AI Threat Intelligence
AI-CTI Akışı Tasarımı

Klasik CTI'dan Farkı Nedir?

Klasik siber tehdit istihbaratı disiplinine baktığımızda, üzerine onlarca yıllık bir mühendislik birikimi olduğunu görüyoruz. Kötü amaçlı yazılım hash imzaları, kötü niyetli IP listeleri, alan adı itibar puanları, MITRE ATT&CK çerçevesindeki TTP'ler ve sektörel ISAC paylaşımları bu disiplinin tanıdık bileşenleridir. Bir saldırgan grubun ortaya çıkardığı yeni bir saldırı dünyanın bir köşesinde gözlemlendiğinde, sektörel paylaşım kanalları aracılığıyla diğer kurumlar saatler içinde bu imzayı kendi güvenlik sistemlerine besler.

Yapay zeka güvenliği bu birikimin üzerine yeni bir veri tipi getiriyor; ama aynı zamanda klasik tehdit istihbaratının bazı varsayımlarını da yıkıyor. Birincisi, AI-CTI'nın temel veri biçimi doğal dildir. Bir hash imzası kesindir; "şu binary şu hash'e sahip" iddiası ya doğrudur ya yanlıştır. Bir prompt injection kalıbı ise bulanıktır; saldırgan kalıbı küçük varyasyonlarla yeniden yazabilir, ana fikri korurken yüzeyi değiştirebilir. Bu yüzden AI-CTI imzalarının semantik düzeyde işlenmesi, klasik imza eşlemesinden farklı bir mühendislik gerektirir.

İkinci fark saldırı yüzeyinin paylaşılabilirliğidır. Klasik CTI'da bir IP'nin kötü niyetli olduğunu paylaşmak görece basittir; IP'yi yayınlamanın anlamsız bir maliyeti yoktur. AI-CTI'da ise saldırı kalıbının paylaşılması aslında o kalıbı daha geniş bir kitleye duyurmak anlamına da gelir; düşünülerek yapılması gereken bir karardır. Üçüncü fark doğrulama kolaylığı: klasik imzayı bir sandbox'ta çalıştırıp doğrulamak mümkündür; AI saldırısının başarısı ise saldırılan modele bağlıdır, aynı saldırı farklı modellerde farklı sonuç verir.

Bu üç fark, AI-CTI'nın klasik CTI'nın bir uzantısı olarak değil, kendi mühendislik prensipleri olan paralel bir disiplin olarak ele alınmasını gerektirir.

İstihbarat Kaynakları

Sağlam bir AI-CTI akışı, birden çok kaynaktan beslenen bir yapıdır. Pratikte beş ana kaynak kategorisi öne çıkar.

Birinci kaynak: kurum içi üretim sistemleri. Kurumun kendi yapay zeka uygulamalarına yönelen başarılı ve başarısız saldırı denemeleri en değerli istihbarattır; çünkü hedeflenen şey doğrudan kurumun varlığıdır. Daha önce ele aldığımız AI SOC'un telemetri katmanı bu kaynağın doğal akış noktasıdır.

İkinci kaynak: honeypot'lar. LLM Honeypot Tasarımı yazısında ayrıntılandırdığımız gibi, sahte yapay zeka uygulamaları saldırgan davranışı için zengin bir veri kaynağıdır. Honeypot'larda gözlenen kalıplar, gerçek üretimin maruz kalmadığı yeni saldırıları erken yakalama imkânı sunar.

Üçüncü kaynak: kırmızı takım çalışmaları. Kurum içi ya da dış kırmızı takımın yaptığı tatbikatlar, gerçek saldırgandan önce kurumun zaaflarını ortaya koyar. Bu çalışmaların çıktıları yapılandırılmış bir formatta AI-CTI akışına beslenmelidir; sadece bir rapor dosyası olarak rafa kalmamalı.

