3. [SİBER İSTİHBARAT EĞİTİM DOKÜMANI]
BGA Bilgi Güvenliği A.Ş. | www.bgasecurity.com | @BGASecurity
SİBER TEHDİT İSTİHBARATININ TEMELLERİ .................................................................................. 29
TEHDİT İSTİHBARATININ SIEM’E ENTEGRASYONU........................................................................ 30
SİBER TEHDİT İSTİHBARATI İŞİNİZE NASIL YARDIMCI OLUR?......................................................... 32
RİSK YÖNETİM SÜRECİ................................................................................................................ 33
RİSK YÖNETİMİ SÜRECİNDE İSTİHBARAT ..................................................................................................... 33
NIST SP 800-39 RİSK YÖNETİMİ SÜRECİ .................................................................................................. 33
SİBER TEHDİTLER VE SİBER ÖLÜM ZİNCİRİ METODOLOJİSİ............................................................ 36
SİBER TEHDİTLERİ ANLAMAK.................................................................................................................... 36
SİBER TEHDİTLERE GENEL BAKIŞ............................................................................................................... 37
Siber Güvenlik Saldırı Çeşitleri....................................................................................................... 37
Distributed Denial of Service (DDoS), Servis dışı bırakma saldırıları......................................................................... 37
Man in the Middle (MITM), Ortadaki Adam Saldırıları ............................................................................................. 37
Phishing (Oltalama ve Spear Phishing), Mızrak Avı................................................................................................... 37
Drive-by Attack......................................................................................................................................................... 38
SQL Injection Attack ................................................................................................................................................. 38
Cross-Site Scripting (XSS) Attack............................................................................................................................... 38
Eavesdropping Attack............................................................................................................................................... 39
Malware Attack ........................................................................................................................................................ 39
SİBER GÜVENLİK TEHDİT KATEGORİLERİ..................................................................................................... 40
Ağ Tehditleri.................................................................................................................................. 40
Mantıksal Saldırılar ................................................................................................................................................... 40
Kaynak Saldırıları ...................................................................................................................................................... 40
Uygulama Tehditleri ..................................................................................................................... 41
Mobil Uygulamaları .................................................................................................................................................. 41
Web Uygulamaları.................................................................................................................................................... 41
Host Tehditleri............................................................................................................................... 42
TEHDİT AKTÖRLERİNİN PROFİLLERİ............................................................................................................ 42
SİBER GÜVENLİK SALDIRILARININ MOTİVASYON VE AMAÇLARI....................................................................... 43
TEHDİT: NİYET, KAPASİTE, FIRSAT ÜÇLÜSÜ................................................................................................. 45
HACKİNG FORUMLARI............................................................................................................................. 45
ADVANCED PERSİSTENT THREATS (APT), GELİŞMİŞ KALICI TEHDİTLERİ ANLAMAK ........................ 46
APT TANIMI ......................................................................................................................................... 46
APT KARAKTERİSTİK ÖZELLİKLERİ ............................................................................................................. 46
APT YAŞAM DÖNGÜSÜ .......................................................................................................................... 47
APT ÖRNEKLERİ .................................................................................................................................... 48
SİBER ÖLÜM ZİNCİRİ’Nİ ANLAMAK.............................................................................................. 49
SİBER ÖLÜM ZİNCİRİ METODOLOJİSİ ......................................................................................................... 49
1- Keşif .......................................................................................................................................... 49
2- Silahlanma................................................................................................................................ 49
3- İletme........................................................................................................................................ 49
4- Sömürme................................................................................................................................... 50
5- Kurulum .................................................................................................................................... 50
6-Komuta ve Kontrol..................................................................................................................... 50
7- Hedeflenen Eylem..................................................................................................................... 50
TEKNİK, TAKTİK VE PROSEDÜRLER (TTP).................................................................................................... 51
Taktik ............................................................................................................................................ 51
Teknik............................................................................................................................................ 51
Prosedürler.................................................................................................................................... 51
DÜŞMAN DAVRANIŞLARINI TANIMA.......................................................................................................... 52
KİLL CHAİN DEEP DİVE SCENARİO, SPEAR PHİSHİNG .................................................................................... 52
4. [SİBER İSTİHBARAT EĞİTİM DOKÜMANI]
BGA Bilgi Güvenliği A.Ş. | www.bgasecurity.com | @BGASecurity
INDİCATORS OF COMPROMİSE (IOC), UZLAŞMA GÖSTERGELERİNİ ANLAMAK .............................. 53
INDİCATORS OF COMPROMİSE (IOC)......................................................................................................... 53
IOC NEDEN ÖNEMLİ?............................................................................................................................. 53
ANAHTAR IOC GÖSTERGELERİ.................................................................................................................. 54
PYRAMİD OF PAİN.................................................................................................................................. 55
VERİ TOPLAMA VE İŞLEME.......................................................................................................... 57
TEHDİT İSTİHBARATI VERİ TOPLAMASINA GENEL BAKIŞ ................................................................................ 57
Veri Toplama Yöntemleri .............................................................................................................. 57
Veri Türleri .................................................................................................................................... 57
Tehdit İstihbaratı Veri Toplama Türleri......................................................................................... 58
TEHDİT İSTİHBARAT TOPLAMA YÖNETİMİNE GENEL BAKIŞ........................................................... 59
VERİ TOPLAMA İÇİN OPERASYONEL GÜVENLİĞİ ANLAMAK............................................................................ 59
VERİ GÜVENİLİRLİĞİNİ ANLAMA ............................................................................................................... 59
ÜÇÜNCÜ ŞAHIS İSTİHBARAT KAYNAKLARININ KALİTESİNİN VE GÜVENİLİRLİĞİNİN DOĞRULANMASI....................... 60
BİR TEHDİT İSTİHBARAT TOPLAMA PLANI OLUŞTURMA................................................................................. 61
TEHDİT İSTİHBARAT KAYNAKLARI VE YAYINLARINA GENEL BAKIŞ ................................................ 62
TEHDİT İSTİHBARAT YAYINLARI................................................................................................................. 62
TEHDİT İSTİHBARAT KAYNAKLARI .............................................................................................................. 63
TEHDİT İSTİHBARATI VERİ TOPLAMA VE KAZANÇLARINI ANLAMA................................................ 64
TEHDİT İSTİHBARATI VERİ TOPLAMA VE SATIN ALMA ................................................................................... 64
AÇIK KAYNAK İSTİHBARATI İLE VERİ TOPLAMA (OSINT) ............................................................................... 64
Arama Motorları ile Veri Toplama................................................................................................ 65
Gelişmiş Google Arama ile Veri Toplama.................................................................................................................. 65
Google Hacking Veritabanı ile Veri Toplama ............................................................................................................ 65
ThreatCrowd ile Veri Toplama.................................................................................................................................. 66
Deep Web ve Dark Web Aramasıyla Veri Toplama................................................................................................... 66
Web Servisleri ile Veri Toplama .................................................................................................... 67
Üst Düzey Etki Alanlarını ve Alt Etki Alanlarını Bulma............................................................................................... 67
İş Siteleri Üzerinden Veri Toplama ........................................................................................................................... 67
Gruplar, Forumlar ve Bloglar aracılığıyla Veri Toplama ............................................................................................ 68
Sosyal Ağ Siteleri Üzerinden Veri Toplama............................................................................................................... 68
Kara Listeli ve Beyaz Listeli Sitelerle İlgili Veri Toplama............................................................................................ 68
Web Sitesi Ayak İzi ile Veri Toplama............................................................................................. 68
Web Sitesi Trafiğini İzleme Yoluyla Veri Toplama..................................................................................................... 69
Web Sitesi Yansıtma ile Veri Toplama ...................................................................................................................... 69
Web Sitesi Bilgilerini https://archive.org adresinden çıkarmak................................................................................ 69
Genel Belgelerin Meta Verilerini Çıkarma ................................................................................................................ 69
Whois Lookup ile Veri Toplama .................................................................................................... 70
DNS Sorgulaması ile Veri Toplama ............................................................................................... 70
DNS Araması ve Ters DNS Araması ile Veri Toplama ................................................................................................ 70
Fast-Flux DNS Bilgi Toplama ..................................................................................................................................... 71
Dinamik DNS (DDNS) Bilgi Toplama.......................................................................................................................... 71
DNS Zone Transfer İle Bilgi Toplama......................................................................................................................... 71
OSINT’i Otomatikleştiren Araçlar/Yapılar/Komut Dosyaları......................................................... 72
MALTEGO ................................................................................................................................................................. 72
OSTrICa..................................................................................................................................................................... 72
OSRFramework......................................................................................................................................................... 72
FOCA......................................................................................................................................................................... 72
GOSINT ..................................................................................................................................................................... 72
İNSAN ZEKÂSI İLE VERİ TOPLAMA (HUMINT) ............................................................................................ 73
İnsan Tabanlı Sosyal Mühendislik Teknikleri ile Veri Toplama...................................................... 73
Sosyal Mühendislik Araçları.......................................................................................................... 73
CYBER COUNTERİNTELLİGENCE (CCI) İLE VERİ TOPLAMA .............................................................................. 74
5. [SİBER İSTİHBARAT EĞİTİM DOKÜMANI]
BGA Bilgi Güvenliği A.Ş. | www.bgasecurity.com | @BGASecurity
Honeypots ile Veri Toplama.......................................................................................................... 74
Pasif DNS İzleme ile Veri Toplama ................................................................................................ 74
YARA Kuralları ile Veri Toplama.................................................................................................... 74
UZLAŞMA GÖSTERGELERİYLE VERİ TOPLAMA (IOC'LER)................................................................................ 75
Dış Kaynaklarla IoC Veri Toplama................................................................................................. 75
Ticari ve Endüstri IoC Kaynakları............................................................................................................................... 75
IT-ISAC................................................................................................................................................................. 75
