https://www.fatihyildirim.tr  
  Tehdit istihbaratı            
  Tehdit istihbaratı
   Tehdit İstihbaratı Nedir?
   Temel Amaçları
   Tehdit İstihbaratı Türleri
   Tehdit İstihbaratı Döngüsü
   Açık Kaynak Tehdit İstihbaratı (OSINT)
   Pratik Kullanım Senaryoları
  MITRE ATT&CK kullanımı
  VirusTotal
  OWASP    Open Worldwidw Application Security Project
 
          Threat Intelligence
  Son Güncelleme: 9.05.2026   r.01.01
 
Tehdit İstihbaratı    threat intelligence
   Tehdit İstihbaratı Nedir?
 
  Tehdit istihbaratı, bir kuruluşu hedef alabilecek mevcut veya potansiyel tehditler hakkında kanıta dayalı bilgilerin toplanması, işlenmesi, analiz edilmesi ve paylaşılması sürecidir. Amaç, bu bilgileri anlamlı, eyleme dönüştürülebilir içgörülere dönüştürerek siber güvenlik kararlarını desteklemektir.
 
   Temel Amaçları
 
  - Proaktif Savunma: Saldırı gerçekleşmeden önlem almak
  - Tepki Süresini Kısaltma: Olay müdahale ekiplerine doğru bilgiyi hızlıca ulaştırmak
  - Kaynak Verimliliği: Hangi tehditlere öncelik verileceğini belirlemek
  - Risk Yönetimi: Kuruluşun risk profilini doğru şekilde değerlendirmek
 
   Tehdit İstihbaratı Türleri
 
     1. Stratejik İstihbarat
  - Üst düzey yönetime yönelik
  - Uzun vadeli trendler, riskler, tehdit aktörleri
  - Raporlar, sunumlar, politika önerileri
 
     2. Taktiksel İstihbarat
  - Güvenlik uzmanları ve analistlere yönelik
  - Saldırı teknikleri, taktikleri, prosedürleri (TTPs)
  - Örn: MITRE ATT&CK framework
 
     3. Operasyonel İstihbarat
  - Olay müdahale ve SOC ekiplerine yönelik
  - Yakın vadeli tehditler, aktif kampanyalar
  - Örn: Belirli bir APT grubunun altyapı bilgileri
 
     4. Stratejik (Teknik) İstihbarat
  - Güvenlik araçlarına entegre edilen veri
  - IOC'ler (Indicator of Compromise)
  - Örn: Hash değerleri, IP adresleri, domainler
 
   Tehdit İstihbaratı Döngüsü
 
  1. Yönlendirme: Hangi bilgilere ihtiyaç duyulduğunu belirleme
  2. Toplama: Açık, ticari, teknik kaynaklardan veri toplama
  3. İşleme: Ham veriyi analiz edilebilir hale getirme
  4. Analiz: Anlam çıkarma, bağlam ekleme
  5. Dağıtım: İlgili paydaşlara ulaştırma
  6. Geri Bildirim: Süreci iyileştirme
 
   Önemli Kaynaklar
 
   Açık Kaynak Tehdit İstihbaratı (OSINT)
  - VirusTotal,  AlienVault OTX,  MISP
  - CISA,  MITRE ATT&CK, OWASP
  - Darkweb monitoring araçları
  OWASP Top 10 | OWASP Top 10 Vulnerabilities 2021 | Snyk
   Ticari Sağlayıcılar
  - Recorded Future, Anomali, ThreatConnect
  - FireEye/Mandiant, CrowdStrike, IBM X-Force
 
   Paylaşım Platformları
  - ISAC'lar (Sektörel)
  - STIX/TAXII protokolleri
  - MISP (Malware Information Sharing Platform)
 
   Pratik Kullanım Senaryoları
 
  1. SIEM/SOC Entegrasyonu - IOC'leri otomatik bloklama
  2. Zafiyet Yönetimi - Hangi açıkların aktif sömürüldüğünü bilme
  3. Phishing Tespiti - Yeni kampanyalardan haberdar olma
  4. Olay Müdahale - Saldırganın TTP'lerini anlama
  5. Tehdit Avcılığı (Threat Hunting) - Proaktif arama
 
