1. GİRİŞ

Threat Intelligence (TI) — tehdit istihbaratı, siber tehditleri anlamak, önceliklendirmek ve operasyonel savunma kararlarını desteklemek için yapılandırılmış ve doğrulanmış bilgi üreten disiplinidir. Modern tehdit ortamı dinamik; saldırganlar yeni TTP'ler (Tactics, Techniques, Procedures), otomasyon ve kitlesel araçlar kullanıyor. Bu nedenle kuruluşların sadece araçlara yatırım yapması yetmez: veriyi bilgiye dönüştürecek istihbarat kapasitelerine ihtiyaçları var.

Bu neden bugün önemli?

• Saldırılar daha sofistike hale geliyor; otomasyon, ransomware-as-a-service ve tedarik zinciri saldırıları riski artırıyor.
• Önceliklendirme ve kaynak tahsisi gerekliliği: SOC'lar sınırlı insan kaynağıyla çok sayıda uyarı ile karşılaşıyor; tehdit istihbaratı doğru karar vermeyi hızlandırır.
• Regülasyon ve siber sigorta talepleri, proaktif tehdit takip ve raporlama yetkinliklerini bekliyor.

Kimler için önemli?

• SOC analistleri ve tehdit avcıları (threat hunters)
• Güvenlik yöneticileri, CISO ve risk ekipleri
• Olay müdahale (IR) ekipleri ve kötü amaçlı yazılım analistleri
• Güvenlik mimarları ve platform mühendisleri (enrichment, automation için)

2. KAVRAMSAL TEMELLER

2.1 Threat Intelligence tanımı ve türleri

Threat Intelligence, ham telemetriyi (log, network flow, sandbox çıktıları) eyleme dönüştürülebilir bilgiye çevirmeyi amaçlar. Genelde üç seviyede sınıflandırılır:

• Strategic TI: İş ve risk kararlarını etkileyen üst düzey eğilimler, aktör motivasyonları, sektör riskleri.
• Operational TI: Kampanya düzeyi bilgiler, TTP'ler, hedef sektöre yönelik saldırı yolları ve operasyonel göstergeler.
• Tactical / Technical TI: IOCs (Indicators of Compromise) — IP, domain, file hash, yara kuralları gibi makineler tarafından tüketilebilen göstergeler.

2.2 Terminoloji

• IOC: Indicator of Compromise — tespit veya engelleme için kullanılabilecek artefakt.
• IOA: Indicator of Attack — saldırı davranışını gösteren daha davranışsal göstergeler.
• TTP: Tactics, Techniques, Procedures — saldırganın yöntem ve süreçleri; MITRE ATT&CK ile eşleme sıkça yapılır.
• STIX/TAXII: Tehdit verisinin paylaşımı ve formatı için kullanılan standart protokoller/formats.

3. NASIL ÇALIŞIR? — MİMARİ, VERİ AKIŞI VE ANALİTİK

3.1 Threat Intelligence pipeline

TI pipeline tipik olarak veri toplama (sensors, feeds, partner paylaşımı), normalize etme (STIX/TAXII, CSV, JSON), enrich etme (whois, passive DNS, TI reputation services), analiz (korelasyon, clustering, attribution) ve dağıtım (SIEM, SOAR, EDR, genel raporlar) adımlarından oluşur. Otomasyon, manuel analizin üzerindeki yükü azaltmak için merkezidir ancak insan analisti kritik bağlamı sağlar.

3.2 Veri kaynakları

• Internal telemetry: SIEM loglar, EDR event'ler, network flow, web proxy, authentication logs
• External feeds: commercial threat feeds (MISP, Recorded Future, VirusTotal), open source feeds (Abuse.ch, AlienVault OTX)
• Dark web ve underground monitoring: forumlar, pastebin, leak siteleri
• Intel sharing communities: ISACs/ISAOs, sector-specific sharing groups
• Threat research: malware sandboxing, dynamic/static analysis outputs

3.3 Normalizasyon ve enrichment

Ham IOC'ler genelde hatalı/yanıltıcı olabilir. Normalizasyon aşaması veri formatlarını ortak bir schema'ya getirirken enrichment, bir IOC'ye bağlam ekler (örn. domain'in geçmiş kötüye kullanım kayıtları, IP'nin host edildiği ASN, dosya hash'in sandbox davranışı). Bu bilgi, false positive'i azaltır ve önceliklendirmeyi geliştirir.

