayarlayarak bir örnek oluşturulur. Örneğin, analiz edilecek 20 satırlık bir örnek boyutu
oluşturmak için 200 maddelik bir elektronik tablodaki her 10. satırın seçilmesi.
Örnekleme ayrıca, bir veri örneğinin analist kararına dayanarak belirlendiği ve çıkarıldığı bir
yaklaşım olan olasılıksızlığa da dayanabilir. Dahil etme, analist tarafından belirlenirken,
numunenin olasılık örneklemesinin kullanılmasından daha büyük popülasyonu doğru bir
şekilde temsil edip etmediğini tahmin etmek daha zor olabilir.

Depolama ve Veri Görselleştirme
Veri görselleştirme, dünya çapındaki şirketlere kalıpları tanımlama, sonuçları tahmin etme ve
iş getirilerini iyileştirme konusunda yardımcı olmaktadır. Görselleştirme, veri analizinin önemli
bir yönüdür.
Basitçe söylemek gerekirse, veri görselleştirme, tablo biçiminde veya uzamsal verilerin
sonuçlarını görsel bir biçimde iletir. Görüntüler dikkat çekme ve fikirleri net bir şekilde aktarma
gücüne sahiptir. Bu karar vermeye yardımcı olur ve iyileştirmeler için önlem alınmasını sağlar.
Doğru araçları kullanarak, ham verilerinizden ikna edici bir görsel hikâye çizebilirsiniz. Veri
görselleştirme için bazı ücretsiz ve açık kaynaklı araçlar vardır. Bunlara örnek vermek
gerekirse;
● Candela
● Charted
● Datawrapper
● Google Data Studio
● Google Charts
● Leaflet
● MyHeatMap
● Openheatmap
● Palladio
● RawGraphs
● Tableau Public
● Timeline
● Chartist.js
● ColorBrewer
● D3.js
● Plotly
● Polymaps
● Weave
● Dygraphs
● GanttPro
Birçok kurum veri depolama konusunda zorluklar yaşamıştır. Yeni teknolojik gelişmeler,
verilerin nasıl depolanacağı konusunda yeni yollar getirmektedir. Öte yandan, bilgisayar
korsanları, veri depolamayı güvence altına alınması gereken karmaşık bir işlem haline
getirmiştir. Aşağıda bazı veri depolama yolları verilmiştir.
● Optik diskler
● Harici sabit diskler
● Flash sürücüler
● Bulut servisleri

Veri Analizine Genel Bakış
Veri Analizine Giriş
Veri analizi , faydalı bilgiler bulma, sonuçları bilgilendirme ve karar vermeyi destekleme
amacıyla verileri inceleme, temizleme , dönüştürme ve modelleme işlemidir . Veri analizi, farklı
işletme, bilim ve sosyal bilimler alanlarında kullanılırken, çeşitli isimler altında farklı teknikleri
kapsayan çok yönlü yaklaşımlara sahiptir. Günümüz işletmelerinde veri analizi, kararları daha
bilimsel hale getirmede ve işletmenin etkili bir şekilde çalışmasına yardımcı olmasında rol
oynamaktadır.
Veri madenciliği , tanımlayıcı amaçlardan ziyade öngörücü olarak modelleme ve bilgi
keşiflerine odaklanan özel bir veri analizi tekniğidir; iş zekâsı ise , ağırlıklı olarak iş bilgilerine
odaklanan, büyük ölçüde toplamaya dayanan veri analizini kapsar. İstatistiksel uygulamalarda
veri analizi, tanımlayıcı istatistiklere , keşifsel veri analizine (EDA) ve doğrulayıcı veri analizine
(CDA) ayrılabilir . EDA, verilerdeki yeni özellikleri keşfetmeye odaklanırken, CDA mevcut
hipotezleri onaylamaya veya tarif etmeye odaklanır. Tahmine dayalı analitik metin; tahmini ,
yapılandırılmamış bir veri türü olan metin kaynaklarından bilgi elde etmek ve sınıflandırmak
için istatistiksel, dilsel ve yapısal teknikler uygularken, öngörücü tahmin veya sınıflandırma için
istatistiksel modellerin uygulanmasına odaklanır . Yukarıdakilerin hepsi veri analizi çeşitleridir.
Verilerin Bağlamsallaştırılması (Contextualization)
Verilerin bağlamsallaştırılması; Bir varlıkla ilgili verilerin belirlenme sürecidir. Bağlam ya da
bağlamsal bilgi, belirli bir uygulama kapsamında karar almak için gereken muhakeme miktarını
(filtreleme, toplama ve çıkarım yoluyla) etkili bir şekilde azaltmak için kullanılabilecek herhangi
bir varlık hakkındaki herhangi bir bilgidir. Bağlamsallaştırma, daha sonra işletmenin bağlamsal
bilgisine dayanarak bir varlıkla ilgili verileri tanımlama sürecidir. Bağlamsallaştırma, alakasız
verileri dikkate almaz ve büyük ölçekli veri yoğun uygulamalarda hacim, hız ve çeşitlilik dahil
olmak üzere verileri çeşitli yönlerden azaltma potansiyeline sahiptir.
Veri Analizi Türleri
Açıklayıcı-Betimsel Analiz: Veri analizinin en basit şekli açıklayıcı-betimsel analizdir. Açıklayıcı
analiz, bir veri setindeki her bir değişkenin değerlerini listeler ve özetler. Betimsel analiz, bir
veri setine aşina olmanıza ve herhangi bir değerlendirme vermemiş cevap verenler veya "99"
yanıtını gösteren veriler gibi verilerle ilgili sorunları belirlemenize yardımcı olur.
Keşif Analizi: Sahip olduğunuz verileri anladığınızda, bir sonraki adım veri öğeleri arasındaki
ilişkileri aramaya başlamaktır . Buna keşif veri analizi denir ve genellikle değişkenler arasındaki
korelasyona odaklanır.

Çıkarımsal Analiz: Var olan bir konun örneklerini temel alan teorileri test etmeyi amaçlar. Yani,
daha büyük bir popülasyon hakkında bir şeyler söylemek için nispeten küçük bir veri örneği
kullanılmasıdır.
Tahmin Analizi: Gelecekteki olaylarla ilgili öngörülerde bulunmak için güncel ve tarihi
gerçekleri analiz eden veri analiz çeşididir. Temelde, başka bir nesnenin değerlerini tahmin
etmek için bazı nesnelerdeki verileri kullanır.

Veri Analizi Tekniklerini Anlamak
İstatistiksel Veri Analizi
İstatistiksel Veri Analizi; temel olarak veri toplama, veri yorumlama ve son olarak veri
doğrulama içeren bir bilimdir. İstatistiksel veri analizi , çeşitli istatistiksel işlemlerin
gerçekleştirilme prosedürüdür. Verileri ölçmeyi amaçlayan ve tipik olarak istatistiksel analiz
uygulayan bir tür nicel araştırmadır. Nicel veriler temel olarak anket verileri ve gözlemsel
veriler gibi tanımlayıcı verileri içerir. İstatistiksel veri analizindeki veriler sayı olarak çoklu ise,
o zaman çok değişkenli olabilir. Bunlar faktör istatistiki veri analizi, ayırt edici istatistiksel veri
analizidir. Benzer şekilde, eğer veriler tekil ise, tek değişkenli istatistiksel veri analizi yapılır.
Bu anlamlılık için t testi, z testi, f testi, ANOVA tek yönlüdür.
İstatistiksel veri analizindeki gizli veriler, olasılık kütle fonksiyonu veya basit pmf olarak da
adlandırılan gizli dağıtım fonksiyonu altında dağıtılır.
Veri Hazırlama
Veri hazırlama , ham verilerin (farklı veri kaynaklarından gelebilecek), örneğin iş amaçları için
kolayca ve doğru bir şekilde analiz edilebilecek bir forma dönüştürülmesi işlemidir. Veri
hazırlama, veri analizi projelerinde ilk adımdır ve veri yükleme veya veri alımı, veri birleştirme,
veri temizleme, veri büyütme ve veri sunma gibi birçok ayrık görevi içerebilir .
Ele alınacak konular iki ana kategoriye ayrılır:
● Büyük olasılıkla farklı kaynaklardan geldikleri için çok sayıda veri kaydını içeren
sistematik hatalar;
● Orijinal veri girişindeki hatalardan dolayı az sayıda veri kaydını etkileyen bireysel
hatalar.
Veri Sınıflandırması
Veri sınıflandırma, verileri en etkili ve verimli kullanımı için kategoriler halinde düzenleme
işlemidir. İyi planlanmış bir veri sınıflandırma sistemi, temel verileri bulmayı ve almayı
kolaylaştırır. Bu risk yönetimi, yasal keşif ve uyum için özel önem taşıyabilir. Veri sınıflandırma
için yazılı prosedürler ve kılavuz ilkeleri, kurumun verileri sınıflandırmak için hangi kategorileri
ve kriterleri kullanacağını ve organizasyon içindeki çalışanların veri yönetimi konusundaki
rollerini ve sorumluluklarını belirtmelidir. Bir veri sınıflandırma şeması oluşturulduktan sonra,
her kategori için uygun kullanım uygulamalarını belirleyen güvenlik standartları ve verilerin
yaşam gereksinimlerini tanımlayan depolama standartları ele alınmalıdır.

Veri Doğrulama
Veri doğrulama, verileri kullanmadan, almadan veya başka şekilde işlemeden önce kaynak
verilerin doğruluğunu ve kalitesini kontrol etmek anlamına gelir. Hedef sınırlamalarına veya
hedeflerine bağlı olarak farklı tiplerde onaylamalar yapılabilir. Veri doğrulama, bir veri
temizleme şeklidir.
Veri Korelasyonu
Korelasyon değişkenler arasındaki ilişkiyi ifade eder. Bir değişkeni diğerleriyle ilişkisi açısından
ifade etmek için kullanılır. Bir veri setinden faydalı bilgiler elde etmenin ilk adımı, her bir
parçanın birbiriyle nasıl ilişki kurduğunu bilmektir. Korelasyon ile veriler arasındaki ilişkiyi
keşfetmek, ileriyi tahmin etmek için kullanılır
Veri Puanlama
Veri puanlama, tahmini modelin bir veri kümesine uygulanması sürecine verilerin puanlamaya
denir.
İstatistiksel Veri Analizi Araçları
Verilerin istatistiksel analizini yapmak için çok sayıda araç mevcuttur ve aşağıda bazıları
gösterilmiştir.
SAS/STAT Yazılımı
Statistical Analysis Software (İstatistiksel Analiz Yazılımı)-SAS , GUI'yi kullanma veya daha
gelişmiş analizler için komut dosyaları oluşturma seçenekleri sunan istatistiksel bir analiz
platformudur. Hem iş, sağlık ve insan davranış araştırmalarında yaygın olarak kullanılan
premium bir çözümdür. Kodlama da bu yaklaşım için kullanılmayanlar için zor bir ayar olabilir,
ancak gelişmiş analizler yapmak ve yayınlanabilir grafikler ve çizelgeler üretmek mümkündür.
IBM SPSS
Statistical Package for the Social Sciences (Sosyal Bilimler için İstatistik Paketi)-SPSS, insan
davranışı araştırmalarında belki de en yaygın kullanılan istatistik yazılım paketidir. SPSS,
tanımlayıcı istatistikleri, parametrik ve parametrik olmayan analizleri ve sonuçların grafiksel
kullanıcı ara yüzü (GUI) üzerinden grafiksel gösterimlerini kolayca derleme yeteneği sunar.
Ayrıca, analizi otomatikleştirmek için komut dosyaları oluşturma veya daha gelişmiş
istatistiksel işlemler gerçekleştirme seçeneğini de içerir.

Rakip Hipotezler Analizi, Analysis of Competing
Hypotheses (ACH)
ACH, bir dizi alternatif hipotez setini tanımlayan, her hipotezle tutarlı ve tutarsız olan verileri
sistematik olarak değerlendiren ve çok fazla tutarsız veri içeren hipotezleri reddeden analitik
bir süreçtir. Karmaşık bir problem hakkında nasıl düşünüleceği konusunda yardım eden basit
bir modeldir. ACH metodolojisi, Richards J. Heuer, Jr. tarafından geliştirilmiştir. Rakip
hipotezleri analiz etme yöntemi, ilk aşamalarda zaman ve dikkat gerektirir, ancak analitik
pozisyonların yönetimini ve koordinasyonunu kolaylaştırmak için büyük kar payları öder. ACH,
olanların veya olanların alternatif açıklamalarının dikkatlice tartılmasını gerektiren konular için
özellikle yararlıdır. Aynı zamanda erken uyarı vermek veya gelecekte neler olabileceğine dair
alternatif senaryoları değerlendirmemize yardımcı olmak için de kullanılabilir.
Hipotez
Hipotez veya varsayım, bilimsel yöntemde olaylar arasında ilişkiler kurmak ve olayları bir
nedene bağlamak üzere tasarlanan ve geçerli sayan bir önermedir. Bilimsel bir ifadenin
hipotez kabul edilebilmesi için sınanabilmesi gerekir. Deney ve testler sonucunda "sürekli
olarak" varsayılan sonucu veren hipotezler "teori (kuram)" statüsünü alırlar.
Kanıt
Kanıt, bir iddiayı destekleyen şeydir. Bu destek güçlü ve zayıf olabilir.
Teşhis
Bulgu ve belirtilere bakarak sorun tespit etmeye teşhis denir.
Tutarsızlık
Aralarında çelişki bulunan işlemlere tutarsız işlemler denir.

ACH Tool
PARC ACH
PARC ACH, Palo Alto Araştırma Merkezi (PARC) tarafından Richards J. Heuer, Jr. ile iş birliği
içinde geliştirilmiştir. Analistlerin kanıt girmesine ve güvenilirliğini ve alaka düzeyini
derecelendirmesine izin veren standart bir ACH programıdır.
Rakip Hipotezler Yapısal Analizi (SACH)
Rakip hipotezlerin yapısal analizi (SACH) daha ileri ve daha derinlemesine bir analiz yaparak,
analistin ilk tahminini ötesine geçmesine izin veren yapıyı ve otomasyonu ekleyerek
bilmediklerine makul bir dereceye kadar yaklaşmasına yardım eder.

Tehdit Analizine Genel Bakış
Tehdit Analizine Giriş
Tehdit analizi, tehdit aktörlerinin veya yabancı istihbarat birimlerinin yeteneklerini ve
faaliyetlerini tanımlar ve değerlendirir; kanun uygulamalarını ve karşı istihbarat
soruşturmalarını veya faaliyetlerini başlatmaya veya desteklemeye yardımcı olacak bulgular
üretir.

