Siber tehdit istihbaratı, kurum ve kuruluşlara herhangi bir seviyede iş unsurları ve güvenliğine zarar verebilecek tehditler hakkında tanımlanmış, toplanmış ve zenginleştirilmiş verilerin bir süreçten geçirilerek analiz edilmesi sonucu saldırganların “motivasyonlarını”, “amaçlarını” ve “metotlarını” tespit etmeye yarayan bir istihbarat türüdür. Siber tehdit istihbaratı (CTI), bir kurumun veya varlığın güvenliğini tehdit eden mevcut ve potansiyel saldırılar hakkındaki bilgilerin toplanmasına, analiz edilmesine odaklanan siber güvenlik alanıdır. Siber tehdit istihbaratının yararı, veri sızıntılarını önleme ve özellikle finansal maliyetlerden tasarruf sağlamasıdır. Amacı kurum/kuruluşlara kendilerine karşı oluşan tehditleri göstermek, anlamlandırılmasına yardım etmek ve korumaktır.
İstihbarat kelimesi Arapçadaki “istihbar” kelimesinin çoğuludur. Haberler, yeni alınan bilgiler veya haber alma anlamına gelmektedir. TDK’daki anlamı da aynı şekilde “yeni öğrenilen bilgiler, haberler ve duyumlar” olarak açıklanmaktadır.
Siber Tehdit İstihbaratı Nedir?
Siber istihbaratın ne demek olduğunu anlamak için bazı kavramların üzerinde durmamız gerekmektedir. Öncelikle bu kavramları açıklayarak BGA Security Siber Tehdit İstihbaratı dokümanına devam ediyoruz.
Veri: Yönlendirme amacıyla kullanılan, işe yarayabilecek veya yaramayacak metin, belge ve seslerin ham halidir.
Enformasyon: Enformasyon Fransızcada “danışma, tanıtma, haber alma, haber verme, haberleşme” anlamlarına gelmektedir. Verini işlenmiş ve düzenlenmiş haline denir. Yazılı, sözlü veya görsel bir mesajdır.
Bilgi (Anlamlı Bilgi): Enformasyonun zenginleştirilmiş halidir. Zenginleştirme işlemi deney, tecrübe, yorum, analiz ve bağlam yoluyla yapılabilir.
İstihbaratın günümüzde yaygın olarak kullanılan anlamı şu şekildedir; Kişi, kurum-kuruluş, devletler ve diğer organizasyonlar hakkında açık veya kapalı kaynaklardan haber, doküman veya bilgi toplayıp, analiz ve değerlendirmeler işlemlerine tabi tutarak sonuca ulaşılması işlemidir.
“Denilir ki başkasını ve kendini bilirsen sen, yüz kere savaşsan da tehlikeye düşmezsin; başkasını bilmeyip, kendini bilirsen bir kazanır bir kaybedersin; ne kendini ne de başkasını bilmezsen, girdiğin her savaşta kaybetmeye mahkumsun demektir.”– Sun Tzu –
İstihbaratı kaynaklarına göre sınıflandıracak olursak;
- Açık kaynak istihbaratı
- Görüntü İstihbaratı
- İnsan İstihbaratı
- Radar (İzleme, Ölçme ve İz) İstihbaratı
- Sinyal (İletişim, Elektronik, Cihaz Sinyali) İstihbaratı
- Teknik İstihbarat
İstihbaratını seviyelerine göre üç başlıkta sınıflandırabiliriz;
- Stratejik İstihbarat
- Operasyonel İstihbarat
- Taktiksel İstihbarat
Stratejik İstihbarat: Güvenlik politikalarının geliştirilmesi ve uygulanmasında yakın veya muhtemel önlemi bulunan, yabancı ulusların veya bölgelerin bir ya da birden fazla yönü ile ilgilenen istihbarat çeşididir.
Taktiksel İstihbarat: Taktik istihbaratı, düşmanın aktüel amaç ve kapasitelerini anlamaya yönelik toplanan istihbarat çeşididir. Stratejik istihbarat ile arasındaki en büyük fark şudur; Taktiksel istihbaratın mevcut bilgiyi hemen kullanması gerekmektedir. Ama bu işlem, stratejik istihbaratta uzun vadeli olabilir.
Operasyonel İstihbarat: İç içe geçmiş uyumlu taktiksel istihbarat eylemlerinden oluşturulmuş olan istihbarat operasyonuna verilen isimdir.
