Siber Tehdit İstihbaratı: Stratejik, Taktik ve Operasyonel TI Rehberi

Tehdit istihbaratı türlerinden IOC ve TTP kavramlarına, MITRE ATT&CK entegrasyonundan threat hunting temellerine kadar proaktif siber savunma stratejinizi oluşturmanın kapsamlı yol haritası.

Siber tehdit istihbaratı rehberi kapak görseli
Siber tehdit istihbaratı: stratejik analizden operasyonel uygulamaya kapsamlı CTI rehberi.

Kısaca

Siber tehdit istihbaratı (Cyber Threat Intelligence - CTI), siber tehditlere karşı bilinçli kararlar alınmasını sağlayan, bağlam içinde değerlendirilmiş ve eyleme dönüştürülebilir bilgidir. Reaktif güvenlik yaklaşımlarının yetersiz kaldığı günümüzde, CTI kuruluşlara saldırganları anlamak, gelecekteki saldırıları tahmin etmek ve savunma kaynaklarını en etkili biçimde konumlandırmak için kritik bir yetenek sunar.

Bu rehberde; threat intelligence kavramını, TI türlerini (stratejik, taktik, operasyonel, teknik), IOC ve TTP kavramlarını, MITRE ATT&CK Framework entegrasyonunu, tehdit aktörü profillemeyi, TI kaynaklarını, zafiyet yönetimi ile TI birlikteliğini ve threat hunting temellerini detaylı biçimde ele alıyoruz. SİTEY platformunun tehdit istihbaratı ile zafiyet yönetimini nasıl birleştirdiğini adım adım açıklıyoruz.

Threat Intelligence Nedir?

Tehdit istihbaratı, ham veriyi anlamlı bilgiye dönüştüren bir süreçtir. Her güvenlik uyarısı veya kötü amaçlı IP adresi tek başına tehdit istihbaratı değildir. Gerçek TI, ham verilerin toplanması, işlenmesi, analiz edilmesi ve bağlamlaştırılmasıyla oluşan eyleme dönüştürülebilir bilgidir.

TI Yaşam Döngüsü

Tehdit istihbaratı altı aşamalı bir döngü izler:

  1. Yönlendirme (Direction): İstihbarat gereksinimlerinin belirlenmesi - hangi tehditler izlenecek, hangi sorular yanıtlanacak.
  2. Toplama (Collection): Açık kaynak (OSINT), teknik kaynaklar (honeypot, sandbox), insan istihbaratı (HUMINT) ve ticari feed'lerden ham veri toplama.
  3. İşleme (Processing): Ham verinin normalleştirilmesi, filtrelenmesi, zenginleştirilmesi ve analiz edilebilir formata dönüştürülmesi.
  4. Analiz (Analysis): İşlenmiş verilerin uzman analistler veya otomatik sistemler tarafından değerlendirilmesi, kalıpların ve trendlerin belirlenmesi.
  5. Dağıtım (Dissemination): Analiz sonuçlarının hedef kitleye uygun formatta (yönetici özeti, teknik rapor, otomatik feed) dağıtılması.
  6. Geri Bildirim (Feedback): Tüketici geri bildirimlerinin toplanması ve döngünün iyileştirilmesi.

Veri, Bilgi ve İstihbarat Farkı

  • Veri: "192.168.1.100 adresinden 443 portuna bağlantı yapıldı." - Bağlam olmadan ham kayıt.
  • Bilgi: "Bu IP, bilinen bir kötü amaçlı sunucuya ait." - İşlenmiş ve etiketlenmiş veri.
  • İstihbarat: "APT28 grubunun, sektörünüzdeki kuruluşları hedef alan bir kampanya kapsamında bu altyapıyı kullandığı ve CVE-2024-XXXX zafiyetini istismar ettiği değerlendirilmektedir." - Bağlamlaştırılmış, eyleme dönüştürülebilir analiz.

TI Türleri: Stratejik, Taktik, Operasyonel, Teknik

Tehdit istihbaratı dört temel türe ayrılır; her biri farklı hedef kitleye, farklı zaman ufkuna ve farklı ayrıntı seviyesine hitap eder.