Tehdit Analizi Sürecini Anlamak
Tehdit Analizi Süreci ve Sorumlulukları
Tehdit analiz sürecinin adımlarını aşağıda verilen şekilde sayabiliriz:
1. Tehditleri Belirleme: Yönetim ve güvenlik uzmanları bir plan yapmadan önce,
karşılaşabilecekleri olası tehdit ve felaketleri tanımlamalıdırlar.
2. Tehditleri profilleme: İkinci adım tespit edilen tehditlerin daha ayrıntılı bilgiler içeren
profillere kategorize edilmesidir. Profil, tespit edilen tehdidin türünü, ortaya çıkma
olasılığını, ilgili tarifi ve sonuçları içermelidir.
3. Topluluk Profili Geliştirmek: Tehdit profili oluşturulduktan sonra, benzer tasarımlı bir
topluluk profili oluşturulur. Bilgiyi çapraz inceleyerek, potansiyel tehditlerin daha geniş
bir görüntüsü elde edilebilir.
4. Güvenlik Açığını Belirleme: Bu adımda acil durum yönetim uzmanları, tehdit profillerini
analiz etmek ve müdahale edilmesi gereken sistemlerine öncelik vermek için topluluk
profilleriyle birlikte tehdit profilleri kullanır. Analiz, topluluğun güvenlik açıklarını
tehdidin zarar potansiyeli ile karşılaştırarak en mevcut tehditleri belirleyecektir.
5. Senaryo Oluşturma ve Uygulama: Son adım, felaket senaryolarının oluşturulması ve
uygulanmasını içerir. Bu senaryolar, gerçek bir olayı taklit edecek kadar karmaşık ve
gerçekçidir. Bunu başarmak için senaryolar arasında ilk uyarı, öngörülen topluluk etkisi,
olası sorun alanları, hasarın yanıtı, sınırlı kaynaklar ve olası sonuçlar bulunmaktadır. Bu
senaryolar, farklı değişkenlerle tekrar tekrar test edilir ve yeni bilgilerle güncellenir,
böylece tehdit analizi her zaman gerçek tehdidin önündedir.
Her siber tehdit analiz sürecinin sahip olduğu bazı sorumluluklar ve gerekçeler vardır. Bu
sorumlulukları genel olarak ele alırsak aşağıdaki gibidir:
Maliyet: Gerçekleştirilen güvenlik aksiyonu çoğu zaman ek masraf getirir.
Verimlilik: Sürpriz güvenlik riski değerlendirmeleri, BT operasyonlarının, güvenlik ve
denetimin verimliliğini arttırmalıdır. Bir incelemeyi resmileştirmek, bir inceleme yapısı
oluşturmak, sistemin bilgi tabanında güvenlik bilgisi toplamak ve kendi kendine analiz
özelliklerini uygulamak için adımlar atarak risk değerlendirmesi verimliliği artırabilir.
Engelleri Aşmak: Organizasyon yönetimi, organizasyon için uygun güvenlik seviyesine ilişkin
kararlar almaktan sorumludur. Öte yandan, BT personeli sistemler, uygulamalar, veriler ve
kontroller için belirli güvenlik gereksinimlerinin uygulanması ile ilgili kararların alınmasından
sorumludur.
Kendi Kendini Analiz Etmek: Kurumsal güvenlik risk değerlendirme sistemi, herhangi bir
güvenlik bilgisine veya BT uzmanlığına ihtiyaç duymadan kullanmak için her zaman basit
olmalıdır. Bu, yönetimin kuruluşun sistemleri, uygulamaları ve verileri için güvenliğe sahip
olmasını sağlar. Aynı zamanda güvenliğin bir organizasyon kültürünün daha önemli bir parçası
haline gelmesini sağlar.
İletişim: Bir organizasyonun birçok bölümünden bilgi alarak, bir kurumsal güvenlik riski
değerlendirmesi iletişimi arttırır ve karar vermeyi hızlandırır.

Siber Öldürme Zinciri Metodolojisine Dayalı Tehdit
Analizi
Tehdit istihbaratı verilerini Siber Öldürme Zinciri aracılığı ile sınıflandırma, söz konusu
istismarın gerçekleştiği zincirleme sürecinin nerede olduğu konusunda bilgi verir.
Tehdit Modellemesi Gerçekleştirme
Tehdit modellemesi , yapısal güvenlik açıkları gibi potansiyel tehditlerin, varsayımsal bir
saldırganın bakış açısından tamamlanabileceği, sayılabileceği ve önceliklendirilebileceği bir
süreçtir. Tehdit modellemesinin amacı, savunuculara olası saldırganın profilini, en muhtemel
saldırı vektörlerini ve bir saldırgan tarafından en çok istenen varlıkları sistematik bir şekilde
analiz etmesini sağlamaktır. Tehdit modellemesi , “ Yüksek değerli varlıklar nerede ?” ,
“Saldırıya en çok ne kadar maruz kalıyorum?” , “En alakalı tehditler nelerdir?” Ve “Fark
edilmeyecek bir saldırı vektörü var mı ?” gibi soruları yanıtlar.
Tehdit Modellemesi Metodolojileri
STRIDE
STRIDE, geliştiricilerin ürünlerine karşı tehditleri bulmak için alarm oluşturan, Microsoft
tarafından 1999 da geliştirilen bir tehdit modelleme yaklaşımıdır.
PASTA
Saldırı Simülasyonu ve Tehdit Analizi (PASTA) Süreci, yedi aşamalı, risk merkezli bir
metodolojidir. Uyumluluk sorunlarını ve iş analizini dikkate alarak iş hedeflerini ve teknik
gereklilikleri düzenlemek için yedi aşamalı bir süreç sunar. Yöntemin amacı dinamik bir tehdit
belirleme, numaralandırma ve puanlama süreci sağlamaktır. Tehdit modeli tamamlandığında,
güvenlik konusu uzmanları belirlenen tehditlerin detaylı bir analizini geliştirir. Son olarak,
uygun güvenlik kontrolleri numaralandırılabilir. Bu metodolojinin, savunucuların varlık
merkezli bir azaltma stratejisi geliştirebilecekleri uygulama ve altyapıya saldırgan merkezli bir
bakış açısı sağlaması amaçlanmıştır.

Şekil: PASTA metodolojisi aşamaları
TRIKE
Trike metodolojisinin odak noktası; risk modellerini bir risk yönetimi aracı olarak kullanmaktır.
Bu çerçevede, güvenlik denetim sürecini yerine getirmek için tehdit modelleri
kullanılmaktadır. Tehdit modelleri, bir “gereksinim modeline” dayanmaktadır. Gereksinim
modeli, her varlık sınıfına atanan paydaşlar tarafından tanımlanmış “kabul edilebilir” risk
seviyesini belirler. Gereksinim modelinin analizi, tehditlerin numaralandırıldığı ve risk
değerleri atandığı bir tehdit modeli oluşturur. Tamamlanan tehdit modeli, varlık, roller,
eylemler ve hesaplanan risk maruziyetine dayalı bir risk modeli oluşturmak için kullanılır.
VAST
VAST, Görsel, Çevik ve Basit Tehdit modelinin bir kısaltmasıdır. (Visual, Agile, and Simple
Threat). Bu metodolojinin altında yatan prensip, tehdit modelleme sürecini altyapı ve tüm
SDLC'ye ölçeklendirmek ve sorunsuz bir şekilde Çevik (Agile) bir yazılım geliştirme
metodolojisine entegre etmek gerekliliğidir. Metodoloji, çeşitli paydaşların benzersiz
ihtiyaçlarına yönelik uygulanabilir çıktılar sağlamayı amaçlamaktadır: Uygulama mimarları ve
geliştiricileri, siber güvenlik personeli ve üst düzey yöneticiler. Metodoloji, tehdit modellerinin
yaratılması ve kullanılması için özel güvenlik konusu uzmanlığı gerektirmeyen, benzersiz bir
uygulama ve altyapı görselleştirme planı sunar.

DREAD
DREAD, daha önce Microsoft tarafından kullanılan bilgisayar güvenlik tehditlerini risk
değerlendirme sisteminin bir parçası olmuştur. Şu an OpenStack ve diğer şirketler tarafından
kullanılmasına rağmen yaratıcıları/geliştiricileri tarafından terk edilmiştir. Beş kategoriyi
kullanarak risk derecelendirme yapmayı amaçlamaktadır.
Damage / Hasar: Bir saldırı ne kadar kötü olabilir?
Reproducibility / Tekrarlanabilirlik: Saldırının tekrarlanması ne derece kolay?
Exploitability / Sömürme: Bu saldırıyı başlatan olay nedir?
Affected Users / Etkilenen Kullanıcılar: Kaç kişi etkilenir?
Discoverability / Keşfedilebilirlik: Tehdidi keşfetmek ne kadar kolay?
Belirli bir tehdit DREAD kullanılarak değerlendirildiğinde, her kategoriye 1 ile 10 arasında bir
puan verilir. Belirli bir konu için tüm derecelendirmelerin toplamı farklı konular arasında
öncelik sırasına koymak için kullanılabilir.
OCTAVE
Tehdit Modelleme Araçları
Güçlü bir tehdit modelleme aracı, kilit paydaşların dış ve iç tehditler için tasarım yapma,
görselleştirme, öngörme ve planlama yapmalarını sağlayan araçtır. Tehditleri tespit etmek ve
ele almak, uzun vadede kurumları milyonlarca dolardan kurtarabilir.
Microsoft Tehdit Modelleme Aracı
Microsoft'un ücretsiz tehdit modelleme aracı - Tehdit Modelleme Aracı (eski adıyla SDL Tehdit
Modelleme Aracı). Bu araç ayrıca Microsoft tehdit modelleme metodolojisini kullanır, DFD
tabanlıdır ve STRIDE tehdit sınıflandırma şemasına dayalı tehditleri tanımlar. Öncelikle genel
kullanım için tasarlanmıştır.
ThreatModeler
MyAppSecurity, ticari olarak temin edilebilir ilk tehdit modelleme aracını sunar.
ThreatModeler VAST metodolojisini kullanır, PFD tabanlıdır ve özelleştirilebilir kapsamlı bir
tehdit kütüphanesine dayalı tehditleri tanımlar. Tüm örgütsel paydaşlar arasında iş birliğine
dayalı kullanım içindir.
SecuriCAD Profesyonel
SecuriCAD İskandinav şirketi için öngörülen bir tehdit modelleme ve risk yönetimi aracıdır.
CISO'dan güvenlik mühendisine, teknisyene kadar şirket siber güvenlik yönetimi için
tasarlanmıştır. securiCAD, mevcut ve gelecekteki BT mimarilerine otomatik saldırı

simülasyonları yapar, yapısal güvenlik açıkları da dahil olmak üzere bütünsel olarak riskleri
belirler ve ölçerek bulgulara dayanarak karar desteği sağlar. securiCAD hem ticari hem de
topluluk basımlarında sunulmaktadır.
IriusRisk
IriusRisk; bu araç, SDLC'nin tamamı boyunca canlı bir Tehdit Modelinin oluşturulması ve
korunmasına odaklanmaktadır. Tamamen özelleştirilebilir anketler ve Risk Deseni Kitaplıkları
kullanarak süreci yönlendirir ve otomasyonu güçlendirmek için diğer birkaç farklı araçla
(OWASP ZAP, BDD-Security, Threadfix ...) bağlantı kurar.
Elmas Model Framework ile Tehdit Analizi Sürecini
Geliştirme
Siber güvenlik ve tehdit istihbarat endüstrilerinde, gelişmiş tehdit oyuncuları tarafından siber
saldırıların özelliklerini analiz etmek ve izlemek için kullanılan birkaç yaklaşım vardır. Popüler
yaklaşımlardan biri, Elmas Modelidir. Bu model dört temel bileşenin ilişkilerini ve özelliklerini
vurgulamaktadır: Düşman, Yetenekler, Altyapı ve Mağdurlar.
Bir tehdidin nasıl işlediğini bulmak, daha tutarlı bir resim oluşturmak için; Düşman, Altyapı,
Yetenekler ve Mağdurlarla ilgili ek detayları ortaya çıkarmak gerekmektedir. Bu detaylar kötü
niyetli aktiviteyi bir rakiple ilişkilendirmek için kullanılabilir.
Tehdit Göstergelerinin Doğrulanması ve
Önceliklendirilmesi
Zelonis'e göre, güvenlik açığı risk yönetimi sürecinin dört ana adımı vardır:
● Varlık tanımlama
● Varlıkların sayımı
● Yamaların önceliklendirilmesi
● İyileştirme
Düzeltme önceliklerini atarken, güvenlik açıklarının ciddiyetini her bir varlık bağlamında
incelemek önemlidir. Örneğin, çok önemli olan bir varlıkta kritik bir güvenlik açığını gidermek
en önemli önceliktir. Bununla birlikte, aynı güvenlik açığının, orta veya düşük önem arz eden
bir varlıkta mevcut olması durumda yüksek önceliklendirme yapılamaz.

Fine-Tuning Tehdit Analizine Genel Bakış
Fine-Tuning Tehdit Analizi
Fine-Tuning, bir sonucu iyileştirmek veya optimize etmek için küçük değişiklikler yapma
sürecini ifade eder. Genel olarak, Fine-Tuning işlemi bir işlem veya işlevin etkinliğini veya
verimliliğini arttırmayı amaçlamaktadır. Fine-Tuning, yöntemi optimize edilen işleme bağlı
olan çeşitli yollarla gerçekleştirilebilir.
Güvenlik ekipleri mevcut güvenlik çözümleri üzerinde Fine-Tuning yaptığında, yanlış alarmların
yarattığı gereksiz durumları azaltacak ve analistlerin asıl önemli ve kritik alarmlar üzerinde
durmasına yardımcı olacaktır.
Tehdit Analizi Yazılımı için Kriterler Geliştirmek
Güvenlik analiz yazılımları, kuruluşların güvenlik duruşlarını iyileştirmelerine yardımcı olmak
için uygulamalardan, uç nokta kontrollerinden ve ağ savunmasından gelen günlük ve olay
verilerini analiz eder. İşletmelerin, saldırıları gerçekleşmeden önce engellemek için saldırı
yöntemlerini ve sistem açıklarını daha iyi anlamalarına yardımcı olur, ayrıca bir saldırı
gerçekleştiğinde hangi sistemlerin etkilendiğini görebilirler.
İşletmeler, güvenlik analitiği yazılımı ya da ürünlerini seçerken, kuruluşlar için kafa karıştırıcı
kararlar verebilecekleri geniş bir seçenek yelpazesine sahiptir. Örneğin, farklı ürünler, dağıtım
seçenekleri, analiz aralığı ve maliyet gibi farklı temel özellikleri vurgular. Güvenlik analizi
araçlarını seçmenin ilk adımı kuruluşunuzun önceliklerini anlamaktır.
Kuruluşlar güvenlik analitiği yazılımı için önceliklerini değerlendirirken, değerlendirme için
çeşitli kriterleri göz önünde bulundurmalılar. Bunlar;
● Dağıtım modelleri
● Modülarite
● Analizin kapsamı (tehdit türleri)
● Analiz derinliği (ağ katmanları)
● Adli destek
● İzleme, raporlama ve görselleştirme

Runbook'lar ve Bilgi Tabanı Oluşturma
Runbook'lar Geliştirme
Bir bilgisayar sisteminde veya ağda, runbook , sistem yöneticisinin veya operatörünün
gerçekleştirdiği rutin prosedür ve işlemlerin bir derlemesidir. Sistem yöneticileri, güvenlik
uzmanları, BT departmanları runbookları referans olarak kullanır. Runbook'lar elektronik veya
fiziksel kitap formunda olabilir. Genellikle, bir runbook, sistemi başlatma, durdurma,
denetleme ve hata ayıklama prosedürlerini içerir. Ayrıca, özel talepler ve beklenmedik
durumlarla ilgili prosedürleri de tanımlayabilir. Etkili bir runbook, önkoşul uzmanlığına sahip
diğer operatörlerin bir sistemi etkin bir şekilde yönetmesini ve sorunlarını gidermesini sağlar.
Runbook otomasyonu sayesinde, bu işlemler önceden belirlenmiş bir şekilde yazılım araçları
kullanılarak gerçekleştirilebilir.
Bilgi Tabanında Siber Tehdit Bilgilerini Düzenleme ve
Depolama
Güvenlik ekiplerinin genellikle derin bir veri bilimi geçmişine sahip olmaları gerekmediğinden,
güvenlik analizlerinde veri yönetiminin önemini küçümseme eğilimindedirler. Herhangi bir
fonksiyon veya uygulamada olduğu gibi, zayıf veriler kötü sonuçlara yol açar. Bütün alanlarda
olduğu gibi siber güvenlik içinde sağlam veri yönetimi önemlidir. Bunun için dikkat edilmesi
gereken noktalar vardır;
Veri hacmi ve hızı: Organizasyonel ağlar, normal aktivitelerden saniyede petabayt veri
üretebilir. Buna, ağa bağlı mobil cihazların, sensörlerin ve bulut tabanlı hizmetlerin
büyümesiyle ilişkili tüm verilerin eklendiğini düşünürsek, veri noktaları çoğaldıkça saldırı
yüzeyi de artar.
Birden fazla veri kaynağı: Bir güvenlik analizi programı binlerce veri öğesini birleştirebilir.
İhtiyaç duyulan veriler, kullanıcı etkinliklerinin web ve sistem günlükleri, tehdit bildirimleri,
kullanıcı meta verileri, kullanıcıların kara listeleri ve IP adresleri, yönlendirici ve anahtar
günlükleri, ağ izleme sistemleri ve daha fazlası gibi birçok sistemde bulunur.
Veri çeşitliliği: Veri formatları, sistem kategorisine ve satıcıya göre değişebilir. Alan adları,
değerler ve anlamları sistemler arasında farklılık gösterir. Aynı olay kodu iki yerde tamamen
farklı bir şey anlamına gelebilir. Tüm bu eşitsizlikler, sürekli değişen bir güvenlik ortamında
eşleştirilmeli ve uzlaştırılmalıdır.
Veri organizasyonu: Kendi doğal durumunda, siber güvenlik verileri, alma ve analiz kolaylığı
için nadiren düzenlenir. Organize etme prensibi genellikle verilerin yaratıldığı zamandır.
Uluslararası bir Analytics Enstitüsü web seminerinde SAS Veri Yönetiminde İş Danışmanlığı
Başkan Yardımcısı Evan Levy, “Belirli verileri bulmak, kitapların alındıkları sırayla raflarda
tutulduğu bir kütüphanede arama yapmak gibi olabilir” demiştir.