İstihbarat, Siber Tehdit İstihbaratı ve Tehdit İstihbaratı Kavramları
İstihbarat, Tehdit İstihbaratı ve Siber Tehdit İstihbaratı birbirleriyle bağlantıları kavramlardır. Aralarındaki ilişkiyi aşağıdaki görselde belirtilmiştir. “Siber İstihbarat Nedir” konumuz üzerinden detaylı bilgiye ulaşabilirsiniz.
Siber tehdit istihbaratının ne olduğuna geçmeden önce Siber Tehditin ne olduğuna değinmemiz gerekmektedir.
Siber Tehdit Nedir?
Siber tehdit, kötü niyetli kişi veya kuruluşların, kontrol sistemi cihazlarına veya şebekesine yetkisiz erişim teşebbüsünde bulunması, ağ yapısını bozması veya kullanılamaz hale getirmesidir. Siber tehditler çeşitli yerlerden, insanlardan, kurum veya kuruluşlardan kaynaklanabilir. Bu noktada siber istihbarat karşımıza çıkmaktadır.
- Teröristler
- Hackerler
- Ticari rakipler
- Casuslar
- Düşman devletler
- Mutsuz çalışanlar
- Organize suç grupları
Yukarıda bahsedilen siber tehdit kaynaklarının, zarar vermek amacıyla gerçekleştirdikleri işlemlere siber tehdit denir. Bu tehditler, saldırganların, kurbanlarına saldırı gerçekleştirirken ne tür bir senaryo izleyebileceklerine dair fikir oluşturur. Bahsettiğimiz siber tehditlere örnek vermek gerekirse;
- Malware – Zararlı yazılımlar
- Spyware – Casus yazılımlar
- Malvertising – Reklamlara gömülmüş zararlı yazılımla
- Man in the Middle (MITM) – Ortadaki Adam Saldırıları
- Wiper Attacks – Bulaştığı sistemde her şeyi silen zararlılar
- Distributed Denial of Service (DDoS) – Servis dışı bırakma saldırıları
- Ransomware – Fidye Zararlıları
- Botnets – Zombi Makineler
- Trojans – Truva Atları
- Phishing – Oltalama saldırıları
- Data Breaches – Veri sızıntıları
- Worms – Solucanlar
- Keyloggers – Klavye işlemlerini kaydeden programlar
- Backdoors – Arka kapılar
- Malvertising – Reklam zararlıları
- Advanced Persistent Threats – Hedef Odaklı Siber Saldırılar
Siber Tehdit İstihbaratı (CTIA) Amacı Nedir?
Siber tehdit istihbaratı ile toplanan verilerin analizinden sonra saldırganların düşüncelerini, amaçlarını, motivasyonlarını, yöntem ve metodlarını tespit etmeyi amaçlamaktadır.
Siber tehdit istihbaratı çözümleri eyleme geçirilebilir çözümlerdir. Bu nedenle gerçek zamanlı aksiyonlar alınabilir ve olası saldırılara karşı hazırlıklı olunabilir. Buna proaktif siber güvenlik denir. İstihbaratı seviyelerine göre üç gruba ayırdığımız gibi Siber Tehdit İstihbaratı’nı da seviyelerine göre aynı gruplara ayırabiliriz.
Stratejik İstihbarat: Düşmanı tanımaya yönelik olan istihbarat çeşididir. Zarar verme potansiyeli olan kurum/kuruluş/kişi/grupların izlenmesi sonucu oluşturulur. Saldırganların niyetlerine, motivasyonlarına, taktik ve stratejilerine, geçmişteki eylemlerine ve olması muhtemel saldırılarına yönelik bilgi içerir.
Operasyonel İstihbarat: Bu istihbarat çeşidi saldırganların teknik, taktik ve prosedürlerini içermektedir. Bu bilgiler SOC (Security Operation Center) ekiplerine servis edilir ve onlar tarafından analiz edilip olası saldırılara karşı bir önlem olarak kullanılabilir.
Taktiksel İstihbarat: Bu istihbarat çeşidi sistem ve ağ üzerindeki olası kötü amaçlı etkinlikleri tanımlayan verileri içermektedir. IOC (Indicators of Compromise) denilen bu veriler bulundukları yapıdaki olağan dışı ve şüpheli hareket verileridir. Taktiksel istihbarat SIEM, IDP/IPS, DLP gibi güvenlik çözümlerine entegre edilmektedir.
Yazar: Cyber Intelligence Analyst Gurbet Başakci
BÖLÜM -2 Siber Tehdit İstihbaratı Neden Gereklidir? Faydaları Nelerdir?