Ücretsiz IoC Kaynakları ............................................................................................................................................. 75
AlienVault OTX .................................................................................................................................................... 75
Blueliv Threat Exchange Network ....................................................................................................................... 75
MISP .................................................................................................................................................................... 75
Threat Note......................................................................................................................................................... 76
Cacador ............................................................................................................................................................... 76
IOC Bucket................................................................................................................................................................ 76
Dahili Kaynaklarla IoC Veri Toplama ............................................................................................ 76
Splunk Enterprise...................................................................................................................................................... 76
Valkyrie Bilinmeyen Dosya Avcısı ............................................................................................................................. 76
IOC Finder................................................................................................................................................................. 77
RedLine..................................................................................................................................................................... 77
Özel IoC'ler Oluşturmak suretiyle Veri Toplama ........................................................................... 77
IOC Editör ................................................................................................................................................................. 77
TEHDİT GÖSTERGESİ İÇİN TEHDİT GÖSTERGELERİNİN (IOC'LER) ETKİN KULLANIMI İÇİN ADIMLAR . 79
KÖTÜ AMAÇLI YAZILIM ANALİZİYLE VERİ TOPLAMA ..................................................................................... 79
Statik Kötü Amaçlı Yazılım Analiziyle Veri Toplama...................................................................... 79
Dinamik Kötü Amaçlı Yazılım Analiziyle Veri Toplama ................................................................. 79
Kötü Amaçlı Yazılım Analiz Araçları .............................................................................................. 80
Valkyrie..................................................................................................................................................................... 80
Kötü Amaçlı Yazılım Veri Toplama Araçları .................................................................................. 80
VERİ YIĞINI TOPLAMAYI ANLAMA............................................................................................... 81
VERİ YIĞINI TOPLAMAYA GİRİŞ................................................................................................................. 81
VERİ YIĞINI TOPLAMA FORMLARI ............................................................................................................. 81
VERİ YIĞINI TOPLAMANIN YARARLARI VE ZORLUKLARI.................................................................................. 81
VERİ YIĞINI YÖNETİMİ VE ENTEGRASYON ARAÇLARI..................................................................................... 82
VERİ İŞLEME VE SÖMÜRÜYÜ ANLAMAK ...................................................................................... 83
TOPLANAN VERİLERİN YAPILANDIRMASI / NORMALLEŞTİRİLMESİ ................................................................... 83
VERİ ÖRNEKLEMESİ................................................................................................................................ 83
Veri Örnekleme Türleri.................................................................................................................. 83
DEPOLAMA VE VERİ GÖRSELLEŞTİRME....................................................................................................... 84
VERİ ANALİZİNE GENEL BAKIŞ ..................................................................................................... 85
VERİ ANALİZİNE GİRİŞ............................................................................................................................. 85
VERİLERİN BAĞLAMSALLAŞTIRILMASI (CONTEXTUALİZATİON) ........................................................................ 85
VERİ ANALİZİ TÜRLERİ ............................................................................................................................ 85
VERİ ANALİZİ TEKNİKLERİNİ ANLAMAK........................................................................................ 87
İSTATİSTİKSEL VERİ ANALİZİ ..................................................................................................................... 87
Veri Hazırlama .............................................................................................................................. 87
Veri Sınıflandırması....................................................................................................................... 87
Veri Doğrulama............................................................................................................................. 88
Veri Korelasyonu........................................................................................................................... 88
Veri Puanlama .............................................................................................................................. 88
İstatistiksel Veri Analizi Araçları ................................................................................................... 88
SAS/STAT Yazılımı ..................................................................................................................................................... 88
IBM SPSS................................................................................................................................................................... 88
7. [SİBER İSTİHBARAT EĞİTİM DOKÜMANI]
BGA Bilgi Güvenliği A.Ş. | www.bgasecurity.com | @BGASecurity
YAYGINLAŞTIRMAYA GİRİŞ ....................................................................................................... 111
İSTİHBARAT PAYLAŞMANIN YARARLARI .................................................................................................... 111
İSTİHBARAT PAYLAŞIMINDAKİ ZORLUKLAR................................................................................................ 111
BİLGİ PAYLAŞIMI KURALLARI .................................................................................................................. 112
TEHDİT İSTİHBARATININ PAYLAŞILMASINA GENEL BAKIŞ........................................................... 113
STRATEJİK TEHDİT İSTİHBARATININ PAYLAŞILMASI ..................................................................................... 113
TAKTİK TEHDİT İSTİHBARATI PAYLAŞIMI ................................................................................................... 113
OPERASYONEL TEHDİT İSTİHBARATININ PAYLAŞILMASI ............................................................................... 113
IT-ISAC (BİLGİ TEKNOLOJİSİ VE BİLGİ GÜVENLİĞİ VE ANALİZ MERKEZİ)......................................................... 113
TESLİMAT MEKANİZMALARINA GENEL BAKIŞ ............................................................................ 114
TESLİMAT FORMLARI............................................................................................................................ 114
MAKİNE TARAFINDAN OKUNABİLEN TEHDİT İSTİHBARATI (MRTI)................................................................ 114
TEHDİT İSTİHBARATINI PAYLAŞMA STANDARTLARI VE FORMATLARI .............................................................. 114
Trafik Işık Protokolü (TLP)........................................................................................................... 114
MITRE Standartları...................................................................................................................... 115
Yönetilen Olay Hafif Değişim, Managed Incident Lightweight Exchange (MILE) ....................... 116
VERIS........................................................................................................................................... 116
IDMEF.......................................................................................................................................... 117
TEHDİT İSTİHBARATI PAYLAŞMA PLATFORMLARINI ANLAMAK .................................................. 118
BİLGİ PAYLAŞIMI VE İŞ BİRLİĞİ PLATFORMLARI .......................................................................................... 118
Blueliv Tehdit Değişim Ağı .......................................................................................................... 118
Anomali STAXX............................................................................................................................ 118
MISP (Kötü Amaçlı Yazılım Bilgi Paylaşma Platformu) ............................................................... 118
Soltra Edge.................................................................................................................................. 118
İSTİHBARAT PAYLAŞIMI YASALARINA VE DÜZENLEMELERE GENEL BAKIŞ ................................... 119
SİBER İSTİHBARAT PAYLAŞMA VE KORUMA YASASI (CISPA)........................................................................ 119
SİBER GÜVENLİK BİLGİ PAYLAŞMA YASASI-CYBERSECURİTY INFORMATİON SHARİNG ACT (CISA)....................... 119
TEHDİT İSTİHBARATI ENTEGRASYONUNA GENEL BAKIŞ.............................................................. 120
TEHDİT İSTİHBARATINI ENTEGRE ETME .................................................................................................... 120
GEREKSİNİMLER, PLANLAMA, YÖN VE GÖZDEN GEÇİRMEK........................................................ 121
ORGANİZASYONA YÖNELİK KRİTİK TEHDİTLERİ BELİRLEMEK......................................................................... 121
KURULUŞUN MEVCUT GÜVENLİK BASKI DURUŞUNU DEĞERLENDİRİN ........................................................... 121
Kuruluşun Mevcut Güvenlik Altyapısı ve İşlemlerini Anlama...................................................... 122
SIEM........................................................................................................................................................................ 122
NGFW ..................................................................................................................................................................... 123
Gateway.................................................................................................................................................................. 123
IPS/IDS.................................................................................................................................................................... 123
Endpoint Çözümler ................................................................................................................................................. 123
TANIMLANMIŞ TEHDİTLER İÇİN RİSKLERİ DEĞERLENDİRİN ........................................................................... 123
GEREKSİNİM ANALİZİNİ ANLAMAK............................................................................................ 125
İSTİHBARAT İHTİYAÇLARINI VE GEREKSİNİMLERİNİ BELİRLEME ...................................................................... 125
TEHDİT İSTİHBARATI GEREKSİNİMLERİNİ TANIMLAYIN................................................................................. 125
İŞ İHTİYAÇLARI VE GEREKLİLİKLERİ ........................................................................................................... 125
İşletme Birimleri, İç Paydaşlar ve Üçüncü Taraflar ..................................................................... 125
Diğer Takımlar ............................................................................................................................ 126
GEREKSİNİMLERİ ÖNCELİKLENDİRME FAKTÖRLERİ...................................................................................... 126
GEREKSİNİMLERİN ÖNCELİKLENDİRİLMESİ İÇİN MOSCOW YÖNTEMİ ............................................................ 127
KURUMSAL VARLIKLARIN ÖNCELİKLENDİRİLMESİ ....................................................................................... 128
GİZLİLİK SÖZLEŞMESİ ............................................................................................................................ 128
8. [SİBER İSTİHBARAT EĞİTİM DOKÜMANI]
BGA Bilgi Güvenliği A.Ş. | www.bgasecurity.com | @BGASecurity
YAYGIN TEHDİT İSTİHBARAT TUZAKLARINDAN KAÇININ............................................................................... 129
TEHDİT İSTİHBARATI PROGRAMINI PLANLAMA ......................................................................... 130
İNSANLARI, SÜREÇLERİ VE TEKNOLOJİYİ HAZIRLAMAK................................................................................. 130
BİR VERİ TOPLAMA PLANI GELİŞTİRMEK .................................................................................................. 131
BİR BÜTÇE PLANLAYIN.......................................................................................................................... 132
PAYDAŞLARA İLERLEMEYİ GÜNCELLEMEK İÇİN İLETİŞİM PLANI GELİŞTİRİN...................................................... 132
TOPLANMIŞ TEHDİT İSTİHBARATI ............................................................................................................ 133
BİR TEHDİT İSTİHBARAT PLATFORMU SEÇİN.............................................................................................. 133
FARKLI HEDEFLER İÇİN TÜKETİCİ İSTİHBARATI............................................................................................ 134
PAYDAŞLARIN BİLGİLENDİRİLMESİ İÇİN METRİKLERİN İZLENMESİ .................................................................. 134
TEHDİT İSTİHBARAT EKİBİ OLUŞTURMA..................................................................................... 135
BAŞARILI BİR TEHDİT İSTİHBARATI EKİBİ İÇİN ÖNEMLİ KURALLAR ................................................................. 135
TEHDİT İSTİHBARATI ANALİSTLERİNİN SAHİP OLMASI GEREKEN ALIŞKANLIKLAR............................................... 136
Farklı Tehdit İstihbarat Rolleri ve Sorumluluklarını Anlama ....................................................... 136
Tehdit İstihbaratı Ekipleri Başarısız Olma Nedenleri................................................................... 137
TEHDİT İSTİHBARATI PAYLAŞIMINA GENEL BAKIŞ ...................................................................... 139
TEHDİT İSTİHBARATININ PAYLAŞILMASIYLA İLGİLİ HUSUSLAR ....................................................................... 139
ÇEŞİTLİ ORGANİZASYONLARLA İSTİHBARATI PAYLAŞMA............................................................................... 139
9. [SİBER İSTİHBARAT EĞİTİM DOKÜMANI]
BGA Bilgi Güvenliği A.Ş. | www.bgasecurity.com | @BGASecurity
Siber Tehdit İstihbaratına Giriş
İstihbarat Nedir?
İstihbarat kelimesi Arapçadaki “istihbar” kelimesinin çoğuludur. Haberler, yeni alınan bilgiler
veya haber alma anlamına gelmektedir. TCK’daki anlamı da aynı şekilde “yeni öğrenilen
bilgiler, haberler ve duyumlar” olarak açıklanmaktadır. İstihbaratın ne demek olduğunu
anlamak için bazı kavramların üzerinde durmamız gerekmektedir.