   Başarı İçin İpuçları
 
  - Eyleme dönüştürülebilirlik: İstihbarat "ne yapmalıyım?" sorusuna cevap vermeli
  - Zamanında olma: Gerçek zamanlı veya yakın gerçek zamanlı
  - Doğruluk ve güvenilirlik: Kaynak teyidi çok önemli
  - Bağlam: Salt IOC listesi yeterli değil, saldırganın motivasyonu, yeteneği, hedefi
  - İş birliği: Sektör içi paylaşım kritik
 
   Yaygın Zorluklar
 
  - Bilgi fazlalığı (alert fatigue)
  - Yanlış pozitifler (false positive)
  - Kaynak yetersizliği (ekipman, uzman insan kaynağı)
  - Yasal ve etik sorunlar (özellikle darkweb/dolandırıcılık verileri)
 
 
  Sormak istediğiniz belirli bir alt alan var mı? Örneğin: OSINT toplama teknikleri, MITRE ATT&CK kullanımı, tehdit istihbarat platformları, ya da belirli bir sektör için (finans, sağlık, enerji) uygulamalar?
 
MITRE ATT&CK kullanımı 🔝
  MITRE ATT&CK kullanımı, sadece bir çerçeveyi ezberlemekten ziyade, onu kurumunuzun güvenlik operasyonlarının her alanına entegre etmek anlamına gelir. Savunma ekiplerinden tehdit istihbaratı analistlerine, kırmızı takımlardan yöneticilere kadar herkes için somut faydalar sağlayan bu çerçeveyi nasıl etkin kullanabileceğinizi pratik örneklerle ele alalım.
  Ayrıca Bak:      https://www.fatihyildirim.tr/SiberGuvenlik/CS_SiberGuvenlikMimarisi.htm
 
   🧠 Tehditleri ve Saldırı Süreçlerini Anlama
 
  Bu, MITRE ATT&CK'ın en temel kullanım alanıdır. Saldırganların taktiklerini, tekniklerini ve prosedürlerini (TTP'ler) anlamak, onlardan bir adım önde olmanın anahtarıdır.
 
  *   Saldırı Hayat Döngüsünü Görselleştirme: ATT&CK, bir saldırının aşamalarını (Örneğin: İlk Erişim, Komuta ve Kontrol, Veri Sızdırma) 14 farklı taktik altında düzenler. Bu yapı, bir saldırganın hangi aşamada ne yapmaya çalıştığını anlamanızı kolaylaştırır.
  *   Derinlemesine Araştırma İmkanı: Her bir teknik (Örn: T1566 - Phishing) ve alt teknik (Örn: T1566.002 - Spearphishing Link), nasıl çalıştığına dair detaylı açıklamalar, gerçek dünya örnekleri ve tespit stratejileri içerir. Bu, sadece bir tehdit göstergesini (IoC) değil, saldırganın davranışını anlamanızı sağlar.
  *   Örnek Kullanım: E-posta ağ geçidiniz bilinmeyen bir zararlı yazılımı karantinaya aldı. Bu zararlının adını MITRE ATT&CK üzerinde aratarak, hangi teknikleri kullandığını, daha önce hangi kampanyalarda yer aldığını ve nasıl tespit edilebileceğini görebilirsiniz.
 
   🛡️ Güvenlik Açıklarını ve Kontrolleri Değerlendirme
 
  Sahip olduğunuz güvenlik araçlarının ve kontrollerinizin, gerçek dünyadaki tehditlere karşı ne kadar etkili olduğunu ölçmek için ATT&CK'i bir kıyaslama aracı olarak kullanabilirsiniz.
 