Benzersiz veri depolama gereksinimleri: Kaynak veriler birlikte yönetilebilir bir şekilde
depolanmalıdır. Bu, yalnızca büyük miktarda içerik depolamak değil, aynı zamanda verileri ne
kadar süre kullanacağınızı ve ne kadar süreyle saklayacağınızı da öngörmekle ilgilidir. Levy,
“Taban çizgileri oluşturmak ve geçmişe yönelik incelemeler yapmak için analistler için yeterli
tarihi tutmanız gerekir” demiştir. “Tüm ayrıntıları süresiz olarak saklamak istemezsiniz, ancak
olaydan 100 gün sonra bir ihlal tespit edilirse, bir miktar tarihsel yeniden yapılanma
yapabilmek istersiniz.”
Güvenlik araçlarından oluşan bir patchwork: Tipik bir büyük kuruluş, her biri resmin bir kısmına
bakan ve her biri kendi veri ve raporlama formatlarına sahip düzinelerce güvenlik aracına sahip
olabilir. Her yeni savunma katmanı, satıcı anahtarı veya hatta yeni sürüm ek karmaşıklık
sağlayabilir.
Esnek olmayan raporlama ve sorgulama sistemleri: Siber güvenlik araçlarının çoğu, veri
toplamak ve önceden belirlenmiş yöntemlerle işlemek için düzenlenen işlemsel sistemler
gibidir. Ancak analistler verileri sorgulayabilmeli, veri kaynaklarını inceleyebilmeli ve
araştırabilmelidirler. Sınırsız veri hazırlığı yapmak zorunda kalmadan büyük miktarda veriyi
sorgulamak isteyebilirler.

Tehdit İstihbaratı Araçlarına Genel Bakış
AlienVault USM Anywhere
AlienVault Açık Tehdit aracı(OTX) küresel bir tehdit araştırmacıları ve güvenlik uzmanları
topluluğuna açık erişim sağlar. Topluluğun oluşturduğu tehdit verilerini sağlar, ortak
araştırmalar sağlar ve güvenlik altyapınızı herhangi bir kaynaktan gelen tehdit verileriyle
güncelleme işlemini otomatikleştirir.
IBM X-Force Exchange
IBM XFE tarafından sunulan X-Force Exchange (XFE), tehdit istihbarat bilgisini aramak,
bulgularınızı toplamak ve görüşlerinizi XFE topluluğunun diğer üyeleriyle paylaşmak için
kullanabileceğiniz ücretsiz bir SaaS ürünüdür.
ThreatConnect
ThreatConnect, tehdit zekâsı, analitik ve düzenleme yeteneklerine sahip bir platformdur. Veri
toplamanıza, zekâ üretmenize, başkalarıyla paylaşmanıza ve işlem yapmanıza yardımcı olmak
için tasarlanmıştır.
SurfWatch Tehdit Analisti
SurfWatch Threat Analyst, kuruluşlara, saldırı için olumsuz fırsatları tespit etmede ve siber
riskleri proaktif olarak azaltmada yardımcı olmak için stratejik ve operasyonel tehdit zekâsı
sunan, kullanımı kolay bir SaaS ürünüdür. Tehdit Analisti, çok çeşitli açık ve dark web
kaynaklarından gelen ilgili tehditleri otomatik olarak toplar, izler ve böylece tehdit istihbarat
ekiplerinin iş, tedarik zinciri ve endüstrisi için ilgili siber riskleri hızla sıfırlamasını sağlar.
Ek Tehdit İstihbarat Araçları
● Alexa Top 1 Million sites
● Apility.io
● APT Groups and Operations
● AutoShun
● BGP Ranking
● Botnet Tracker
● BOTVRIJ.EU
● BruteForceBlocker
● C&C Tracker
● CertStream
● CCSS Forum Malware Certificates

● CI Army List
● Cisco Umbrella
● Critical Stack Intel
● C1fApp
● Cymon
● Disposable Email Domains
● DNSTrails
● Emerging Threats Firewall Rules
● Emerging Threats IDS Rules
● ExoneraTor
● Exploitalert
● ZeuS Tracker
● FireHOL IP Lists
● FraudGuard
● Grey Noise
● Hail a TAXII
● HoneyDB
● Icewater
● I-Blocklist
● Majestic Million
● Malc0de DNS Sinkhole
● MalShare.com
● Malware Domain List
● MalwareDomains.com
● Metadefender.com
● Minotaur
● Netlab OpenData Project
● NoThink!
● NormShield Services
● OpenPhish Feeds
● PhishTank
● Ransomware Tracker
● Rutgers Blacklisted IPs
● SANS ICS Suspicious Domains
● signature-base
● The Spamhaus project
● SSL Blacklist
● Statvoo Top 1 Million Sites
● Strongarm, by Percipient Networks
● Talos Aspis
● Technical Blogs and Reports, by ThreatConnect
● Threatglass
● ThreatMiner
● WSTNPHX Malware Email Addresses
● VirusShare
● Yara-Rules
● ZeuS Tracker

İstihbarat Raporlama ve Yaygınlaştırma
Tehdit İstihbaratı Raporlarına Genel Bakış
Tehdit İstihbaratı Raporları
Tehditleri tanımlamak için çoğu zaman birçok kaynaktan alınan bilgileri ilişkilendirerek bu
bilgiyi analiz edilir. Bu işlem, Güvenlik Merkezi algılama yeteneklerinin bir parçasıdır. Güvenlik
Merkezi bir tehdit tespit ettiğinde , düzeltme önerileri de dahil olmak üzere belirli bir olayla
ilgili ayrıntılı bilgiler içeren bir rapor yazarlar. Olay müdahale ekiplerine yardımcı olmak,
tehditleri araştırmak ve düzeltmek için Güvenlik Merkezi, aşağıdakiler de dahil olmak üzere,
tespit edilen tehditle ilgili bilgileri içeren bir tehdit istihbarat raporu içerir:
● Saldırganın kimliği
● Saldırganların hedefleri
● Mevcut ve geçmiş saldırı kampanyaları
● Saldırganların taktikleri, araçları ve prosedürleri
● URL'ler ve dosya karmaları gibi ilişkili uzlaşma göstergeleri (IoC)
● Azaltma ve iyileştirme bilgileri
Siber Tehdit İstihbarat Raporları Türleri
Her rapordaki bilgi miktarı değişiklik gösterecektir. Ayrıntı düzeyi, kötü amaçlı yazılımın
etkinliğine ve yaygınlığına bağlıdır. Güvenlik Merkezi, saldırıya göre değişebilen üç tür tehdit
raporuna sahiptir.
Mevcut raporlar:
● Faaliyet Grubu Raporu: Saldırganların, amaçlarına ve taktiklerine derinlemesine bakış.
● Kampanya Raporu: belirli saldırı kampanyalarının ayrıntılarına odaklanır.
● Tehdit Özeti Raporu: önceki iki rapordaki tüm maddeleri kapsar.
Tehdit İstihbarat Raporu Şablonu
Bir tehdit istihbarata raporu şablonu aşağıdaki gibidir;
Bu şablon, verileri yapılandırmak, tehdit istihdamı toplama çabalarını yönlendirmek ve olaya
müdahale eylemlerini bilgilendirmek için siber tehdit istihbarat alanındaki (İzinsiz Giriş
Öldürme Zinciri, Kampanya İlişkisi, Eylem Matrisi Dersleri ve Elmas Modeli gibi) çeşitli
modellerden yararlanmaktadır.

Yönetici Özeti (Anahat): İzinsiz girişle ilgili kilit gözlemlerinizi ve paket alımlarınızı açıklandığı
kısımdır. Düşmanın taktiklerini, tekniklerini ve prosedürleri açıklanır. Saldırıya cevap verirken
rakibe karşı savunmak için alınan en önemli eylem planlarını ana hatlarıyla belirtilir. Raporun
geri kalanı bu özeti doğrulamalıdır.
Düşmanın Eylemleri ve Taktikleri (Anahat): Bu paragrafta düşmanın eylemlerini ve taktiklerini
ve izinsiz girişin kurbanlar üzerindeki etkilerini özetlenir. Raporun bu bölümü, kötü niyetli
faaliyetlerin temel özelliklerini yakalamak için izinsiz giriş öldürme zincirinin elmas modeli
köşeleri üzerindeki aşamalarını kapsar.
Düşmanın Açıklaması: İzinsiz girişin failleriyle ilgili olabilecek gözlem ve göstergeler
tanımlanır. Potansiyel motivasyonları ve tanımlayıcı unsurların ana hatlarıyla belirtildiği
kısımdır. Bilgilerinizi, aşağıdaki tabloda yapılandırıldığı gibi izinsiz giriş öldürme zincirinin ilgili
aşamasına göre kategorilere ayırın.
Keşif
Silahlandırma
Teslim
İstismar
Kurulum
Komuta ve Kontrol
Hedeflere Yönelik Eylemler

Düşmanın Yetenekleri: Düşmanın taktikleri, teknikleri ve prosedürleri (TTP'ler) açısından
yeteneklerini açıklandığı kısımdır. İzinsiz giriş failleri tarafından kullanılan, arka kapılardaki
suiistimaller, evreleme yöntemleri ve durumsal farkındalık gibi araçları ve ticari ürünleri ele
alınır. Bilgilerinizi, aşağıdaki tabloda yapılandırıldığı gibi izinsiz giriş öldürme zincirinin ilgili
aşamasına göre kategorilere ayırmalısınız.
Keşif
Silahlandırma
Teslim
İstismar
Kurulum
Komuta ve Kontrol
Rakip’in Altyapısı: Rakip tarafından kullanılan IP adresleri, etki alanı adları, program adları vb.
Gibi altyapıların tanımlandığı kısımdır. Bilgilerinizi, aşağıdaki tabloda yapılandırıldığı gibi izinsiz
giriş öldürme zincirinin ilgili aşamasına göre kategorilere ayırın.
Keşif
Silahlandırma
Teslim
İstismar
Kurulum
Komuta ve Kontrol

Mağdurlar ve Etkilenen Varlıklar: Düşmanın eylemlerinden etkilenen mağdurların
tanımlandığı kısımdır. Kişiler ve kuruluş adları gibi uygulanabilir mağdur tanımlayıcılarını ele
alınır. Ayrıca, ağlar, sistemler ve uygulamalar gibi etkilenen mağdur varlıklarını da ana
hatlarıyla belirtilir. Bilgilerinizi, aşağıdaki tabloda yapılandırıldığı gibi izinsiz giriş öldürme
zincirinin ilgili aşamasına göre kategorilere ayırın.
Keşif
Silahlandırma
Teslim
İstismar
Kurulum
Komuta ve Kontrol
Olay Müdahalesinde Eylemin Süreci-Anahat: Bir paragrafta, izinsiz giriş zincirinin çeşitli
aşamalarına yanıt verirken attığınız adımlar özetlenir. Aşağıdaki bölüm eylemlerinizi daha
ayrıntılı olarak açıklamalıdır.
Keşif: Aşağıdaki tabloda, logların, ağ paketleyicinin yakaladığı, adli verilerin ve diğer
kaynakların analizine dayanarak belirlendiği gibi, saldırganın bir parçası olarak muhalifin ne
yaptığını belirlemek için attığınız adımları açıklanır.
Keşif
Silahlandırma
Teslim
İstismar
Kurulum
Komuta ve Kontrol

Sezmek: Aşağıdaki tabloda, rakibin ilgili izinsiz giriş aşaması ile ilgili gelecekteki etkinliklerini
tanımlamak için uyguladığınız önlemleri açıklanır. Göstergeleri ve imzaları, ek sensörleri veya
araçlar, güvenlik olay verileri monitörlerini vb. Nasıl tanımladığınızın ve kullandığınızın
açıklandığı kısımdır.
Keşif
Silahlandırma
Teslim
İstismar
Kurulum
Komuta ve Kontrol
Reddetmek: Aşağıdaki tabloda, düşmanın kötü niyetli eylemlerde bulunmasını, bu raporda
açıklanan izinsiz giriş aşaması kapsamında kalmasını engellemek için uyguladığınız önlemleri
açıklanır. Örneğin, çevre güvenlik duvarındaki belirli IP'leri engellediniz mi, hedeflenmiş
güvenlik açıklarını yamaladınız mı, belirli kalıplarla eşleşen e-postaları engellediniz mi?
Keşif
Silahlandırma
Teslim
İstismar
Kurulum
Komuta ve Kontrol

Bozmak: Aşağıdaki tabloda, düşmanın saldırısına müdahale etmek için devam etmesini
engellemek için oluşturduğunuz önlemleri açıklanır. Örneğin, rakibin aktif ağ bağlantılarını,
karantinaya alınmış şüpheli dosyaları, dağıtılmış güncellenmiş antivirüs imzalarını, vb.
sonlandırmak için izinsiz giriş önleme sistemi veya güvenlik duvarı kullandınız mı?
Keşif
Silahlandırma
Teslim
İstismar
Kurulum
Komuta ve Kontrol
İndirgemek: Aşağıdaki tabloda, devam etmekte olan saldırıyı yavaşlatmak ya da başka bir
şekilde azaltmak için gerçekleştirdiğiniz eylemler açıklanır. Bu tür önlemlere bir örnek, ağ
ekipmanını, rakiplere atfedilen bağlantıları hızlandıracak şekilde yapılandırmak olabilir.
Keşif
Silahlandırma
Teslim
İstismar
Kurulum
Komuta ve Kontrol

Aldatmak: Aşağıdaki tabloda, düşmanı yanlış yönlendirmek için attığınız adımlar uygulanabilir
izinsiz giriş aşaması bağlamında açıklanır. Aldatma, saldırganın ilgisini çekebilecek sahte
varlıkların yerleştirilmesini, rakiplerin ağ bağlantılarının yönlendirilmesini, kötü amaçlı
yazılımların hedeflenen sistemin zaten virüslü olduğuna inanmasını sağlamayı, honeypot
kullanmayı vb. içerebilir.
Keşif
Silahlandırma
Teslim
İstismar
Kurulum
Komuta ve Kontrol
Yıkmak: Aşağıdaki tabloda, saldırıyı gerçekleştirme yeteneklerini azaltmak için, düşmana
karşı gerçekleştirdiğiniz saldırgan eylemleri açıklanır.
Keşif
Silahlandırma
Teslim
İstismar
Kurulum
Komuta ve Kontrol
İzinsiz Giriş Kampanyası Analizi (Anahat): Bu paragrafta, varsa, raporda daha önce tartışılan
izinsiz giriş ile alındığında bir kampanya oluşturan diğer ilgili izinsiz girişler arasındaki ilişkiyi
özetlenir. Kampanya içindeki izinsiz girişlerde paylaşılan göstergeler ve davranışlardan
bahsedilir. Düşmanın faaliyetlerini motive etmiş olabilecek ticari, jeopolitik veya diğer
faktörleri ana hatlarıyla belirtilir.