Veri: Yönlendirme amacıyla kullanılan, işe yarayabilecek veya yaramayacak metin, belge ve
seslerin ham halidir.
Enformasyon: Enformasyon Fransızcada “danışma, tanıtma, haber alma, haber verme,
haberleşme” anlamlarına gelmektedir. Verini işlenmiş ve düzenlenmiş haline denir. Yazılı,
sözlü veya görsel bir mesajdır.
Bilgi (Anlamlı Bilgi): Enformasyonun zenginleştirilmiş halidir. Zenginleştirme işlemi deney,
tecrübe, yorum, analiz ve bağlam yoluyla yapılabilir.
İstihbaratın günümüzde yaygın olarak kullanılan anlamı şu şekildedir; Kişi, kurum-kuruluş,
devletler ve diğer organizasyonlar hakkında açık veya kapalı kaynaklardan haber, doküman
veya bilgi toplayıp, analiz ve değerlendirmeler işlemlerine tabi tutarak sonuca ulaşılması
işlemidir.
“Denilir ki başkasını ve kendini bilirsen sen, yüz kere savaşsan da tehlikeye düşmezsin;
başkasını bilmeyip, kendini bilirsen bir kazanır bir kaybedersin ne kendini ne de başkasını
bilmezsen, girdiğin her savaşta kaybetmeye mahkumsun demektir.”- Sun Tzu
İstihbaratı kaynaklarına göre sınıflandıracak olursak;
10. [SİBER İSTİHBARAT EĞİTİM DOKÜMANI]
BGA Bilgi Güvenliği A.Ş. | www.bgasecurity.com | @BGASecurity
• Açık kaynak istihbaratı
• Görüntü İstihbaratı
• İnsan İstihbaratı
• Radar (İzleme, Ölçme ve İz) İstihbaratı
• Sinyal (İletişim, Elektronik, Cihaz Sinyali) İstihbaratı
• Teknik İstihbarat
İstihbaratını seviyelerine göre 3 başlıkta sınıflandırabiliriz;
• Stratejik İstihbarat
• Operasyonel İstihbarat
• Taktiksel İstihbarat
Stratejik İstihbarat: Güvenlik politikalarının geliştirilmesi ve uygulanmasında yakın veya
muhtemel önlemi bulunan, yabancı ulusların veya bölgelerin bir ya da birden fazla yönü ile
ilgilenen istihbarat çeşididir.
Taktiksel İstihbarat: Taktik istihbaratı, düşmanın aktüel amaç ve kapasitelerini anlamaya
yönelik toplanan istihbarat çeşididir. Stratejik istihbarat ile arasındaki en büyük fark şudur;
Taktiksel istihbaratın mevcut bilgiyi hemen kullanması gerekmektedir. Ama bu işlem, stratejik
istihbaratta uzun vadeli olabilir.
Operasyonel İstihbarat: İç içe geçmiş uyumlu taktiksel istihbarat eylemlerinden oluşturulmuş
olan istihbarat operasyonuna verilen isimdir.
11. [SİBER İSTİHBARAT EĞİTİM DOKÜMANI]
BGA Bilgi Güvenliği A.Ş. | www.bgasecurity.com | @BGASecurity
Siber Tehdit İstihbaratı
İstihbarat, Tehdit İstihbaratı ve Siber Tehdit İstihbaratı birbirleriyle bağlantıları kavramlardır.
Aralarındaki ilişkiyi aşağıdaki Şekil 1’de gösterilmiştir.
Şekil 1: İstihbarat, Tehdit İstihbaratı ve Siber Tehdit İstihbaratı arasındaki ilişki
Siber tehdit istihbaratının ne olduğuna geçmeden önce Siber Tehdidin ne olduğuna
değinmemiz gerekmektedir.
Siber Tehdit
Siber tehdit, kötü niyetli kişi veya kuruluşların, kontrol sistemi cihazlarına veya şebekesine
yetkisiz erişim teşebbüsünde bulunması, ağ yapısını bozması veya kullanılamaz hale
getirmesidir. Siber tehditler çeşitli yerlerden, insanlardan, kurum veya kuruluşlardan
kaynaklanabilir.
Örneğin;
• Teröristler
• Hackerler
• Ticari rakipler
• Casuslar
• Düşman devletler
• Mutsuz çalışanlar
• Organize suç grupları
12. [SİBER İSTİHBARAT EĞİTİM DOKÜMANI]
BGA Bilgi Güvenliği A.Ş. | www.bgasecurity.com | @BGASecurity
Yukarıda bahsedilen siber tehdit kaynaklarının, zarar vermek amacıyla gerçekleştirdikleri
işlemlere siber tehdit denir. Bu tehditler, saldırganların, kurbanlarına saldırı gerçekleştirirken
ne tür bir senaryo izleyebileceklerine dair fikir oluşturur. Bahsettiğimiz siber tehditlere örnek
vermek gerekirse;
• Malware; Zararlı yazılımlar
• Spyware; Casus yazılımlar
• Malvertising; Reklamlara gömülmüş zararlı yazılımla
• Man in the Middle (MITM); Ortadaki Adam Saldırıları
• Wiper Attacks; Bulaştığı sistemde her şeyi silen zararlılar
• Distributed Denial of Service (DDoS); Servis dışı bırakma saldırıları
• Ransomware; Fidye Zararlıları
• Botnets; Zombi Makineler
• Trojans; Truva Atları
• Phishing; Oltalama Saldırıları
• Data Breaches; Veri sızıntıları
• Worms; Solucanlar
• Keyloggers; Klavye İşlemlerini Kaydeden Programlar
• Backdoors; Arka Kapılar
• Malvertising; Reklam Zararlıları
• Advanced Persistent Threats; Hedef Odaklı Saldırılar
Siber Tehdit İstihbaratı
Siber tehdit istihbaratı (CTI), bir kurumun veya varlığın güvenliğini tehdit eden mevcut ve
potansiyel saldırılar hakkındaki bilgilerin toplanmasına, analiz edilmesine odaklanan siber
güvenlik alanıdır. Siber tehdit istihbaratının yararı, veri sızıntılarını önleme ve özellikle finansal
maliyetlerden tasarruf sağlamasıdır. Amacı kurum/kuruluşlara kendilerine karşı oluşan
tehditleri göstermek, anlamlandırılmasına yardım etmek ve korumaktır.
Siber tehdit istihbaratı, toplanan verilerin analizinden sonra saldırganların düşüncelerini,
amaçlarını, motivasyonlarını, yöntem ve metotlarını tespit etmek amacı taşır.
Siber tehdit istihbaratı çözümleri eyleme geçirilebilir çözümlerdir. Bu nedenle gerçek zamanlı
aksiyonlar alınabilir ve olası saldırılara karşı hazırlıklı olunabilir. Buna proaktif siber güvenlik
denir.
İstihbaratı seviyelerine göre üç gruba ayırdığımız gibi Siber Tehdit İstihbaratı’nı da seviyelerine
göre aynı gruplara ayırabiliriz.
13. [SİBER İSTİHBARAT EĞİTİM DOKÜMANI]
BGA Bilgi Güvenliği A.Ş. | www.bgasecurity.com | @BGASecurity
Stratejik İstihbarat: Düşmanı tanımaya yönelik olan istihbarat çeşididir. Zarar verme
potansiyeli olan kurum/kuruluş/kişi/grupların izlenmesi sonucu oluşturulur. Saldırganların
niyetlerine, motivasyonlarına, taktik ve stratejilerine, geçmişteki eylemlerine ve olması
muhtemel saldırılarına yönelik bilgi içerir.
Operasyonel İstihbarat: Bu istihbarat çeşidi saldırganların teknik, taktik ve prosedürlerini
içermektedir. Bu bilgiler SOC (Security Operation Center) ekiplerine servis edilir ve onlar
tarafından analiz edilip olası saldırılara karşı bir önlem olarak kullanılabilir.
Taktiksel İstihbarat: Bu istihbarat çeşidi sistem ve ağ üzerindeki olası kötü amaçlı etkinlikleri
tanımlayan verileri içermektedir. IOC (Indicators of Compromise) denilen bu veriler
bulundukları yapıdaki olağandışı ve şüpheli hareket verileridir. Taktiksel istihbarat SIEM,
IDP/IPS, DLP gibi güvenlik çözümlerine entegre edilmektedir.
14. [SİBER İSTİHBARAT EĞİTİM DOKÜMANI]
BGA Bilgi Güvenliği A.Ş. | www.bgasecurity.com | @BGASecurity
Siber Tehdit İstihbaratı Neden Gereklidir?
Faydaları Nelerdir?
Ponemon Enstitüsü tarafından 2015 yılının yapılan bir ankete göre; Şirketlerin %40’ında son
24 ayda maddi bir güvenlik ihlali yaşanmıştır ve ihlallerin %80’ninin, tehdit istihbaratı ile
engellenebileceği ya da hasarı en aza indirebileceği tespit edilmiştir.
Katılımcıların sadece %36’sı şirketlerinin savunmasını güçlü olarak değerlendirmiştir.
Katılımcıların neredeyse yarısı bir saldırının sonuçlarını önlemek veya azaltmak için aldıkları
istihbarat verilerini artırmaktadır.
Bu kurumlar ortalama olarak haftada 16937 alarm almaktadır. Alarmların sadece 3218’i (%19)
güvenilir olarak değerlendirilmiştir. Alarmların sadece 705’i (%4) araştırılabilmiştir. Yanlış
uyarılara karşılık yılda 1,27 milyon dolar harcadığı belirlenmiştir. Bu bahsedilen problemler
doğru siber tehdit istihbaratı yöntemleri ile minimuma indirgenebilir.
Siber tehdit istihbaratı, olası tehditler hakkında farkındalık kazandırılması amacı taşımaktadır.
Kurum içi istenmeyen olaylara gerçekleşmeden önce müdahale edilmesi için gerekli bir
alandır. Bu şekilde güvenlik çözümleri en üst seviyeye çıkarılmış ve gerekli önlemler alınmış
olur. Siber tehdit istihbaratının faydaları arasında; veri kaybını önleme, veri ihlallerini tespit
etme, olay yanıtı, tehdit analizi, veri analizi, tehdit istihbarat paylaşımı sayılabilir.
Veri Kaybı Önleme
Bir siber tehdit istihbarat sistemi, kötü niyetli IP’ler ve domainler alanları ile iletişim
girişimlerini izleyebilir, çalışanlara yapılabilecek olası phishing saldırılarını algılayabilir. Bu
verilerin toplanıp analiz edilmesi olası aynı durumlar için önlem niteliği oluşturabilmektedir.