3.4 Analiz teknikleri

• Correlation: Farklı kaynaklardaki göstergelerin birleşimiyle kampanya veya saldırı zinciri çıkarımı.
• Clustering / attribution: Payload benzerliği, command-and-control (C2) pattern'leri ve time‑series clustering ile aktörlere atıf yapılması.
• Behavioral modeling: IOA'lara dayalı davranış alarmlarının oluşturulması.
• ML uygulamaları: Anomaly detection, similarity scoring, automatic tagging — ancak explainability ve data quality kritik.

3.5 Dağıtım ve operationalization

İyi bir TI ürünü SIEM, EDR ve SOAR ile entegre edilmelidir. Teknik IOCs otomatik olarak blok listelerine (firewall, IPS) gönderilirken, operational intel (kampanya uyarıları, TTP raporları) analistler ve IR ekiplerine aksiyon planı olarak iletilir. Olaylara müdahale playbook'ları TI ile beslenmelidir — örneğin belirli bir malware family'si tespit edildiğinde yapılacak adımlar.

4. GERÇEK DÜNYA UYGULAMALARI

4.1 Büyük ölçekli şirketlerin örnekleri

Amazon, Microsoft ve Google gibi kuruluşlar hem kendi TI ekiplerini işletir hem de telemetri paylaşıp global ölçekte trendleri takip eder. Bu firmalar cloud telemetri ve honeypot ağları üzerinden çok yüksek hacimde veri toplar; ML tabanlı modellerle anomali tespiti gerçekleştirirler.

4.2 Sektöre özel intelligence (Finance, Energy, Healthcare)

Finans sektörü dolandırıcılık ve hedefli saldırılara odaklanırken enerji sektörü OT tehditlerine, sağlık sektörü ise PHI sızıntılarına yönelik istihbarat gereksinimleri ile çalışır. ISAC'lar (Financial Services ISAC vb.) sektörel paylaşımı organize eder.

4.3 Incident response ve threat hunting

TI verisi, IR süreçlerinde taktikleri ve IOC'leri sağlar; threat hunting ise TI ile beslendiğinde daha verimli olur. Örneğin bir C2 domain pattern'i ile başlayan hunting kampanyası, ilgili IP blokları ve süreçler üzerinde derinlemesine arama sağlar.

5. AVANTAJLAR VE SINIRLAMALAR

Avantajlar

• Önceliklendirme: kritik IoC/IOA'leri ön plana çıkararak SOC yükünü azaltır.
• Proaktif savunma: kampanya bazlı uyarılarla erken müdahale imkânı verir.
• Paylaşılan istihbarat ile sektör genelinde hızlı reaksiyon sağlanır.

Sınırlamalar

• Veri kalitesi: yanlış, stale veya noisy feed'ler yanlış alarm üretebilir.
• Scale & cost: yüksek hacimli telemetri toplama, storage ve analiz maliyetleri.
• Attribution zorluğu: aktörlerin bilinçli olarak yanıltması, false attribution riskini artırır.

6. ALTERNATİFLER VE KARŞILAŞTIRMA

7. EN İYİ PRATİKLER

7.1 Operasyonel yapı

• Intel lifecycle: collection → validation → enrichment → analysis → distribution sürecini tanımlayın.
• Analist ve otomasyon kombinasyonu: otomatik ingest + insan onaylı blocking kararları.
• Use‑case driven approach: TI çıktıları SOC playbook'larına direkt bağlanmalı.

7.2 Data quality ve validation

• Feed'leri reputasyon, age, context ve false positive history ile puanlayın (scoring).
• STIX/TAXII gibi standartları kullanarak sharing ve strukturasyon sağlayın.
• Yıldızlı (whitelist) varlık ve false positive kayıtlarını düzenli güncelleyin.

7.3 Entegrasyon ve otomasyon

• Automated blocking only for high confidence IOCs — low confidence için analyst review.
• SOAR playbook'ları ile TI→IR entegrasyonunu kurun; playbook'ları test edin ve güvenli yapın.
• SIEM/EDR entegrasyonları ile enrichment otomatik hale getirilsin (whois, passiveDNS, repo scores).