Dördüncü kaynak: açık kaynak istihbarat. Akademik literatür, jailbreak korpusları (örneğin akademik araştırmacılar tarafından yayımlanan dataset'ler), güvenlik araştırmacılarının blog yazıları ve GitHub depoları açık kaynak AI-CTI'nın temelidir. Bu kanal düzenli olarak taranmalı; özellikle Türkçe içerik için AltayDuel gibi yerli korpuslar referans alınmalıdır.

Beşinci kaynak: sektörel paylaşım. Aynı sektördeki kurumların ortak çıkar etrafında bilgi paylaşımı yapması, klasik CTI'da Information Sharing and Analysis Center (ISAC) yapılarıyla kurumsallaşmıştır. AI-CTI'da henüz bu kadar olgun bir yapı yok; ama sektörel birlikler, akademik çalıştay grupları ve sektörel bilgi güvenliği toplulukları bu boşluğu zamanla doldurmaya başlıyor.

Veri Formatı ve Şema

İstihbaratın değerinin ortaklaşabilmesi için ortak bir formatta ifade edilmesi gerekir. Klasik CTI'da STIX, TAXII ve MISP gibi standartlar bu işi yapar; her saldırgan, her kampanya, her gösterge belirli alanlarla tanımlanır ve farklı kurumların sistemleri arasında değiş tokuş edilebilir.

AI-CTI için henüz tam olarak yerleşmiş bir standart yok; ancak pratikte ortaya çıkan bir şema iskeleti var. Bu şema bir saldırı kalıbı için şu alanları içerir: kimlik (benzersiz tanımlayıcı, saldırı türü ailesinin adı), ilk gözlem tarihi, kaynak (hangi sistemden geldiği), saldırı kategorisi (OWASP LLM Top 10 ile eşleştirilmiş), etkilenen model aileleri, kalıp temsilcisi (en az bir somut örnek), varyasyon sınıfı (kalıbın hangi yöntemle varyasyon üretilebileceği), etki açıklaması (saldırı başarılı olursa ne olur), savunma önerisi (kalıbın hangi tür guardrail kuralıyla yakalanabileceği), doğrulama notu (kalıbın hangi modellerde test edildiği) ve paylaşım izni (kamuya açık, sektörel kapalı, kurum özel).

Bu şema, MITRE'nin AI saldırı çerçevesi olan ATLAS ile eşleştirilebilir; ATLAS'taki teknikler AI-CTI imzasının üst kategorisini oluşturur. Aynı imza birden fazla ATLAS tekniğine bağlanabilir; örneğin bir kalıp hem prompt injection hem sistem promptu sızdırma olarak işaretlenebilir.

Pratik bir uygulama olarak AI-CTI imzalarının versiyonlanmış bir kütüphanede (örneğin Git deposu, ya da MISP benzeri bir platform) tutulması ve her güncelleme için açık değişiklik kaydı bırakılması önerilir. Bu disiplin, ilerleyen aylarda kalıbın nasıl evrildiğini ve hangi varyasyonlarının ortaya çıktığını izlemeyi mümkün kılar.

İstihbaratın Yaşam Döngüsü

Bir AI-CTI imzasının kurumda ürettiği değer, doğru yaşam döngüsünden geçirilmesine bağlıdır. Yaşam döngüsü beş aşamada işler.

İlk aşama toplamadır. Yukarıdaki beş kaynaktan gelen ham veri kayıt altına alınır. Bu aşamada filtreleme henüz minimaldir; "şüpheli bir prompt görüldü" bilgisi bile saklamaya değerdir, sonradan bağlama bağlanır.

İkinci aşama normalleştirmedır. Ham veri yukarıda tanımladığımız şemaya dönüştürülür; alanlar doldurulur, kategori atanır, ATLAS bağlantısı kurulur. Bu süreç tamamen otomatik olmak zorunda değil; ilk olgunluk seviyelerinde insan denetimiyle yapılır, zamanla bir kısmı otomasyona aktarılır.

