Google Tehdit İstihbaratı (Google TI) Nedir?

Google Tehdit İstihbaratı, siber güvenlik dünyasında son dönemlerin en çok ses getiren konularından biri haline geldi. Peki, bu kadar övülen bu platform tam olarak nedir ve bir kurumun güvenlik olgunluğuna nasıl katkıda bulunur? Günümüzün siber tehdit ortamı o kadar karmaşık ve hızlı evriliyor ki, geleneksel güvenlik duvarları ve imza tabanlı antivirüs çözümleri artık tek başına yeterli olmuyor. Saldırganlar daha sofistike yöntemler kullanırken, savunma ekipleri de proaktif ve istihbarat odaklı bir yaklaşım benimsemek zorunda kalıyor. İşte tam bu noktada Google Tehdit İstihbaratı (Google TI) devreye giriyor. Bu hizmet, Google'ın devasa altyapısını, Mandiant'ın birinci sınıf saha tecrübesini ve VirusTotal'ün topluluk tabanlı zengin veri havuzunu tek bir çatı altında birleştiren kapsamlı bir çözüm olarak karşımıza çıkıyor.

Google Threat Intelligence, yalnızca bir veri toplama aracı değil; aynı zamanda bu verileri anlamlandıran, ilişkilendiren ve güvenlik analistlerine eyleme dönüştürülebilir içgörüler sunan akıllı bir platformdur. Platformun temel amacı, bir göstergeyi (IoC) sadece kötü amaçlı olarak etiketlemekten öteye geçerek, bu göstergenin arkasındaki tehdit aktörünü, kullandığı taktik, teknik ve prosedürleri (TTP'ler) ve hedeflediği sektörleri ortaya koymaktır. Bu sayede güvenlik ekipleri, "ne" sorusunun cevabını bulduktan sonra "neden" ve "nasıl" sorularına da yanıt bularak savunmalarını çok daha etkili bir şekilde kurgulayabilir.

Peki, Google'ın bu kadar geniş bir veri kaynağına erişimi nasıl oluyor? Google Threat Intelligence Group (GTIG), tehdit istihbaratını botnet'lerden, siber suç forumlarından, mesajlaşma servislerinden, açık kaynak istihbaratından (OSINT) ve Google Cloud Security Operations hizmetlerinden elde edilen global telemetriden toplar . Tüm bu ham veri, yapay zeka modelleri aracılığıyla işlenir, zenginleştirilir ve kategorize edilir. Örneğin, bir kötü amaçlı yazılım örneği incelenirken, AI modelleri bu yazılımın işlevsel davranışlarını analiz ederek analistlere detaylı raporlar sunar. Bu, özellikle büyük ölçekli veri analizinin insan gücüyle neredeyse imkânsız olduğu günümüzde devrim niteliğinde bir yetenektir.

Bu platformu diğer tehdit istihbaratı çözümlerinden ayıran en önemli özelliklerden biri de Gemini yapay zekasının entegrasyonudur. Kullanıcılar artık karmaşık sorgulama dilleriyle uğraşmak yerine, doğal dilde sorular sorarak ihtiyaç duydukları bilgiye ulaşabiliyorlar. "APT29 yanal hareketini nasıl gerçekleştirir?" gibi bir soruya Gemini, Google Threat Intelligence veritabanından derlediği bilgilerle kapsamlı bir özet sunabiliyor. Bu özellik, özellikle hızlı karar alması gereken olay müdahale ekipleri için zaman kazandırıcı bir faktör.

Google Threat Intelligence sadece büyük kurumsal şirketler için değil, aynı zamanda orta ölçekli işletmeler ve hatta bireysel güvenlik araştırmacıları için de değerli bilgiler sunar. Platform, ünlü SANS eğitmeni Dave Shackleford tarafından hazırlanan bir raporda da vurgulandığı gibi, güvenlik operasyon merkezlerinin (SOC) verimliliğini artırmak, tehdit avcılığı (threat hunting) süreçlerini hızlandırmak ve zafiyet yönetimini daha akıllı hale getirmek için tasarlanmıştır. Bu yazımızda, Google Tehdit İstihbaratı'nın temel bileşenlerinden, nasıl kullanıldığından ve güvenlik ekiplerine sağladığı avantajlardan adım adım bahsedeceğiz.