Stratejik TI

  • Hedef Kitle: Üst yönetim, CISO, yönetim kurulu.
  • Zaman Ufku: Uzun vadeli (aylar-yıllar).
  • İçerik: Jeopolitik bağlam, sektörel tehdit trendleri, risk değerlendirmeleri, bütçe ve yatırım kararlarını destekleyen üst düzey analizler.
  • Örnek: "Türkiye'deki enerji sektörüne yönelik devlet destekli saldırılar 2025'te %40 artış göstermiştir. Yıllık güvenlik bütçesinin %15'inin OT güvenliğine ayrılması önerilmektedir."

Taktik TI

  • Hedef Kitle: SOC analistleri, güvenlik mimarları.
  • Zaman Ufku: Orta vadeli (haftalar-aylar).
  • İçerik: Saldırganların kullandığı Taktikler, Teknikler ve Prosedürler (TTP). Saldırı kalıpları, kullanılan araçlar ve güvenlik kontrolü önerileri.
  • Örnek: "Lazarus grubu, hedefli oltalama e-postaları ile makro içeren Word belgeleri göndermektedir. PowerShell tabanlı indirici kullanarak ikinci aşama yükünü indirir."

Operasyonel TI

  • Hedef Kitle: Olay müdahale ekipleri, tehdit avcıları.
  • Zaman Ufku: Kısa-orta vadeli (günler-haftalar).
  • İçerik: Aktif saldırı kampanyaları, hedeflenen sektörler ve kuruluşlar, saldırı zamanlaması ve motivasyon analizi.
  • Örnek: "APT29, Avrupa'daki diplomatik kurumları hedef alan yeni bir kampanya başlatmıştır. İlk erişim için Teams mesajları aracılığıyla kötü amaçlı bağlantılar kullanılmaktadır."

Teknik TI

  • Hedef Kitle: SOC L1/L2 analistleri, SIEM/SOAR operatörleri.
  • Zaman Ufku: Anlık-kısa vadeli (saatler-günler).
  • İçerik: IOC'ler (IP adresleri, domain'ler, dosya hash'leri, URL'ler), YARA kuralları, Snort/Suricata imzaları.
  • Örnek: "Kötü amaçlı C2 sunucu IP: 203.0.113.42, domain: malware-c2.example[.]com, SHA256: a1b2c3d4..."

IOC ve TTP Kavramları

IOC (Indicators of Compromise) ve TTP (Tactics, Techniques and Procedures), tehdit istihbaratının iki temel yapı taşıdır. Bu iki kavramın doğru anlaşılması ve kullanılması, etkin bir savunma stratejisi için kritik önem taşır.

IOC - Uzlaşma Göstergeleri

IOC'ler, bir güvenlik ihlalinin gerçekleştiğine veya devam ettiğine dair gözlemlenebilir kanıtlardır:

  • Ağ Tabanlı IOC'ler: Kötü amaçlı IP adresleri, domain'ler, URL'ler, SSL sertifika hash'leri, JA3/JA3S fingerprint'leri.
  • Host Tabanlı IOC'ler: Dosya hash'leri (MD5, SHA1, SHA256), kayıt defteri değişiklikleri, dosya yolları, mutex isimleri.
  • E-posta Tabanlı IOC'ler: Kötü amaçlı gönderen adresleri, konu satırları, ek dosya isimleri ve hash'leri.
  • Davranışsal IOC'ler: Olağandışı proses ağacı, anormal ağ trafiği kalıpları, beklenmeyen dosya erişimleri.

TTP - Taktikler, Teknikler ve Prosedürler

TTP'ler, saldırganların "nasıl" saldırdığını tanımlar ve IOC'lere kıyasla çok daha kalıcı göstergelerdir:

  • Taktikler: Saldırganın amacı veya hedefi - keşif, ilk erişim, yetki yükseltme, yanal hareket, veri sızdırma gibi üst düzey kategoriler.
  • Teknikler: Taktiğin uygulandığı spesifik yöntem - oltalama, kerberoasting, pass-the-hash, DLL sideloading gibi.
  • Prosedürler: Tekniğin uygulanma detayları - hangi araçlar kullanıldı, hangi sırayla komutlar çalıştırıldı, hangi dosyalar oluşturuldu.