Kampanyadaki Diğer İzinsiz Girişler: Raporda daha önce tartışılan izinsiz giriş ile ortaklıkları
paylaşan diğer olayları veya izinsiz girişler açıklanır. Paylaşılan özelliklerin izinsiz girişlerin daha
büyük bir kampanya oluşturma ihtimalinin düşük / orta / yüksek olduğunu gösterip
göstermediğini açıklanır. Dahili ve harici izinsiz giriş isimlerini veya diğer ilgili tanımlayıcıları
girilir. İlgili iç ve dış belgelere referanslar eklenir. Saldırıların gerçekleştiği zaman netleştirilir.
Paylaşılan Saldırı Nitelikleri: Kampanyadaki izinsiz girişler arasında tutarlı olan kilit
göstergeleri ve davranış özelliklerini belirtilir. Öznitelikler, sergilendikleri sırada öldürme zinciri
aşamasına ve bunların ters tanımı, saldırı altyapısı, yetenekleri (taktikleri, teknikleri ve
prosedürleri) ve etkilenen mağdurlarla ilgilerine göre sınıflandırılır. Mümkün olan her yerde,
öldürme zincirinin her geçerli aşamasında, Düşmanı, Altyapıyı, Yetenekleri ve Kurbanı hesaba
katmak gereklidir.
Düşman Altyapı Yetenek Kurban
Keşif
Silahlandırma
Teslim
İstismar
Kurulum
Komuta ve Kontrol
Hedeflere Yönelik
Eylemler
Kampanya Motivasyonları: İlgili ticari, jeopolitik veya diğer faktörler de dahil olmak üzere,
saldırganın izinsiz giriş kampanyasındaki faaliyetleri için muhtemel motivasyonu ana hatlarıyla
belirtilir. Mümkünse, kampanyanın belirli kişilere, gruplara veya ulus devletlere atfedilmesine
ilişkin somut teoriler sunulur.
Üçüncü Şahıs Referansları: Bu raporda tartışılan izinsiz giriş, bir parçası olduğu kampanya veya
ilgili rakiplerle ilgili üçüncü taraf verilere referanslar sağlar.

Rapor Yazma Araçları
MagicTree
MagicTree bir penetrasyon test cihazı verimlilik aracıdır. Kolay ve anlaşılır veri konsolidasyonu,
sorgulama, harici komut yürütme gibi işlemleri gerçekleştirir. Rapor oluşturmaya izin verecek
şekilde tasarlanmıştır. “Tree” kelimesi, tüm verilerin bir ağaç yapısında saklanmasından ve
“Magic” kelimesi ise, penetrasyon testinin en zahmetli ve sıkıcı bölümünü yapmak için
tasarlanmasından gelmektedir.
KeepNote
KeepNote, Windows, Linux ve MacOS X'te çalışan bir not alma uygulamasıdır. KeepNote ile
notlarınızı, listelerinizi, araştırma notlarını, günlük kayıtlarını, vb. zengin metin formatına sahip
basit bir dizüstü bilgisayar hiyerarşisinde saklayabilirsiniz. Tam metin aramayı kullanarak daha
sonra açmak üzere herhangi bir notu alabilirsiniz.
KeepNote, platformlar arası ( Python ve PyGTK'da uygulanır ) tasarlanmıştır ve notlarınızı
dosya formatlarını (HTML ve XML) işlemek için basit ve kolay bir şekilde saklar. Notlarınızı
arşivlemek ve aktarmak, bir klasörü sıkıştırmak veya kopyalamak kadar kolaydır.
Özellikler:
● Zengin metin biçimlendirme (örneğin, Madde işareti listeleri, Satır içi görüntüler)
● Notlar için hiyerarşik organizasyon
● Web bağlantıları ve not defterine bağlantılar
● Tam metin araması
● Entegre ekran görüntüsü
● Dosya ekleri
● Yazım denetimi (gtkspell aracılığıyla)
● Otomatik olarak kaydediliyor
● Yerleşik yedekleme ve geri yükleme (zip dosyalarına arşivleme)
● Uzantılar (yani, "eklentiler")
● Çapraz platform ( Linux, Windows, MacOS X )

Yaygınlaştırmaya Giriş
İstihbarat Paylaşmanın Yararları
İstihbarat paylaşımı, özellikle aynı sektörde faaliyet gösteren şirketler ve kuruluşların karşı
karşıya oldukları geniş tabanlı siber saldırılar hakkında bilgi paylaşabildiği durumlarda etkilidir.
Fidye yazılımı, kötü amaçlı yazılım ya da mızrak avcılığı C seviye yöneticileri olsun, istihbarat
paylaşımındaki basit bilgiler, uzmanların daha hızlı ve daha etkili şekilde yanıt vermelerini ve
siber saldırıları engellemelerini sağlar.
Fikirleri Paylaşmak
İnsanlar daha yaratıcı düşünmeye ve sorun çözme söz konusu olduğunda gruplarda daha fazla
ilham alma eğilimindedirler. Siber güvenlik alanında, resmi veya gayrı resmi tartışmalara ve
istihbarat paylaşımına katılmak (örneğin, kötü amaçlı yazılım örnekleri veya olası saldırı
senaryoları) kuruluşların, meslektaşlarından ihlallerin nasıl önlenebileceğini öğrenmelerini
sağlar.
Kaynakları Paylaşmak
Güvenilir bir topluluk grubuna katılmak ayrıca oradaki kuruluşların ve şirketlerin komut
dosyaları, iş akışları, runbook'lar, oyun kitapları vb. gibi kaynakları paylaşabileceği anlamına
gelir. Üyeler belirli endişeler veya tehditlerle ilgili çeşitli teknik soruları sorabilir ve
cevaplayabilir.
Başarılı İstihbarat Paylaşımı Modelleri
Bankacılık sektöründe resmi veya gayri resmi kanallar aracılığıyla güvenlik istihbaratının
değişimi hüküm sürmektedir. En önde gelen gruplardan biri olan siber ve fiziksel tehdit
istihbarat paylaşımı ve analizi için bir kaynak olan FS-ISAC (Finansal Hizmetler Bilgi Paylaşımı
ve Analiz Merkezi).Bu merkez, üyelerin tüm sektörde anonim olarak bilgi paylaşmasını sağlar.
Bir tehdit bildirimi aldıktan sonra, uzmanlar onu analiz edip doğrularlar ve daha sonra diğer
üyelere haber vermeden önce çözümleri paylaşırlar.
İstihbarat Paylaşımındaki Zorluklar
İşletmeler, veri hacmi, onaylama, kalite, hız ve saldırıların korelasyonu nedeniyle zarar
gördüğünden tehdit istihbarat paylaşım çabalarıyla sürekli bir zorlukla karşı karşıyadır
Hacim: Çok büyük sinyal-gürültü problemi, güvenlik ekiplerinin yüksek öncelikli olaylara
odaklanmasını engelleyebilir ve beklenmedik saldırıların gerçekleşmesine yol açabilir.

Onaylama: Saldırganlar tehdit istihbarat sistemlerini yanlış yönlendirmek için sahte tehdit
raporları sunabilir ve yasal olarak kullanılan kaynaklardan elde edilen verileri kötü amaçlı
kurcalayabilir.
Kalite: Paylaşımcılar yalnızca daha fazla tehdit verisi toplamaya ve paylaşmaya odaklanırsa,
çoğunun yinelenebilir olma riski vardır, bu da zaman ve çaba harcaması demektir. Sensörler,
kalıcı saldırıların temel yapısal unsurlarını tanımlamaya yardımcı olmak için daha kaliteli veriler
yakalamalıdır.
Hız: Güvenlik sensörleri ve sistemleri, saldırı hızlarını eşleştirmek için neredeyse gerçek
zamanlı olarak tehdit istihbaratını paylaşmalıdır.
Bağıntı: Tehdit verilerinde ilgili kalıpların ve kilit veri noktalarının tespit edilememesi, verilerin
istihbarat ve güvenlik operasyon ekiplerini bilgilendirebilecek ve yönlendirebilecek bilgiye
dönüştürülmesini imkânsız hale getirir.
Bilgi Paylaşımı Kuralları
● Veri koruma mevzuatı ve insan hakları hukukunun bilgi paylaşım konusundaki engelleri
ve insanların kişisel bilgilerinin hassasiyetine uygun paylaşımlarda bulunmak.
● Bireylere, neden, ne, nasıl ve kiminle paylaşım yapıldığı, paylaşımın güven değeri gibi
konularda dürüst olmak.
● İlgili paylaşımla ilgili şüpheleriniz varsa, mümkün olduğu kadar bireylerin kimliğini
açıklamadan paylaşım yapmak.
● Mümkün olduğunda gizli bilgileri paylaşmaya razı olmayanların isteklerine saygı
gösterin. Çok ciddi güvenlik risklerinin bulunması halinde, dava oluşması durumda
gerekçe sunulabilecek düzeyde paylaşım yapılabilir. Bu paylaşımın hayati önem
taşıdığından emin olmalısınız. İzin verilmiş olsa dahi bireylerin bilgilerinin
paylaşılmasından memnun olmayacağını unutmamak gerekir.
● Güvenlik ve emniyeti her şeyden üstün tutmak gereklidir. Bilgi paylaşım kararlarınızı,
bireylerin ve eylemden etkilenecek diğer varlıkların güvenlik anlayışları ile
özdeşleştirmek gerekir.
● Paylaştığınız bilgilerin, paylaştığınız amaç için gerekli olduğundan, yalnızca sahip olması
gereken kişilerle paylaşıldığından, doğru ve açık olduğundan emin olun.
● Alınan kararların ve nedenlerinin kaydını tutun. Bilgi paylaşmaya karar verirseniz eğer,
paylaşımınızı kiminle ve hangi amaçla paylaştığınızın kaydını tutun.

Tehdit İstihbaratının Paylaşılmasına Genel
Bakış
Stratejik Tehdit İstihbaratının Paylaşılması
Stratejik istihbarat tehdit aktörlerinin zaman içinde nasıl değişim gösterdiği ile ilgilenmektedir.
Stratejik bilgi, bir saldırının arkasında kimin olduğuna dair tarihsel bilgiler, motivasyonları veya
nitelikleri tanımlar. Sorulan sorular; “Size kim zarar vermek istiyor?”, “Neden bir saldırı
altındasınız?”, “Başlıca trendler nelerdir?”. “Sektörel rakipler kimlerdir?”, “Risk profilinizi
azaltmak için ne gibi önlemler almalısınız?” şeklindedir. Düşmanlarınızın kim olduğunu ve
nedenlerini bilmek size gelecekteki operasyonlar ve taktikleri ile ilgili ipuçları sağlar. Stratejik
istihbarat hangi savunma yönteminin etkili olacağına karar vermek için başlangıç noktasını
oluşturur.
Taktik Tehdit İstihbaratı Paylaşımı
Taktiksel tehdit istihbaratı analistler için referans materyallerini oluşturur. Bunun için IoC
verilerine ihtiyaçları vardır. IoC verileri, iyi niyetli olaylardan ve kötü amaçlı yazılımlardan elde
edilir ve belirli bir kötü amaçlı yazılım örneği, kötü amaçlı yazılım ailesi, izinsiz giriş denemesi
ve tehdit oyuncusu gibi belirli bir tehdidin örnekleri olarak, analistlere sunulur.
Operasyonel Tehdit İstihbaratının Paylaşılması
Başarılı bir savunmayı sürdürmek için, kuruluşlar yalnızca karşı karşıya kaldıkları düşmanlara
cevap vermekten daha fazlasını gerekir. Aynı zamanda rakiplerin yeteneklerini de bilmek
gerekir. Operasyonel tehdit istihbaratını bu işlemi gerçekleştirir. Operasyonel tehdit
istihbaratı, güvenlik olayları ve savunucuların için şu işlemleri yapar;
● Potansiyel riskleri ortaya çıkarmak
● Aktör metodolojileri hakkında bilgi edinmek
● Daha önce keşfedilmemiş kötü amaçlı etkinlik takibi yapmak
● Kötü niyetli faaliyetlerle ilgili daha hızlı ve daha kapsamlı araştırmalar yapmak
IT-ISAC (Bilgi Teknolojisi ve Bilgi Güvenliği ve Analiz
Merkezi)
IT-ISAC (Bilgi Teknolojileri Bilgi Paylaşımı ve Analiz Merkezi), Ocak 2001'de, on dokuz önde
gelen BT endüstrisi şirketi (Oracle, IBM, EDS ve Computer Sciences dahil) tarafından güvenlikle
ilgili bilgilerin merkezi bir deposu olarak hizmet veren bir tesistir. Grubun amacı, her kuruluşun
güvenlik saldırıları ve güvenlik açıkları hakkındaki bilgilerini tüm üyeler arasında paylaşmaktır.
Üye şirketlerden, sahip oldukları güvenlik sorunları veya buldukları bu sorunlara çözümler
hakkında bilgi vermeleri beklenir.

Teslimat Mekanizmalarına Genel Bakış
Teslimat Formları
Makine Tarafından Okunabilen Tehdit İstihbaratı (MRTI)
Makine tarafından okunabilen tehdit zekâsı (MRTI), en son geçerli tehditlere ilişkin bağlamı
sunarak birden fazla güvenlik kontrolüne ve işlemine yarar sağlayan bir yetenektir. Güvenlik
liderleri, bu araştırmadaki rehberliği kullanarak tehditleri tespit etmek, önlemek ve bunlara
müdahale etmek amacıyla MRTI’dan yararlanırlar.
Tehdit İstihbaratını Paylaşma Standartları ve Formatları
Tehdit istihbaratı da dahil olmak üzere diğer tüm konularda standartlar olmasının sebebi
toplumun tamamında iş birliği ve iletişime olanak sağlamak için ortak terminoloji ve yapıların
kullanımını geliştirmek ve genişletmektir
Bu çabalar arasında temel güvenlik verilerinin kayıt altına alınması, siber güvenlik bilgilerini
doğru bir şekilde iletmek için standartlaştırılmış diller oluşturulması, siber güvenlik
kavramlarının uygun kullanımını tanımlamak ve yaygın olarak kabul edilen siber güvenlik
süreçleri için topluluk yaklaşımlarını desteklemek yer almaktadır.
Bunlara örnek vermek gerekirse;
Trafik Işık Protokolü (TLP)
Trafik Işığı Protokolü, Traffic Light Protocol (TLP) aslen İngiltere Hükümeti Ulusal Altyapı
Güvenliği Koordinasyon Merkezi (NISCC Ulusal Altyapı Koruma şimdi Merkezi - CPNI)
tarafından 2000'li yılların başında kurulmuştur.
Temel kavram, göndericinin, bilgilerinin derhal alıcının ötesine yayılmasını istediğini işaret
etmesidir. Bireyler , kuruluşlar veya topluluklar arasındaki bilgi akışını kontrollü ve güvenilir bir
şekilde geliştirmek için tasarlanmıştır . TLP etiketli iletişimleri yöneten herkesin protokolün
kurallarını anlaması ve bunlara uyması önemlidir. Ancak o zaman güven tesis edilebilir ve bilgi
paylaşımının faydaları sağlanabilir. TLP, daha fazla yayılmasının ne olduğunu belirtmek için
bilgileri dört renkten biriyle etiketleyen gönderen kavramına dayanmaktadır. Varsa, alıcı
tarafından üstlenilebilir. Daha geniş bir yayınıma ihtiyaç duyulursa, alıcının gönderene
danışması gerekir.
TLP’nin dört rengi ve anlamı;
● KIRMIZI: Yalnızca Adlandırılmış Alıcılar İçin Kişisel
Bir toplantı bağlamında, örneğin, KIRMIZI bilgi toplantıda bulunanlarla sınırlıdır. Çoğu
durumda, KIRMIZI bilgi sözlü olarak veya şahsen iletilir.