  *   Tehdit Aktörlerini Önceliklendirme: Kurumunuz veya sektörünüz için en büyük riski oluşturan tehdit gruplarını (APT'ler, siber suç grupları) belirleyin. ATT&CK, bu grupların kullandığı tekniklerin bir dökümünü sunar.
  *   Kapsama Analizi (Gap Analizi): Mevcut güvenlik ürünlerinizin (EDR, SIEM, Firewall vb.) hangi ATT&CK tekniklerini tespit edebildiğini haritalayın.
      *   Splunk ile Örnek: Splunk Security Essentials içindeki MITRE ATT&CK Framework Dashboard sayesinde, ortamınızdaki mevcut verilerin hangi teknikleri kapsadığını görebilirsiniz. Matris üzerinde hangi teknikler için "Aktif İçerik" bulunduğunu, hangileri için "Veri Mevcut" olduğunu veya hangi alanlarda hiç kapsama sahip olmadığınızı (Needs data) renkli bir harita ile analiz edebilirsiniz.
      *   Tehdit Odaklı Savunma: MITRE'ın Center for Threat-Informed Defense tarafından geliştirilen Mappings Explorer gibi araçlar, güvenlik kontrollerinizi (örneğin Cloud Controls Matrix) doğrudan ATT&CK teknikleriyle eşleştirmenize olanak tanır. Bu sayede "Acaba bu kontrole neden ihtiyacım var?" sorusundan kurtulup, en kritik tehditlere karşı hangi kontrollerin eksik olduğunu veriye dayalı olarak görebilirsiniz.
 
   📊 Olay Müdahalesi ve Tehdit Avcılığı
   
  Bir güvenlik ihlali yaşandığında veya proaktif olarak tehdit aradığınızda, ATT&CK size bir yol haritası sunar.
 
  *   Olay Müdahalesinde Yol Haritası: Tespit ettiğiniz anormal aktiviteleri (örneğin, bir çalışanın yetkisi olmadığı bir sunucuda PowerShell çalıştırması) ATT&CK matrisine işaretleyin.
      *   ATT&CK Navigator Kullanımı: Gözlemlediğiniz şüpheli aktiviteleri bir özel katman halinde MITRE ATT&CK Navigator'a işaretleyin. Bu, saldırganın hangi aşamalardan geçtiğini (Önce T1059.001 - PowerShell, ardından T1021.006 - WinRM ile Lateral Movement) görsel olarak netleştirir. Bu, bir sonraki olası adımı (Örn: T1048 - Veri Sızdırma) tahmin etmenizi sağlar.
  *   Tehdit Avcılığı (Threat Hunting): "Tehdit aktörü X'in kullandığı bilinen tüm teknikleri ağımda taramak istiyorum." gibi bir hipotezle yola çıkın. SOC ekibiniz, tehdit aktörlerinin en sık kullandığı tekniklere odaklanarak daha verimli avcılık yapabilir.
 
   🤖 Otomasyon ve Araçlarla Entegrasyon
 
  ATT&CK'i güvenlik araçlarınızla entegre ederek analiz ve müdahale süreçlerinizi otomatikleştirebilirsiniz.
 
  *   Zararlı Yazılım Analizi (Kaspersky Örneği): Bir dosyayı Kaspersky Sandbox gibi bir ortamda çalıştırdığınızda, raporlar genellikle tespit edilen aktiviteler için doğrudan MITRE ATT&CK eşlemesi sunar. Örneğin, "MITRE: T1082 System Information Discovery" ibaresi, zararlı yazılımın sistem bilgisi toplama davranışında bulunduğunu anında size söyler.
  *   Tehdit İstihbaratı ile Beslenme (Feedly Örneği): Feedly'in TTP Agent gibi araçları, okuduğunuz binlerce tehdit raporunu tarar, içindeki TTP'leri otomatik olarak tanımlar ve bunları bir ATT&CK Navigator ısı haritasına dönüştürür:
      *   Isı Haritası: Raporlarda en çok bahsedilen teknikler daha koyu renklerle gösterilir.
      *   Bağlamsal Bilgi: Navigator üzerinde bir tekniğin üzerine geldiğinizde, o tekniği kullanan tehdit aktörlerini veya zararlı yazılımları görebilirsiniz. Böylece soyut bir "TTP listesi" yerine, "Bu teknik şu anda sektörümü en çok hedef alan APT28 tarafından yoğun olarak kullanılıyor" gibi eyleme dönüştürülebilir istihbarata sahip olursunuz.
 
   📈 Yeni Özellikler: MITRE ATT&CK v18
 
  Güncel sürüm olan v18 ile birlikte gelen yenilikler, çerçeveyi daha da operasyonel hale getirmiştir.
 
