Ulusal Siber Tehdit İstihbaratının Etkin Yönetimi: Otomatize Yayılım ve Arşivleme Mimarisi

Günümüz dijital ekosisteminde siber tehditlerin evrimi, savunma mekanizmalarının statik yapıdan dinamik ve proaktif bir yapıya dönüşmesini zorunlu kılmıştır. Siber olaylara müdahale süreçlerinde “zaman” faktörü, risk minimizasyonu açısından en kritik değişkendir. Tehdit aktörlerinin saldırı vektörlerini sürekli çeşitlendirdiği bir ortamda, ulusal otoriteler tarafından yayımlanan güvenlik bildirimlerinin ilgili paydaşlara eş zamanlı ve hatasız iletimi, siber dayanıklılığın temel taşlarından birini oluşturur.

Bu yazı, Ulusal Siber Olaylara Müdahale Merkezi (USOM) kaynaklı verilerin, özel olarak geliştirilen otomatize iş akışları aracılığıyla toplanması, dağıtılması ve arşivlenmesi süreçlerini ve bu mimarinin stratejik önemini ele almaktadır.

USOM’un Stratejik Rolü ve usom0 Projesi

Ulusal Siber Olaylara Müdahale Merkezi (USOM), Türkiye’nin siber güvenlik stratejisinin operasyonel merkezidir. Kurum, ulusal çapta siber tehditlerin tespiti, analizi ve bertaraf edilmesi süreçlerinde bir “üst koordinasyon ve erken uyarı merkezi” olarak faaliyet göstermektedir. USOM tarafından yayımlanan bildirimler, basit bilgilendirmelerin ötesinde, kritik altyapıların ve kurumsal ağların güvenliğini doğrudan etkileyen istihbarat verileridir.

Bu veriler genel olarak şu kategorileri kapsamaktadır:

• Kritik güvenlik zafiyetleri ve yamalar (CVE)
• Gelişmiş Sürekli Tehdit (APT) gruplarının aktiviteleri
• Zararlı yazılım (Malware) analiz raporları
• Sektörel bazlı oltalama (Phishing) kampanyaları

Neden Otomasyon?

Geleneksel yöntemlerle, insan müdahalesine dayalı manuel takip süreçleri, veri akışının yoğunluğu ve tehditlerin hızı karşısında yetersiz kalmaktadır. Manuel süreçler, hem zaman maliyeti yaratmakta hem de “insan hatası” faktörü nedeniyle kritik bildirimlerin gözden kaçırılması riskini doğurmaktadır.

Amaç: Bilgi asimetrisini ortadan kaldırmak ve istihbaratın yayılım hızını artırmaktır.

Bu bağlamda geliştirilen otomasyon mimarisi, insan faktörünü minimize ederek verinin kaynağında (USOM) oluştuğu andan itibaren işlenmesini sağlar.

Teknik Metodoloji

Geliştirilen yazılım, sunucu tabanlı zamanlanmış görevler (scheduled workflows) prensibiyle çalışmaktadır. Mimari, her gün saat 00:00 itibarıyla tetiklenen periyodik bir döngü üzerine kurulmuştur. Bu döngü şu adımları içerir:

1. Veri Madenciliği ve Ayrıştırma: USOM’un resmi kanallarında yayımlanan yapılandırılmamış veya yarı yapılandırılmış veriler özel algoritmalarla taranır.
2. Anomali ve Güncelleme Kontrolü: Mevcut veri tabanı ile yeni çekilen veriler karşılaştırılarak, sisteme yeni bir tehdit bildiriminin düşüp düşmediği analiz edilir.
3. Çok Kanallı Dağıtım (Dissemination): Tespit edilen yeni bildirimler, operasyonel ekiplerin en sık kullandığı anlık mesajlaşma protokolleri üzerinden iletilir. Bu çalışmanın canlı çıktısı, @usom0 Telegram kanalı üzerinden anlık olarak izlenebilmektedir.
4. Statik Arşivleme (Persistence): Verinin kalıcılığını sağlamak adına, kaynak web sitesindeki olası değişimlere (link kırılması, içeriğin yayından kaldırılması) karşı, veriler graph.org gibi bağımsız ve statik platformlarda yedeklenir.

