Dark Web ve Deep Web İzlem
Mart 22, 2026
Dark Web ve Deep Web İzleme
Kurumsal güvenlikte “saldırı” çoğu zaman üretim sistemlerinde görülür; ancak hazırlık ve sonuç izleri farklı mecralarda ortaya çıkabilir. Çalınmış kimlik bilgileri, sızdırılmış veriler, sahte müşteri kayıtları veya ele geçirilmiş erişim anahtarları; açık web’de görünmeden önce Deep Web ya da Dark Web gibi daha kapalı ortamlarda dolaşabilir. Bu nedenle bu katmanların izlenmesi, olayları tamamen önlemese de erken uyarı ve hasar azaltma açısından kritik değer üretir.
Bu faaliyet, suç operasyonlarına katılmak değil; kurumun kendi verisi, markası ve kullanıcılarıyla ilgili risk sinyallerini etik ve yasal çerçevede takip etmektir. Bu makale, siber savunma perspektifinden bu ortamların farkını ve izleme stratejilerini ele alır.
Deep Web ve Dark Web Nedir?
Deep Web: Arama motorları tarafından indekslenmeyen içeriklerdir. Giriş gerektiren bankacılık portalları, kurumsal intranetler, özel veritabanları ve abonelikli içerikler bu kapsama girer. İnternetin çok büyük bir kısmı aslında Deep Web’dir ve illegal olmak zorunda değildir.
Dark Web: Erişmek için Tor veya I2P gibi özel yazılımlar gerektiren, anonimlik üzerine kurulu ağlardır. Kimlik saklamaya elverişli yapısı nedeniyle yasa dışı pazarlara ev sahipliği yapabildiği gibi, sansürden kaçan meşru kullanıcılar tarafından da tercih edilir.
İzleme Neden Önemlidir?
Kimlik Bilgisi Sızıntısı: Çalışan e-postaları ve parola hash’lerinin sızıntı setlerinde tespiti.
Marka Taklidi: Sahte destek hatları ve dolandırıcılık amaçlı açılan sahte kampanya siteleri.
Veri Sızıntısı İddiaları: Ransomware gruplarının “leak” sitelerinde kurum adının geçmesi.
Tedarikçi Riskleri: Hizmet alınan üçüncü tarafların sızdırılan verileri üzerinden dolaylı risk analizi.
İzleme Kapsamı: Neyi Ararız?
Kimlik Artefaktları: Kurum domain’li e-postalar, servis hesapları ve API anahtarları.
Marka ve Ürün Taklidi: Marka adı varyasyonları ve sahte sosyal medya hesapları.
Veri ve Dosya Örnekleri: Müşteri verileri, kaynak kodları ve konfigürasyon dosyaları.
Tehdit Aktörü Sinyalleri: Grupların duyuruları, yeni oltalama (phishing) kitleri ve hedef listeleri.
CTI (Tehdit İstihbaratı) Akışı
İzleme süreci, bir Cyber Threat Intelligence (CTI) döngüsü olarak kurgulanmalıdır:
Toplama: Yetkili kaynaklardan ve yasal platformlardan veri çekme.
Normalizasyon: Verileri (IP, e-posta, IOC) standart forma çevirme.
Zenginleştirme: Sızıntının kaynağını ve veri tipini kurum envanteriyle eşleştirme.
Skorlama: Kaynak güveni ve verinin tazeliğine göre öncelik puanı üretme.
Dağıtım: İlgili ekiplere (SOC, IAM, IR) aksiyon paketleri gönderme.
Doğrulama ve Yanlış Pozitif Yönetimi
Dark web verilerinde kirlilik oranı yüksektir. Bu yüzden şu kontroller şarttır:
Tazelik: Veri yeni mi yoksa eski bir sızıntının tekrarı mı?
Örnek Doğrulama: Paylaşılan örnek veri gerçekten kuruma mı ait?
İç Kanıt Korelasyonu: SIEM/EDR loglarında bu sızıntıyla eşleşen şüpheli bir giriş var mı?
Operasyonel Entegrasyon ve Aksiyon
IAM: Etkilenen hesaplarda parola rotasyonu ve MFA zorunluluğu.
SOC: Sızıntı sinyaliyle eşleşen oturumları proaktif olarak avlama (Threat Hunting).
Marka Koruma: Taklit ilanların ve sahte sitelerin yayından kaldırılması (Takedown).
Hukuki Süreç: KVKK/GDPR kapsamında veri ihlal bildirimi gerekliliğinin değerlendirilmesi.
Sonuç
Dark ve Deep Web izleme, kurumun dış dünyadaki risk sinyallerini erkenden yakalamasını sağlayan bir CTI kabiliyetidir. Başarılı bir program; net kapsam, güçlü doğrulama ve SOC/IAM süreçlerine tam entegrasyonla yürütülür. Böylece izleme, pasif bir raporlama yerine aktif bir savunma ve kriz yönetimi aracına dönüşür.