Üçüncü aşama doğrulamadır. Kalıbın gerçekten anlamlı bir saldırı kalıbı olup olmadığı test edilir. Test ortamında bilinen modellere karşı çalıştırılır, başarılı olup olmadığı kayda alınır. Doğrulama tamamlanmayan imzalar düşük güvenilirlik etiketiyle saklanır.

Dördüncü aşama dağıtımdır. Doğrulanan imza kurumun güvenlik araçlarına beslenir; AI SOC tespit kurallarına, guardrail kalıplarına ve kırmızı takım test setine eklenir. Sektörel paylaşım kapsamına giriyorsa sektörel kanallarda paylaşılır.

Beşinci aşama yaşam süresi yönetimidır. Bir imzanın değeri zamanla değişir; saldırgan kalıbı evrilir, modeller güncellenir, varyasyonlar ortaya çıkar. İmzanın ne kadar süre aktif tutulacağı, ne zaman güncelleneceği, ne zaman emekliye ayrılacağı yönetilmelidir. Eski ve artık çalışmayan imzalar kurum için gürültü üretir; düzenli temizlik gereklidir.

Sektörel Paylaşım

AI-CTI'nın gerçek değeri, sektörler arası ve kurumlar arası paylaşımla katlanır. Tek başına bir kurumun gördüğü saldırı kalıpları sınırlıdır; aynı sektörden on kurumun deneyimi bir araya geldiğinde ortaya çok daha zengin bir manzara çıkar. Bu paylaşımın pratikte birkaç çerçevesi vardır.

Sektörel birlik paylaşımı: Bankacılık, sağlık, telekom gibi sektörlerde mevcut birliklerin bilgi güvenliği çalışma grupları, AI-CTI paylaşımı için doğal kanaldır. Bu paylaşım anonim biçimde, "şu sektörde şu tür bir kalıp gözlendi" düzeyinde işler; saldırgana ya da etkilenen kuruma dair detaylar dışarıda bırakılır.

Akademik işbirliği: Üniversitelerle yapılan ortaklıklar, hem yeni saldırı kalıplarının akademik literatürle hızlı eşleşmesini hem savunma yöntemlerinin akademik doğrulamasını sağlar. AltayDuel veri seti gibi açık kaynak çalışmalar bu yaklaşımın somut örnekleridir.

Tedarikçi ekosistemi: Bir kurumun kullandığı yapay zeka tedarikçileri (model sağlayıcılar, MLOps platformları, AI gateway ürünleri) kendi müşteri tabanında gözlemledikleri saldırı kalıplarını anonim biçimde paylaşabilir. Bu kanal pratikte küresel çapta en hızlı işleyen istihbarat akışıdır.

Düzenleyici otorite paylaşımı: KVKK Kurumu, BDDK, TCMB gibi otoritelerin ciddi olay bildirimlerinden gelen toplu istihbarat, sektör genelinde uyarı niteliğindedir. Türkiye'de bu kanal henüz olgunlaşmamış olsa da önümüzdeki dönemde gelişeceği öngörülmektedir.

Paylaşımın etik ve hukuki sınırları her durumda gözetilmelidir. Anonimlik korunmalı, kurum sırrı niteliğindeki bilgiler dışarıda bırakılmalı, KVKK kapsamında değerlendirilebilecek kişisel veri filtrelemesi yapılmalıdır.

Kurumsal Entegrasyon

AI-CTI'nın kurum içinde ürettiği değer, yalnızca depolanmasıyla değil aktif olarak kullanılmasıyla ortaya çıkar. Bu nedenle istihbarat akışının kurumun güvenlik mimarisine entegre olması gerekir. Pratikte altı entegrasyon noktası tanımlanır.

Birincisi AI SOC tespit kurallarıdır. Her yeni imza, mevcut tespit kural setine eklenir; gelen prompt'lar otomatik olarak bu imzalarla karşılaştırılır. İkincisi runtime guardrail katmanıdır; bilinen kalıplar guardrail kural setine kalıcı olarak yansıtılır.

