Karanlıktaki Radarlar: Siber Tehdit İstihbaratı (CTI) ve Taktiksel Avcılık
Nisan 6, 2026
KVKK,Siber Savunma,Tehdit İstihbaratı
Sıradan bir şirketin IT departmanı genellikle “Tepkisel” (Reactive) çalışır. Sistem hacklenir, alarmlar öter ve müdahale edilir. Siber Tehdit İstihbaratı ise tamamen “Önleyici” (Proactive) bir disiplindir. Amacı, daha ortada bir saldırı yokken bile şu soruların cevabını bulmaktır: “Şu an dünyada bizim sektörümüze (Örn: Sağlık veya Finans) saldıran organize gruplar kimler? Hangi zafiyetleri (CVE) kullanıyorlar? Sistemlerimize sızmak için hangi taktik ve prosedürleri (TTP) izliyorlar?”
Bu devasa bilgi ağı, sadece haber okumakla oluşmaz. CTI, üç farklı katmanda çalışan acımasız bir veri işleme ve raporlama makinesidir:
- Taktiksel İstihbarat (Güvenlik Cihazları İçin): Kötü niyetli IP adreslerinin, oltalama (Phishing) yapılan zararlı domainlerin veya fidye yazılımı (Ransomware) dosya özetlerinin (Hash) toplanmasıdır. Bu Uzlaşma Göstergeleri (IoC – Indicators of Compromise) saniyeler içinde şirketin güvenlik duvarlarına (WAF/Firewall) ve SIEM sistemlerine otomatik olarak yüklenir. Düşman daha kapıya gelmeden, kapı o silaha karşı mühürlenir.
- Operasyonel İstihbarat (Savunma Ekipleri İçin): Saldırganların insan doğasını nasıl manipüle ettiğinin incelenmesidir. Örneğin, “Şu aralar APT29 grubu, İnsan Kaynakları çalışanlarına ‘Acil İş Görüşmesi’ başlıklı sahte PDF’ler gönderiyor” istihbaratıdır. Sızma testi ve savunma ekipleri bu istihbaratı alıp, kurum içinde tam da bu senaryoya uygun sahte oltalama testleri düzenlerler.
- Stratejik İstihbarat (Yönetim ve Hukuk İçin): C-Level yöneticiler (CEO, CISO) ve hukuk departmanları için yazılan, teknik terimlerden (IP, Hash) arındırılmış büyük resim raporlarıdır. Bu raporlar, “Sektörümüzde veri sızıntılarının maliyeti %40 arttı, fidye çeteleri artık sadece şifrelemiyor, verileri KVKK Kuruluna şikayet etmekle tehdit ediyor” gibi doğrudan iş risklerini ve hukuki boyutları masaya yatırır.
Sektörel Hedefleme (Bullseye): Hackerlar Neden ve Kimi Seçiyor?
Siber suç dünyası artık rastgele etrafa ateş eden amatörlerden değil; kâr-zarar hesabı yapan, mesai saatleri olan ve hedef sektörleri özenle seçen organize kartellerden (Ransomware-as-a-Service) oluşmaktadır. CTI raporları, bu suç örgütlerinin sektörlere göre nasıl profil çıkardığını kusursuzca ortaya koyar:
- Sağlık Sektörü (Hastane ve Laboratuvarlar): Hackerların bir numaralı hedefidir. Çünkü sağlık verisi (PHI – Personal Health Information) değiştirilemez. Kredi kartınız çalınırsa iptal edersiniz, ancak kanser geçmişiniz veya psikiyatrik kayıtlarınız çalınırsa bunu değiştiremezsiniz. Şantaj değeri en yüksek olan “Özel Nitelikli Kişisel Veri” buradadır. CTI raporları, sağlık sektörüne yapılan saldırıların genellikle acil servislerin çalışmasını durdurup (Erişilebilirlik İhlali) insan hayatını tehlikeye atarak fidyeyi hızlıca kopardığını gösterir.
- Finans ve E-Ticaret: Doğrudan para akışının olduğu yerlerdir. Ancak buralardaki güvenlik duvarları çok kalındır. Bu yüzden CTI analizleri, saldırganların bankaları doğrudan hacklemek yerine, bankaların kullandığı zayıf tedarikçilere (Tedarik Zinciri Saldırıları) veya doğrudan müşterilerin telefonlarına (Sosyal Mühendislik / Truva Atları) odaklandığını ortaya çıkarır.
Üretim ve Enerji (SCADA/ICS): Veri çalmaktan ziyade, fabrikanın üretim bandını durdurarak (DDoS veya Ransomware) şirketi dakika başı milyonlarca dolar zarara uğratma stratejisi güdülür.
