Siber tehdit istihbaratı (Cyber Threat Intelligence - CTI), kurumları etkileyebilecek tehdit aktörleri, teknik göstergeler (IOC/TTP), saldırı yöntemleri ve tehdit eğilimleri hakkında bağlamsal bilgi üretme sürecidir. Bu bilgi, saldırılara karşı proaktif savunma, tehdit yüzeyinin küçültülmesi ve güvenlik kararlarının desteklenmesi için kullanılır.
CTI süreci; toplama (collection), analiz, zenginleştirme, korelasyon, raporlama ve aksiyon adımlarından oluşur.
Proaktif Güvenlik: Saldırı olmadan önce tehditleri tanımlayıp aksiyon almayı mümkün kılar.
APT ve Hedefli Saldırılara Karşı Koruma: Örgütlü tehdit aktörlerinin TTP'leri analiz edilerek savunma stratejileri geliştirilir.
IOC & TTP Zenginliği: Anomali tespiti, EDR/SIEM sistemlerinin beslenmesi için teknik gösterge sağlar.
Olay Müdahale Sürecine Katkı: İstihbaratla beslenen olay müdahale planları daha hızlı ve etkili yürütülür.
Yönetici Kararlarını Destekler: Üst düzey karar vericiler için tehdit panoraması sunarak risk temelli yatırımı kolaylaştırır.
Regülasyon Uyumuna Katkı: ISO 27001, NIS2, DORA gibi düzenlemeler artık CTI süreçlerini zorunlu veya önerilen hale getirmiştir.
Kuruma Özgü Tehdit Modelleme: Varlıklar, sektör ve tehdit aktörlerine göre özel tehdit modellemesi yapılır (MITRE ATT&CK uyumlu).
İstihbarat Kaynaklarının Tanımlanması: OSINT, dark web, partner veri akışları, honeypot’lar, forumlar, STIX/TAXII beslemeleri seçilir.
Veri Toplama ve Filtreleme: Noise’dan arındırılmış, yüksek doğrulukta IOC/TTP verisi toplanır.
Analiz ve Korelasyon: Tehdit verileri iç olaylarla ilişkilendirilir, SIEM/EDR sistemlerine entegre edilir.
Raporlama ve Aksiyonlama: Teknik ve yönetici seviyede tehdit bültenleri, trend analizleri ve acil aksiyonlar sunulur.
Süreç İyileştirme & Sürekli Güncelleme: Yeni tehditlere karşı adaptif analiz ve güncel veri akışı sağlanır.
Tehdit İstihbarat Stratejisi ve Program Geliştirme: Kurumun sektörüne, büyüklüğüne ve olgunluk seviyesine uygun CTI yapılandırması.
IOC ve TTP Besleme Hizmetleri: Alan adı, IP, dosya hash, URL, davranışsal imzalar gibi teknik göstergelerin toplanması ve SIEM/EDR ile paylaşımı.
Dark Web ve Kapalı Forum İzleme: Kimlik bilgileri, kurum markası, müşteri verileri ve diğer sızıntıların tespiti.
MITRE ATT&CK Bazlı Tehdit Haritalama: Olayların tehdit aktörlerinin taktik ve teknikleriyle eşleştirilmesi.
Sektörel Tehdit İstihbaratı: Finans, sağlık, enerji, kamu gibi sektörlere özel tehdit aktörü analizleri ve trend raporları.
CTI Platform Seçimi ve Entegrasyonu: MISP, ThreatConnect, Recorded Future, Anomali gibi platformların seçimi, kurulumu ve yönetimi.
CTI Destekli Olay Müdahale Danışmanlığı: Olaylara müdahalede tehdit istihbaratının etkin şekilde kullanılması.
Yönetici & SOC Ekibi İçin CTI Eğitimleri: Rol bazlı istihbarat eğitimi, teknik okuryazarlık ve taktik karar desteği.
Siber Strateji Olgunluk Analizi
3 dakikada şirketinizin güvenlik olgunluğunu ölçün!