Google Tehdit İstihbaratı (Google TI) Nasıl Çalışır?

Google Threat Intelligence'ın gücü, arkadaki üç temel bileşenin kusursuz entegrasyonunda yatar. Bu entegrasyon sayesinde elde edilen sinerji, platformu rakiplerinden ayıran en büyük faktördür. Platformun temelinde, yılların deneyimine sahip Mandiant'ın tehdit avcılığı ve olay müdahale uzmanlığı, VirusTotal'ün dünyanın en kapsamlı tehdit veritabanı ve Google'ın kendi geniş ağ telemetrisi ile bulut altyapısı bulunur. Bu üçlü yapı, platforma hem derinlik hem de genişlik kazandırır.

Peki bu bileşenler pratikte nasıl bir iş birliği içinde çalışır? Diyelim ki bir güvenlik analisti, şüpheli bir dosya hash'i ile karşılaştı. Bu hash'i Google Threat Intelligence arama kutusuna girdiğinde aslında VirusTotal'ün arka uçundaki dev veritabanı sorgulanmış olur. Ancak Google TI, sadece antivirüs motorlarının tarama sonuçlarını listelemekle kalmaz. Eğer bu dosya daha önce bir Mandiant olay müdahalesinde görülmüşse, bu bilgi de hemen karşımıza çıkar. Ayrıca, dosyanın davranışsal analizini yapmak için otomatik olarak bir kum havuzu (sandbox) ortamında çalıştırılabilir ve bu analizin sonuçları, Code Insights gibi AI destekli araçlarla doğal dilde raporlanarak analiste sunulur.

Platformun bir diğer kritik bileşeni de Tehdit Profilleri (Threat Profiles) özelliğidir. Bu özellik, kurumların kendi risk profillerine göre kişiselleştirilmiş tehdit istihbaratı akışı oluşturmasına olanak tanır. Bir kurum, faaliyet gösterdiği sektörü (örneğin finans), coğrafi bölgeyi (örneğin Avrupa) ve ilgilendiği tehdit aktörü motivasyonlarını (örneğin finansal kazanç) belirleyerek bir tehdit profili oluşturduğunda, makine öğrenimi modülleri devreye girer ve bu profile en uygun tehdit aktörlerini, kampanyaları ve kötü amaçlı yazılımları otomatik olarak önerir. Bu sayede analistler, dünyadaki tüm tehditler yerine yalnızca kendileri için gerçekten risk oluşturanlara odaklanabilir.

Aşağıdaki tablo, Google Threat Intelligence platformunun temel bileşenlerini ve her birinin sunduğu birincil değeri özetlemektedir:

• Mandiant Entegrasyonu: Derinlemesine tehdit aktörü profilleri, olay müdahale raporları ve birinci sınıf taktiksel istihbarat sağlar.
• VirusTotal Veritabanı: Dosya, URL, domain ve IP'ler için dünyanın en kapsamlı topluluk tabanlı tarama sonuçları ve pasif DNS bilgilerini sunar.
• Google Telemetrisi: Google'ın geniş ağından elde edilen tehdit verileri ve tehdit aktörlerinin altyapılarına ilişkin benzersiz içgörüler sağlar.
• Gemini AI Asistanı: Doğal dilde arama, karmaşık kodların analizi (Code Insights) ve tehdit raporlarının otomatik özetlenmesini sağlar.
• Tehdit Profilleri: Kurumun sektör, bölge gibi parametrelerine göre kişiselleştirilmiş tehdit istihbaratı akışı ve önceliklendirme imkanı sunar.

Google Threat Intelligence Platformunda Gezinme ve Temel Özellikler Nelerdir?

