Kurumsal Dark Web Monitoring ve Tehdit İstihbaratı: Pratik Uygulama Rehberi

Türkiye'de kurumsal siber güvenlik son üç yılda fundamental bir dönüşüm geçirdi. Saldırılar artık gelmeden değil, geldikten saatler önce gözleniyor — ransomware grupları leak sitelerinde duyuru öncesi haftalarca pazarlık yapıyor, initial access broker'lar VPN erişimi satıyor, kimlik bilgisi market'leri 50 milyon Türk kullanıcı kaydını dolaşımda tutuyor. Reaktif savunma artık yetmiyor; proaktif tehdit istihbaratı kurumsal güvenliğin omurgası haline geldi. KVKK ihlal bildirim 72 saatlik yükümlülüğü, BDDK Bilgi Sistemleri Yönetmeliği'nin tehdit izleme şartı, siber sigorta poliçelerinin TI gerekliliği — hepsi bu dönüşümü zorunlu kılıyor.

Bizim tehdit istihbaratı, OSINT araştırma ve data fusion hizmetlerimiz kapsamında son 24 ayda 14 kurumsal müşteri için dark web monitoring + TI programı kurduk veya işlettik — finans, sağlık, enerji, e-ticaret, kamu sektörlerinde. Bu yazıda kurumsal dark web monitoring + TI programının yedi pratik adımını sırayla anlatıyoruz: kapsam tanımı, kaynak haritası, toplama mimarisi, IoC normalize ve scoring, sızıntı vakası yanıt akışı, KVKK uyumlu işleme, sürekli olgunlaşma.

1. Kapsam tanımı — neyi izleyeceğiz, neyi izlemeyeceğiz?

İlk soru araç seçimi değil, neyi izleyeceğiz? olmalı. Yanlış kapsam, ya sinyal kirliliği (haftada 5.000 alert, gerçek tehdit kayıp) ya kör nokta (kritik sızıntı 6 ay sonra haberden öğrenilir) doğurur.

Beş ana izleme alanı:

Alan	Anahtar sorgu	Kaynak öncelik
Credential leak	Kurum domain + çalışan e-postaları	Combo list, breach dump, COMB v2/v3
Brand abuse	Marka adı, ürün adı, logo, alan adı varyantları	Phishing kit market, typo-squat domain
IAB listing	Kurum adı, sektör, "VPN access", "domain admin"	Exploit.in, XSS, RAMP, BreachForums
Ransomware leak	Kurum adı, müşteri/tedarikçi adları	LockBit, Cl0p, BlackBasta, ALPHV leak siteleri
Source code / IP leak	Repo URL, GitHub org, internal hostname	Paste sites, GitHub leak, dark forum upload

İkincil alanlar (genişletme): yönetici adları (CEO/CTO doxxing), müşteri listeleri, satıcı bilgileri, dahili dokümantasyon, API key/cert sızıntısı.

Keyword discipline: eCloud gibi generic terim binlerce false positive üretir; eCloud Tech, e-cloud.web.tr, @e-cloud.web.tr gibi kurum-spesifik terimler doğru sinyal. Negatif keyword listesi de zorunlu (örnek: eCloud Computing generic terimini hariç tut).

Pratik öneri: ilk pilot 5 alan × 30-50 keyword ile başla. 8-12 hafta sonra alert ratio analizi yap, kalibre et. Kurumsal olgun seviye 80-150 keyword civarı.

2. Kaynak haritası — dark web nerede yaşıyor

Dark web monolitik değil; birbirinden farklı ağ + forum + market ekosistemi.

Ana ağlar:

• Tor hidden services (.onion): en büyük dark web ekosistemi. Ransomware leak siteleri, forum, market'lerin %85'i burada. Erişim: Tor browser veya programatik (Stem library, Python).
• I2P: Tor'a alternatif, daha küçük ama anonim. Bazı Rus forumları + market'ler.
• Freenet: niş, akademik + aktivist, kurumsal monitoring için düşük öncelik.
• Clear web dark forums: BreachForums, RaidForums (kapatıldı), nulled.to, vb. Tor'da değil ama dark web kültürünü taşıyor.
• Telegram channels: 2022-2024'te dark web aktörlerinin büyük göçü Telegram'a oldu. ALPHV/BlackCat, LockBit, kimlik bilgisi satıcıları, IAB'lar Telegram'da aktif. Modern monitoring'de Telegram en az Tor kadar kritik.
• Discord / Matrix: ikincil iletişim, davet-only sunucular.