● SARI: Sınırlı Dağıtım
Alıcı, SARI bilgisini kuruluşundaki diğer kişilerle paylaşabilir, ancak yalnızca “bilmesi
gerekenler” temelinde paylaşabilir. Göndericiden, bu paylaşımın amaçlanan sınırlarını
belirlemesi beklenebilir.
● YEŞİL: Topluluk Çapında
Bu kategorideki bilgiler belirli bir topluluk içinde geniş kapsamlı olarak dağıtılabilir. Ancak,
bilgiler İnternet üzerinde kamuya açık olarak yayınlanamaz veya yayınlanamaz, ayrıca topluluk
dışında yayınlanamaz.
● BEYAZ: Sınırsız
Standart telif hakkı kurallarına tabi olarak, BEYAZ bilgileri kısıtlama olmaksızın serbestçe
dağıtılabilir.
MITRE Standartları
Güvenlik açıklarının adlandırılmasında standart olarak kabul edilen CVE, güvenlik ürünleri,
hizmetler ve kuruluşlar arasında korelasyon sağlar. 75'ten fazla satıcının 100'den fazla ürün ve
hizmeti CVE uyumluluğunu sağlamıştır.
İç Güvenlik Bakanlığı sponsorluğunda ve CVE Editör Kurulu ile iş birliği içinde olan MIRTE,
CVE'yi ilerletmek, CVE listesini tutmak ve CVE'nin kamu yararına hizmet etmesini sağlamak için
bağımsız üçüncü taraf olarak çalışmaktadır.
TAXII ve STIX
TAXII, siber tehditlerin gerçek zamanlı tespiti, önlenmesi ve azaltılması için siber tehdit
bilgilerinin güvenli bir şekilde paylaşılması için bir dizi protokol tanımlar. STIX, siber
gözlemciler, uzlaşma göstergeleri, olaylar, TTP'ler (teknikler, taktikler ve prosedürler) ve
kampanyalar dahil olmak üzere siber tehdit bilgileri için ortak bir format sağlar. TAXII ve STIX
birlikte tehdit paylaşan toplulukların ortak savunmayı teşvik etmek için eyleme geçirilebilir,
yapılandırılmış tehdit istihbarat alışverişinde bulunmalarını sağlamayı hedefler.
CVE’e ek olarak, şunları içerir:
Siber Güvenlik Kayıtları:
● Ortak Platform Numaralandırma-Common Platform Enumeration (CPE): Ortak
platform tanımlayıcıları.
● Ortak Konfigürasyon Numaralandırma-Common Configuration Enumeration (CCE):
Sistem konfigürasyonu.
● Yaygın Saldırı Örneği Numaralandırma ve Sınıflandırma-Common Attack Pattern
Enumeration and Classification (CAPEC ™): Yaygın saldırı kalıpları

● Ortak Zayıflık Numaralandırma-Common Weakness Enumeration (CWE ™): Yazılım
zayıflık tipleri
Siber Güvenlik Dilleri / Formatları ve Protokolleri
● Açık Güvenlik Açığı ve Değerlendirme Dili-Open Vulnerability and Assessment
Language (OVAL), güvenlik açığı ve yapılandırma sorunlarını belirleme dili.
● Güvenilir Otomatik Gösterge Bilgisinin Değişimi-Trusted Automated eXchange of
Indicator Information (TAXII), siber tehdit bilgilerinin güvenli otomatik değişimi için
protokoller ve biçimler.
● Yapılandırılmış Tehdit Bilgisi eXpression-Structured Threat Information eXpression
(STIX), yapısal tehdit bilgisini temsil etme dili.
● Siber Gözlenebilir İfade-Cyber Observable Expression (CybOX), siber gözlemlenebilir dil
● Kötü Amaçlı Yazılım Özelliği Numaralandırması ve Karakterizasyonu-Malware Attribute
Enumeration and Characterization (MAEC), özellik tabanlı kötü amaçlı yazılım
karakterizasyonu için dil.
● Yaygın Olay İfadesi-Common Event Expression CEE (MITRE Arşivi), bilgisayar olaylarının
tanımlanma, kaydedilme ve paylaşılma şekli.
● Ortak Zayıflık Puanlama Sistemi, Common Weakness Scoring System (CWSS), aciliyeti
ve önceliği belirlemeye yardımcı olmak için zayıflık şiddetini puanlama.
● Ortak Zayıflık Risk Analizi Çerçevesi, Common Weakness Risk Analysis Framework
(CWRAF), bir kuruluşun işinin veya misyonunun özel ihtiyaçlarına göre özelleştirilmiş
CWSS uygulaması için çalışma.
Yönetilen Olay Hafif Değişim, Managed Incident Lightweight
Exchange (MILE)
MILE, çalışma grubu, bilgisayar ve ağ güvenliği olay yönetimini desteklemek için standartlar
geliştirmektedir. Olay, bir bilgi teknolojisi (BT) altyapısında meydana gelen planlanmamış bir
olaydır. Bir olay, iyi huylu bir yapılandırma sorunu, BT olayı, sistemin tehlikeye attığı, sosyal
olarak tasarlanan kimlik avı saldırısı veya hizmet reddi (DoS) saldırısı, vb. olabilir. Bir olay
algılandığında ya da şüphelenildiğinde, iş birliği yapacak kuruluşlara ihtiyaç duyulabilir. Bu iş
birliği çabası ortak analiz, bilginin yayılması ve / veya koordineli bir operasyonel cevap gibi
çeşitli biçimlerde olabilir. Yanıtın örnekleri arasında, bir raporun doldurulması, olayın
kaynağının bildirilmesi, üçüncü bir tarafın olayı çözmesi / hafifletilmesi, belirli uzlaşma
göstergelerinin paylaşılması talep edilmesi veya kaynağın bulunmasını istemek yer alabilir.
VERIS
Olay Kaydı ve Olay Paylaşımı için Kelime Bilgisi-The Vocabulary for Event Recording and
Incident Sharing (VERIS), güvenlik olaylarını yapılandırılmış ve tekrarlanabilir bir şekilde
tanımlamak için ortak bir dil sağlamak üzere tasarlanmış bir metrikler kümesidir. VERIS,
güvenlik endüstrisindeki en kritik ve kalıcı zorluklardan birine cevap niteliğindedir; kalite bilgisi
eksikliği. VERIS, bu olayı kuruluşlara olaylarla ilgili yararlı bilgiler toplamalarına ve bu bilgileri

(isimsiz ve sorumlu bir şekilde) başkalarıyla paylaşmalarına yardımcı olmayı hedefler. Genel
amaç, riski daha iyi ölçmek ve yönetmek için deneyimlerimizden yapıcı ve iş birliğine dayalı
olarak öğrenebileceğimiz bir temel oluşturmaktır.
IDMEF
Bilgisayar güvenliğinin bir parçası olarak kullanılan IDMEF ( İzinsiz Giriş Tespiti Mesajı Değişim
Biçimi-Intrusion Detection Message Exchange Format ), izinsiz giriş tespiti, izinsiz giriş önleme,
güvenlik bilgi toplama ve onlarla etkileşime girmesi gerekebilecek yönetim sistemleri arasında
bilgi alışverişi için kullanılan bir veri biçimidir. IDMEF mesajları otomatik olarak işlenecek
şekilde tasarlanmıştır.
IDMEF'in amacı, izinsiz giriş tespit ve yanıt sistemlerine ve bunlarla etkileşime girmesi
gerekebilecek yönetim sistemlerine ilgi duyulan bilgileri paylaşmak için veri formatlarını ve
değişim prosedürlerini tanımlamaktır. Bilgisayar güvenliğinde raporlama ve değişim
olaylarında kullanılır.

Tehdit İstihbaratı Paylaşma Platformlarını
Anlamak
Bilgi Paylaşımı ve İş Birliği Platformları
Blueliv Tehdit Değişim Ağı
Blueliv Tehdit Değişim Ağı siber güvenlik uzmanları, BT profesyonelleri ve akademisyenler için
oluşturulmuş küresel bir topluluktur. Olay yanıtını hızlandırmak için en son haberleri, tehdit
verilerini, IOC'leri ve daha fazlasını yayınlamayı amaçlamaktadır. Bu IOC'leri API ve sayısız SIEM
eklentileri aracılığıyla dışa aktararak kendi istihbarat beslemenizi oluşturabilirsiniz.
Anomali STAXX
Anomali , tehdit zekası ve analiz platformu ile bilinen ABD merkezli bir siber güvenlik şirketidir
Anomali, ücretsiz bir Tehdit İstihbaratı beslemesi olan Limo ile donatılmış STIX ve TAXII'yi
destekleyen ücretsiz bir yardımcı program olan STAXX'i oluşturmuştur.
MISP (Kötü Amaçlı Yazılım Bilgi Paylaşma Platformu)
MISP tehdit paylaşım platformu, siber güvenlik göstergeleri de dahil olmak üzere tehdit
istihbaratının bilgi paylaşımına yardımcı olan ücretsiz ve açık kaynaklı bir yazılımdır.
Hedeflenen saldırıların uzlaşma göstergelerinin, tehdit istihbaratının, finansal dolandırıcılık
bilgilerinin, güvenlik açığı bilgisinin ve hatta terörle mücadele bilgisinin toplanması,
paylaşılması, depolanması ve ilişkilendirilmesi için bir tehdit istihbarat platformudur.
Soltra Edge
Soltra Edge, siber tehdit istihbaratını paylaşma, alma, doğrulama ve işlem yapma süreçlerini
otomatikleştiren, endüstri odaklı bir yazılımdır. Uçtan uca bir topluluk savunma modelini
mümkün kılar ve siber güvenlik savunucularının duruşlarını reaktiften proaktifliğe değiştirir.
Soltra Edge, akranlar, güven grupları, topluluklar ve hükümet arasında siber güvenlik bilgisinin
iki yönlü paylaşımı için en yaygın kullanılan Siber Tehdit İletişim Platformu'dur.

İstihbarat Paylaşımı Yasalarına ve
Düzenlemelere Genel Bakış
Siber İstihbarat Paylaşma ve Koruma Yasası (CISPA)
2011 yılının Siber İstihbarat Paylaşımı ve Korunması Yasası-Cyber Intelligence Sharing and
Protection Act (CISPA), Web verilerinin hükümet ve teknoloji şirketleri arasında
paylaşılmasına olanak tanıyan bir Amerika Birleşik Devletleri federal yasasıdır. Tasarıdaki
yazarlar, hükümetin siber terörizm ve siber savaşla mücadele etmesine yardımcı olma
niteliğindedir.
CISPA, Symantec, Microsoft ve Facebook da dahil olmak üzere büyük şirketlerin yanı sıra, tümü
uluslararası siber güvenlik hakkındaki endişelerini paylaşan çeşitli devlet kurumlarından da
destek kazanmıştır.
CISPA, Elektronik Sınır Vakfı ve Amerikan Sivil Özgürlükler Birliği tarafından kişisel ve ticari
iletişim gizliliğine yönelik bir tehdit olarak eleştirilmiştir. Bazı eleştirmenler, tasarıdaki açıklık
eksikliğinin Web sitelerinin haksız yere kapatılmasına veya özel iletişimde büyük miktarda
dinlenmeye yol açabileceğini savunmuştur.
Siber Güvenlik Bilgi Paylaşma Yasası-Cybersecurity
Information Sharing Act (CISA)
CISA, ABD tarafından oluşturulmuş , ABD federal yasalarını iyileştirmek için kurulmuş ve siber
güvenlik tehditleri hakkında bilgi toplamak ve paylaşmak için oluşturulmuştur. Yasa, İnternet
trafiği bilgilerinin ABD hükümeti ile teknoloji ve imalat şirketleri arasında paylaşılmasına izin
vermektedir.

Tehdit İstihbaratı Entegrasyonuna Genel Bakış
Tehdit İstihbaratını Entegre Etme
Tehdit istihbaratı için bir kaynak seçmek çok önemlidir. İhtiyaçlarınıza ve ekibinizin
yeteneklerine uygun bir kaynak seçmeniz gerekir. Ücretsiz / açık kaynaklı yayınlardan birini
seçebilir veya bugün piyasadaki birkaç düzine satıcısından birinden bir yayın satın alabilirsiniz.
Yüzden fazla serbest veya açık kaynaklı istihbarat beslemesi mevcut. Açık kaynaklı yayınların
birçoğu göstergelerini aynı kaynaklardan alır ve aynı göstergeleri rapor eder; bu da büyük
örtüşme alanları ve yönetilmesi gereken verilerin çoğaltılması alanlarını oluşturur.
Ayrıca düzinelerce ücretli yayın var. Her birinin kendi odak alanı vardır ve maliyetler büyük
ölçüde değişir. Ücretli yayınların kalitesi çoğu zaman yüksek olsa da istenen genişliği elde
etmek için birden fazla yayın gerektiren çok daha dar bir odağa sahip olabilirler. Son olarak,
kaynakları seçerken, en önemli hususlardan biri, bu yayınları toplamak ve almak için
desteklenen yöntemler olmalıdır. Bazıları diğerlerinden çok daha manuel. Bazıları metin veya
veritabanı dosyalarının indirilmesi olarak göstergeler sağlayan entegrasyon aracıları sunarken,
diğerleri koleksiyon için STIIX veya TAXII'yi desteklemektedir. Diğerleri basitçe listeleri bir web
sayfasına gönderir ve kullanıcıların sayfayı komut dosyaları aracılığıyla çizmesini sağlar. Yayın
kaynaklarını seçtikten sonra entegrasyon yapmalısınız.
Satıcı desteğine bağlı olarak, güvenlik duvarları, proxy'ler, DNS, EDR, web ağ geçitleri ve IPS
için doğrudan entegrasyonlar vardır. API çağrıları yapmayı destekleyen herhangi bir teknoloji
için ek özel entegrasyonlar mümkündür. Bir SIEM veya log yönetimi çözümüyle bütünleşirken,
temel öncül, tehdit istihbarat beslemesinden gelen göstergelerin bir listesini almak, ardından
bu göstergeleri ortamınızdaki çeşitli güvenlik teknolojilerinden gelen günlük mesajlarına karşı
kontrol etmektir.
Bu çalışmayı yapmanız için gereken üç şey, göstergeleri kendileri, karşılaştırmak istediğiniz
bilgileri içeren günlükleri ve karşılaştırma yapmak için gereken SIEM kaynaklarını (kurallar,
raporlar, arama tabloları) almanın bir yoludur.
Göstergeleri almak için kullandığınız yöntem, seçtiğiniz istihbaratın kaynağına göre
değişecektir. Öncelikle açık kaynak yayınları kullanıyorsanız, göstergeleri toplamak ve
karşılaştırmak için kullanabileceğiniz bir liste halinde işlemek için bir sistem oluşturmanız
gerekebilir. Bu yaklaşım, komut verilerinin bir web sayfasından yayın verilerini almasını veya
toplandıktan sonra yerel bir veri tabanından göstergeler çıkarmasını gerektirebilir. Ücretli bir
yayın veya platform sağlayıcısı seçerseniz, sundukları göstergeleri toplamak ve almak için
kendi araçlarını sağlayabilirler.
Göstergeleri aldığınızda, göstergelerle karşılaştırmak için kullanabileceğiniz herhangi bir bilgiyi
yakalayıp yakalamadıklarını belirlemek için güvenlik cihazlarınızdaki günlükleri incelemelisiniz.
Tehdit beslemelerinde en yaygın gösterge türleri IP adresleri, etki alanı adları, URL'ler ve kötü
amaçlı yazılım karmaşasıdır. Genellikle bu tür bilgileri kaydeden teknolojiler arasında güvenlik
duvarları, IDS, DNS, proxy'ler, EDR sistemleri, web ağ geçitleri ve posta sunucuları bulunur.