Google Threat Intelligence platformu, kullanıcı dostu bir arayüzle tasarlanmış olup, dört ana bölümden oluşur: Üst Çubuk, Sol Menü, Ana Bölüm ve Alt Bilgi. Platforma giriş yaptığınızda sizi karşılayan ana bölüm, güçlü bir arama motorudur. Bu arama kutusuna bir dosya hash'i, IP adresi, domain, URL, CVE ID'si veya bir tehdit aktörü adı (örneğin "APT41") yazarak aramaya başlayabilirsiniz . Arama sonuçları, ilgili gösterge hakkında Gemini tarafından özetlenmiş bir AI raporu, topluluk tarafından yapılan yorumlar, tespit oranları ve ilişkili diğer göstergeleri içerir.

Sol menü, platformun derinliklerine açılan kapıdır. Bu menüde Global Landscape (Küresel Manzara) bölümü altında tehdit aktörleri, kampanyalar ve kötü amaçlı yazılım aileleri gibi üst düzey istihbarat profillerine erişebilirsiniz. IoC Investigation (IoC Araştırması) bölümü, gelişmiş arama yapmanıza, YARA kuralları oluşturmanıza ve IoC Stream ile gerçek zamanlı gösterge akışlarını takip etmenize olanak tanır. Report & Analysis (Rapor ve Analiz) bölümü, Mandiant araştırmacıları tarafından hazırlanan derinlemesine tehdit raporlarına ev sahipliği yapar.

Platformun en dikkat çekici araçlarından biri de Threat Graph (Tehdit Grafiği)'dir. Bir göstergeyi merkeze alarak onunla ilişkili tüm diğer göstergeleri, dosyaları, domainleri ve IP'leri görsel bir ağ haritası üzerinde keşfetmenizi sağlar. Örneğin, kötü amaçlı bir domaini incelerken, bu domainin çözümlendiği IP adreslerini, aynı IP'leri kullanan diğer domainleri ve bu domainler üzerinden dağıtılan diğer kötü amaçlı yazılımları tek bir tıklamayla görebilirsiniz. Bu özellik, özellikle tehdit aktörlerinin altyapılarını haritalamak ve ilişkili saldırıları birbirine bağlamak için çok değerlidir.

Dijital Tehdit İzleme (Digital Threat Monitoring) ise kurumların kendilerine özel tehditleri proaktif olarak keşfetmesini sağlayan başka bir güçlü modüldür . Bu modül sayesinde:

• Kurum adınızın, markalarınızın veya yöneticilerinizin isimlerinin geçtiği yeraltı forumlarındaki (dark web) mesajları takip edebilirsiniz.
• Sızdırılmış kullanıcı bilgileri veya kredi kartı verileri için otomatik aramalar yapabilirsiniz .
• Tedarik zincirinizdeki şirketleri hedef alan potansiyel tehditler hakkında erken uyarı alabilirsiniz.
• Ransomware gruplarının sızıntı sitelerinde kurumunuza ait veri olup olmadığını kontrol edebilirsiniz.

Saldırı Yüzeyi Yönetimi (Attack Surface Management - ASM) ise kurumların kendi dış saldırı yüzeylerini bir saldırganın gözünden görmelerini sağlayan bir özelliktir. Kurumun ana domaini (seed) girildiğinde, ASM modülü bu domainle ilişkili tüm alt domainleri, açık portları, çalışan hizmetleri ve bunların üzerindeki potansiyel zafiyetleri otomatik olarak keşfeder ve listeler . Bu sayede bir kurum, unutulmuş veya farkında olmadığı sunucularını ve bu sunuculardaki güvenlik açıklarını tespit ederek aksiyon alabilir.

Google Threat Intelligence'ı Güvenlik Operasyonlarına Nasıl Entegre Edilir?

Google Threat Intelligence'ı sadece web arayüzü üzerinden kullanmak zorunda değilsiniz. Platform, güvenlik ekiplerinin mevcut araçlarına sorunsuz bir şekilde entegre olacak şekilde tasarlanmıştır. En yaygın entegrasyon yöntemlerinden biri, zengin bir API desteğidir . Bir SIEM (Security Information and Event Management) veya SOAR (Security Orchestration, Automation and Response) çözümü, Google TI API'sini kullanarak otomatik olarak gösterge zenginleştirme (IOC enrichment) yapabilir. Örneğin, SIEM'inize düşen bir uyarıdaki IP adresi, otomatik bir sorgu ile Google TI'da kontrol edilerek IP'nin kötü amaçlı olup olmadığı, hangi tehdit aktörüyle ilişkili olduğu ve geçmişte ne tür aktivitelerde bulunduğu anında tespit edilebilir.