  *   Yapılandırılmış Tespit (Detection Strategies & Analytics): Önceki sürümlerdeki yüzeysel tespit ipuçları (Örn: "PowerShell çalıştırılmasını izleyin") tarih oldu. Artık her teknik için hangi olay ID'lerini (Event ID) izlemeniz gerektiğini, hangi davranış zincirini aramanız gerektiğini ve bu tespitin Windows ile Linux'ta nasıl farklılık göstereceğini öğrenebilirsiniz. Bu, doğrudan kod olarak yazabileceğiniz (detection as code) hazır analitik kuralları anlamına gelir.
  *   Genişletilmiş Tehdit Kapsamı: Bulut ve DevOps dünyasındaki yeni tehditlere karşı 12 yeni teknik eklenmiştir.
      *   T1059.013: Container CLI/API (Kubernetes üzerinden kötü amaçlı komut çalıştırma)
      *   T1677: Poisoned Pipeline Execution (CI/CD pipeline'larının zehirlenmesi).
 
   🚀 Başlangıç İçin Pratik Adımlar
 
  MITRE ATT&CK evrenine adım atmak için aşağıdaki adımları takip edebilirsiniz:
 
  1.  Öğrenin: MITRE'ın resmi web sitesindeki "Getting Started" rehberini okuyun.
  https://attack.mitre.org/resources/
  2.  Keşfedin: MITRE ATT&CK Navigator aracını (ücretsizdir) açın ve farklı tehdit gruplarını veya yazılımları matris üzerinde görselleştirin.
  3.  Daraltın: Kurumunuz için en kritik 3-5 tehdit aktörünü veya en sık karşılaştığınız saldırı tiplerini seçin ve sadece onların kullandığı tekniklere odaklanın.
  4.  Haritalayın: EDR veya SIEM çözümünüzün hangi ATT&CK tekniklerini kapsadığını öğrenin. Bu genellikle ürününüzün içinde bir MITRE Coverage raporu olarak sunulur.
  5.  Test Edin: Purple Team egzersizleri düzenleyerek, sizin için en kritik olduğuna karar verdiğiniz 5 tekniği güvenli bir ortamda simüle edin (Örn: T1059.001 - PowerShell ile komut çalıştırma). EDR'ınızın bu simülasyonu tespit edip etmediğini kontrol edin.
 
  Bu kaynaklar da işinize yarayabilir:
  *   Threat Report ATT&CK Mapper (TRAM): Tehdit raporlarını otomatik olarak ATT&CK teknikleriyle eşleştirmek için.
  *   ATT&CK Workbench: Kendi ATT&CK veri tabanınızı özelleştirmek ve yönetmek için.
  *   Attack Flow: Saldırıları bir teknik listesi olarak değil, bir olay akışı (flow) olarak modellemek için.
 
VirusTotal 🔝
   VirusTotal Nedir?
  VirusTotal, Google bünyesindeki Chronicle'ın bir parçası olan, 70'ten fazla antivirüs motoru, URL tarayıcı, davranış analizi (sandbox) ve çeşitli güvenlik araçlarını tek bir platformda toplayan bir tehdit istihbarat platformudur . Kullanıcılar bir dosya veya URL yüklediğinde, VirusTotal bunu tüm bu motorlara anında taratır ve detaylı bir rapor sunar. Bu sayede analistler, sadece kendi antivirüs yazılımlarının kaçırabileceği tehditleri tespit edebilir ve yanlış pozitifleri doğrulayabilir .
 
   Temel Kullanım Alanları
 
  1. Tehdit Teyidi (Validation): SIEM veya EDR'dan gelen bir uyarıdaki dosya veya IP adresinin gerçekten kötücül olup olmadığını hızlıca doğrulamak için kullanılır.
  2. İstihbarat Zenginleştirme (Enrichment): Bir vaka açıldığında, ilgili dosyanın SHA-256 hash'ini VirusTotal'de aratarak hangi antivirüs motorlarının onu zararlı olarak etiketlediğini, hangi aileye ait olduğunu ve davranış analizi raporlarını görebilirsiniz .
  3. Tehdit Avcılığı (Hunting): Intelligence arayüzü ile belirli meta verilere göre arama yaparak yeni veya varyant zararlı yazılımları tespit edebilirsiniz.
 