Şekil 1: Otomasyon sistemi tarafından Telegram kanalına iletilen anlık USOM bildirimi.

Şekil 2: Bildirimin graph.org üzerinde oluşturulan kalıcı ve statik arşiv görünümü.

Veri Bütünlüğü ve Arşivleme Stratejisi

Dijital kaynakların volatil (uçucu) yapısı, bilginin uzun vadeli saklanmasını zorlaştırmaktadır. Kaynak otoritenin web sitesi mimarisinde yapacağı değişiklikler veya URL yapılandırmalarındaki revizyonlar, geçmişe dönük tehdit istihbaratına erişimi engelleyebilir.

Bu sistemde uygulanan “gölge arşivleme” yöntemi, her bildirimin bağımsız bir kopyasını oluşturur. Bu yaklaşım iki temel avantaj sağlar:

• Erişilebilirlik: Kaynak site erişim dışı kalsa dahi verinin içeriğine ulaşılabilir.
• Referans Tutarlılığı: Güvenlik araştırmacıları ve SOME (Siber Olaylara Müdahale Ekipleri) personeli, geçmiş vaka analizlerinde değişmeyen, sabit referans noktalarına sahip olur.

Yasal Bilgilendirme

usom0 projesi ve arkasındaki yazılım altyapısı, tamamen kamu yararı gözetilerek ve bilgi güvenliği farkındalığını artırmak amacıyla geliştirilmiş bağımsız bir projedir. Aşağıdaki hususlar, sistemin kullanım koşullarını belirler:

1. Veri Kaynağı ve Mülkiyeti: Bu sistemde işlenen tüm veriler, Ulusal Siber Olaylara Müdahale Merkezi (USOM) tarafından kamuya açık olarak yayımlanan resmi web sayfasından temin edilmektedir. Verilerin mülkiyeti ve fikri hakları tamamen USOM’a aittir. Bu proje, veriler üzerinde herhangi bir değişiklik yapmadan, sadece erişim kolaylığı sağlamak amacıyla “yansıtma” (mirroring) işlevi görmektedir.
2. Logo ve Marka Hakkı: Bu yazının kapak fotoğrafında ve ilgili Telegram kanalının profil fotoğrafında kullanılan USOM logosu, Ulusal Siber Olaylara Müdahale Merkezi’nin tescilli markasıdır. Bu projenin USOM ile herhangi bir sponsorluk, destek veya resmi bir bağı bulunmamaktadır. Logo, yalnızca verinin kaynağını belirtmek amacıyla, tanıtıcı nitelikte kullanılmıştır.
3. Ticari Olmayan Kullanım: Bu proje, kâr amacı gütmeyen, şahsi bir araştırma ve geliştirme (Ar-Ge) girişimidir. Sistem üzerinden herhangi bir gelir elde edilmemekte, reklam gösterimi yapılmamakta ve veriler ticari bir ürünün parçası olarak pazarlanmamaktadır.
4. Yazılım Mülkiyeti: Sistemin arka planında çalışan otomasyon yazılımı ve kaynak kodları, projenin fikri mülkiyeti olup kapalı kaynak (closed-source) olarak tutulmaktadır. Paylaşılan içerik, yazılımın kendisi değil, ürettiği kamusal fayda (bildirimler ve arşiv) ile sınırlıdır.
5. Sorumluluk Sınırları: Otomasyon sistemi “olduğu gibi” (as-is) sunulmaktadır. Kaynak sitedeki teknik aksaklıklar veya verinin aktarımı sırasında oluşabilecek gecikmelerden dolayı doğabilecek herhangi bir doğrudan veya dolaylı zarardan, sistem geliştiricisi sorumlu tutulamaz. Resmi ve kritik aksiyonlarda, USOM’un orijinal web sitesi her zaman birincil referans kaynağı olarak alınmalıdır.

Bu sistemi kullanan veya takip eden kişiler, yukarıdaki koşulları kabul etmiş sayılır.