IOC'ler saldırganlar tarafından kolayca değiştirilebilirken (yeni IP, yeni domain), TTP'ler çok daha yavaş değişir. Bu nedenle TTP tabanlı tespit kuralları, IOC tabanlı kurallara kıyasla daha uzun ömürlü ve etkindir. Buna "Ağrı Piramidi" (Pyramid of Pain) adı verilir.

MITRE ATT&CK Framework Entegrasyonu

MITRE ATT&CK (Adversarial Tactics, Techniques, and Common Knowledge), dünya genelinde en yaygın kullanılan tehdit istihbaratı ve savunma çerçevesidir. Gerçek dünya gözlemlerine dayanan kapsamlı bir saldırı teknik ve taktik veritabanı sunar.

ATT&CK Matrisi Yapısı

  • Enterprise Matrisi: Windows, macOS, Linux, bulut (AWS, Azure, GCP), ağ, konteyner ve SaaS ortamlarına yönelik taktik ve teknikler.
  • Mobile Matrisi: Android ve iOS platformlarına özgü saldırı teknikleri.
  • ICS Matrisi: Endüstriyel kontrol sistemlerine (SCADA, PLC, DCS) yönelik taktik ve teknikler.

ATT&CK'ın TI Sürecindeki Rolü

  1. Ortak Dil: Güvenlik ekipleri, tehdit istihbaratı sağlayıcıları ve güvenlik araçları arasında ortak bir dil ve sınıflandırma sağlar.
  2. Tehdit Aktörü Haritalama: Her tehdit aktörünün kullandığı taktik ve teknikler ATT&CK matrisine haritalanarak saldırı profili çıkarılır.
  3. Savunma Boşluk Analizi: Kuruluşun mevcut güvenlik kontrolleri ATT&CK teknikleriyle karşılaştırılarak tespit ve önleme boşlukları belirlenir.
  4. Tespit Mühendisliği: Her teknik için spesifik tespit kuralları (SIEM korelasyonları, EDR kuralları) oluşturulur.
  5. Red Team / Purple Team: Sızma testleri ve red team operasyonları ATT&CK teknikleri üzerinden planlanır ve raporlanır.

ATT&CK Navigator Kullanımı

ATT&CK Navigator, matris üzerinde görsel katmanlar oluşturarak tehdit aktörü kapsama haritalama, savunma boşluk analizi ve tespit kapsama değerlendirmesi yapmanızı sağlayan açık kaynak bir araçtır. Farklı katmanları üst üste bindirerek hangi tekniklerin tespit edilebildiğini, hangilerinin boşlukta kaldığını görselleştirebilirsiniz.

Tehdit Aktörü Profilleme

Tehdit aktörü profilleme, kuruluşunuzu hedef alması muhtemel saldırganları sistematik biçimde analiz etme sürecidir. Proaktif savunma için "düşmanınızı tanıyın" prensibi uygulanır.

Tehdit Aktörü Kategorileri

  • Devlet Destekli Aktörler (APT): Yüksek yetenek, büyük bütçe, uzun vadeli hedefler. Casusluk, sabotaj, fikri mülkiyet hırsızlığı motivasyonu. Örnek: APT28 (Fancy Bear), APT29 (Cozy Bear), Lazarus Group.
  • Siber Suç Grupları: Finansal motivasyon, fidye yazılımı, veri hırsızlığı, BEC dolandırıcılığı. Ransomware-as-a-Service (RaaS) iş modeli yaygınlaşmıştır. Örnek: LockBit, ALPHV/BlackCat, Cl0p.
  • Hacktivist Gruplar: İdeolojik motivasyon, DDoS saldırıları, web sitesi tahrifatı, veri sızıntısı. Sosyal ve politik gündemle tetiklenir.
  • İç Tehditler: Mevcut veya eski çalışanlar, taşeronlar, iş ortakları. Yetkili erişime sahip oldukları için tespiti en zor tehdit kategorisidir.
  • Script Kiddies: Düşük yetenek, hazır araçlar kullanan fırsatçı saldırganlar. Otomatik tarama araçlarıyla bilinen zafiyetleri istismar ederler.