Ana ekosistemler:

Ekosistem	Tip	Erişim	İçerik tipi
Exploit.in	Forum	Tor + üyelik	IAB, malware, exploit
XSS.is	Forum	Tor + üyelik	Rusça, IAB, exploit
BreachForums (v3)	Forum	Clear/Tor	Veri sızıntısı, combo list
RAMP	Forum	Tor + reputation	Ransomware ilişkili
LockBit leak site	Leak	Tor	Kurban listesi + sample
Cl0p leak site	Leak	Tor	Kurban listesi + countdown
Genesis Market (kapatıldı) → halefler	Market	Tor	Bot erişimi, browser fingerprint
Russian Market	Market	Clear/Tor	Credential, cookie, RDP
Telegram: ALPHV / LockBit / Conti rebirth	Channel	Telegram	Pre-leak announcement, recruitment

Dil dağılımı: Rusça %45-55, İngilizce %30-35, Çince %5-8, Türkçe ~%2-4 (büyüyor). Türk kurumlara saldırı koordinasyonu çoğunlukla Rusça veya İngilizce; Türkçe komünite daha çok kart sahteciliği + kimlik market'i etrafında.

Kaynak güncellik: forumlar 6-18 ayda kapatılıyor, yenisi açılıyor (BreachForums v1 → v2 → v3 → v4 desenı). Monitoring listesi canlı tutulmalı; ayda 1 kaynak audit toplantısı standart.

3. Toplama mimarisi — SaaS, self-hosted, hibrit

Üç mimari seçenek:

A — SaaS tabanlı (en hızlı başlangıç)

Sağlayıcı	Güçlü yön	Kurumsal lisans (yıllık)
Recorded Future	Geniş kapsama, automated IoC, premium feed	USD 60K-300K
Flashpoint	Insider threat + extremist + fraud	USD 50K-200K
Intel 471	IAB + ransomware uzmanı	USD 40K-180K
KELA	Israel-merkezli, IAB + leak	USD 30K-150K
Searchlight Cyber (eski Searchlight)	UK, dark web spesifik	USD 35K-150K
DarkOwl	Veri büyüklüğü + indeks	USD 25K-100K
Flare	Modern UX, KOBİ-orta dostu	USD 15K-80K

Avantaj: 1-2 haftada operational, ekip eğitimi minimum, vendor sürekli yeni kaynak ekliyor. Dezavantaj: kurum verisi vendor'a akıyor (DPA + KVKK incelemesi zorunlu), kapsam vendor'un offered listesiyle sınırlı, fiyat ölçeklenince agresif.

B — Self-hosted (max kontrol)

Stack:

• Tor proxy (privoxy, torsocks) + Python Stem library
• Crawler: Scrapy, Selenium (forum login için), custom
• Storage: Elasticsearch + S3 backup
• Visualization: Kibana, Grafana
• Alert: ElastAlert, Watchman, custom Lambda

Avantaj: tam veri kontrolü, KVKK için ideal, kaynak listesi tam özelleştirilebilir, vendor lock-in yok. Dezavantaj: kuruluş 3-5 ay, operasyon 1-2 FTE, kapsama sürekli geriler (yeni kaynak ekleme manuel), forum hesap yönetimi karmaşık (CAPTCHA, reputation, OPSEC).

C — Hibrit (önerilen kurumsal pattern)

Genel kapsama için SaaS (Recorded Future veya benzeri), kritik kaynaklar için self-hosted custom crawler, MISP üstünde birleştir. Bu pattern son 24 ayda kurduğumuz 14 projenin 11'inde tercih edildi.

Topology:

[SaaS provider API] ──┐
                      ├──> [MISP] ──> [SIEM] ──> [SOC + SOAR]
[Self-hosted Tor crawler] ──┘                       │
                                                    ▼
                                            [Alert dashboard + analyst review]

MISP (Malware Information Sharing Platform, open-source) tüm IoC'leri normalize eder, deduplicate eder, scoring uygular, sektör paylaşım grupları ile alışveriş yapar (BDDK üyesi bankaların kapalı MISP grubu, TÜBİTAK BİLGEM-USOM koordinasyonu). Üyelik bedava + kurumsal kayıt.

OPSEC kritik: dark web crawler'ı kurum IP bloğundan değil, ayrı VPN/proxy + dedicated VM'den çalışmalı. Forum hesabı için kurum çalışan adı/e-postası kullanılmaz, ayrı kimlik (persona). Bu detay atlanırsa kurum kendisi hedef haline gelir.

4. IoC normalize, scoring, lifecycle

Toplanan veri ham; işlenmemiş IoC SIEM'i çöpe çevirir (binlerce false positive). Üç katmanlı işleme:

Katman 1 — Normalize: IoC formatları (IP, domain, URL, hash MD5/SHA1/SHA256, email, BTC address, etc) STIX 2.1 standardına çevrilir. MISP varsayılan olarak bu dönüşümü yapar.