Veri İhlallerini Tespit Etme
Gerçekleşmiş veya gerçekleşmekte olan bir veri ihlali ne kadar erken tespit edilirse, kurum
üzerindeki zararlı etkisi de o kadar az olur. Bu noktada veri ihlalleri ve sızıntıları tespiti hem
maddi açıdan yaşanacak kayıplara, hep kurumun saygınlık kaybetmesine bir önlem niteliği
taşımaktadır.
Olay Yanıtı
Yukarıda bahsettiğimiz ver kaybı veya sızıntısının hangi cihazlar üzerinde gerçekleştiği/
gerçekleşmekte olduğu bilgisi tehlikeye giren sistemleri belirlemeye yardımcı olur. Böylelikle
aynı ihlallerin gerçekleşmemesi adına alınacak önlemler daha bilinçli yapılandırılabilir.
15. [SİBER İSTİHBARAT EĞİTİM DOKÜMANI]
BGA Bilgi Güvenliği A.Ş. | www.bgasecurity.com | @BGASecurity
Tehdit Analizi
Tehdit analizi, gerekli savunma mekanizmaları ve alınabilecek önlemler hakkında fikir verir. Bu
analiz, daha önce yapılmış saldırılar veya gerçekleşmeden önce tespit edilmiş saldırılar
üzerinden gerçekleşmektedir. Amaç saldırganların teknik, taktik ve prosedürlerini anlamak,
tehdit oluşturabilecek noktalara doğru çözüm önerilerini getirmektir.
Veri Analizi
Toplanan verilerin analiz edilmesi saldırganların oluşturdukları/oluşturabilecekleri tehditlere
karşı ek bilgiler elde edilmesine yardımcı olur.
Tehdit İstihbarat Paylaşımı
Tehdit istihbaratı paylaşımı kurumların elde ettikleri tehditsel verileri diğer kurumlarla
paylaşmasıdır. Amacı; hedeflenen saldırılara karşı kullanılan önlemlerin geliştirilmesine
yardımcı olmaktır. Gerçekleşmekte olan tehditlerle bireysel olarak savaşmak neredeyse
imkânsız olduğu için topluluklar arası bilgi paylaşımı hayati önem taşımaktadır.
16. [SİBER İSTİHBARAT EĞİTİM DOKÜMANI]
BGA Bilgi Güvenliği A.Ş. | www.bgasecurity.com | @BGASecurity
Bir Saldırı Öncesi, Saldırı Sırası ve Saldırıdan
Sonra Yapılacaklar
Siber Saldırı Öncesinde
Bir siber savaş sırasında yapılabilecek en iyi savunma, tehditlerin gerçekleşmesine izin
vermemektir. Bunu yapmak için bazı önlemlerin alınması hayati nitelik taşımaktadır. Plan
oluşturmak, kritik varlıkların belirlenmesi ve bunlar için gerekli uygun teknolojilerin
kullanılması, kurum çalışanlarına gerekli eğitimlerin verilmesi gibi işlemler yapılabilir.
Plan Oluşturmak: Bir siber saldırı gerçekleşmeden önce dikkat edilmesi gereken kilit nokta BT
altyapımızın belirli prosedürlere tabi tutulmasıdır. Felaket senaryosu planı oluşturulması ve
plan oluşturulurken; iyi belgelenmeli, test edilmeli, açıklık verilen noktaları telafi edilmelidir.
İyi bir planın olması saldırıdan kurtulma şanımızı arttıracaktır.
Kritik Varlıkların Tanınması: Hangi programlar, sunucular, işlemler, veri tabanları devre dışı
kalması halinde yapılan işin devam edilmesine engel oluşturuyorsa, bunlar kritik varlıklardır.
Bu sistemlerin tanınması ve korumak için gerekli adımların atılmış olması gerekmektedir.
Kritik Varlıkları Korumak İçin Uygun Teknolojinin Kullanılması: Bu teknolojiler bir saldırıya
karşı önlem oluşturacak, gerçekleşmeden önceki veri ihlallerini bildirecek, olağan dışı olayları
rapor edecek teknolojilerdir. IPS/IDS sistemler, DLP yapıları, SIEM ürünleri, Syslog verileri
örnek olarak gösterilebilir. Bunların dışında kritik verilerin belirli sıklıklarla yedeklenmesi ve bu
yedeklerin tek bir noktaya değil birden fazla noktaya gerçekleştirilmesi de önlem niteliği taşır.
Gerekli Eğitimlerin Verilmesi: Kurumların çalışanlarına güvenlik eğitimleri vermeleri, olası
saldırı veya kritik durumlarda bilinçsiz harekete etmelerine engel oluşturur.
Siber Saldırı Sırasında
Kurumumuz yeterli olduğunu düşündüğü tüm önlemleri almış olsa bile, bir siber saldırının
gerçekleşmesine engel olamamış olabilir. Bu noktada durum değerlendirmesi, hasar kontrolü,
yedeklerin kullanılması, etkilenen sistemlerdeki kanıt niteliği taşıyan verilerin muhafaza
edilmesi ve yetkililerin bilgilendirilmesi gibi işlemler gerçekleştirilebilir.
Durum Değerlendirmesi: Öncelikle var olan durumun gerçekten bir siber saldırı mı olduğu
yoksa kurum içi gerçekleşen olağan bir durumun saldırı şeklinde algılanması mı olduğuna
cevap verilmelidir. Eğer bunun sadece gerçekleşen bir aksaklık ise kurtarma senaryosuna
gidilmez ama siber saldırı olduğu kesinleşirse daha önce yapılan planlardaki işlem adımları
devreye sokulur.
Hasarın En Aza İndirilmesi: Bu noktada verilmesi kararlar vardır. Örneğin; tehdidin daha
derine yayılmasını önlemek için sistemin kapatılması daha çok hasara mı neden verir? Yoksa
17. [SİBER İSTİHBARAT EĞİTİM DOKÜMANI]
BGA Bilgi Güvenliği A.Ş. | www.bgasecurity.com | @BGASecurity
bu durum kötünün iyisi olarak değerlendirilebilir mi? Çok büyük yapılarda, saldırı sırasında,
gerçekleşen yoğun trafiği azaltmak ve asıl probleme odaklanmak için daha önce yazılmış
kurallarda değişiklik yapılabilir.
Yedekler: Gerçek zamanlı sistemlerde sistemin kapatılmaması durumunda, hizmet verdiği
insanların işlemlerini gerçekleştirmeye devam etmek için en hızlı şekilde yedeklerin geri
yüklenmesi gerekebilir.
Etkilenen Sistemlerden Adli Verilerin Toplanması: Saldırıyı gerçekleştiren saldırganlar,
kendilerini ele vermemek için bazı izleri silme eğilimde bulunabilirler. Bu duruma engel olmak
için sistemin anlık yapısının, topolojisinin, etkilenen sistemlerin üzerinde çalışan personel
kimlik bilgilerinin alınması, daha sonra yapılacak olan adli bilişim izleme sürecinde
kullanılabilir.
Yetkililere Bilgi Verilmesi: Olayın şirket personellerine ve saldırıdan etkilenebilecek olası
mağdurlara bildirilmesi gerekmektedir. Verilecek bu bilgiler aynı saldırının başkalarına verecek
hasarı önleyebilir veya azaltabilir. Potansiyel mağdurların bilgilendirilmemesi, istenmeyen
yasal işlemlere yol açabilir.
Yapılmaması Gerekenler: Bir siber saldırı sırasında yapılması gerekenlere verilen önem kadar
yapılmaması gerekenlere de dikkat edilmelidir. Örneğin: Etkilenen sistemin kullanılmaya
çalışılması, sisteme giden güç kaynağının kesilmesi, iletişimin tehlikede bulunan sunucu
üzerinden yapılması gibi işlemler yapılmaması gerekenler arasında sayılabilir.
Siber Saldırı Sonrasında
Kuruma gerçekleşen siber saldırı sonrasında etkilenen sistemler izlenmeli ve yaşanan
deneyimden çıkarılan olumlu olumsuz davranışlar, kontroller, müdahaleler göz önünde
bulundurularak var olan sistem güçlendirilmelidir.
Etkilenen Sistem/Sistemlerin İzlenmeye Devam Edilmesi: Saldırganlar girdikleri sistemlerde
arka kapılar bırakmış olabilirler. Bu nedenle etkilenen sistemlerin gözetim altında tutulması ve
gerekli testlerin yapılması gerekmektedir.
Gelecek Saldırıların Önlenmesi İçin Gerekli Önlemlerin Alınması: Bir saldırının
gerçekleşmesi demek, saldırganların kullanabilecekleri bir zafiyeti barındırmak demektir.
Öncelikle bu zafiyetin önüne geçilmesi gerekmektedir. Aynı tarz bir olayın gerçekleşmemesi
için gerekli incelemeler yapılması, personel bilgilendirilmeli, olaya sebebiyet veren kaynaklar
araştırılmalı ve müdahale edilmelidir.
18. [SİBER İSTİHBARAT EĞİTİM DOKÜMANI]
BGA Bilgi Güvenliği A.Ş. | www.bgasecurity.com | @BGASecurity
Tehdit İstihbaratı Yaşam Döngüsü ve
Çerçeveleri
İstihbarat sürekli devam eden bir faaliyettir. Bu sebeple bazı işlemler sürekli olarak tekrar
etmektedir. Bu işlemlerin belirli bir form olmadan gerçekleştirilmesi, işleri zorlaştıracak ve
karışıklığa sebebiyet verecektir. Bu nedenle bir Siber İstihbarat Yaşam Döngüsü
oluşturulmuştur. Aşağıdaki Şekil 2’de bu yaşam döngüsünün adımları gösterilmiştir.
Şekil 2: Siber İstihbarat Yaşam Döngüsü
Yönlendirme
Tehdit İstihbaratı Yaşam Döngüsünün Yönlendirme aşaması, diğer aşamalara geçilmeden önce
yapılması gereken istihbarat çalışması için gerekli hedeflerin belirlenmesidir. Bu hedefler
zamanında ve doğru kararlar vermek için gerekli bilgilerdir. Korunması gereken bilgi ve iş
süreçleri, bu varlıkları kaybetmenin sonucunda oluşabilecek etkiler, bunları korumak için
ihtiyaç duyulan güvenlik çözümlerini belirlemek bu aşamada yapılması gereken işlemlere
örnek olarak verilebilir.
19. [SİBER İSTİHBARAT EĞİTİM DOKÜMANI]
BGA Bilgi Güvenliği A.Ş. | www.bgasecurity.com | @BGASecurity
Toplama
Tehdit İstihbaratı yaşam döngüsünü ikinci aşamasını bilgi toplamak oluşturur. Teknik veya
teknik olmayan yöntemler kullanılarak, gereksinimleri karşılamak için belirlenen hedeflere
yönelik araştırma yapılır. Bu araştırmalar yapılırken kullanılan yöntemler;
HUMINT (Human Intelligence): Sahadaki insan/insanlardan elde edilen istihbarat çeşididir.