Gereksinimler, Planlama, Yön ve Gözden
Geçirmek
Organizasyona Yönelik Kritik Tehditleri Belirlemek
Bir kuruluş karşılaştıkları olası tehdit ve risklere göre önceliklendirilmesi gereken varlıklara
sahip olabilir. Bu varlıklar insanların süreçlerini, ürünlerini ve sağladıkları hizmetleri
kapsamaktadır. Kurumun, bu tür varlıklardan hangisinin, iş faaliyetlerini yürütmek için kritik
olduğunu anlaması önemlidir. Bu varlıklara yönelik kritik tehditleri tanımlaması ve bu tehdidin
etkisine dayanarak öncelik vermesi gerekir:
Seviye Önem
1 Önemsiz Seviye
2 Düşük Seviye
3 Orta Seviye
4 Yüksek Seviye
5 Kritik Seviye
Kuruluşun Mevcut Güvenlik Baskı Duruşunu
Değerlendirin
Siber güvenlik duruşunuzu tanımlamak, kurumunuzu, ihlallere ve izinsiz girişlere karşı korumak
için çok önemlidir. Siber güvenlik açısından ne kadar olgun olduğunuzu, hangi boşlukları
düzeltmeniz gerekebileceğini ve aksiyonlarınızın neye öncelik verecek şekilde
önceliklendirmeniz gerektiğine dair fikir verir.
Bu değerlendirmeyi yapmak için aşağıdaki adımlardan faydalanabilirsiniz:
Bu değerlendirmeyi yapmak için çeşitli adımları takip edebiliriz; Öncelikle Kurumunuzu için
neyin tehdit oluşturup oluşturmadığını bilmek gerekir. Daha sonra bu tehditlerin tehlike altına
soktuğu varlıkların belirlenmesi gereklidir. Kurumun sahip olduğu kaynaklar sınırlı olduğu için
Bir önceliklendirme yapılmasında fayda vardır. Tüm varlıklar ve sistemler eşit kritik düzeye
sahip olmadığı için bu işlem zaman ve kaynak kullanım açısından sağlıklı olacaktır. Bu sistemleri
ve verileri korumak için gerekli siber güvenlik çerçevesini uygulamadan önce risk seviyesini
belirlememiz gereklidir. Risk seviyesi belirlemesi ve güvenlik çerçevesi uygulamasından sonra
mevcut kontrollerin yeterince iyi olup olmadığından emin olmak gereklidir. Sahip olduğunuz

çözümlerin yetersiz kaldığı noktalarda iyileştirmeler yapılmalıdır. Aksi halde saldırganlar zayıf
noktalarından faydalanabilir, sizin bile farkında olmadığınız zafiyetlerini sömürmeye çalışabilir.
1. Kurumunuz için neyin tehdit oluşturduğunu bilmek: Kurumunuz için neyin gerçekte
önemli olduğunu yakından takip etmek kritik bir noktadır.
2. Korunması gereken risklerin önceliklendirilmesi.
3. Risk seviyenizi belirlemek.
4. Bir siber güvenlik çerçevesi uygulamak.
5. Siber güvenlik kontrollerini yeterince iyi olup olmadığını kontrol etmek.
6. Tehditlerin zayıf noktaları sömürüp sömürmediği den emin olmak
Kuruluşun Mevcut Güvenlik Altyapısı ve İşlemlerini Anlama
Kuruluşların mevcut güvenlik altyapısını ve operasyonlarını anlamak için aşağıdaki güvenlik
kontrollerini göz önünde bulundurmak gereklidir:
SIEM
Bilgisayar güvenliği alanında, security information and event management ( SIEM ) yazılım
ürünleri ve hizmetleri, güvenlik bilgileri yönetimi ( security information management) (SIM) ve
güvenlik etkinliği yönetimini (security event management) (SEM) birleştirir. Uygulamalar ve ağ
donanımı tarafından oluşturulan güvenlik uyarılarının gerçek zamanlı analizini sağlar.
Satıcılar SIEM'i yazılım, cihaz veya yönetilen hizmetler olarak satarlar; Bu ürünler aynı zamanda
güvenlik verilerini kaydetmek ve uyumluluk amacıyla raporlar oluşturmak için de kullanılır.
SIEM Ürünlerinin Özellikleri
Veri Toplama: Günlük log yönetimi , ağ, güvenlik, sunucular, veritabanları, uygulamalar dahil
olmak üzere birçok kaynaktan gelen verileri toplar.
Korelasyon: Ortak özellikleri arar ve olayları anlamlı paketlerle birleştirir. Bu teknoloji, verileri
yararlı bilgilere dönüştürmek için farklı kaynakları entegre etmek için çeşitli korelasyon
teknikleri gerçekleştirme yeteneği sağlar. Korelasyon tipik olarak, tam bir SIEM çözümünün
Güvenlik Olay Yönetimi bölümünün bir işlevidir.
Uyarı: İlişkili olayların otomatik analizini sağlar.
Panolar: Araçlar, olay verilerini alabilir ve örüntüleri görmeye veya standart bir örüntü
oluşturmayan etkinliği tanımlamaya yardımcı olmak için bilgi çizelgesine dönüştürebilir.
Uyumluluk: Uyumluluk verilerinin toplanmasını otomatikleştirmek, mevcut güvenlik, yönetim
ve denetim süreçlerine uyum sağlayan raporlar üretmek için uygulamalar kullanılabilir.
Elde Tutma: Zaman içinde verilerin korelasyonunu kolaylaştırmak için geçmişe ait verilerin
uzun süreli olarak depolanması ve uyumluluk gereklilikleri için gerekli tutulmanın sağlanması

işlemidir. Uzun vadeli log verilerinin tutulması adli araştırmalarda kritik öneme sahiptir, çünkü
bir ağ ihlali keşfi gerçekleştiği zaman gerçekleşmesi muhtemel değildir.
NGFW
Next-Generation Firewall, Yeni nesil bir güvenlik duvarı (NGFW), geleneksel bir güvenlik
duvarını , çevrimiçi derin paket incelemesi (DPI) kullanan bir güvenlik duvarı gibi bir güvenlik
duvarı denetimi (DPI), izinsiz giriş önleme sistemi kullanan bir uygulama güvenlik duvarı gibi
diğer ağ aygıtı filtreleme işlevleriyle birleştiren üçüncü nesil güvenlik duvarı teknolojisinin bir
parçasıdır. TLS / SSL şifreli trafik denetimi, web sitesi filtreleme, QoS / bant genişliği yönetimi,
virüsten koruma yazılımı denetimi ve üçüncü taraf kimlik yönetimi entegrasyonu Gibi diğer
teknikler de kullanılabilir.
Gateway
Ağ geçidi, farklı protokolleri bir arada kullanarak iki ağı birbirine bağlayan bir ağ düğümüdür.
İki benzer ağ türünü birleştirmek için bir köprü kullanılırken, birbirine benzemeyen iki ağı
birleştirmek için bir ağ geçidi kullanılır.
IPS/IDS
İzinsiz giriş tespiti(IDS), ağınızda meydana gelen olayları izleme ve bunları güvenlik
politikalarınız için muhtemel olayların, ihlallerin veya yakın tehditlerin belirtileri açısından
analiz etme işlemidir. İzinsiz giriş önleme(IPS) izinsiz giriş tespitini gerçekleştirme ve ardından
tespit edilen olayları durdurma işlemidir. Bu güvenlik önlemleri, olası olayları tespit etmek ve
durdurmak için ağınızın bir parçası olan izinsiz giriş tespit sistemleri (IDS) ve izinsiz giriş önleme
sistemleri (IPS) olarak mevcuttur.
Endpoint Çözümler
Endpoint security veya endpoint protection; istemci cihazlara uzaktan köprülenen bilgisayar
ağlarının korunmasına yönelik bir yaklaşımdır. Bağlantı dizüstü bilgisayarlar , tabletler , cep
telefonları kurumsal ağlara ve diğer kablosuz cihazların güvenlik tehditlerine karşı saldırı yollar
oluşturur. Uç nokta güvenliği, bu tür cihazların standartlara belirli bir düzeyde uyum
göstermesini sağlamaya çalışır.
Tanımlanmış Tehditler İçin Riskleri Değerlendirin
Siber tehditler belirlendikten sonra, kuruluşlar bu tehditlerle ilgili çeşitli riskleri
değerlendirmek zorundadır. Siber riskleri değerlendirirken, kurumun çeşitli siber güvenlik
önlemlerinden kaynaklanabilecek iş risklerini dikkate alması çok önemlidir. Ayrıca, bu güvenlik
önlemlerinin hem şirket içindeki hem de müşterilerle olan işletme yasalarını ve ilişkilerini nasıl
etkilediğini bulmaları gerekir. Defansif stratejilerini test etmek için, risk değerlendirmesi

yapmak adına üçüncü partilerle çalışılabilir. Üçüncü parti taraflar kuruluşun güvenlik
değerlendirmesinde çok yardımcı olabilir.
Risk değerlendirmesinin sonucu, tespit edilen açıkları ve organizasyonel ağ üzerindeki etkileri
ve kaza yapma olasılıkları açısından değerlendirilen riskleri içeren bir rapordan iletilir. Bu
rapora dayanarak, kuruluş mevcut güvenlik duruşlarını geliştirmek için bir tehdit istihbarat
programı oluşturmanın amaçlarını ve gerekliliklerini belirleyebilir.

Gereksinim Analizini Anlamak
İstihbarat İhtiyaçlarını ve Gereksinimlerini Belirleme
İstihbarat ihtiyaç ve gereksinimlerinin belirlenmesi, istihbaratın katkıda bulunmasının
beklendiği soruları tanımlamak anlamına gelmektedir. Gereksinimler ayrıca, belirli istihbarat
türlerinin toplanmasının belirtilmesi anlamına da gelir.
Tehdit İstihbaratı Gereksinimlerini Tanımlayın
Gereksinimlerin belirlenmesi, herhangi bir istihbarat araştırması ve toplanmasına zaman
ayırmadan önce tamamlanması gereken ilk görevdir. Farklı kaynaklardan (örneğin, paylaşım
grupları, beslemeler, vb.) alınan toplam bilgi miktarı çok büyüktür ve bunun büyük kısmı
kuruluşunuzla ilgili olmaz. Yalnızca kuruluşumuzu ilgilendiren bilgi miktarına odaklansanız
bile, çoğu zaman bu tür veriler yine de analistlerin kapasitesinin üstünde olacaktır. Bu
nedenle, en uygun ve en kritik bilgilerin işlendiğinden ve gürültüde kaybolmadığından emin
olmak için, uygun bir model gereklilikleri ve bunların önceliğini tanımlamalıdır.
Gereksinim türlerini üç farklı gruba ayırabiliriz:
● Yüksek Seviye Gereksinimleri: Adından da anlaşılacağı gibi, bunlar ne tür bir tehdit
aktörünün ilgi çekici olduğunu tanımlama, hangi işletme endüstrisi endüstrilerinin
anlaşılması gibi genel şartlardır.
● İşlevsel gereksinimler: Bunlar, kuruluşunuzun ne tür alt yapıya sahip olduğunu
gösteren daha pratik ve teknik gereksinimlerdir.
● Yetenek / Görünürlük Gereksinimleri: Bu, önceki iki kategoride tanımlanan
gereklilikleri yerine getirmek için gereken uygun iç görünürlüğü elde etmek için
analistin erişmesi gereken noktadır.
İş İhtiyaçları ve Gereklilikleri
İşletme Birimleri, İç Paydaşlar ve Üçüncü Taraflar
İşletme Birimleri: Bir tehdit istihbarat programı geliştirmeden önce aşağıdaki iş birimlerinin
ihtiyaç ve gereksinimleri dikkate alınmalıdır;
● Risk yönetimi
● İç denetim
● Yasal ve Uygunluk
● IT

İç Paydaşlar: Bir tehdit istihbarat programı geliştirmeden önce aşağıdaki iç paydaşlar ihtiyaç
ve gereksinimleri dikkate alınmalıdır;
● İşletme yöneticileri
● Yönetim
● Son kullanıcılar
● Baş bilgilendirme görevlisi
● CISO, Güvenlik Analisti / Güvenlik Yöneticisi
Third Party: Bir tehdit istihbarat programı geliştirmeden önce aşağıdaki third party ihtiyaç ve
gereksinimleri dikkate alınmalıdır;
● Third Party anlaşmalı taraflar
● Tedarikçileri
Diğer Takımlar
● BT mimarları ve BT karar vericileri
● Güvenlik Operasyon Merkezleri
● Yanlış müdahale ekipleri
● Güvenlik kontrol yöneticisi
● Güvenlik açığı yönetim ekipleri
Gereksinimleri Önceliklendirme Faktörleri
Gereksinimlerin önceliklendirilmesi, bir kuruluşun önemli varlıklarının saldırılara karşı
korunmasında önemli bir adımdır. Öncelikli birtakım gereksinimler geliştirmek için analitik ve
sosyal becerilerin bir birleşimi gerekmektedir. Varlıkların önemlerine göre bölünmesi veya
sınıflandırılması için gerekli ve odaklanmış ihtiyaç analizi yapılmalıdır.
Önceliklendirmeyi önemlerine göre etkileyen çeşitli faktörler vardır.
● Yarar
● Ceza
● Maliyet
● Risk
● Bağımlılıklar
● Zaman Duyarlılığı
● İstikrar
● Düzenleyici / Politika Uyumluluğu

Gereksinimlerin Önceliklendirilmesi İçin MoSCoW
Yöntemi
MoSCoW yöntemi yönetimi, kullanılan önceliklendirme tekniğidir iş analizi , proje yönetimi ve
yazılım geliştirme ile ortak bir anlayışa ulaşmak paydaşların her teslimi verdiğimiz önemi
üzerinde gereksinimi ifade etmektedir.
Şekil: MoSCoW tekniği altyapısı
MoSCoW Metoduna başlamadan önce gereksinimleri belirlemek en ideal yoldur.
Gereksinimleri belirlerken, tüm paydaşlar için neyin önemli olduğunu göz önünde
bulundurmalısınız. İlgili herkesle beyin fırtınası yapmak, iyi ve kaliteli gereksinimlere yol
açacaktır. Gerekliliklerin pahalı veya gerçekçi olmamalarını önlemek için gereksinimlere
öncelik verilir. Asıl amaç, şirket için en fazla değeri katan gereksinimlerin ortaya çıkmasıdır.
Kategoriler aşağıda gösterilmiştir:
1-) Mo (Must-Haves)
Must, sonucun yerine getirmesi gereken önceden belirlenmiş asgari şartlar ile ilgilidir. Bu
gereklilikleri yerine getirmeden proje başarısız olur ve ürün kullanılamaz. Çalışılabilir bir ürün
için bir zorunluluktur ve alternatif yoktur. ‘Olması gerekenler’ esastır. MUST aynı zamanda
Minimum Kullanıma Dayalı Meblağların kısaltması olarak da açıklanmaktadır.
2-) S (Should-Haves)
Should, yüksek önceliğe sahip, ancak kullanılabilir bir son ürün için gerekli olmayan ek
gereksinimlerdir. Bu gereksinimler karşılanmasa bile ürün kullanılabilir. Bulundukları zaman,
sadece ürünün değerine katkıda bulunacaklardır. Mevcut zamana bağlı olarak, daha sonra her
zaman bu gereksinimlere geri dönülebilir.

3-) Co (Could-Haves)
Bu şartlar, zamanın kalması durumunda dikkate alınabilir. Olmazsa, sorun olmaz ve nihai sonuç
üzerinde olumsuz bir etkisi olmaz. 'Could-Haves', 'Should-Haves'lerden daha düşük bir
önceliğe sahip olabilir. Bu seçenek ancak çalışmasını sağlamak için gerçekten yeterli zaman
varsa, eklenecektir. Bunlar mutlak bir gereklilikten çok bir istektir.
4-) W (Won’t- and Would-Haves)
Bunlar geleceğe yönelik dileklerle ilgilidir. Eğer basit bir şekilde mümkün değilse, üzerinde
hiçbir enerji israf etmemek en iyisidir. Eğer başarılabilirse, o zaman çok fazla zaman (ve para)
yatırılmak zorunda kalacak ve “Yapacak” olarak etiketlenecektir. İlk proje bittikten sonra sık
sık sonraki bir aşamada “olurlar” takip edilir.
Kurumsal Varlıkların Önceliklendirilmesi
Birçok kuruluş kritik verilerini bulutta veya dijital kaynaklarda tutar. Bu veriler, çalışanlar /
müşteri kayıt iş altyapısı ve başlangıçlar, finans kayıtları gibi kişisel bilgileri içerir. Yetkisiz
erişime ve veri kullanımına izin vermeden önce, bu eklentilere öncelik verilmelidir.
Bunların arasında kilit öncelikli varlıkların bazıları öncelikli ve korumalı olmalıdır;
● Kişisel Detaylar
● Finansal Bilgi
● Fikri Mülkiyet
● Hassas İş Verileri
● Giriş Detayları ve IT Sistem Bilgisi
Gizlilik Sözleşmesi
Non-Disclosure Agreement (NDA), Gizlilik Sözleşmesi; En az iki taraf arasındaki belirli amaçlar
için birbirleriyle paylaşmak istedikleri, ancak üçüncü şahısların erişimini kısıtlamak istedikleri
gizli bilgi ve amaçlar için gerçekleştirilen yasal bir sözleşmedir. Bu tarafların anlaşma
kapsamındaki bilgileri ifşa etmemeyi kabul ettiği bir sözleşmedir. Bir gizlilik sözleşmesi kamuya
açık olmayan ticari bilgileri korur.
Gizlilik sözleşmesi (NDA), tek taraflı, iki taraflı ve çok taraflı olarak sınıflandırılabilir:
Tek Taraflı: Tek taraflı bir NDA, yalnızca bir tarafın belirli bilgilerinin korunmasını gerektiren
sözleşmelerdir.
İki Taraflı: İki taraflı bir NDA, her iki tarafın belirli bilgilerinin korunmasını gerektiren
sözleşmelerdir.