Üçüncüsü kırmızı takım regresyon testleri: her yeni imza, kurumun düzenli kırmızı takım test setine eklenir. Böylece kurum kendi sistemlerinin bu yeni saldırıya karşı dirençli olduğunu sürekli doğrulayabilir. Dördüncüsü çalışan farkındalık eğitimi: özellikle sosyal mühendislik tarafındaki imzalar (örneğin yeni bir kimlik avı kalıbı) çalışan eğitim modüllerine girer.

Beşincisi tedarikçi bilgilendirmesi: kurumun çalıştığı AI tedarikçileri ile ilgili istihbarat varsa, bu bilgi tedarikçiye iletilir ve gerekirse sözleşmesel düzeyde önlem alınması istenir. Altıncısı yönetim raporlaması: AI yönetişim komitesi, üç ayda bir AI-CTI'nın özetini görmelidir; sektördeki tehdit manzarasının nasıl evrildiği üst yönetim seviyesinde takip edilmelidir.

Sık Yapılan Hatalar

AI-CTI kurmaya başlayan ekiplerin düştüğü tipik tuzakların başında imzaları yalnızca regex olarak görmek gelir. Doğal dilin esnekliği nedeniyle düz regex çok sık yetersiz kalır; semantik benzerlik ölçümleri ve sınıflandırıcı tabanlı yaklaşımlarla desteklenmelidir.

İkinci yaygın hata doğrulanmamış istihbaratı doğruymuş gibi yaymaktır. Şüpheli bir kalıp henüz doğrulanmadan tüm guardrail kurallarına eklenirse, gerçek bir saldırı olmadığı halde meşru kullanıcılar bloke olabilir. Doğrulama disiplini istihbaratın değerini korumanın temelidir.

Üçüncü tuzak imzaların yaşam süresi yönetimini ihmal etmektir. Yıllar içinde biriken eski imzalar tespit sisteminde gereksiz yük üretir; performansı yavaşlatır, yanlış pozitifleri artırır ve gerçek tehdidin görünmesini zorlaştırır.

Dördüncüsü sektörel paylaşımı çift yönlü değil tek yönlü yürütmektir. Başka kurumlardan istihbarat alıp kendi gözlemlerini paylaşmayan kurumlar uzun vadede paylaşım kanalından dışlanır; karşılıklılık ilkesi temel kuraldır.

Son olarak üst yönetim raporlamasını ihmal etmek AI-CTI yatırımının kurum içinde değer üretmesini engeller. Üst yönetim tehdit manzarasındaki gelişmelerden haberdar değilse, AI-CTI ekibinin bütçesi ve etkisi zayıflar.

Sonuç

AI-CTI, yapay zeka çağında blue team'in en sistematik istihbarat üretim yöntemidir. Saldırgan kalıplarının toplandığı, normalleştirildiği, doğrulandığı, dağıtıldığı ve yaşam süresinin yönetildiği bir zincir; kurumsal güvenlik araçlarına entegre edildiğinde tehdit görünürlüğünü ve müdahale hızını ciddi biçimde yükseltir.

Klasik CTI'dan ayrılan yanlar (doğal dilin esnekliği, paylaşımın çift kenarlı yapısı, doğrulamanın modele bağımlılığı) ayrı bir mühendislik disiplini gerektirir; ama temel mantık aynıdır: bilinen kötüyü tanıyıp kuruma gelmeden engellemek. Sektörel paylaşımın olgunlaşmasıyla bu disiplinin değeri katlanarak büyüyecek.

AltaySec olarak Türkçe-öncelikli bir AI-CTI ekosistemi kurma çalışmalarımızı sürdürüyoruz; yerli saldırı kalıplarının toplandığı ve sektörel paylaşım için anonimleştirildiği bir çerçeve üzerinde çalışıyoruz.