   Raporlardaki Temel Bilgiler
  Bir dosya raporu incelediğinizde, şu kritik verileri görürsünüz :
 
  - Tespit Oranı (Detection Ratio): Örn: "44/60" -> 60 motorun 44'ü bu dosyayı zararlı buluyor.
  - SHA-256 Hash: Dosyanın benzersiz parmak izi.
  - Topluluk Puanı (Community Score): Registered kullanıcıların dosya hakkındaki oyları (Negatif puan kötü niyeti gösterir).
  - Detaylar (Details): Dosyanın içinden çıkarılan string'ler, varsa makro kodları veya PE yapısı bilgileri.
  - İlişkiler (Relations): Dosyanın bağlantı kurduğu IP'ler, domainler veya içinde bulunduğu diğer dosyalar.
  - Davranış Analizi (Behavior): Dosya sanal ortamda çalıştırıldığında yaptığı eylemler (registry değişikliği, dosya oluşturma, ağ bağlantısı vb.).
 
   Gelişmiş Özellikler (Enterprise/Premium)
  Ücretli sürümler, güvenlik operasyonları için çok daha güçlü araçlar sunar:
 
   🕸️ VirusTotal Graph
  Bu, veri setindeki dosyalar, domain'ler, IP'ler ve URL'ler arasındaki 30'dan fazla ilişkiyi görselleştiren bir grafik aracıdır .
  - Nasıl Kullanılır: Ortaya çıkardığınız bir zararlı yazılımın bağlandığı domain'i bulun, bu domain'in çözdüğü diğer IP'leri keşfedin, o IP'ye bağlanan diğer dosyaları görün. Bu şekilde tüm altyapıyı (C&C sunucuları, benzer malware'ler) haritalandırabilirsiniz .
  - Custom Nodes: Kendi ortamınızdaki varlıkları (bir çalışan, bir departman, tehdit aktörü) grafiğe ekleyerek özel analiz yapabilirsiniz .
 
   📊 VirusTotal Intelligence (VT Intelligence)
  Zararlı yazılımlar için Google olarak tanımlanır. Doğal dil sorguları ile devasa veri havuzunda arama yapmanızı sağlar. Örneğin: "Son 7 gün içinde yüklenmiş, 'fatura' isimli, 3 antivirüs motoru tarafından 'Trojan' olarak etiketlenmiş PDF dosyalarını bul."
 
   🔍 Retrohunt
  Geçmişe dönük avcılık yapmanızı sağlar. Geliştirdiğiniz bir YARA kuralını alıp, VirusTotal'in arşivindeki tüm geçmiş dosyalarda taratabilir, aylar önce ortamınıza girmiş olabilecek tehditleri keşfedebilirsiniz.
 
   Sürümler ve Limitler
  Özellik Public API (Ücretsiz) Premium / Enterprise (Ücretli)
  Fiyat Ücretsiz (Ticari kullanım yasaktır) Yıllık ~$20k - $240k+
  Rate Limit 4 istek/dk, 500 istek/gün Yüksek veya limitsiz (10.000+/gün)
  Graph Sınırlı erişim Tam erişim (Private Graph dahil)
  Download Sample Yok Yok
  Search (VT Intelligence) Yok Gelişmiş sorgular
  Retrohunt / YARA Yok Var
  Kullanım Amacı Bireysel araştırma, keyfi analiz  Kurumsal güvenlik, SIEM/SOAR entegrasyonu |
 
   API ve Otomasyon Entegrasyonu
  VirusTotal, SOAR (Güvenlik Otomasyon ve Koordinasyon) platformları veya SIEM çözümleri ile sıkça entegre edilir .
  - Otomatik Zenginleştirme: Wazuh veya TheHive gibi bir sistem bir alarm aldığında, Shuffle (SOAR) aracılığıyla otomatik olarak VirusTotal API'sine sorgu atar. Gelen rapora göre vakanın önceliğini artırabilir veya Discord/Teams üzerinden analiste zenginleştirilmiş bilgi gönderebilir .
  - Yaygın Kullanılan API Aksiyonları: Dosya itibar sorgulama, URL tarama, Domain/IP zenginleştirme, yorum ekleme .
 