Bir diğer güçlü entegrasyon örneği ise TheHive gibi açık kaynaklı bir olay müdahale platformu ile yapılabilir. Google Threat Intelligence için geliştirilmiş bir TheHive uygulaması (Cortex analizörü) sayesinde, bir vaka üzerinde çalışırken herhangi bir göstergeye (observable) sağ tıklayıp doğrudan Google TI sorgusu başlatabilirsiniz. Analizör, sorgu sonucunda elde ettiği tüm zenginleştirilmiş bilgiyi (dosya özeti, ilişkili MITRE ATT&CK teknikleri, tehdit aktörü bağlantıları, kum havuzu davranış raporu vb.) doğrudan vakanın içine getirir. Bu, analistlerin farklı platformlar arasında geçiş yaparak zaman kaybetmesini önler ve olay müdahale sürecini önemli ölçüde hızlandırır.

Entegrasyonlar sırasında kullanacağınız API anahtarınızı (API key) güvenli bir şekilde saklamanız çok önemlidir. Cortex veya benzeri bir platformda API anahtarınızı yapılandırırken, bu bilgilerin düz metin (plain text) olarak görünebileceğini unutmayın. Yetkisiz erişimleri önlemek için API anahtarlarınızı düzenli olarak yenilemeli ve yalnızca ihtiyacı olan sistemlerin erişimine izin vermelisiniz.

Ayrıca, IoC Stream özelliği, gerçek zamanlı tehdit istihbaratını doğrudan güvenlik araçlarınıza aktarmanın bir başka yoludur. Oluşturduğunuz bir tehdit profiliyle eşleşen yeni bir gösterge (yeni bir C2 domaini, yeni bir kötü amaçlı yazılım hash'i vb.) tespit edildiğinde, bu gösterge anında IoC Stream üzerinden SIEM'inize veya EDR (Endpoint Detection and Response) çözümünüze iletilerek proaktif bir bloklama politikası uygulanmasını sağlayabilirsiniz. Bu, tespitten korumaya geçişin en hızlı yollarından biridir.

Son olarak, TTP Analysis aracı, tehdit istihbaratını doğrudan savunma mekanizmalarınızı test etmek ve geliştirmek için kullanmanızı sağlar. Bir tehdit profiliyle ilişkili tüm MITRE ATT&CK tekniklerini analiz ederek, mevcut güvenlik kontrollerinizin bu tekniklerin ne kadarını tespit edip engelleyebildiğini görebilirsiniz. Örneğin, bir tehdit aktörünün sıklıkla kullandığı bir tekniğe karşı savunmanız zayıfsa, bu açığı kapatmak için yeni bir tespit kuralı yazabilir veya mevcut güvenlik duvarı kurallarınızı güncelleyebilirsiniz.

Google Threat Intelligence ile proaktif bir güvenlik duruşu benimsemek için şu adımları izleyebilirsiniz:

1. Kurumunuz için en büyük riski oluşturan sektörleri, coğrafyaları ve tehdit aktörü türlerini belirleyin.
2. Bu bilgiler ışığında Google TI'da kişiselleştirilmiş Tehdit Profilleri oluşturun.
3. API'ler veya hazır entegrasyonlar (TheHive, Splunk vb.) aracılığıyla Google TI verilerini mevcut SIEM, SOAR ve diğer güvenlik araçlarınıza bağlayın.
4. IoC Stream ile elde ettiğiniz gerçek zamanlı göstergeleri güvenlik duvarlarınızda ve EDR çözümlerinizde otomatik olarak bloklama kurallarına dönüştürün.
5. TTP Analysis aracını kullanarak savunma yeteneklerinizi düzenli olarak test edin ve tehdit aktörlerinin değişen taktiklerine göre güncelleyin.