Çok Taraflı: Çok taraflı bir NDA, taraflardan en az birinin diğer taraflara bilgi vermeyi beklediği
ve bilgilerin daha fazla açıklamadan korunmasını gerektirdiği üç veya daha fazla tarafı içerir. u
NDA türü yalnızca iki taraf arasında tek taraflı veya iki taraflı NDA'lara olan ihtiyacı ortadan
kaldırmaktadır. Çok taraflı bir NDA avantajlı olabilir, çünkü taraflar yalnızca bir anlaşmayı
gözden geçirir, uygular ve uygular. Bununla birlikte, bu avantaj, tarafların çok taraflı bir
anlaşma konusunda oybirliği ile uzlaşmaya varması için gerekli olabilecek daha karmaşık
müzakerelerle telafi edilebilir.
Yaygın Tehdit İstihbarat Tuzaklarından Kaçının
Zayıf tasarlanmış bir tehdit istihbaratı programı sadece para ve zaman israfı olarak kalabilir.
Bir tehdit istihbaratı programının varlığın güvenmek ve bunun rahatlığına kapılmak da aynı
şekilde oluşması gereken bir rahatlıktır.
Başarılı bir tehdit istihbaratı oluşturmaya yönelik pek çok yol vardır, ancak bu yolda karşımıza
potansiyel engeller çıkabilmektedir. Bu engeller ve tuzaklardan kaçınabilmek için öncelikle
bunların ne olduklarını kavramamız gerekmektedir.
Yanlış Önceliklendirme: Daha önce değindiğimiz risklerin önceliklendirilmesi konusunun
önemi burada baş göstermektedir. Önceliklendirmenin yanlış yapılması zaman ve kaynak
tüketimini olumsuz yönde kullanılmasına sebep olmaktadır.
Yanlış Teknoloji: Çalışma alanının en iyilerinden olan bir tehdit tehdit istihbaratı programın,
risk izleme, araştırma, görselleştirme ve bilgi yönetimi gibi işlemleri yaparken kullandığı
teknolojiler olmadan çalışamaz. Bu teknolojilerin yanlış yapılandırılması ve yanlış
teknolojilerin, çözümlerin, eklentilerin kullanılması çalışma verimini olumsuz yönde
etkileyecektir.
Yanlış Kişiler: İnsan bir istihbarat programında önemli bir yere sahiptir ve yanlış seçilmeleri
çok kolay gerçekleşebilen bir olaydır. Özellikle işe alım süreçlerinde, örneğin bir yöneticinin ve
insan kaynakları personelinin insani duyguları ve geçmişe ait önyargıları bu süreci
tetikleyebilmektedir.
Yukarıdaki dikkat edilmesi gereken tuzak kavramlara ek olarak; Güvenilmez tehdit istihbaratı
kaynakları, çalışanlar arasında ve yöneticilerle olan iletişimin zayıflığı, ortak gürültüsü gibi
olaylarda başarılı bir tehdit istihbaratı programı için tuzak niteliğindedir.

Tehdit İstihbaratı Programını Planlama
İnsanları, Süreçleri ve Teknolojiyi Hazırlamak
Bir tehdit istihbaratı programı oluştururken aşağıdaki 3 öğenin program planına göre
hazırlanması gerekmektedir:
1-) İnsanlar: Süreçlerin ve teknolojinin çalışabilmesi için arkasında insan gücünün olması
gerekmektedir. Bu insan gücü; doğru beceriye, uygun bilgi ve tecrübeye sahip olmalıdır.
Siber tehdit istihbarat ekibin oluşturan kişilerin aşağıdaki özelliklere sahip olması
gerekmektedir:
● Sistemler üzerinden adl veriler toplayabilme,
● Kötü amaçlı yazılım analizi yapma,
● Tersine mühendislik çalışmaları gerçekleştirme,
● Siber tehdit istihbaratı operasyonlarını oluşturma ve yönetme,
● Saldırı öncesi ve sonrası durum değerlendirme,
● Tehdit bilgisini sorgulanması, analizi ve paylaşılması,
● Kurum içi güvenlik ekipleriyle iş birliği yapma,
2-) Süreçler: İnsan ögesinde yer alan işlerin gerçekleştirilebilmesi için işlemeye geçilmesi
gerekir. Buda süreç aşamasıdır. Sonuçlara ulaşmak için eylemler ve gerekli adımlar atılmalıdır.
3-) Teknoloji: Teknoloji tek başına ele alındığında sorunları çözemez. Ancak doğru kullanılırsa
ve açıkça ifade edilen hedefler, tanımlanmış süreçler ve iyi bilgilendirilmiş, eğitimli kişiler
tarafından kullanıldığında sorunları çözmek için kullanılabilir. Tehdit istihbaratının doğru
kullanılması, üreticilerin ve tehdit istihbarat tüketicisinin etkin kullanımını gerektirir.
Tehdit istihbaratı üretici ve tüketicilerine örnek vermek gerekirse:
● Ham veri üreticileri
● Tehdit verisi tüketicileri
● Tehdit istihbaratı tüketicileri
● Tehdit istihbaratı üreticileri

Bir Veri Toplama Planı Geliştirmek
Bir Veri Toplama Planı hem temel verilerin hem de kök nedene ilişkin ipuçları sağlayabilecek
verilerin toplanmasına yönelik düşünülmüş bir yaklaşımdır. Planda nerede veri toplanacağı,
nasıl toplanacağı, ne zaman toplanacağı ve toplamanın kim tarafından yapılacağı yer
almaktadır.
Veri toplama planı oluşturmayı 8 başlık altında madde madde inceleyebiliriz:
1) Cevaplanması gereken soruların tanımlanması: Veri toplama planı oluşturmanın ilk adımını
cevaplamak istediğimiz sorular oluşturur. Üzerinde çalıştığımız veriler projeye ait veriler
olmalıdır.
2) Kullanılabilir veri türünün belirlenmesi: Veri Toplama Planı oluşturmadaki ikinci adım, ne
tür verilerin toplanabileceğini bulmaktır. Gerekli tüm cevapları bize verebilecek hangi veriler
vardır? Bazen, belirli bir veri parçası bize birden fazla cevap verebilir.
3) Ne kadar verinin gerekli olduğunun belirlenmesi: Veri Toplama Planı oluşturmadaki üçüncü
adım, ne kadar veriye ihtiyacımız olduğuna karar vermektir. Modelleri ve eğilimleri
görebilmemiz için yeterli veriyi almamız gerekmektedir. Listedeki her veri öğesi için, gerçekte
ne kadar veri gerekli olduğunu belirleyin.
4) Verilerin nasıl ölçüleceğinin belirlenmesi: Veri toplama planı oluşturmadaki dördüncü
adım, verileri nasıl ölçeceğimizi görmektir. Veriler farklı şekillerde ölçülebilir. Ölçtüğümüz
yöntem aradığımız veri türüne bağlı olacaktır.
5) Verileri kimin toplayacağına karar verilmesi: Veri toplama planı oluşturmadaki beşinci
adım, verileri kimin toplayacağına karar vermektir. Günümüzde, veriler otomatik yazılım
aracılığıyla da toplanabilir. Verilerin mevcut ve doğru biçimde olduğundan emin olmak için
yazılımdan sorumlu kişiyle iletişim kurmamız gerekebilir.
6) Verilerin nereden toplanacağını belirlenmesi: Veri toplama planı oluşturmadaki altıncı
adım, verilerin nereden toplanacağını kontrol etmektir. Veri yeri ve / veya kaynağına karar
vermek demektir. Yer herhangi bir fiziksel yer anlamına gelmez. Süreç içindeki konumdur. Veri
toplama planı, işlem verilerinin nereden alınacağı açıkça belirtilmelidir.
7) Bir numunenin mi yoksa tüm popülasyonun mu ölçüleceğine karar verilmesi: Veri toplama
planı oluşturmadaki yedinci adım, verilerin örneklenip örneklenmeyeceğine karar vermektir.
Bazen bütün bir veri popülasyonunu ölçmek pratik değildir. Böyle bir durumda, daha sonra bir
veri örneği alırız. Proje ekibinin dikkat etmesi gereken soru şu olabilir: İstatistiksel olarak
sağlam yargılarda bulunmak için örnekleme yöntemimiz ve örneklerimizin boyutu ne olmalı?
8) Verilerin hangi formatta görüntüleneceğini belirleyin: Veri Toplama Planı oluşturmadaki
sekizinci adım, verilerin görüntülenme biçimine karar vermektir.

Bir Bütçe Planlayın
Teknoloji ve kurum içi gereklilikler değiştiği sürece güvenlik duruşları da değişmelidir. Modern
siber güvenlik stratejileri uygulanmalı ve bütçe planlamaları da bu doğrultuda yapılmalıdır.
Bu planlamalar yapılırken öncelikle dikkat edilmesi gereken noktalar bulunmaktadır.
Çalışan eğitimi: Kurum içi siber güvenlik stratejisini destekleyecek, çalışanlara yönelik
eğitimler için bütçe ayrılması gerekmektedir.
Güvenlik politikası: Kurum içi güvenlik politikası şarttır ve çalışanların eğitimi ile sıkı sıkıya
bağlantılı olmalıdır. Politikaların çok katı olmasına gerek yoktur ancak İnternet'in ve ona bağlı
kaynakların kabul edilebilir kullanımı konusunda rehberlik sağlamalıdır. Sosyal medyada ve
webde gezinmeyi engellemek sağlam bir politikaya sahip olduğunuzu göstermez. Politika dili,
kabul edilebilir kullanım ile sonuçlar arasında açık bir ilişki kurmalıdır.
Çevre çözümleri: Burada, yeni nesil veri kaybı önleme, güvenlik duvarı ve izinsiz giriş önleme
teknolojilerini örnek gösterilebilir.
Network farkındalığı: Network farkındalığı siber güvenlik stratejisinin kritik bir bileşeni
olmalıdır. Burada ağ farkındalığınızı daha iyi anlayabilmeniz için anahtarlama ve yönlendirme
yazılımlarınızı ve donanımınızı sağlayan ekiple birlikte çalışmak önemlidir.
Güvenlik ekibi için özel eğitim: Her yıl en azından asgari eğitim planları yapılmalı ve özellikle
güvenlik ekipleri için özel eğitimler düzenlenmelidir. Bu eğitimler danışmanlık firmalarından
veya benzeri eğitim kurumlarından olabileceği gibi şirket içi eğitimler de gerçekleştirilebilir.
Paydaşlara İlerlemeyi Güncellemek İçin İletişim Planı
Geliştirin
Bir tehdit istihbarat programını yönetirken, tüm paydaşları tehdit istihbarat programının
ilerleyişi hakkında bilgilendirmek önemlidir. Paydaşlarla bir iletişim yolu oluşturmak, projenin
başarılı olması için gereklidir. Program durumunu bildirmek için yazılım kullanmak, durum
raporları hazırlamak veya düzenli toplantılar düzenlemek gibi paydaşlarla iletişim kurmanın
birçok yolu vardır.
Etkili bir iletişim planı geliştirmek, ilerlemeyi paydaşlara güncellemenin en etkili yollarından
biridir. Etkili bir iletişim planı oluşturmak, ekibin her paydaşın ilerleme hakkında ne zaman ve
nasıl bilgilendirildiğine bilmesine yardımcı olacaktır.

Toplanmış Tehdit İstihbaratı
Veri kaynakları tanımlandıktan ve çeşitli istihbarat kaynaklarından veri toplandıktan sonra, ilk
ve en önemli adım, toplu tehdit istihbaratının nereye depolanacağına karar vermektir. Mevcut
güvenlik kontrolleri ile güvenli bir şekilde kolayca entegre edilebilmesi için bir yerde
depolanması gerekir. Bir analistin veri kaynakları hakkındaki metrikleri toplayabilmesi, hedef
kitlesinin optimizasyonunda en yararlı olduğu durumlarda, avantajlı olacaktır.
Bu konuda, aşağıdaki kilit soruların cevaplanması gerekmektedir:
Platform: Tehdit istihbarat platformu, tehdit istihbaratının arttırılmasında önemli bir rol
oynamaktadır. Edinilen istihbaratın tek başına bir platforma ihtiyaç duyup duymadığına veya
kuruluşun diğer son nokta tespit çözümlerini kullanıp kullanamayacağına karar vermek çok
önemlidir.
Portal: Bir kuruluşun, sağlayıcı portalına güvenmesi gerekiyor mu? Tehdit istihbarat
sağlayıcıları tarafından sunulan portal, organizasyonun uyarılar göndermesini ve verileri
yönetmesini sağlar. Bir kuruluşun portallarla ilgili olarak alması gereken çok çeşitli kararlar
vardır:
Entegrasyon: Verilerin mevcut güvenlik sistemlerine entegrasyonu organizasyon için esastır
ve kuruluş tarafından alınacak kararların alınmasını gerektirir.
Bir Tehdit İstihbarat Platformu seçin
Tehdit istihbaratı platformları seçerken dikkat edilmesi gereken noktalar:
Özelleştirme: Kurum için tercih edilen siber tehdit istihbaratı platformu kuruma özel olmalıdır.
Özelleştirilmemiş çözümler faydadan çok zarar verebilir ve zamanı verimli kullanmaya engel
oluşturabilir. Özelleştirilmiş bir tehdit istihbaratı platformu, kullanacağınız öğeleri seçmenize,
kullanmayacağınız özellikleri devre dışı bırakmaya olanak sağlar.
Hizmet: Saldırıların hedefinde genellikle küçük ve orta ölçekli kurumlar bulunmaktadır. Çünkü
bu tarz kurumlar tehlikelere karşı daha savunmasız olabilmekte ve gerekli çözümleri
gerçekleştirmiş olabilmektedirler. Siber güvenlik ekiplerinin olmaması ve zayıf bir ekibe sahip
olmaları, danışmanlık hizmeti almamaları ve bu hizmete bütçe ayırmamaları, çalışanlarına
gerekli farkındalık eğitimlerinin verilmemesi saldırıların hedeflerinde olma nedenleri arasında
sayılabilir.
Hız: Büyük saldırılar, aylarca deneme ve gizlenme, uzun süren uğraşlar gerektirirken; veri
ihaleleri aksine çok hızlı gerçekleşen işlemlerdir. Veri ihalelerinin gerçekleşmesi durumunda
olaya gerçek zamanlı müdahale ağ savunması ve tehdit analizi hayati önem taşımaktadır.
Yüksek kaliteli Tehdit istihbaratı platformu şüpheli aktiviteyi algılar ve gerçek zamanlı cevap
verilir.

