CTI ve OSINT ile Bağlamsal Zafiyet Yönetimi
Öne Çıkan Özet
Yalnızca resmi veritabanlarını beklerseniz çoğu zaman saldırganlar ve erişim broker'ları sizden önce hareket etmiş olur.
Görsel Yön
Açık kaynak konuşmaları, exploit satış sinyalleri ve varlık ilişkisini tek zaman akışında birleştiren bir tehdit istihbaratı panosu.
NVD Tek Başına Neden Bazen Geç Kalır?
Resmi zafiyet veritabanları vazgeçilmez, ama operasyonel resmin tamamını kapsamıyor. Bir açıklık kamuya açık veritabanlarında tam anlamıyla normalize edilip zenginleştirildiğinde, savunmacılar çoğu zaman exploit konuşmaları, kitlesel tarama kampanyaları, initial access broker aktivitesi veya açık ve yarı açık kanallardaki erken tehdit sinyallerini çoktan geride bırakmış oluyor.
CTI ve OSINT tam da bu boşluğu kapatmak için var. Boşluğu erken kapatmak; proaktif savunma ile reaktif hasar kontrolü arasındaki fark anlamına gelebilir.
Bağlam Gerçekte Ne Demek?
Bir CTI analisti için bağlam, rastgele IoC birikimi değil. Farklı kaynaklardan derlenen tutarlı bir anlam zinciri:
araştırmacıların şüpheli commit'leri veya olağandışı crash davranışını açıkça tartıştığı teknik tartışmalar.
açık CVE atıfı olmaksızın sessizce kritik güvenlik düzeltmesine işaret eden Git commit'leri.
dark web ve kapalı kanallarda belirli ürün ailelerine erişim veya exploit araçlarına ilişkin satış iddiaları.
Shodan, Censys veya GreyNoise üzerinden gözlemlenen internet ölçeğindeki tarama davranışı değişimleri.
Bu sinyallerin hiçbiri tek başına aksiyon almaya yetmiyor. Birlikte okunduğunda ise bir zafiyetin nasıl triage edileceğini ve savunmacıların ne kadar hızlı yanıt vermesi gerektiğini somut biçimde değiştirebiliyorlar.
Dark Web ve IAB Ekonomisi Neden Önemli?
Initial Access Broker'lar, exploit satıcıları ve saldırı operatörleri çoğu zaman savunmacıların tercih edeceğinden çok daha erken sinyal üretiyor. Bazen bu sinyal zayıf ve gürültülü. Bazen ise belirli bir ürün ailesi, uzaktan erişim altyapısı veya dışa açık servisin resmi advisory'ler olgunlaşmadan ve puanlama kararlı hale gelmeden önce acil ilgi görmesi gerektiğinin en erken güvenilir işareti oluyor.
5 Adımlı CTI Destekli Zafiyet Triage Süreci
Yapılandırılmış bir süreç, CTI'nin gürültüye dönüşmesini önlüyor. Tekrarlanabilir bir iş akışı:
Topla: CVE kaydını NVD'den çekerken OSINT sinyallerini de getir — araştırmacı paylaşımları, exploit deposu aktivitesi, GreyNoise tarama trendleri.
Zenginleştir: Tehdit aktörü profilleri ve bilinen TTP'lerle çapraz doğrula — aktif herhangi bir grup bu ürün ailesini ya da saldırı sınıfını hedefliyor mu?
Maruziyeti değerlendir: Varlık envanterini sorgula — hangi iç sistemler etkilenen ürün sürümünü çalıştırıyor ve internetten erişilebilir durumda?
Yapılandır: Ham istihbaratı STIX 2.1 (tehdit istihbaratı paylaşım standardı) göstergesi veya ilişki nesnesine dönüştür; böylece SIEM ve SOAR ile otomatik paylaşılabilir hale gelir.
Aksiyon al: CVSS-BT, EPSS, CTI bağlamı ve varlık kritikliğini birleştirerek triage önceliği ata — ardından patch mühendisliğine veya tazmin edici kontrol devreye alımına yönlendir.
adım olmadan istihbarat analist notlarında hapsolur. 3. adım olmadan ise somut ortamınızda değil, soyut bir CVE üzerinde zenginleştirme yapıyorsunuz demektir.
Ham İstihbaratı Kullanılabilir Veriye Dönüştürmek
Analiz notlarını, ekran görüntülerini ve forum yakalamalarını yapılandırılmış, paylaşılabilir ve makine tarafından tüketilebilir istihbarat nesnelerine dönüştürmek için tam da bu noktada STIX 2.1 (Structured Threat Information eXpression — tehdit bilgisini standart bir formatta kodlamak için açık protokol) ve TAXII (Trusted Automated eXchange of Intelligence Information — bu nesneleri otomatik olarak paylaşmak için taşıma katmanı) devreye giriyor.
{
"type": "indicator",
"spec_version": "2.1",
"id": "indicator--8e2e2d2b-17d4-4cbf-938f-98ee46b3cd3f",
"created": "2026-03-14T08:00:00.000Z",
"name": "Malicious Scanner IP for CVE-2023-XXXX",
"description": "Observed scanning for unauthenticated RCE targets",
"pattern_type": "stix",
"pattern": "[ipv4-addr:value = '198.51.100.24']"
}Yapılandırılmış istihbarat, SOC, SIEM, SOAR ve remediation ekiplerinin paylaşılan tutarlı bir sinyal üzerinden çalışmasını sağlıyor. Aksi hâlde her ekip kendi yorumunu üretiyor ve bu ayrışmalar en kritik anlarda karar geciktiriyor.
CTI'nin Zafiyet Yönetimine Gerçek Katkısı Nedir?
Asıl değer kayması, savunmacının bir zafiyeti CVE kaydı olarak okumayı bırakıp saldırgan niyetiyle birlikte okumaya başlamasıyla oluyor. "Bu zafiyet mevcut" bir bilgi düzeyi. "Bu zafiyet belirli aktörlerce aktif biçimde tartışılıyor, bilinen kötü niyetli altyapı tarafından taranıyor ve belirli ürün sürüm aralıklarında hedef alınıyor" ise operasyonel olarak tamamen farklı bir bilgi düzeyi.
MyVuln Yaklaşımı
MyVuln burada ham istihbaratı yalnızca izlemekle kalmamalı; kurumun gerçek varlık envanteriyle ilişkilendirmeli. Bu korelasyon olmadan istihbarat ilgi çekici ama aksiyona dönüşmüyor. Korelasyon kurulduğunda ise karar almayı mümkün kılan tek biçime — eyleme dönüştürülebilir istihbarata — kavuşuyor.
MyVuln Araştırma Ekibi
Siber güvenlik istihbaratı ve zafiyet araştırmaları.