   Özetle
  VirusTotal, modern bir SOC'nin vazgeçilmez bir aracıdır. Ücretsiz sürümü hızlı teyit ve bireysel araştırma için idealken, Enterprise sürümü sunduğu Graph, Retrohunt ve yüksek hacimli API erişimi ile kurumsal tehdit istihbaratı ve avcılık operasyonlarının merkezinde yer alır .
 
OWASP    Open Worldwidw Application Security Project 🔝
 
  OWASP (Open Worldwide Application Security Project — Açık Dünya Uygulama Güvenliği Projesi), yazılım güvenliğini artırmayı hedefleyen, kâr amacı gütmeyen bir vakıftır. 2001 yılında kurulan OWASP, günümüzde uygulama güvenliği alanında en etkili referans kaynaklardan biri haline gelmiştir.
 
  OWASP'ın temel misyonu, yazılım güvenliğini "görünür" kılmak ve bireyler ile kurumların yazılım riskleri hakkında bilinçli kararlar almasını sağlamaktır. Vakıf, tüm kaynaklarını (belgeler, araçlar, standartlar) ücretsiz ve açık bir şekilde sunmakta ve herhangi bir ticari şirketten bağımsız olarak çalışmaktadır.
 
 
   📋 OWASP Top 10: En Önemli Referans
 
  📍 OWASP'ın en bilinen çalışması, yaklaşık her 3-4 yılda bir güncellenen OWASP Top 10 listesidir. Bu liste, web uygulamalarındaki en kritik 10 güvenlik riskini, gerçek dünya verilerine ve küresel güvenlik uzmanlarının görüşlerine dayanarak sıralar.
 
 
OWASP Top 10 for Agents 2025:
 
  Sıra Katagori Açıklama
  A01:2025 Boşluklu Erişim Kontrolü (Broken Access Control)  Kullanıcı izinlerinin doğru şekilde uygulanmaması; 2021'de 1. sıraya yükselmiştir 
  A02:2025 Güvenlik Yapılandırma Hataları Varsayılan parolalar, debug modunun açık kalması, eksik güvenlik başlıkları
  A03:2025 Yazılım Tedarik Zinciri Arızaları Yazılımın oluşturulması, dağıtılması veya güncellenmesi sürecinde meydana gelen arızalar veya diğer aksaklıklardır.
  A04:2025 Şifreleme Hataları (Cryptographic Failures) Zayıf veya yanlış şifreleme nedeniyle hassas verilerin ifşa olması
  A05:2025 Enjeksiyon (Injection) SQL, NoSQL, komut veya LDAP enjeksiyonu; XSS artık bu kategoriye dahildir.
  A06:2025 Güvensiz Tasarım (Insecure Design) 2021'de eklenen yeni kategori; mimari veya tasarım seviyesindeki hatalar
  A07:2025 Kimlik Doğrulama Hataları Zayıf parola politikaları, session yönetimindeki sorunlar, MFA eksikliği
  A08:2025 Yazılım ve Veri Bütünlüğü Hataları 2021'de eklenen yeni kategori; güvensiz deserializasyon ve CI/CD pipeline güvenliği
  A09:2025 Güvenlik Loglama ve İzleme Hataları Olayların yeterince loglanmaması, alarm mekanizmalarının eksikliği
  A10:2025 Olağanüstü Durumların Yanlış Ele Alınması 2025 için yeni bir kategoridir. Bu kategori 24 CWE içerir ve anormal koşullardan kaynaklanan ve sistemlerin karşılaşabileceği hatalı hata işleme, mantıksal hatalar, açık kalma ve diğer ilgili senaryolara odaklanır.
 