GEOINT (Geospatial Intelligence): Coğrafi konum istihbaratıdır. Uydu ve hava fotoğrafları
kullanılarak elde edilen verilerdir.
MASINT (Measurement and Signature Intelligence): Ölçüm İstihbaratıdır. Elektro-optik,
Nükleer, Jeofiziksel, Radar, Malzeme, Radyo frekansı ölçümlerinden elde edilen verilerdir.
OSINT (Open Source Intelligence): Açık kaynak istihbaratıdır. Açık kaynaklar kullanılarak elde
edilen verilerdir.
SIGINT (Signals Intelligence): Sinyal istihbaratıdır. Sinyallerin arasına girilerek elde edilen
verilerdir. COMINT (Communication Intelligence), Haberleşme istihbaratı ve ELINT (Electronic
Intelligence), Elektronik İstihbarat olarak 2 alt başlığı vardır.
TECHINT (Technical Intelligence): Teknik istihbarattır. Yabancı ülke silahlı kuvvetlerinin
kullandığı silah ve teçhizatları analizlerinden elde edilen verilerdir.
CYBINT/DNINT (Cyber Intelligence / Digital Network Intelligence): Siber güvenlik
istihbaratıdır. Siber güvenlik dünyasından elde edilen verilerdir.
FININT (Financial Intelligence): Finansal istihbarattır. Para transferlerinin sonucunda elde
edilen verilerdir.
Toplanan veriler siber güvenlik uzmanlarından alınan raporlar ile birleştirilip bir sonraki
aşamaya geçilir.
İşleme
Bu aşama verinin işlenerek bilgiye dönüştüğü aşamadır. Toplanan veriler, toplama işleminden
sonra yorumlanmalı ve anlaşılır bir forma sokulmalıdır.
Analiz ve Üretim
Analiz işlemi, işlenmiş verinin karar verilebilecek istihbarat bilgisi haline getirildiği süreçtir.
Verilecek bu kararlar; potansiyel bir saldırıyı önlemek için hangi önlemlerin alınması
gerektiğini, hangi güvenlik kontrollerinin güçlendireceğini veya ek güvenlik kaynağının
ekleneceğini içerebilir.
20. [SİBER İSTİHBARAT EĞİTİM DOKÜMANI]
BGA Bilgi Güvenliği A.Ş. | www.bgasecurity.com | @BGASecurity
Yaygınlaştırma
Yaygınlaştırma aşaması, bitmiş istihbarat verisini/raporunu gitmesi gereken yerlere ulaştırma
aşamasıdır. Oluşturulan bu raporlar öncelikli olarak müşterilere veya yöneticilere teslim edilir.
Geri Bildirim
Tehdit istihbaratı yaşam döngüsü sürekli devam etmesi gereken bir döngüdür. Bir döngü bitip
diğer bir döngü başladığı zaman geri bildirimlerin göz önünde bulundurulması bir sonraki
aşamaları hızlandırabilme özelliği taşımaktadır. Bu aşama bir sonraki döngü için temel bilgileri
belirleyecektir. Önceki süreçlerin başarısına dayanarak, daha doğru, ilgili ve zamanında
değerlendirmeler üretmek amacı taşımaktadır.
21. [SİBER İSTİHBARAT EĞİTİM DOKÜMANI]
BGA Bilgi Güvenliği A.Ş. | www.bgasecurity.com | @BGASecurity
Tehdit İstihbaratı Çerçeveleri
Collective Intelligence Framework (CIF)
CIF (Collective Intelligence Framework), bir siber tehdit istihbaratı yönetim sistemidir. CIF,
farklı siber tehdit istihbaratı servislerinden toplanan verileri birleştirmeye ve kullanmaya
yarar. CIF’de depolanan en yaygın veri türleri; IP adresleri, FQDN (Fully Qualified Domain
Name), zararlı faaliyetler gösteren URL’lerdir.
CIF, veri kümelerini ayrıştırmamıza, normalleştirmemize, saklamamıza, göndermemize,
sorgulamamıza, paylaşmamıza ve üretmemize yardımcı olur.
CrowdStrike CTI Solution
CrowdSTrike CTI Solution, kurumların kendilerine karşı gerçekleşebilecek saldırıları
öngörmeleri sağlamak, güvenlik ekiplerinin olası saldırılara etkili bir savunma oluşturmaları
için gerekli önceliklendirme odaklanmasını sağlar. Olay incelemenin gereksiz karmaşıklığını
ortadan kaldırmayı ve gerekli çözümlerin önerilmesini hedefler.
NormShield, Threat and Vulnerability Orchestration
NormShield Threat and Vulnerability Orchestration, kurum içi anormal ve olağan dışı
davranışları belirleme, bulguların analiz edilip önceliklendirilmesi, false-pozitif değerlerin
oluşmasını minimuma indirgeme, veri kayıplarına sebep olabilecek temel nedenlerin
keşfedilmesi, kullanılan güvenlik çözümlerinin yeterliliklerinin ölçülmesi gibi hizmetler
vermektedir.
MISP, Malware Information Sharing Platform
MISP Zararlı Yazılım Bilgi Paylaşım Platformu, siber güvenlik göstergeleri, siber güvenlik
olayları analizi ve kötü amaçlı yazılım analizleri hakkında tehdit toplamak, depolamak,
dağıtmak ve paylaşmak için geliştirilmiş açık kaynaklı bir yazılımdır. Bu platformun amacı,
hedeflenen saldırılara karşı kullanılan karşı önlemlerin geliştirilmesine yardımcı olmak ve
önleyici eylemler oluşturmaktır.
TC Complete
Hizmet verdiği kurumların, ileriye yönelik kurum içi güvenlik çözümleri kararlarını doğru
vermelerini hedefler. Başta verilerin analiz edilmesi ve tehditlere karşı proaktif bir çözüm
oluşturma gibi pek çok güvenlik hizmeti vermektedir.
22. [SİBER İSTİHBARAT EĞİTİM DOKÜMANI]
BGA Bilgi Güvenliği A.Ş. | www.bgasecurity.com | @BGASecurity
YETI, Your Everyday Threat Intelligence
YETI Günlük Siber Tehdit İstihbaratı, tehdit göstergelerini ve bu göstergelerin teknik, taktik ve
prosedürleri hakkındaki bilgileri depolamak amacıyla oluşturulmuş bir platformdur. Amacı bu
bilgileri tek bir depoda tutmak ve karşılaşılan bir tehdidin tekrarlanmasını önlemektir.
Farklı tehditler arasındaki ilişkileri grafiklerle görselleştirme, ileriye yönelik oluşabilecek
tehditler hakkında doğru tahminlerin yürütülmesi, verilerin dışa aktarımı problemini kaldırmak
gibi çeşitli amaçları vardır.
ThreatStream
ThreatStream, bir makine öğrenmesi algoritması olan MACULA’yı kullanarak tehdit
göstergelerini puanlandırmak, kategorize etmek, ölçeklendirmek ve false-positive değerleri
ortadan kaldırmak amacıyla oluşturulmuş, Anomali’ye ait bir platformdur. Milyonlarca tehdit
göstergelerinin bir araya getirip optimize eden bu platform SIEM ürünlerine, Firewal’lara ve
diğer güvenlik ürünlerine entegre edilebilmektedir.
PassiveTotal
RiskIQ tarafından sunulan Passive Total platformu, analistlere saldırıları gerçekleşmeden önce,
önlem amaçlı mümkün olduğunca fazla veri sağlayan bir tehdit analiz platformudur.
Interflow
Interflow, Microsoft tarafından siber güvenlik alanında çalışan profesyoneller için oluşturulan
bir güvenlik ve tehdit bilgi alışverişi platformudur. Toplu olarak daha güçlü bir ekosistem için
topluluk içinde ve arasında güvenlik tehdit bilgilerinin paylaşılmasını sağlayan dağıtık bir
mimari kullanır. Birden çok yapılandırma seçeneği sunan Interflow, kullanıcıların topluluk
oluşturmasına imkân sağlayarak verinin kimler ile paylaşılacağına ve kimlerle iş birliği
yapılacağına karar verilmesine olanak tanır.
stoQ
stoQ, siber analistlerin tekrarlayan veri odaklı görevleri organize etmelerini ve
otomatikleştirmelerini sağlayan bir çerçevedir. Diğer birçok sistemin etkileşim kurduğu
eklentiler içerir.
ThreatExchange
Facebook’un ThreatExchange platformu verilerin standartlaştırılması ve doğrulanması
yönündeki problemlere çözüm üretmek amacıyla oluşturulmuştur. Bu platformda kullanıcılar
verileri yalnızca istenen gruplarla paylaşmayı mümkün kılar. Böylelikle gizlilik denetimleri
23. [SİBER İSTİHBARAT EĞİTİM DOKÜMANI]
BGA Bilgi Güvenliği A.Ş. | www.bgasecurity.com | @BGASecurity
sağlayan, uygun yapılandırılmış ve kullanımı kolay bir API kullanarak tehdit verileri
paylaşılabilmektedir.
XFE, X-Force Exchange
Bulut tabanlı bir tehdit paylaşım platformudur. En son küresel güvenlik tehditlerini hızla
araştırmamıza, harekete geçirilebilir istihbarat biriktirmemize ve başkalarıyla iş birliği
yapmamıza olanak tanır.
TARDIS
Tehdit Analizi, Keşif ve Veri İstihbarat Sistemi (TARDIS), saldırı imzalarını kullanarak tarihsel
arama yapmak için açık kaynaklı bir çerçevedir.
24. [SİBER İSTİHBARAT EĞİTİM DOKÜMANI]
BGA Bilgi Güvenliği A.Ş. | www.bgasecurity.com | @BGASecurity
Tehdit İstihbaratı Olgunluk Modeli
Tehdit İstihbaratı Olgunluk Modeli, kuruluşunuzun olgunlaşmış bir tehdit istihbarat programı
yolunda nerede bulunduğunu ve tehdit istihbaratına nasıl daha iyi uygulanabileceğini
anlamanıza yardımcı olacak sistematik bir rehberdir.
McAfee Threat Intelligence Maturity Model’i dört seviyeye ayırmıştır.
Bunlar; Basit Seviye, Temel Seviye, Operasyonel Seviye ve Güvenilir Seviye. Bu seviyelerde
yapılması gereken işlemler ve görevler aşağıdaki Tablo 1’ de gösterilmiştir.