8. SIK YAPILAN HATALAR

• Ham feed'leri doğrudan blocking listelerine göndermek — yanlış bloklamalar ve iş kesintileri.
• Tek kaynaktan istihbarata güvenmek — cross‑validation gereklidir.
• Attribution'u kesin gerçekmiş gibi raporlamak — analist onayı olmadan aktör ilan etmek risklidir.
• Automation playbook'larını yeterince test etmeden live'a almak.

9. GELECEK TRENDLER

9.1 AI ve otomatik attribution

AI modelleri, kötü yazılım benzerliği, kampanya korelasyonu ve IOC clustering süreçlerini hızlandıracak. Ancak modelin explainability ve adversarial manipulation'a dayanıklılığı kritik olacaktır.

9.2 Federated and privacy‑preserving intelligence sharing

Veri gizliliği ve regülasyon endişeleri nedeniyle federated sharing modelleri ve gizlilik‑odaklı paydaş paylaşımı artacak; secure multi‑party computation veya differential privacy yaklaşımları paylaşımı kolaylaştıracak.

9.3 Threat intelligence as code

TI çıktılarını kodlayarak (playbook, detection rules, YARA, Sigma) CI/CD pipeline'larına entegre eden yaklaşımlar yaygınlaşacak; bu, detection coverage'ı hızla üretme ve sürdürmeyi sağlar.

EK BÖLÜMLER

Sık Sorulan Sorular (FAQ)

1. 1. Threat Intelligence neden gerekli?

   TI, hangi tehditlerin gerçek ve öncelikli olduğunu belirleyerek kaynakları doğru kullanmanızı ve daha hızlı, hedefe yönelik müdahale yapmanızı sağlar.

2. 2. Hangi tip feed'ler tercih edilmeli?

   Commercial feed'ler doğruluk sağlar; open source feed'ler maliyeti düşürür. En iyi uygulama internal telemetry ile harmanlama ve cross‑validation yapmaktır.

3. 3. IOC'leri otomatik bloklamalı mıyım?

   Sadece yüksek confidence ve test edilmiş IOC'ler otomatik bloklanmalı; diğerleri analyst review'e gönderilmelidir.

4. 4. MITRE ATT&CK neden faydalı?

   ATT&CK, TTP'leri sınıflandırarak detection coverage ve gap analysis yapmanıza yardımcı olur; use‑case ve playbook geliştirmede ortak bir dil sağlar.

5. 5. TI'da ML ne kadar etkili?

   ML anomaly detection ve clustering için güçlüdür; ancak data quality, labelling ve explainability sorunları bulunduğu sürece insan denetimi şarttır.

6. 6. ISAC'lere katılmalı mıyım?

   Sektörel paylaşımdan fayda sağlıyorsanız evet. ISAC'ler sektöre özgü IOC ve kampanya bilgisini sağlar; küçük ve orta ölçekli kuruluşlar için değerli kaynaklardır.

7. 7. Threat hunting ile TI arasındaki ilişki nedir?

   TI, threat hunting'i besleyen hipotezler ve IOC'ler üretir; hunting ise TI kaynaklarını doğrular ve yeni göstergeler keşfeder — ikisi döngüsel ve tamamlayıcıdır.

8. 8. Küçük ekipler nereden başlamalı?

   Internal telemetry'yi düzenleyip en kritik IOC/IOA'leri belirlemekle başlayın. Open source feed'leri ve community sharing'i entegre edin; otomasyon ve SOAR'a yavaşça yatırım yapın.

Anahtar Kavramlar

• IOC: Indicator of Compromise — saldırı izleri.
• IOA: Indicator of Attack — davranış bazlı göstergeler.
• TTP: Tactics, Techniques, Procedures — saldırgan yöntemleri.
• STIX/TAXII: Tehdit verisi paylaşım standartları.
• MITRE ATT&CK: TTP sınıflandırma çerçevesi.

Öğrenme Yol Haritası

1. 0–1 ay: Temel siber güvenlik kavramları, saldırı tipleri ve log analizi öğrenin.
2. 1–3 ay: SIEM, EDR ve threat feed'leri kurcalayın; STIX/TAXII, MISP gibi araçları deneyin.
3. 3–6 ay: Malware analysis basics, sandbox kullanımı, YARA/Sigma kuralları yazma ve threat hunting pratiği yapın.
4. 6–12 ay: Attribution, campaign analysis, ML‑based clustering ve SOAR playbook geliştirme üzerine çalışın.