CTI (Cyber Threat Intelligence)

Siber Tehdit istihbaratı (CTI), reaktif olan siber güvenlik yaklaşımını proaktife dönüştürerek hangi tehditlerin en çok risk oluşturabileceğini belirlemeye olanak tanıyan, siber tehditlerle ilgili verilerin toplanıp analiz edilmesini sağlayan bir yöntemdir. Saldırganların taktik, teknik ve prosedürlerini inceleyerek kuruluşlara siber saldırıları tahmin etmeleri, önlemeleri ve bunlara karşı etkili şekilde yanıt vermeleri için gerekli bağlamı sunar.

2025 SANS CTI Anketi’ne göre, organizasyonların %93’ü artık kendine ait bir CTI yeteneğine sahiptir; bu oran, yalnızca bir kişi ile yürütülen yapıları da kapsamaktadır. CTI altyapısı olmayan kurumlar tehditleri tespit etmekte ortalama 200 günden fazla gecikmekte ve bir ihlalin maliyeti milyonlarca doları bulabilmektedir. Oysa CTI sayesinde kurumlar saldırıları çok daha erken fark ederek hem maddi hem de itibar kaybının önüne geçebilmektedir.

Yaygın siber tehdit istihbarat kaynaklarından bazıları şunlardır;

• Açık kaynaklı istihbarat (haber siteleri, bloglar, siber güvenlik raporları)

  
  

• İnsan zekâsı (sektör içi bağlantılar, içeriden gelen bilgiler)

  
  

• Sosyal medya istihbaratı (X, Reddit, Telegram, forumlar)

  
  

• Teknik istihbarat (kötü amaçlı yazılım analizleri, zafiyet veri tabanları, istismar kitleri, TTP ve IoC listeleri)

  
  

• Adli analiz verileri (olay müdahale sonrası elde edilen disk, bellek, ağ dökümleri)

  
  

• Cihaz günlük dosyaları (Güvenlik duvarı, IDS/IPS, EDR ve sunuculardan alınan loglar)

  
  

• Ağ ve internet trafiği kayıtları (DNS sorguları, proxy logları, NetFlow verileri)

  
  

• Karanlık web ve derin web'den veriler (yeraltı forumları, veri sızıntı siteleri)

  
  

• Geçmiş saldırı vakalarına ait olay müdahale raporları

1980–2000 (öncesi): Sadece reaktif güvenlik vardı. Antivirüs, firewall gibi araçlarla saldırı sonrası müdahale yapılıyordu, istihbarat yoktu.

2000–2010 (doğuş): Saldırılar karmaşıklaştı, ilk tehdit bilgi paylaşımları ve “threat feed”   (işlenmemiş tehdit verisi, bağlamdan bağımsız) sistemleri ortaya çıktı. CTI kavramı filizlendi.

2010–2020 CTI artık SOC ve olay müdahale ekiplerine entegre oldu, STIX/TAXII, MITRE ATT&CK gibi standartlarla kurumsallaştı.

2020–günümüz: Yapay zekâ, büyük veri ve otomasyonla gerçek zamanlı tehdit istihbaratı yapılabiliyor; CTI stratejik risk yönetiminin parçası haline geldi.

Taktiksel CTI: IP adresleri, alan adları, dosya karmaları (hash) gibi tehlike göstergeleri (IOC) toplanır ve siber suçluların kullandığı taktik, teknik ve prosedürler (TTP) derinlemesine analiz edilmeye başlanır. Böylece elde edilen veriler, güvenlik ekiplerinin olası saldırıları öngörmelerine ve bunları mümkün olan en erken aşamada tespit ederek engellemelerine olanak sağlar.

Operasyonel CTI: Operasyonel CTI, tehdit aktörlerinin kampanyaları, motivasyonları ve yeteneklerine dair somut bilgiler sunan en teknik düzeydeki istihbarattır. Genellikle kapalı kaynaklardan uzmanlarca toplanır ve güvenlik ekiplerinin olası saldırılara proaktif hazırlanmasına yardımcı olur.

Stratejik CTI: Stratejik tehdit istihbaratı, teknik ayrıntılardan çok büyük resmi ele alır. Küresel tehdit trendleri ve sektörel riskleri analiz ederek yöneticilerin uzun vadeli güvenlik yatırımlarına ve politikalarına yön vermesini sağlar. “Şu anda kim saldırıyor?” dan çok “Gelecekte hangi tehditler bizi hedef alabilir?” sorusuna odaklanır. Böylece kurumlar proaktif ve sürdürülebilir güvenlik stratejileri geliştirebilir.

1. Gereksinimlerin belirlenmesi: Kurumun hangi tehditlere dair bilgiye ihtiyaç duyduğunu tanımlar.

2. Veri toplama: Belirlenen hedeflere uygun ham tehdit verilerini farklı kaynaklardan toplar.

3. Veri işleme: Toplanan verileri temizleyip sınıflandırarak analiz edilebilir hale getirir.

4. Analiz: İşlenmiş verilerden saldırganların taktik, teknik ve kampanyalarını ortaya çıkarır.

5. Paylaşım ve dağıtım: Elde edilen bulguları ilgili ekiplerle anlaşılır ve uygulanabilir biçimde paylaşır.

6. Geri bildirim ve iyileştirme: İlgili ekiplerden alınan dönüşlerle süreci iyileştirilir.

• CTI, tehditleri henüz gerçekleşmeden tespit ederek olay müdahale süresini kısaltır ve gelişen güvenlik olaylarına karşı güvenlik ekiplerinin proaktif önlem almasını sağlar.

  
  

• Kuruluşların evrilen tehdit manzarası hakkında bilgi sahibi olmasını ve durumsal farkındalığını artırır. Sağlam bir siber güvenlik yönetimi için önemli faktördür.

  
  

• Güvenlik yatırımlarında yönetime somut karar desteği sunar. Böylece riskler önceliklendirilerek kaynak ve tahsis konusunda daha bilinçli kararlar verilebilir.

Sonuç olarak, CTI, kuruluşların karmaşık ve organize siber saldırılara karşı savunmalarını güçlendiren gelişmiş güvenlik stratejilerinin temel bir parçasıdır. CTI yalnızca bugünkü tehditleri değil, yarının risklerini de öngörmeyi sağlar. Böylece güvenlik artık bir yük değil bir avantaj haline gelir.