Bildirimlerin Doğruluğu: Tehdit istihbarat platformu uyarılarının şüpheli etkinliklere duyarlı
olması gerekir. Ama bu hassasiyet çizgisi yeterince iyi ayarlanmazsa olumsuz etki oluşturabilir.
Örneğin false-pozitif değer döndürülmesi gibi. Bu değerlerin güvenlik ekipleri gereksiz meşgul
etmesi, asıl odaklanılması gereken noktaların kaçırılmasına sebep olması da aynı şekilde
felaket etkisi yatabilir.
Tepkilerin Kalitesi: Saldırı altında olduğunuzu öğrenmek, harekete geçmek için çok önemli bir
adımdır. Tehdit istihbarat platformunuz, tehditleri hızlı bir şekilde çözmede de etkili olmalıdır.
Veri Paylaşımı: Tehdit istihbarat verilerinin geleceği, işletmelerin tehdit verilerinin siber
istihbarat büyüklüğüne güvenli bir şekilde katkıda bulunmalarına dayanır.
Farklı Hedefler İçin Tüketici istihbaratı
Genel olarak, birçok tehdit istihbarat programı kötü niyetli web sitelerinin izlenmesi ile ilgili
göstergelerin tanımlanmasında kullanılan güvenlik verilerine odaklanmaktadır. Bu tehdit algısı
kurumun çevresi için nasıl faydalıdır? Tehdit istihbaratının çeşitli iş stratejilerine
uygulanabilmesi için, organizasyon ve araştırmacıların, organizasyonla ilgili daha genel verilere
odaklanan bağlamsal istihbaratı çıkarması gerekir.
Paydaşların Bilgilendirilmesi İçin Metriklerin İzlenmesi
Aşağıda, göz önünde bulundurulması gereken önemli ölçülerden bazıları verilmiştir:
● Olayı tespit etmek için geçen süre
● Karşılaşma oranı
● False-positive oran
● Tehdit sınıflandırması
● Tehdit artış hızı
● İç ve dış olay oranı
● Tehdit istihbaratının başarı oranı
● Geri bildirim ve açıklamalar

Tehdit İstihbarat Ekibi Oluşturma
Tehdit istihbaratı birçok işletme için , hızla, bir risk unsuru haline gelmeye başlamıştır. Bilgi
güvenliğini en üst seviyelere ulaştığı son birkaç yılda, kurumlar güvenlik tehdit istihbaratı
programlarına ağırlık vermeye başlamıştır. Bu önem çerçevesinde güvenlik ekipleri
oluşturulmuş, birimlere ayrılmış ve tehdit istihbaratı ekipleri de bu birimlerden biridir.
Bu tehdit istihbaratı ekiplerini oluştururken dikkat edilmesi gereken noktalar mevcuttur.
Başarılı Bir Tehdit İstihbaratı Ekibi İçin Önemli Kurallar
1) Yetenek Kişiselleştirme
Tehdit istihbaratı ekipler insan/insanlar tarafından yönetilir. Bu nedenle doğru insanın doğru
beceriye sahip olması çok önemlidir.
Tehdit analizinin belirli kısımları, farklı ve uygulama beceri setleri gerektirmektedir. İstihbarat
analizi, korelasyon ve verilere dayalı tehditler hakkında öngörüde bulunma, çok gelişmiş
araştırma ve analitik beceriler ve örüntü tanıma gibi beceriler gerektirir.
Bir yönetici için kip arkadaş yalnızca sanal becerilerden değil, aynı zamanda insani
becerilerinde göz önünde bulundurmak gerekir. Yöneticini ekip içerisinde güven ve etkili
iletişim kurduğundan emin olması gerekmektedir. Ekipler arasındaki etkileşim ve iş önceden
planlanmalı ve paylaşımı, güvenlik kararları vermekten sorumlu ekipler için kolay
entegrasyonu kolaylaştırmalıdır.
2) Savunma Sistemini Planlamak/Altyapı Planlanması
Kuruluşlar tutarlı, alakalı ve eyleme geçirilebilir tehdit verileri sağlayan şirket içi yazılımlar
geliştirebilirler.
Özel tehdit istihbarat platformları kuruluşun özel ihtiyaçlarına göre uyarlanma avantajına
sahiptir ve çoğu zaman ticari, kullanıma hazır çözümlerden daha küçük bir fiyat etiketi ile gelir.
Bu özel tasarlanmış çözümler, dış verileri otomatik olarak toplamak, depolamak, işlemek ve
güvenlik günlükleri, DNS günlükleri, Web proxy günlükleri, Netflow ve IDS / IPS gibi dahili
telemetri ile ilişkilendirmek için dış satıcı sistemleriyle bütünleşmelidir.
3) İş Kararlılığını etkinleştirmek
Her tehdit istihbaratı programının temel amacı, kurumu etkilemeden ortaya çıkan tehditleri
bulmaktır. Doğrudan tehditlerin sayısının azaltılması riski azaltır, bu da karlılığı artırır. Tehdit
istihbarat ekipleri bu nedenle, tehdit olaylarının ve kaynaklarının tanımlanmasına ve
reddedilmesine öncelik vermek için işletmenin karlılık düzeyi olarak tanımladığını bilmelidir.

Kurumun merkezinde, işletmenin stratejik varlıkları (müşteriler, çalışanlar, altyapı,
uygulamalar, satıcılar) bulunmaktadır. Stratejik varlıkların korunması bir numaralı önceliktir ve
tehditlerin ortaya çıkması için savunma kontrollerinin yönetilmesi gerekir.
Önemli varlıkların korunmasını sağlamak için, tehdit analistleri daha büyük tehdit tablosunu
inceleyebilmeli ve genel endüstri tehditleri, trendler, saldırgan TTP'ler ve kötü amaçlı
yazılımları gibi şeyleri tanımlayabilmelidir.
4) Sürekli İletişim
İş kararlılığını sağlamak için, iş hedeflerinin ve yok haritasının ekip tarafından iyi anlaşılması
gerekmektedir. Yol haritasını etkin bir şekilde belirlemek için, yürütme katmanının aynı
zamanda mevcut ve gelecekteki tehditlerle ilgili görüş sahibi olması gerekir.
Bir yönetici, tehdit istihbaratı ekibinden, mevcut tehditlerin nedenleri, risk seviyesini, nasıl
azaltılabileceğini öğrenmek ister. Ekipler gerekli bilgilendirmeleri yaparken, verilen bilgi
belirsizlik içermemelidir. Eğer verilen rapor fazla teknik donanımı olmayan bir yöneticiye
yapılıyorsa aşırıya kaçan teknik detaylarla karşı tarafı boğmamakta fayda vardır.
Tehdit İstihbaratı Analistlerinin Sahip Olması Gereken
Alışkanlıklar
Tehdit istihbaratı analistleri aşağıdaki alışkanlıklarla daha etkin ve verimli olabilirler.
● Kendini kontrol altında tutmak
● Ufkunu genişletmek
● Aceleci hareket etmemek
● Karşı tarafı anlamaya çalışmak (tehditler, rakipler, teknolojiler)
● Ekibini tanımak
● Raporlamaya gereken önemi vermek
Farklı Tehdit İstihbarat Rolleri ve Sorumluluklarını Anlama
İstihbarat Analisti
Siber tehdit istihbarat analistleri çeşitli kaynaklardan gelen ham, birincil ve ikincil
tanımlanması, toplanması ve analiz edilmesi işlemlerin, gerçekleştirir. Hem sınıflandırılmış
hem de sınıflandırılmamış tehdit verilerinden de sorumludur.
Kötü Amaçlı Yazılım Analisti
Kötü amaçlı yazılım analistleri, solucanlar, truva atları, rootkitler gibi siber tehditlerin yapısını
incelemek, tanımlamak ve anlamak konusunda uzaman analistlerdir. Kötü amaçlı yazılım, bir
bilgisayarın veya ağın hem donanım hem de yazılım bütünlüğünü tehlikeye atabilir, ayrıca
şirketin finansal kayıtları gibi özel verileri çalabilir. Bu profesyoneller dijital varlıkları

tehditlerden korur ve ekiplerdeki diğer güvenlik uzmanlarıyla yakın çalışırlar. Kötü amaçlı
yazılım analistlerinin ayrıca kötü amaçlı yazılımları ters çevirme becerisine sahip olmaları
gerekir, böylece şirketler ikili ayak izlerini kullanarak savunma yapabilirler. Tersine
mühendislik yönü nedeniyle, çoğu kötü amaçlı yazılım analisti bilgisayar dillerinde ve kod
çözme programlarında uzmandır.
Olay Yanıtlayıcısı
Olay yanıtlayıcı bir kuruma gerçekleşebilecek olası saldırılara karşı sistemleri ve ağları aktif
olarak izler. Sorunu keşfedip, hasarı hafifletmeye ve tehdidi ayrıntılı incelemeye çalışırlar. Bu
süreçte adli araçlar kullanabilirler.
Güvenlik Operatörü
Güvenlik operatörleri saldırı analizi yapan, Blue-team’lere destek veren, Olay araştırması
yapan, ağ ve sistemleri izleyen güvenlik çalışanlarıdır.
Güvenlik Açığı Yönetimi Analisti
Bir güvenlik açığı yönetin Analistinin sorumlulukları arasında güvenlik açıklarını keşfetme, bu
güvenlik açıklarının önemini belirleme ve bir düzeltme planı geliştirme sayılabilir.
Sistem / Veri Mimarı
Veri mimarı, bir kurumun veri mimarisini tasarlama, yaratma, dağıtma ve yönetme işlemleriyle
ilgilenir. Veri mimarları, verilerin, farklı veri varlıkları ve BT sistemleri tarafından nasıl
depolanacağını, tüketileceğini, birleştirileceğini ve yönetileceğini ve aynı zamanda bu verileri
bir şekilde kullanan veya işleyen herhangi bir uygulamayı tanımlar.
Tehdit İstihbaratı Ekipleri Başarısız Olma Nedenleri
Siber güvenlik ekipleri veya tehdit istihbaratı ekipleri donanımlı araçlara, en son teknoloji,
güncel yazılımlara ve güvenlik çözümlerine, daha önceden kazanılmış uzun yıllar süren bilgi ve
tecrübe birikimine sahip olabilirler. Ama bunlara rağmen başarısız olma ihtimali her zaman
vardır. Aşağıda başarısızlığa sebep olabilecek nedenler listelenmiştir.
1) Kurumun Değerlerini Yanlış Anlama: Kurum için hangi istihbarat bilgisinin daha önemli
olduğuna yanlış karar vermek, İstihbarat programının başarısız olmasına sebep olabilir.
Buna doğru karar vermek kurumu iyi tanımaktan geçmektedir. Örneğin risk
derecelendirmesini yanlış yapmak kurum için hangi varlığın daha önemli olduğunu
bilmemek demektir.
2) Yanlış Bilgiyle İlgilenme: Alınan bilgi kaynağının güvenliğinden emin olmadan
uygulamaya geçilmesi yanlış bir yol izlenmesine ve sonucunda kuruma zarar vermeye

sebep olur. Bilgi alınan istihbarat servislerinin sıkı takip edilmeli, ayrıntılara gereken
önem verilmeli, verilerin kaynağı araştırılmalı, doğruluğundan emin olunmalıdır.
3) Çok Fazla Veride Boğulma: kurumun sahip olduğu kaynaklar sınırlıdır. Aynı zamanda
istihbarat ekibindeki kişilerin sayısı da sınırlıdır. Kişi ve kaynakları aşan derecede veriye
sahip olmak boğucu bir etki yaratır. Kritik olan noktalara odaklanmaya engel olur.
4) Verileri Operasyonelleştirememek: Tek başına tehdit istihbaratı kurumu korumaya
yetmez. Tehdit verinin yanında, bu verilerin neden önemli olduğu ve gerekli eylemi
yürütmek için verilerin nasıl kullanılacağını bilmek gerekir. Proaktif bir savunma, doğru
araçları, süreçleri ve insanları içerir.

Tehdit İstihbaratı Paylaşımına Genel Bakış
Siber teknolojilerin gelişmesiyle birlikte, kurumların çeşitli veri ihlallerine ve siber saldırılara
karşı kendilerini korumak için istihbarat bilgisine daha çok ihtiyaç duyulmaktadır. Ne kadar
gelişmiş teknoloji ve araçlar kullanıyor olursanız olun istihbarat bilgisine her zaman ihtiyaç
duyulacaktır. Karşılaşılan ve karşılaşma ihtimali olan sorunlar için kurumların, bilinçli bir şekilde
sağlayan ve paydaşları veri ihlalleri ve saldırılarla ilgili olarak uyaran ve farkındalık sağlayan
tehdit istihbaratını iş birliği yapmak ve paylaşmak için özel bir tehdit istihbarat programına
ihtiyaçları vardır.
Tehdit istihbaratı bilgilerini paylaşılması, kurumların tekrarlayan güvenlik olaylarını önlemesini
ve kötü niyetli aktivitelerin oluşturabileceği hasarı en aza indirgemeyi sağlar.
Tehdit İstihbaratının Paylaşılmasıyla İlgili Hususlar
Tehdit bilgilerini paylaşmak kritik noktaları olan bir konudur. Siber savunma dünyasında,
tehditlerle ilgili paylaşmak, diğer kurumların kendilerini savunmaları yardımcı olabilir. Bu
durum daha güvenli sistemlere zemin hazırlayabilir ve ortak savunmayı geliştirebilir.
Bir tehdit verisini paylaşacağımız zaman karşımıza 2 konuda karar vermemiz gerekecektir.
1) Hangi veriler paylaşılacak
2) Kimlerle paylaşılacak
Bu iki seçim noktası doğru bilgiyi, doğru kişi ve kurumlarla paylaşmamıza zemin hazırlayacaktır.
Bunların yanlış değerlendirilmesi ve yanlış karar verilerek harekete geçilmesinin büyük
sonuçları olabilir.
Çeşitli Organizasyonlarla İstihbaratı Paylaşma
Siber saldırıların nasıl ve kimler tarafından işlendiği, nasıl bir yol izlediklerine dair diğer
kurum/kişilerle paylaşmak, deneyimlerin bir araya getirilmesi imkânı tanır. Bir krum kendi
sektöründe başkalarına yönelik tehditleri paylaştığında gelecekteki saldırılara karşı daha etkili
savunma yöntemleri geliştirilebilir. Yanı şekilde kendi kurumunuzu ilgilendiren, paylaşılmış bir
tehdit aldığınızda, kendi sisteminizi varlıklarınıza zarar gelmeden önce koruma imkanı elde
etmiş olursunuz.

BGA Bilgi Güvenliği A.Ş. Hakkında
BGA Bilgi Güvenliği A.Ş. 2008 yılından bu yana siber güvenlik alanında faaliyet göstermektedir.
Ülkemizdeki bilgi güvenliği sektörüne profesyonel anlamda destek olmak amacı ile kurulan BGA Bilgi
Güvenliği, stratejik siber güvenlik danışmanlığı ve güvenlik eğitimleri konularında kurumlara hizmet
vermektedir.
Uluslararası geçerliliğe sahip sertifikalı 50 kişilik teknik ekibi ile, faaliyetlerini Ankara ve İstanbul ve
USA’da sürdüren BGA Bilgi Güvenliği’nin ilgi alanlarını “Sızma Testleri, Red Teaming, Güvenlik
Denetimi, SOME, SOC Danışmanlığı, Açık Kaynak Siber Güvenlik Çözümleri, Büyük Veri Güvenlik
Analizi ve Yeni Nesil Güvenlik Çözümleri” oluşturmaktadır.
Gerçekleştirdiği başarılı danışmanlık projeleri ve eğitimlerle sektörde saygın bir yer edinen BGA Bilgi
Güvenliği, kurulduğu günden bugüne alanında lider finans, enerji, telekom ve kamu kuruluşlarına
1.000'den fazla eğitim ve danışmanlık projeleri gerçekleştirmiştir.
BGA Bilgi Güvenliği, kurulduğu 2008 yılından beri ülkemizde bilgi güvenliği konusundaki bilgi ve
paylaşımların artması amacı ile güvenlik e-posta listeleri oluşturulması, seminerler, güvenlik etkinlikleri
düzenlenmesi, üniversite öğrencilerine kariyer ve bilgi sağlamak için siber güvenlik kampları
düzenlenmesi ve sosyal sorumluluk projeleri gibi birçok konuda gönüllü faaliyetlerde bulunmuştur.
BGA Bilgi Güvenliği AKADEMİSİ Hakkında
BGA Bilgi Güvenliği A.Ş.’nin eğitim ve sosyal sorumluluk markası olarak çalışan Bilgi Güvenliği
AKADEMİSİ, siber güvenlik konusunda ticari, gönüllü eğitimlerin düzenlenmesi ve siber güvenlik
farkındalığını arttırıcı gönüllü faaliyetleri yürütülmesinden sorumludur. Bilgi Güvenliği AKADEMİSİ
markasıyla bugüne kadar “Siber Güvenlik Kampları”, “Siber Güvenlik Staj Okulu”, “Siber Güvenlik Ar-
Ge Destek Bursu”, “Ethical Hacking yarışmaları” ve “Siber Güvenlik Kütüphanesi” gibi birçok gönüllü
faaliyetin destekleyici olmuştur.

Siber İstihbarat Eğitim Dokümanı

More Related Content

What's hot

Similar to Siber İstihbarat Eğitim Dokümanı

More from BGA Cyber Security

Siber İstihbarat Eğitim Dokümanı