 
   🛠️ Önemli OWASP Araçları ve Kaynakları
 
  OWASP, yalnızca bir risk listesi sunmakla kalmaz; güvenlik uzmanlarının ve geliştiricilerin işini kolaylaştıran birçok açık kaynak araç da geliştirir:
 
  Araç/Kaynak Açıklama
  OWASP ZAP(Zed Attack Proxy) Web uygulamaları için en popüler açık kaynak güvenlik tarayıcısı; penetrasyon testlerinde yaygın kullanılır.
  Dependency-Check Proje bağımlılıklarındaki bilinen güvenlik açıklarını tespit eden SCA (Software Composition Analysis) aracı 
  Juice Shop Kasıtlı olarak güvenlik açıkları içeren, eğitim amaçlı web uygulaması; güvenlik test becerilerini geliştirmek için idealdir
  ASVS (Application Security Verification Standard) Uygulama güvenliğini farklı seviyelerde test etmek ve doğrulamak için kapsamlı bir çerçeve
  Cheat Sheet Serisi Authentication, Session Management, Input Validation gibi konularda kısa ve pratik rehberler
  Mobile Security Testing Guide Mobil uygulama güvenlik testleri için kapsamlı el kitabı
  Security Knowledge Framework Güvenli yazılım geliştirme için eğitim ve bilgi paylaşım platformu
 
   🤖 Yapay Zeka ve Yeni Projeler
 
  OWASP, teknolojinin evrimiyle birlikte yeni alanlara da odaklanmaktadır. Özellikle Generative AI Security Project, büyük dil modelleri (LLM) ve üretken yapay zeka uygulamalarındaki güvenlik risklerini ele almak için oluşturulmuştur.
 
  Proje kapsamında LLM Top 10 listesi yayınlanmıştır. Bu liste, yapay zeka uygulamalarındaki kritik riskleri sıralar:
 
  1. Prompt Injection — Kullanıcı girdileriyle model davranışının manipüle edilmesi
  2. Hassas Bilgi İfşası — Modelin eğitim verilerindeki gizli bilgileri sızdırması
  3. Tedarik Zinciri Zafiyetleri — Üçüncü taraf modellerin veya veri setlerinin güvenliği
  4. Eğitim Verisi Zehirlenmesi — Zararlı verilerle modelin manipüle edilmesi
  5. Çıktıların Yanlış İşlenmesi — Model çıktılarının doğrulanmadan alt sistemlere iletilmesi
  6. Aşırı Otonomi — Modelin yetkisiz veya zararlı eylemler gerçekleştirmesi
  7. Sistem Prompt Sızıntısı — Modelin sistem seviyesindeki talimatlarının ifşa olması
  8. Güvensiz Eklenti Tasarımı — RAG (Retrieval-Augmented Generation) sistemlerindeki zafiyetler
  9. Aşırı Güven — Modelin ürettiği hatalı içeriklere (halüsinasyonlara) güvenilmesi
  10. Model Hırsızlığı — Modelin kopyalanması veya çalınması
 
   🌍 OWASP'ın Önemi ve Etkisi
 
  OWASP, sadece bir güvenlik topluluğu değil, aynı zamanda bir referans standardıdır. OWASP'ın çıktıları birçok sektör ve devlet tarafından referans alınır:
 
  - NIST (Ulusal Standartlar ve Teknoloji Enstitüsü)
  - PCI DSS (Ödeme Kartı Sektörü Veri Güvenliği Standardı)
  - ISO 27034 (Uygulama Güvenliği Standardı)
  - CIS Kontrolleri
 
  Bir organizasyonun OWASP Top 10'daki riskleri ele almaması, bağımsız denetçiler tarafından uyumluluk eksikliği olarak değerlendirilebilir. Bu nedenle, birçok kurum güvenli yazılım geliştirme yaşam döngüsünün (SSDLC) temelini OWASP önerileri üzerine inşa eder.
 
   🚀 Nasıl Başlanır?
 
  OWASP evrenine adım atmak isteyenler için öneriler:
 
  1. OWASP Top 10'u Okuyun: En sık karşılaşılan 10 riski ve bunlara karşı alınacak önlemleri öğrenin
  2. OWASP ZAP ile Deneyin: Kendi uygulamalarınızı veya Juice Shop'u ZAP ile tarayarak pratik yapın
  3. Cheat Sheet'leri Kullanın: Günlük geliştirme pratiklerinizde OWASP Cheat Sheet'lere başvurun
  4. Yerel OWASP Bölümüne Katılın: Dünya genelinde 200'den fazla yerel bölümü bulunan OWASP'ın etkinliklerine katılın
 
 
 
 
  #threat intelligence, #tehdit istihbaratı, #Mitre att@ck, #Virustotal, #OWASP