Profilleme Metodolojisi

  1. Motivasyon Analizi: Saldırganın amacı nedir? Finansal kazanç, casusluk, sabotaj, itibar zedeleme?
  2. Yetenek Değerlendirmesi: Saldırganın teknik beceri seviyesi, kaynak ve altyapı kapasitesi.
  3. Hedef Analizi: Hangi sektörleri, coğrafyaları ve kuruluş tiplerini hedef alıyor?
  4. TTP Haritalama: Saldırgan hangi taktik, teknik ve prosedürleri kullanıyor? ATT&CK matrisine eşleme.
  5. Altyapı Analizi: Kullanılan C2 sunucuları, domain'ler, araçlar ve kötü amaçlı yazılım aileleri.
  6. Trend Analizi: Saldırganın zamanla nasıl evrildiği, yeni yetenekler ve değişen hedefler.

TI Kaynakları: OSINT, HUMINT ve Feed'ler

Tehdit istihbaratı kaynakları, toplanan verinin türüne ve yöntemine göre sınıflandırılır. Etkin bir TI programı, birden fazla kaynak türünü birleştirerek kapsamlı bir görünüm oluşturur.

Açık Kaynak İstihbarat (OSINT)

  • CVE Veritabanları: NVD (National Vulnerability Database), MITRE CVE, VulnDB - yeni zafiyet bilgileri ve analiz.
  • Tehdit İstihbarat Platformları: AlienVault OTX, VirusTotal, AbuseIPDB, URLhaus - topluluk destekli IOC paylaşımı.
  • Güvenlik Blogları ve Raporları: Mandiant, CrowdStrike, Recorded Future, Kaspersky, ESET - tehdit aktörü ve kampanya analizleri.
  • Dark Web İzleme: Forum'lar, pazar yerleri ve paste site'leri taranarak sızdırılmış kimlik bilgileri, saldırı planları ve satışa çıkarılmış veritabanları izlenir.
  • Sosyal Medya: Twitter/X, Reddit güvenlik toplulukları, GitHub - gerçek zamanlı tehdit bilgisi paylaşımı.

Ticari TI Feed'leri

  • Recorded Future: Makine öğrenimi destekli geniş kapsamlı tehdit istihbarat platformu.
  • CrowdStrike Falcon Intelligence: Tehdit aktörü profilleme ve zararlı yazılım analizi odaklı.
  • Mandiant Advantage: Olay müdahale deneyimine dayanan derin tehdit aktörü analizi.
  • IBM X-Force Exchange: IOC, zafiyet ve zararlı yazılım istihbaratı platformu.

Topluluk Tabanlı Paylaşım

  • ISAC'lar: Sektörel Bilgi Paylaşım ve Analiz Merkezleri. Finans, sağlık, enerji gibi sektörlerde tehdit bilgisi paylaşımı.
  • STIX/TAXII: Otomatik TI paylaşımı için standart formatlar. STIX tehdit bilgisini yapılandırılmış formatta ifade eder, TAXII ise transport protokolüdür.
  • MISP: Açık kaynak tehdit istihbarat paylaşım platformu. IOC paylaşımı, korelasyon ve analiz yetenekleri sunar.

TI Platformları ve Entegrasyon

Bir Tehdit İstihbarat Platformu (TIP), birden fazla kaynaktan gelen verileri toplayıp normalleştiren, analiz eden, zenginleştiren ve güvenlik araçlarına dağıtan merkezi sistemdir.