BASİT SEVİYE TEMEL SEVİYE
● Ürünlere yapısına göre güvenlik
oluşturulması
● Sahip olunan veriyi koruma
● Tuzak sistemlerin oluşturulması
● İşlem kılavuzları kullanmak
● Kişilere yüksek güven ve onların
bilgisi
● Kurum içi genel özgüvenin
oluşturulması
● Siber Savunma odaklı çalışılması
● Çağa uyum sağlamaya çalışma
● Sofistike bir süreç izlemektense,
çalışanların güvenlik ürünleri
konusunda eğitilmesi
● Bu seviyedeki istihbarat paylaşılan
istihbarat değildir.
OPERASYONEL SEVİYE GÜVENİLİR SEVİYE
● Anahtar saldırı vektörlerinin tespit
edilmesi, korunması ve konfigüre
edilmesi
● Entegrasyon koordineli güvenlik
oluşturulması
● Tehdit istihbaratını (IOC) kullanarak
avlama ve yanıtlama
● İstihbarat göstergelerini kullanarak
daha verimli bilgi edinme
● Bu seviyedeki istihbarat paylaşılabilir
istihbarattır
● Dışarıdan veya içeriden gelebilecek
tehditlere karşı koruma, tespit etme
ve düzeltme işlemlerini
gerçekleştirmek için ölçülebilir ve
dengeli siber savunma yöntemlerini
kullanmak
● Adli analiz ve analitik araştırma
yapma
● Doğrudan kurumsal hedefleri
koruma destekleyen güvenlik
modelleri kullanmak
● İyi ve doğru tanımlanmış tehdit
istihbaratı göstergeleri kullanmak
Tablo 1: McAfee’ye göre Threat Intelligence Maturity Model Seviyeleri
25. [SİBER İSTİHBARAT EĞİTİM DOKÜMANI]
BGA Bilgi Güvenliği A.Ş. | www.bgasecurity.com | @BGASecurity
Aşağıdaki Şekil 3’te Threat Intelligence Maturity Model’in genel yapısı gösterilmiştir.
Şekil 3: Threat Intelligence Maturity Model’in genel yapısı
26. [SİBER İSTİHBARAT EĞİTİM DOKÜMANI]
BGA Bilgi Güvenliği A.Ş. | www.bgasecurity.com | @BGASecurity
Siber Tehdit İstihbaratında Bilinenler ve
Bilinmeyenler
“…Bildiğimiz gibi, bilinen bilinenler vardır; bunlar bildiğimiz bilgilerdir. Ayrıca bilinen
bilinmeyenler vardır; yani bilmediğimiz bazı şeyler olduğunu biliyoruz. Ama bilinmeyen
bilinmeyenler de var; neyi bilmediğimizi bilmediğimiz bilgiler. ”- Donald Rumsfeld
Tehdit istihbarat bilgileri toplamadan önce neyle karşı karşıya olduğumuzu bilmek, neyi
bildiğimizi, neyi bilmediğimizi ayırmak düşmanımızı tanımada yardımcı olur. Bilinen veya
Bilinmeyen bilgi ifadeleriyle tehditleri ayırabilir, gruplandırabilir, odak noktamızı ve
kuruluşumuzu doğru çözümlerle şekillendirebiliriz.
Bilinen ve Bilinmeyenleri Gruplayacak Olursak;
Bilinmeyen Bilinmeyenler: Doğası gereği ne olduğu, zaman aktifleştirildiği, hangi zafiyetleri
barındırdığı, hangi sistemleri etkilediği bilinmeyen tehditlerdir. Örneğin 0-day saldırıları.
Çözüm önerisi: BT güvenlik haberlerini takip etmek, son gelişmelerden zamanında haberdar
olmak, felaket senaryosu kurtarma planı oluşturmak...
Bilinen Bilinmeyenler: Bu tür tehditler var olduğu bilinen tehditlerdir. Ama doğaları gereği
sürekli değişkenlik gösterirler. Bu nedenle öngörüde bulunulması zor tehditlerdir. Örneğin
antivirüs yazılımlarından kaçan virüsler, belgelenmemiş güvenlik açıkları, daha önce
görülmeyen kötü amaçlı ekler içeren e-postalar.
Çözüm Önerisi: Davranış temelli Antivirüs yazılımları veya güvenlik çözümleri kullanmak, web
filtreleri kullanarak güncel kara liste URL adreslerine girişini engellemek, çalışanlara özellikle
phishing saldırıları başta olmak üzere siber güvenlik farkındalığı eğitimleri vermek...
Bilinen Bilinenler: Bu tehditler hakkında bilgi sahibi olduğumuz tehditlerdir. Tehditler iyi
belgelendirilmiş ve bunlara karşı alınacak aksiyonlar standart prosedürlerle belgelendirilmiştir.
Bu tehditler genellikle çok sık karşılaşılan ve en yaygın tehditlerdir.
Çözüm Önerisi: İmza tabanlı Antivirüs yazılımları veya güvenlik çözümleri kullanmak,
yazılımların gerekli güncelleştirmelerini geciktirmemek, DHCP taramasını etkinleştirmek,
çalışanlara parola oluşturma politikası uygulamak...
27. [SİBER İSTİHBARAT EĞİTİM DOKÜMANI]
BGA Bilgi Güvenliği A.Ş. | www.bgasecurity.com | @BGASecurity
Gerçek Zamanlı Siber Tehdit İstihbaratının
Yararları
Gerçek zamanlı bilgi; etkin tehditler üzerinde çalışan, devam eden güvenlik olaylarının, yeni
teknolojilerin ve bir işletmeyle ilgili kişilikleri ve kuruluşların kapsamlı resmini sunan, güvenlik
ekiplerinin derhal harekete geçmeye ve doğru kararlar almalarına yardım edecek bilgilerdir.
Gerçek zamanlı siber tehdit istihbaratının faydaları:
● Kuruluşun karşılaştığı tehditler ve bunların kuruluş üzerindeki riskleri hakkında hızlı
bilgi edinme,
● Hangi güvenlik açıklarına değinilmesi kararlar vermek ve gerekli olan ön bilgilerin elde
edilmesi,
● Yeni ortaya çıkan tehditler hakkında ve tehdit oyuncuları hakkındaki bilgi toplamak,
● Sektöre özgü devam eden tehdit faaliyetlerini takip edebilme,
● Kurumunuzdan, markanızdan, ortaklarınızdan bahseden sosyal medya ve çevrimiçi
kanalların aktif olarak izlenmesi,
● Çevrimiçi iletişim kanallarının mevcut siber suç eylemlerini ve olası suç eylemlerini
kanıt niteliği taşması adına izlenmesi,
● Mevcut siber tehdit aktörleri, teknikleri ve araçları hakkında bilgi toplamak, kurumsal
güvenlik ekiplerinin bilgi bünyesine ve beceri setine katkıda bulunmak,
● Kuruluşun bulunduğu internet varlığının ne kadar savunmasız ve nerelerde eksik
noktaları oldu hakkında fikir sahibi olmasına yardım etmek,
● Güvenlik ihlallerini belirlemek ve gerekli önlemleri almak,
● Dolandırıcılık yoluyla verilmeye çalışılan zararları önlemek ve en aza indirgemek için
olay izleme,
● Kurumsal risk yönetimi ve işletme personeli ile varlıklarının korunması için gereken
bilgilere erişim,
28. [SİBER İSTİHBARAT EĞİTİM DOKÜMANI]
BGA Bilgi Güvenliği A.Ş. | www.bgasecurity.com | @BGASecurity
Karakteristik Özellikleri
Kuruluşların en son tehditler, güvenlik açıkları ve istismarlar hakkında daha fazla bilgi sahibi
olmalı, bunlardan korunmak için hangi çözümlere başvurulması gerektiğini bilmesi
gerekmektedir. Siber tehdit istihbaratı bu sorulara cevap verebilmesi için sahip olması gereken
karakteristik özellikler bulunmaktadır. Bunlar; Nitelikli, güvenilir, üçüncü parti kaynaklı olması,
aktif bir tehdide yönelik olması, riske yönelik öngörü sağlaması, çözüm önerileri içermesidir.
Bu özelliklerin hepsini barındırmayan bir hizmetin başarılı olması beklenemez.
Nitelikli, Güvenilir, Üçüncü Parti Kaynaklı Olması: Çoğu kurumun, tehdit bilgilerini toplamak,
incelemek, düzenlemek ve analiz etmek için tek başına yeterli kaynağa sahip değildir. Bu
kaynakların nitelikli ve güvenilir olması koşuluyla bu hizmetler üçüncü parti
organizasyonlarından alınmalıdır.
Aktif Bir Tehdide Yönelik Olması: Birçok kurumda siber tehditler, güvenlik açıkları ve
istismarlar hakkında çok fazla ham bilgi bulunmaktadır. Asıl ihtiyaç duyulan şey bu ham
bilgilerin çokluğu değil, en son güvenlik tehditlerinin “kim, ne, nerede, ne zaman ve nasıl”
olduğunu içeren aktif tehditle hakkında bilgi edinmektir.
Riske İlişkin Öngörü Sağlaması: Tehdit istihbaratı bilgisi; risk olasılığı, riskin ticari etkisi ve her
ikisi hakkında bilgi vermelidir. Bu işlemlerde, öngörüler kuruluşa ve onun sahip olduğu
kaynaklara, teknolojilere, yazılımlara göre özelleştirilmelidir. Örneğin, aktif olarak devam eden
bir tehdit, kurumun kullanmadığı bir teknoloji üzerinden tehdit oluşturuyorsa, bu durum o
kurumu etkilemez ve tehdit niteliğinde değildir.
Çözüm Önerileri İçermesi: Karşı karşıya olan risklerin ne olduğu öğrenildikten sonra bu risklere
karşı nasıl aksiyon alınacağı karar verilmelidir. Gerekli çözüm için hangi teknolojiler
kullanılmalı, hangi yazılımlar yükseltilmeli, hangi güvenlik ürünü kullanılmalı ve ek
konfigürasyonlar yapılmalıdır? Şeklindeki sorulara ve daha fazlasına cevap niteliği oluşturacak
çözüm önerileri sunmalıdır.
29. [SİBER İSTİHBARAT EĞİTİM DOKÜMANI]
BGA Bilgi Güvenliği A.Ş. | www.bgasecurity.com | @BGASecurity
Siber Tehdit İstihbaratının Temelleri
Siber tehdit istihbaratı yapan organizasyonların çoğu kendi ürünlerini ve dışarıdan satın
aldıkları ürünleri kullanırlar. Bu süreci kimin gerçekleştirdiğine bakılmaksızın, siber tehdit
istihbaratının süreç verilerine bakılmaksızın çıkarıldığı kilit kaynaklar şunlardır.
