Siber tehdit istihbaratı (CTI), bir kurumun veya varlığın güvenliğini tehdit eden mevcut ve potansiyel saldırılar hakkındaki bilgilerin toplanmasına, analiz edilmesine odaklanan siber güvenlik alanıdır. Siber tehdit istihbaratının yararı, veri sızıntılarını önleme ve özellikle finansal maliyetlerden tasarruf sağlamasıdır. Amacı kurum/kuruluşlara kendilerine karşı oluşan tehditleri göstermek, anlamlandırılmasına yardım etmek ve korumaktır.
Siber tehdit istihbaratı, toplanan verilerin analizinden sonra saldırganların düşüncelerini, amaçlarını, motivasyonlarını, yöntem ve metotlarını tespit etmek amacı taşır. Siber tehdit istihbaratı çözümleri eyleme geçirilebilir çözümlerdir. Bu nedenle gerçek zamanlı aksiyonlar alınabilir ve olası saldırılara karşı hazırlıklı olunabilir. Buna proaktif siber güvenlik denir.
Siber İstihbarat Eğitim Dokümanı
İstihbaratı seviyelerine göre üç gruba ayırdığımız gibi Siber Tehdit İstihbaratı’nı da seviyelerine göre aynı gruplara ayırabiliriz.
Stratejik İstihbarat: Düşmanı tanımaya yönelik olan istihbarat çeşididir. Zarar verme potansiyeli olan kurum/kuruluş/kişi/grupların izlenmesi sonucu oluşturulur. Saldırganların niyetlerine, motivasyonlarına, taktik ve stratejilerine, geçmişteki eylemlerine ve olması muhtemel saldırılarına yönelik bilgi içerir.
Operasyonel İstihbarat: Bu istihbarat çeşidi saldırganların teknik, taktik ve prosedürlerini içermektedir. Bu bilgiler SOC (Security Operation Center) ekiplerine servis edilir ve onlar tarafından analiz edilip olası saldırılara karşı bir önlem olarak kullanılabilir.
Taktiksel İstihbarat: Bu istihbarat çeşidi sistem ve ağ üzerindeki olası kötü amaçlı etkinlikleri tanımlayan verileri içermektedir. IOC (Indicators of Compromise) denilen bu veriler bulundukları yapıdaki olağandışı ve şüpheli hareket verileridir. Taktiksel istihbarat SIEM, IDP/IPS, DLP gibi güvenlik çözümlerine entegre edilmektedir.