TIP Temel Yetenekleri

  • Veri Toplama ve Normalleştirme: Farklı formatlardaki TI feed'lerini (STIX, CSV, JSON, OpenIOC) otomatik toplayıp standart formata dönüştürme.
  • Zenginleştirme: IOC'leri ek bağlam bilgileriyle zenginleştirme - WHOIS, GeoIP, VirusTotal analizi, sandbox sonuçları.
  • Korelasyon: Farklı kaynaklardan gelen göstergeleri ilişkilendirerek kalıplar ve kampanyalar keşfetme.
  • Scoring: IOC'lerin güvenilirlik ve önem derecesini puanlama.
  • Dağıtım: İstihbaratı SIEM, SOAR, EDR, firewall gibi güvenlik araçlarına otomatik olarak dağıtma.

Entegrasyon Noktaları

  • SIEM Entegrasyonu: IOC'leri SIEM korelasyon kurallarına aktararak gerçek zamanlı tehdit eşleştirmesi - bilinen kötü amaçlı IP'lere bağlantı tespiti gibi.
  • SOAR Entegrasyonu: TI tetiklemeli otomatik müdahale playbook'ları - kötü amaçlı domain engelleme, kullanıcı hesabı kilitleme.
  • EDR Entegrasyonu: Dosya hash'leri ve davranışsal göstergelerin endpoint koruma platformlarına aktarılması.
  • Firewall/Proxy: Kötü amaçlı IP ve domain listelerinin ağ güvenlik cihazlarına otomatik aktarılması.
  • Zafiyet Yönetimi: TI verilerinin zafiyet önceliklendirme sürecine entegrasyonu - aktif istismar edilen zafiyetlerin önceliklendirilmesi.

Zafiyet Yönetimi ile TI Birlikteliği

Zafiyet yönetimi ve tehdit istihbaratı birlikte uygulandığında, her iki disiplinin etkinliği katlanarak artar. TI, zafiyet yönetiminin en büyük sorunlarından biri olan "hangi zafiyeti önce düzeltmeliyim" sorusuna veri odaklı yanıtlar sunar.

TI Destekli Zafiyet Önceliklendirme

  • Aktif İstismar Tespiti: TI feed'leri, hangi zafiyetlerin aktif olarak istismar edildiğini gösterir. CISA KEV (Known Exploited Vulnerabilities) kataloğu, bu amaçla kritik bir kaynaktır.
  • Exploit Mevcut mu?: Public exploit kodu (ExploitDB, GitHub PoC) mevcut olan zafiyetler, daha yüksek risk taşır.
  • Sektörel Hedefleme: Kuruluşunuzun sektörünü hedef alan aktif kampanyaların istismar ettiği zafiyetler, koşullar ne olursa olsun en yüksek öncelik almalıdır.
  • Dark Web İstihbaratı: Yeraltı forumlarında tartışılan veya satışa çıkarılan exploit'lerin hedef aldığı zafiyetlere dikkat edin.
  • EPSS Puanı: Exploit Prediction Scoring System, bir zafiyetin 30 gün içinde istismar edilme olasılığını tahmin eder. CVSS puanını TI ile tamamlayan veri odaklı bir ölçüttür.

Entegrasyon Modeli

  1. TI platformundan aktif istismar edilen CVE listesini otomatik çekin.
  2. Zafiyet yönetimi platformundaki tarama sonuçlarıyla çapraz referanslayın.
  3. TI zenginleştirmesi sonucu riskleri yeniden puanlayın - aktif exploit olan bir "orta" seviye zafiyet, "kritik" olarak yeniden sınıflandırılabilir.
  4. Sektörel ve coğrafi tehdit bağlamını ekleyerek kuruluşa özel risk profili oluşturun.
  5. Yeniden puanlanmış zafiyetlerin düzeltme önceliklerini güncelleyin ve ilgili ekiplere otomatik bildirim gönderin.

Threat Hunting Temelleri

Threat hunting (tehdit avcılığı), mevcut güvenlik araçlarını atlayabilecek tehditleri proaktif biçimde arama sürecidir. Otomatik tespit kurallarının ötesine geçerek, insan analistlerin hipotez odaklı araştırma yapmasını temel alır.