KVKK Perspektifinden İstihbarat: Bilmemek Mazeret Değildir
Bir kurumun siber güvenliğinde İstihbarat (CTI) ile Hukuk (KVKK/GDPR) departmanları birbirine görünmez halatlarla bağlıdır. Kanun koyucu, şirketlerden sadece “geçmişte” bilinen yöntemlere karşı değil, “gelişen ve değişen” teknolojik tehditlere karşı da güncel tedbir almalarını bekler (KVKK Madde 12 – Makul Özen).
Bir vaka üzerinden ilerleyelim: CTI sağlayıcınız veya ulusal kurumlar (USOM), yayınladıkları bir OSINT raporunda şunu duyurdu: “Son 1 aydır Türkiye’deki perakende şirketlerine, Microsoft Exchange sunucularındaki ‘ProxyShell’ zafiyeti kullanılarak yoğun saldırılar düzenlenmektedir. Tüm kurumların acilen bu yamayı (Patch) geçmesi gerekmektedir.”
Eğer sizin şirketiniz bu istihbarat raporunu okumaz, tehdit avcılığı yapmaz ve o yamayı sistemlerine yüklemezse; 15 gün sonra tam da o zafiyetten hacklenip müşteri verilerini çaldırdığında hukuki bir felaket yaşar.
Olay sonrası KVKK Kurulu müfettişleri incelemeye geldiğinde şirkete şu öldürücü soruyu sorar: “Bu saldırı tekniği ve hedef sektör (Perakende) CTI raporlarında haftalar öncesinden bas bas bağırılarak duyurulmuş. Neden tehdit istihbaratını takip edip sistemlerinizi korumadınız?” Şirketin “Bizim haberimiz yoktu” demesi, hukuken “Bilgisizlik” değil, doğrudan doğruya “Ağır İhmal” (Gross Negligence) olarak kayıtlara geçer. İstihbaratı okumamak ve pasif bilgi toplamamak, kendi kalesinin surlarında kör nöbetçiler bekletmekle aynı cezai karşılığa sahiptir.
OSINT'in Gücü: Raporun Eyleme Dönüşmesi
CTI’ın en can alıcı kısmı, pasif bilgi toplama (OSINT) yeteneklerinin şirketin görünmez zafiyetlerini nasıl su yüzüne çıkardığıdır. İyi yazılmış bir OSINT/CTI raporu sadece sorunları listelemez; bir felaketi daha yaşanmadan engeller.
Örneğin, güvenlik ekibi Dark Web’i ve GitHub gibi açık kaynak depolarını tararken (Passive Reconnaissance) şirketinizin yazılımcılarından birinin, içinde veritabanı şifrelerinin (API Key) olduğu bir kod parçasını yanlışlıkla herkese açık (Public) bir foruma kopyaladığını tespit eder. Şirketin iç ağında (LAN) veya güvenlik duvarında hiçbir alarm çalmamıştır, çünkü olay tamamen dışarıda gerçekleşmiştir.
İşte zamanla yarış o saniye başlar. CTI analisti bu bulguyu acil kodlu bir rapora dönüştürür. Rapor Hukuk, IT ve CISO’nun masasına düşer. API şifreleri, dünyanın öbür ucundaki bir hacker o kodları bulup denemeden dakikalar önce içeriden iptal edilir (Revoke). Milyonlarca dolarlık bir KVKK veri sızıntısı cezası ve itibar suikasti, sadece doğru yere doğru zamanda bakan bir çift gözün hazırladığı o tek sayfalık istihbarat raporu sayesinde önlenmiş olur.
Sonuç
Siber Tehdit İstihbaratı (CTI), siber savaşın karanlık satranç tahtasında rakibin bir sonraki hamlesini, hatta masaya hangi stratejiyle oturacağını önceden görebilme sanatıdır. Düşmanın kullandığı taktikleri (TTP), sızdığı arka kapıları ve Dark Web’de kurduğu pazaryerlerini pasif bilgi toplama (OSINT) yöntemleriyle analiz edip bunu net, keskin ve uygulanabilir raporlara dönüştürmek; modern bir savunmanın en asil adımıdır. Kurumlar, verilerinin mahremiyetini ve yasal (KVKK) yükümlülüklerini sadece kalın duvarlar örerek değil; ancak ve ancak dış dünyadaki fırtınaları önceden sezip, yelkenlerini o fırtınaya göre ayarlayarak koruyabilirler. Kendi zafiyetini düşmandan önce bulamayan, düşmanın zafer raporunu okumaya mahkumdur.
Tags :
#CTI,#DarkWeb Monitoring,#IoC,#KVKK,#OSINT,#SiberSavunma,#ThreatIntelligence,#TTP
Share This :