● Firewall
● Endpoints
● Honeypots
● Tanınmış Güvenlik araştırma grupları (CERT, CISO gibi)
● Güvenlik açığı değerlendirme verileri
● Kullanıcı davranış analizi
● Açık Kaynak kamu grupları / forumları
● Erişim ve kullanıcı hesabı bilgileri
● Üçüncü parti yöneticilerinin verileri
● Saldırı Tespit Sistemi raporları
30. [SİBER İSTİHBARAT EĞİTİM DOKÜMANI]
BGA Bilgi Güvenliği A.Ş. | www.bgasecurity.com | @BGASecurity
Tehdit İstihbaratının SIEM’e Entegrasyonu
SANS Enstitüsü’nün yaptığı araştırmaya göre; Dave Shackleford dünya çapındaki 326 şirkete
Tehdit İstihbaratını nasıl kullandıklarını sormuştur. Bu şirketler her büyüklükte ve sektörde,
bilgi teknolojileri ile ilgilenen şirketlerdir. Bu 326 şirketin katıldığı anketin sonuçları aşağıdaki
şekilde gösterilmiştir.
Şekil: SANS Enstitüsü tarafından yapılan anket çalışması
Ankete katılanların %55 kadarı, çeşitli kaynaklardan aldığı tehdit istihbaratı verisinin toplamak
ve analiz etmek için SIEM ürünleri kullanmaktadır. Bu durumda Tehdit İstihbaratı ve SIEM’in
bir araya getirilmesi ve birbirine entegre edilmesi gerekmektedir.
Tehdit İstihbaratının SIEM’e entegrasyonunu anlamak için öncelikler aşağıdaki akış şeması
üzerinde duralım;
Sekil : Securosis.com’a göre güvenlik izleme iş akış diyagramı
31. [SİBER İSTİHBARAT EĞİTİM DOKÜMANI]
BGA Bilgi Güvenliği A.Ş. | www.bgasecurity.com | @BGASecurity
Sol üst taraf tehdit istihbaratı koleksiyonunu gösterir. Tehdit istihbaratını toplamadan önce,
öncelikle ticari riskleri temsil eden rakiplerimizi tanımalı ve profillemeliyiz. Bu işlem doğru
tehdit istihbaratını seçmek için gereklidir. Daha sonra istihbarata toplamaya ve analiz etmeye
başlayabiliriz. Devamında tehdit istihbaratını SIEM’e entegre etmeye devam edebiliriz.
Yukarıdaki şekilde güvenlik analitiği bölümünde, ortamımızı standart SIEM yaklaşımında
olduğu gibi analiz etmeye başlayabiliriz, ancak bu kez algılama mekanizmalarımızı (imza ve
anomali tabanlı) tehdit istihbaratı ile ilişkilendirmeliyiz.
Tespit edilen tehditler, onları tetikleyen göstergelerin sayısına, sıklığına ve türlerine göre
önceliklendirilebilir. Öncelik sıralamasına göre veri tabanları sorgularıyla ilgili cihazlardan
derinlemesine bilgi toplama işlemi gerçekleştirebiliriz. Bu işlem ilerideki adli analiz
süreçlerindeki araştırmaları kolaylaştırır.
Son olarak eylem-aksiyon kutusunda gösterildiği gibi, uyarılar bir kez güvenlik operasyonları
ekibi tarafından gözden geçirildiğinde, true-positive ise onaylayabilir, false-positive ise alarmı
kaldırabilirler. Bir sonraki durumda eldeki istihbarat gözden geçirilebilir ve politikalarda yanlış
alarmları önlemeye yönelik değişiklik yapılabilir. Doğrulama işlemlerinden sonra uyarılar IR
(Investor Relations) ekiplerine gönderilebilir.
Tehdit istihbaratının SIEM’e entegrasyonunun birçok avantajı vardır. Tüm güvenlik ürünleri
satıcıları tehdit istihbaratının öneminin ve talebinin artması üzerine, ürünlerinde bu talebe
cevap vermek zorunda olduklarının farkındadır.
Yukarıdaki akış diyagramında gösterildiği gibi, toplanan tehdit istihbaratını kalite ve etki
açısından değerlendirilmesi gerekecektir. Siber İstihbarat Analizi ve Tehdit Araştırmaları
Merkezi Şefi Sergio Caltagirone’ya göre istihbaratın uygulanabilir olması için karşılaması
gereken dört nitelik;
Uygunluk: Tehdit istihbarat ekipleri, toplanan istihbaratın kuruma özel olmasını sağlamalıdır.
Tamlık: Tehdit istihbaratının yeterli ayrıntıya ve bağlama sahip olması gerekmektedir.
Güncellik: Doğru etkiyi yaratabilmek için istihbarat mümkün olduğunca hızlı bir şekilde
toplanmalı ve işlenmelidir.
Doğruluk: Etkin keşif sağlamada, tehdit istihbaratının yüksek doğruluk değerine sahip olması
için bir miktar false-positive değere sahip olması gerekmektedir.
Bu nitelikler tehdit istihbaratı verisinin verimliliğinin ve kullanışlılığını onaylamak için kriter
olarak kullanılabilirler.
32. [SİBER İSTİHBARAT EĞİTİM DOKÜMANI]
BGA Bilgi Güvenliği A.Ş. | www.bgasecurity.com | @BGASecurity
Siber Tehdit İstihbaratı İşinize Nasıl Yardımcı
Olur?
SANS Enstitüsünün yaptığı araştırmaya göre kuruluşların %42’sinden fazlası siber tehdit
istihbaratı ekipleri bulundurmaktadır. Aşağıda doğru siber tehdit istihbaratı edinmenin,
işletmelerdeki siber güvenlik tehditlerine karşı ayakta durmalarını sağlayacak çeşitli yollar
bulunmaktadır;
● Çevreye etki eden tehdit ve saldırı metodolojilerinin görünürlüğünün arttırılması,
● Siber güvenlik eğilimlerine uyum sağlamak için güvenlik süreçlerini iyileştirilmesi,
● Uygulanan prosedürlerin ve kaynakların listelenmesi,
● Bilinmeyen tehditleri tespit etmek,
● Daha iyi tehdit yönetimi uygulamak,
● Saldırganlar tarafından sömürülecek sistemlerdeki güvenlik açıklarını tespit etmek,
● Siber güvenlik risklerini ele almak için daha geniş kapsam oluşturmak,
● Güvenlik olaylarını tespit etmek ve bunlara karşı koymak için zaman kazandırmak,
● Güvenlik ihlallerini proaktif olarak tahmin etme ve karşı koyma,
● Kuruluşunuzun siber güvenlik ekibini bilgisayar korsanlarına karşı korumaya hazır
olmalarını sağlamak,
● Kuruluşun sistemleri veya veri kayıpları üzerindeki etkisini azaltmak,
CTI'nın, Güvenlik Operasyonlarında Siber Tehdit İstihbaratı Araştırması SANS Anketi;
33. [SİBER İSTİHBARAT EĞİTİM DOKÜMANI]
BGA Bilgi Güvenliği A.Ş. | www.bgasecurity.com | @BGASecurity
Risk Yönetim Süreci
Birçok kurum tehdit istihbaratı hizmetini kötü adamları takip etmek, kötü amaçlı yazılımları
tespit etmek ve önem almak, göstergeleri toplamak gibi işlevler için kullanmaktadır.
Tehdit istihbaratı var olan sistemi daha akıllı modeller haline getirir; akıllı modeller alınacak
kararları güçlendirir, güçlü kararlar daha iyi uygulamalar ve aksiyonlar oluşturur; daha iyi
uygulamalar risk yönetimini iyileştirir ve bu işlemler verimli bir şekilde gerçekleştirildiğinde
başarılı bir güvenlik programı oluşur.
Risk yönetimi Sürecinde İstihbarat
Risk yönetim sürecinde siber tehdit istihbaratını incelemek için öncelikle siber risk yönetim
kavuzlarını inceleyebiliriz. Bunun için Cybersecurity Framework, NIST SP 800-39 tarafından
hazırlanan risk yönetim kılavuzunu inceleyeceğiz.
NIST SP 800-39 Risk Yönetimi Süreci
NIST Special Publication 800-39; Kurumsal operasyonlara, kurumsal varlıklara, bireylere, diğer
kuruluşlara karşı bilgi güvenliği riskini yönetmek için bütünleşik ve kurum çapında bir program
için rehberlik sağlamak amacı taşımaktadır.
800-39, risk yönetimini, organizasyonların, güvenlik faaliyetlerinin sürekli iyileştirilmesi için
etkili iletişim ve geri bildirimler kullanarak riskleri sürekli olarak çerçevelemelerini,
değerlendirmelerini, yanıt vermelerini ve izlemelerini gerektiren kapsamlı bir süreç olarak
sunmaktadır. Bu işlem bileşenleri aşağıdaki şekilde gösterilmektedir.
34. [SİBER İSTİHBARAT EĞİTİM DOKÜMANI]
BGA Bilgi Güvenliği A.Ş. | www.bgasecurity.com | @BGASecurity
Çerçeve; değerlendirme, izleme ve yanıtlama-müdahale etme alanlarında risk bazlı kararlar ve
yürütme stratejisi bağlamını belirler. Bunun bir kısmı, kuruluşların tehditler, ortaya çıkma
olasılığı, güvenlik açıkları ve sonuçlarıyla ilgili varsayımları belirlemelerini gerektirir. Tehdit
bilgisini elde etmek için kaynakların ve yöntemlerin tanımlanması, özellikle risk
çerçevelemesini bir ana çıktısı ve risk değerlendirmesinde bir ana girdi olarak özellikle
(Şekildeki Bilgi ve İletişim Akışları) belirtilir.
Değerlendirme; kuruluşa yönelik risk seviyesini (ortaya çıkan zarar olasılığı ve zarar derecesi)
belirlemek ve analiz etmek için yapılan her şeyi kapsar. Tehdit İstihbaratının, risk yönetiminin
tehditleri tanımlamasına, değerlendirmesine ve izlemesine ve bu tehditlerin ışığında mevcut
güvenlik açıklarını değerlendirmesine yardımcı olmada kritik bir rolü vardır.
Yanıtlama; risk değerlendirilip belirlendikten sonra kuruluşların hangi aksiyonu almayı
seçtiklerini ele alır. Çeşitli eylem rotalarını belirler ve değerlendirir. Hangisinin en iyisi
olduğunu belirler ve seçilen rotayı uygular. Önerilen çözüm gidişatının değerlendirilmesi, ele
alınan tehdidin nedenlerini, araçlarını ve yöntemlerini iyi bir şekilde anlamadan
gerçekleştirmek çok zordur.