Threat Hunting Döngüsü

  1. Hipotez Oluşturma: TI raporları, trend analizleri veya ATT&CK tekniklerinden yola çıkarak bir hipotez formüle edin. Örnek: "APT29'un son kampanyasında kullandığı Teams tabanlı oltalama tekniği kuruluşumuzda başarılı olmuş olabilir."
  2. Veri Toplama: Hipotezi test etmek için gerekli log kaynaklarını belirleyin - EDR telemetrisi, ağ akış verileri, DNS logları, proxy logları.
  3. Araştırma: Veri analiz araçlarıyla (SIEM sorguları, Jupyter Notebook, Elastic) hipotezi destekleyen veya çürüten kanıtları arayın.
  4. Bulgu Değerlendirme: Tespit edilen anomalilerin gerçek tehdit mi yoksa false positive mi olduğunu değerlendirin.
  5. Yanıt ve İyileştirme: Gerçek tehdit tespit edilirse olay müdahale sürecini başlatın. Tespit kurallarını güncelleyin ve gelecekte otomatik tespiti sağlayın.

TI ile Threat Hunting İlişkisi

  • TI raporları, hunting hipotezlerinin birincil kaynağıdır.
  • Yeni yayımlanan TTP'ler, sıcak hunting konuları oluşturur.
  • IOC'ler, retroaktif arama (retrospective hunting) için kullanılır - geçmişte karşılaşmış olabileceğiniz tehditler.
  • Hunting sonuçları, TI ekibine geri bildirim sağlayarak döngüyü tamamlar.

SİTEY ile TI Entegrasyonu

SİTEY zafiyet yönetimi platformu, tehdit istihbaratı verilerini zafiyet yönetimi süreçlerinize sorunsuz biçimde entegre eder. Platform, TI destekli akıllı önceliklendirme ile güvenlik ekiplerinizin en kritik risklere odaklanmasını sağlar.

  • TI Feed Entegrasyonu: CISA KEV, EPSS, AlienVault OTX ve ticari TI feed'lerinden aktif istismar edilen zafiyet bilgilerini otomatik çeker.
  • Akıllı Önceliklendirme: CVSS puanını TI verileri (aktif exploit, sektörel hedefleme, EPSS olasılığı) ile zenginleştirerek kontekst-farkındalıklı risk puanı hesaplar.
  • Otomatik Yeniden Puanlama: Yeni TI verisi geldiğinde etkilenen zafiyetlerin risk puanlarını otomatik günceller ve değişen öncelikleri ilgili ekiplere bildirir.
  • Kampanya İzleme: Aktif saldırı kampanyalarının istismar ettiği CVE'leri platformda otomatik etiketler ve filtreler.
  • MITRE ATT&CK Haritalama: Zafiyetleri ATT&CK teknikleriyle ilişkilendirerek savunma boşluk analizi sunar.
  • Dark Web İzleme: Kuruluşunuzla ilişkili sızdırılmış kimlik bilgileri ve Dark Web'de tartışılan exploit'ler hakkında uyarı.
  • Raporlama: TI zenginleştirmeli zafiyet raporları - yönetim seviyesinden teknik detaya kadar farklı hedef kitlelere özel formatlar.

Sık Yapılan Hatalar

Tehdit istihbaratı programında en sık karşılaşılan hatalar ve bunlardan kaçınma yolları:

  • IOC Odaklılık: Yalnızca teknik IOC toplama ve engellemeye odaklanmak, TTP tabanlı tespiti ihmal etmek. IOC'ler kısa ömürlüdür; TTP analizine dayalı tespit kuralları daha sürdürülebilirdir.
  • Bağlamsız İstihbarat: TI verilerini kuruluşun risk profili, sektörü ve altyapısı ile ilişkilendirmeden tüketmek. "Bu IOC bizi etkiler mi?" sorusunun yanıtı bağlam gerektirir.
  • Feed Kirliliği: Çok sayıda TI feed'i toplamak ancak veri kalitesini doğrulamamak. Yanlış pozitif oranı yüksek feed'ler, güvenlik ekiplerinde uyarı yorgunluğuna yol açar.
  • Eyleme Dönüştürememek: Raporlar yazmak ancak somut savunma eylemleri tanımlamamak. Her TI çıktısı, uygulanabilir bir güvenlik aksiyonuna dönüşmelidir.
  • Entegrasyon Eksikliği: TI platformunu SIEM, SOAR ve zafiyet yönetimi araçlarıyla entegre etmemek. Manuel IOC ekleme ölçeklenebilir değildir.
  • Ölçüm Yapmamak: TI programının etkinliğini ölçecek KPI'lar tanımlamamak. Tespit edilen tehdit sayısı, ortalama tespit süresi, false positive oranı gibi metrikler takip edilmelidir.
  • Paylaşım Kültürü Eksikliği: İstihbaratı yalnızca güvenlik ekibinde tutmak, IT operasyon, geliştirme ve yönetim ekipleriyle paylaşmamak.
  • Tek Kaynağa Bağımlılık: Yalnızca tek bir ticari TI feed'ine güvenmek. Açık kaynak, ticari ve topluluk kaynaklarını birleştiren çoklu kaynak stratejisi benimseyin.

Sıkça Sorulan Sorular (SSS)

Küçük ve orta ölçekli işletmeler de tehdit istihbaratı kullanmalı mı?

Evet. Siber saldırıların %43'ü küçük ve orta ölçekli işletmeleri hedef almaktadır. Bütçe kısıtlı kuruluşlar için açık kaynak TI platformları (MISP, AlienVault OTX), CISA KEV kataloğu ve sektörel ISAC üyelikleri uygun maliyetli başlangıç noktalarıdır. SİTEY platformu, TI feed entegrasyonunu otomatikleştirerek KOBİ'lerin de kurumsal düzeyde TI destekli zafiyet yönetimi yapmasını sağlar.

Tehdit istihbaratı ile zafiyet yönetimi arasındaki en önemli bağlantı noktası nedir?

En kritik bağlantı noktası, TI destekli zafiyet önceliklendirmesidir. CVSS puanı tek başına yeterli değildir - aynı CVSS puanına sahip iki zafiyetten, aktif olarak istismar edilen (TI tarafından doğrulanan) zafiyet çok daha acil müdahale gerektirir. EPSS puanı ve CISA KEV kataloğu, bu bağlantıyı kurmak için en değerli veri kaynaklarıdır.

MITRE ATT&CK Framework'ü kullanmaya nasıl başlanır?

Kuruluşunuzu en çok hedef alması muhtemel 3-5 tehdit aktörüyle başlayın. Bu aktörlerin ATT&CK profillerini inceleyin ve kullandıkları teknikleri belirleyin. ATT&CK Navigator ile bu teknikleri görselleştirin ve mevcut güvenlik kontrollerinizle karşılaştırarak boşlukları tespit edin. Öncelikli boşluklar için tespit kuralları oluşturun. Bu süreci düzenli olarak tekrarlayın.

Hangi TI feed'lerini takip etmek gerekir?

Minimum olarak şu kaynaklara erişim sağlayın: CISA KEV kataloğu (aktif istismar edilen zafiyetler), EPSS (istismar olasılık puanları), AlienVault OTX veya Abuse.ch (topluluk IOC'leri), sektörel ISAC bildirileri ve en az bir ticari TI sağlayıcı (bütçe imkân veriyorsa). Kalite, miktardan önemlidir - az sayıda güvenilir kaynak, çok sayıda düşük kaliteli feed'den daha değerlidir.

Threat hunting için hangi yetenekler gereklidir?

Etkin bir threat hunter, şu becerilere sahip olmalıdır: güçlü ağ ve işletim sistemi temelleri, SIEM/EDR araçlarında ileri düzey sorgu yazma (KQL, SPL, EQL), tehdit istihbaratı okur-yazarlığı, MITRE ATT&CK bilgisi, temel scripting (Python, PowerShell) ve en önemlisi analitik düşünme yeteneği. Başlangıç için mevcut SOC analistlerini hunting eğitimine yönlendirmek etkili bir stratejidir.

İlgili Yazılar

SİTEY ile bu süreçleri tek platformda otomatikleştirin.

Sınırsız Demo İndir Platformu İnceleyin