İzleme; Önerilen çözümü doğrulamayı, devam eden etkinlikleri ölçmeyi, etkinliği ve riski
etkileyen değişiklikleri takip etmek gibi işlemleri içerir. Buradaki istihbaratın rolü önceki yanıt
bileşenlerinin uzantısı ve devamıydı. Başka bir deyişle doğrudan iç sistem/kontrol
değişikliklerini gerektirebilecek dış tehdit değişikliklerini mutlaka izlemeleri gerekir. Riskin
izlenmesi, güvenlik kararlarını ve pratiğini daha iyi desteklemek için istihbarat sürecindeki
değişiklikleri kontrol eder.
NIST SP 800-39 Risk Yönetimi Süreci, tehdit istihbaratının rolü ve açıklamaları
36. [SİBER İSTİHBARAT EĞİTİM DOKÜMANI]
BGA Bilgi Güvenliği A.Ş. | www.bgasecurity.com | @BGASecurity
Siber Tehditler ve Siber Ölüm Zinciri
Metodolojisi
Siber Tehditleri Anlamak
Son yıllarda meydana gelen en çarpıcı veri ihlallerinin çoğu kredi kartı bilgileri, kullanıcı
parolaları gibi kişisel veriler içeren ihlalleridir. Bu ihlaller etkilenen kuruluşların güvenliğini
tehlikeye attığı gibi, bundan etkilenen, kullanıcı durumunda olan ve ihlalden haberi bile
olmayan binlerce kişinin de güvenliğini tehlikeye atmaktadır.
Kurumunuzun tehdit altında olmadığını ve tehdit aktörlerinin size zarar verme isteğinde
bulunmayacağını düşünüyorsanız kesinlikle yanılıyorsunuz. Kuruluşunuz küçük çapta bir
kuruluş ise, çok tanınan bir marka değilse, çok sık siber saldırılara maruz kalan endüstrilerden
birinde değilse endişelenmeye gerek olmadığı kanısına varmak doğru değildir. Var olan
tehditler her büyüklükteki, her prestijdeki ve her endüstrideki kurumları kapsamaktadır.
Maryland Üniversitesi’nde yapılan bir araştırmaya göre; İnternet erişimi olan bilgisayarların,
bilgisayar korsanları tarafından saldırıya uğrama istatistiği her 39 saniyede bir olarak
saptanmıştır. Her yıl üç Amerikalıdan birinin saldırı kurbanı olduğu sonucuna varmışlardır.
Siber saldırıların %43’ü küçük işletmeleri hedef almıştır. Şirketlerin %63’ü web tabanlı
saldırılara maruz kalmışken, %62’lik bir kısım kimlik avı ve sosyal mühendislik saldırılarına
maruz kalmıştır. %59 zararlı yazılım ve botnet, %51’i ise DDoS (Distributed Denial of Service)
saldırısı yaşamışlardır.
Küresel olarak işlenen siber suçların toplam maliyeti 2018 yılında 1 trilyon doların üzerine
çıkmıştır. Juniper Research verileri, siber güvenlik ihlali üzerine oluşacak suçların 2019’da
toplam 2 trilyon doların üzerine çıkacağını göstermektedir.
2013’ten beri gerçekleşen veri ihlalleri göz önüne alındığında; saatte 158 727, dakikada 2 645
ve her saniyede 44 veri ihlali gerçekleştiği bilinmektedir.
Küresel örgütlerin yalnızca %38’i gerçekleşecek bir siber saldırıya karşı hazırlıklı olduklarını
iddia etmişlerdir. Bu şirketlerin %54’ü son 1 yıl içerisinde bir veya daha fazla siber saldırıyla
karşı karşıya kaldıklarını belirtmişlerdir.
IBM’in SEO’su Gini Rometty: ”Siber Suçlar dünyadaki her şirket için en büyük tehdittir”
demiştir.
37. [SİBER İSTİHBARAT EĞİTİM DOKÜMANI]
BGA Bilgi Güvenliği A.Ş. | www.bgasecurity.com | @BGASecurity
Siber Tehditlere Genel Bakış
Her geçen gün ortaya daha farklı formlarda ve boyutlarda tehditler çıkmaktadır. Ancak
bunların yanında her yıl bazı yinelemeler görülür. Bu yinelemeler çok sık kullanılan, çok fazla
kişiye zarar verebilen tehditlerdir. Bu saldırı çeşitleri içerisinde bilinen bilinmeyen çok fazla
seçenek mevcuttur. Bu saldırı çeşitleri küçük büyük demeden her endüstrideki kuruluşa tehdit
oluşturur niteliktedir.
Siber Güvenlik Saldırı Çeşitleri
Bir siber saldırı oluşturmak için, saldırganların kullanabilecekleri pek çok yöntem vardır. Bu
yöntemler bilgisayar bilgi sistemlerini, altyapıları, bilgisayar ağlarını ve kişisel cihazları hedef
alan saldırı yollarıdır. Bunlardan en çok kullanılanları aşağıda listelenmiştir.
Distributed Denial of Service (DDoS), Servis dışı bırakma saldırıları
Her sistemin kaldırabileceği bir yük miktarı vardır. Bu yük kapasitesi, kullanıcı sayısı gibi
kriterler göz önüne alınarak oluşturulur ve kısıtlı bir kaynağa sahiptir. Hizmet reddi saldırıları,
sistemin isteklere yanıt verememesi için sahip olduğu kaynakların zorlanmasıdır. İşletim
sistemlerinde bulunan zafiyetler, web sunucuları, arka planda çalışan uygulamadaki açıklıklar,
arka kapı bırakılmış olan yazılımlardaki zafiyetleri yararlanarak, sistemin işleyemeyeceği
şekilde bir istek gönderildiğinde, sistemin herhangi bir bileşeni bu isteğin işlenmemesi
durumunda sistem erişilemez hale gelmektedir.
Man in the Middle (MITM), Ortadaki Adam Saldırıları
Ortadaki adam saldırısı olarak dilimize geçen bu saldırı çeşidi iki bağlantı arasına sızılarak
dinleme işlemi gerçekleştirmesi üzerinde dayalıdır. Bu şekilde sistem verileri ve kullanıcı
hassas verileri elde edilebilir. Ağa dahil olma ve 2 network arasındaki bağlantıyı dinlemenin
çeşitli yolları vardır.
Phishing (Oltalama ve Spear Phishing), Mızrak Avı
Phishing saldırı çeşidi sosyal mühendislik saldırılarında en çok başvurulan yöntemdir. Online
dolandırıcılık için kullanılır. Saldırganlar bilindik bir domain adresine isim benzerliği olan bir
adres kullanıp web ara yüzünün birebir kopyasını kullanırlar. Ellerindeki linki e-posta, sosyal
medya, sms gibi platformlar üzerinde gönderirler. Kopyalanan web ara yüzünün kontrolü
saldırgan tarafta olduğu için, kurbanın vereceği tüm kritik bilgiler kötü niyetli şahıslara
ulaşacaktır. Kredi kartı bilgileri, parola bilgileri, kişisel veriler gibi kritik bilgiler ele geçirilmiş
olur.
Spear Phishing olarak bilinen sosyal mühendislik tekniği Phishing'in bir alt kümesi olarak kabul
edilebilir. Benzer bir saldırı yöntemidir. Farkı bu Phishing çeşidinin hedeflediği kitlenin daha
spesifik bir kitle olmasıdır. Bu yüzden daha fazla çaba gerektirebilir.
38. [SİBER İSTİHBARAT EĞİTİM DOKÜMANI]
BGA Bilgi Güvenliği A.Ş. | www.bgasecurity.com | @BGASecurity
Drive-by Attack
Drive-by-Attack kötü amaçlı yazılımları yaymak için kullanılan yaygın bir yöntemdir. Bilgisayar
korsanları güvenli olmayan web sayfalarını ararlar ve sayfa HTTP ve PHP kodunda yazılmış kötü
amaçlı bir komut dosyası ekerler. Bu kötü amaçlı yazılım doğrudan web sayfasını ziyaret eden
insanların bilgisayarlarına yüklenebilir ve kötü amaçlı kişiler tarafından kontrol edilen işlemleri
gerçekleştirebilir.
Drive-by Attack; bir web sayfasını ziyaret ederken, gelen bir e-posta mesajını açarken, bir açılır
pencereyi görüntülerken gerçekleşebilir. Diğer saldırı türlerinde farklı olarak, örneğin zararlı
bir yazılımın bilgisayarınıza inmesi için tıklama işlemine ihtiyaç durmaz, kullanıcının
aktifleştirilmesi gereken bir durum yoktur.
SQL Injection Attack
SQL Injection veri tabanı odaklı web sayfalarını hedef alan bir saldırı çeşididir. Diyelim SQL
kullanan bir web sayfasında user 123 kullanıcı adı ve parolayla giriş yapılmaktadır. Giriş
butonuna tıkladığımızda yazılımın veri tabanındaki sorgu aşağıdaki gibidir.
SELECT * FROM users WHERE isim='user' AND parola='123'
Yukarıdaki kod çalıştığında user 123 bilgilerine sahip bir kullanıcı varsa giriş yapılacaktır. Şimdi
kullanıcı adı ve parola alanına OR 1=1 yazalım;
SELECT * FROM kullanicilar WHERE isim=''OR 1=1 ' AND parola=''OR 1=1 '
Yukarıdaki sorgu gönderildiğinde; eğer yazılım filtreleniyor SQL injection engellenip giriş
yapılmasına izin verilmeyecektir. Ama filtreleme işlemi yapılmıyorsa kullanıcı adı ve parola
doğru girilmiş gibi işlemler yürütülmeye devam eder ve girişe izin verilir. Çünkü ' OR 1=1 SQL
dilinde her zaman doğru değer döndürür.
Başarılı bir SQL injection saldırısı, veri tabanındaki hassas verileri okuyabilir, veri tabanı
verilerini değiştirebilir (ekleyebilir, çıkarabilir, güncelleyebilir), veri tabanı yönetim işlemlerini
yürütebilir.
Cross-Site Scripting (XSS) Attack
Siteler Arası Komut Çalıştırma (XSS) saldırıları, kötü niyetli komut dosyalarının, web sayfalarına
gömüldüğü bir injection çeşididir. XSS saldırılarında, tehdit aktörleri, komutlarını çalıştırmak
için web servisleri tercih ederler. Bu saldırıların başarılı olmasına sebebiyet veren zafiyetler
oldukça yaygındır. Saldırgan bir web sayfasının veri tabanına zararlı JavaScript içeren bir veri
yükü enjekte edebilir. Kurban bu sayfayı ziyaret ettiğinde, web sayfası, HTML görevinin bir
parçası olarak saldırganın kötü niyetli komutları da dahil iletilmesi gereken tüm kodları
kurbana iletir. Saldırgan zararlı yazılımıyla, kurbanın çerezlerine erişebilir ve oturum açma