Katman 2 — Scoring: her IoC'ye kaynak güven + yaş + bağlam puanı atanır:

Faktör	Yüksek	Orta	Düşük
Kaynak güveni	Premium TI (Recorded Future, Mandiant)	Açık feed (OTX, Abuse.ch)	Forum scraping, unverified
Yaş	<7 gün	7-30 gün	>30 gün (expire)
Bağlam	İmzalı malware sample + reverse engineered	Forum post mention	İsim geçişi sadece
Confidence	90-100	60-90	<60

Düşük scoring IoC'ler SIEM'e gönderilmez (sadece dashboard'da görünür); yüksek scoring otomatik block/quarantine + alert.

Katman 3 — Lifecycle (TTL):

• High confidence IP: 30 gün block
• Medium confidence: 14 gün
• Phishing domain: 7 gün (kısa ömürlü)
• Malware hash: kalıcı (hash değişmez)
• Auto-expire mekanizması olmazsa SIEM 6 ayda eski IoC'lerle dolup taşar.

False positive feedback loop: SOC analist bir IoC'yi false positive işaretlerse, MISP'te skor düşürülür, gelecekte alert üretmez. Bu disiplin olmazsa ekip 3 ayda "tüm alert'leri görmezden gelme" moduna geçer (alert fatigue) — gerçek tehdit kaybedilir.

SOC operasyonu yazımız bu IoC-SOC entegrasyonunu detaylandırır.

5. Sızıntı vakası yanıt akışı — bulduğunuzda ne yapacaksınız?

Monitoring'in gerçek değeri, bulunan sızıntıya verilen yanıtta. Bulduktan sonra bilmeden duruyorsanız değer sıfır. Tipik beş senaryo + yanıt akışı:

Senaryo 1: Combo list'te kurum çalışan kimlik bilgisi

1. Doğrulama: e-posta + parola çifti gerçek mi? Have I Been Pwned API + internal AD kontrolü.
2. Etkilenen kullanıcı tespiti: kaç çalışan, hangi sistemler.
3. Aksiyon: force password reset, MFA mandatory, oturum invalidation, 30 günlük sıkı login monitoring.
4. KVKK bildirim: çalışan bilgilendirme (md.10 aydınlatma), gerekirse Kurul'a 72 saatlik bildirim (md.12 ihlal).
5. Süre hedefi: alert → tam aksiyon 4 saat içinde.

Senaryo 2: IAB ilanında kurum adı

1. Forum post analizi: hangi access tipi (VPN, RDP, domain admin, web shell), fiyat, satıcı reputation.
2. Internal audit: VPN log + AD audit + uzaktan erişim log son 30-90 gün taraması.
3. Hipotez doğrulama: gerçek kompromise var mı, blöf mü?
4. Aksiyon: tüm uzaktan erişim credential rotate, MFA force, firewall reset, IR team mobilize.
5. Süre hedefi: alert → tam aksiyon 24 saat içinde (IAB'dan ransomware'e ortalama 7-21 gün, ama acele).

Senaryo 3: Ransomware leak sitesinde kurum adı (sample henüz yayınlanmadı)

1. Doğrulama: countdown var mı, hangi grup (LockBit/Cl0p/BlackBasta).
2. Internal forensic: aktif breach var mı?
3. Crisis team: CEO + CISO + legal + PR + IR vendor toplantı.
4. Müzakere kararı: vendor (Coveware, Mandiant, vb) ile iletişim mi, hiç değil mi.
5. KVKK bildirim hazırlığı: müşteri/çalışan bildirim metni, Kurul bildirim.
6. PR hazırlığı: kamu açıklaması yapılacaksa.
7. Süre hedefi: alert → kriz toplantısı 2 saat içinde.

Senaryo 4: Brand abuse (phishing domain)

1. Domain takedown: registrar abuse report, hosting provider, Türkiye'de USOM koordinasyonu.
2. Browser blocklist: Google Safe Browsing, Microsoft SmartScreen submission.
3. Müşteri bildirim: ilgili kanaldan uyarı.
4. Süre hedefi: alert → takedown başvurusu 8 saat içinde, gerçek kaldırma 1-7 gün.

Senaryo 5: Source code / API key sızıntısı

1. Doğrulama: key live mi?
2. Immediate revocation (saniyeler içinde).
3. Audit: key kullanım log son 90 gün, anomali var mı.
4. Code repository scrub: BFG Repo-Cleaner veya benzeri ile commit history temizlik.
5. Süre hedefi: alert → revocation 15 dakika içinde.

Olay yanıt hizmetimiz bu beş senaryo için playbook + tabletop egzersizleri sağlar.

6. KVKK uyumlu işleme — sızıntı verisini elle tutarken

Dark web monitoring kişisel veri içerir: çalışan e-postaları, sızdırılmış müşteri listeleri, telefon, TC kimlik, IBAN. Bu veriyi indirip işlemek KVKK işleme faaliyetidir; hukuki dayanak + güvenlik tedbiri zorunlu.

Yedi disiplin:

1. Yasal dayanak yazılı: md.5/2 meşru menfaat (kurum güvenliği) veya kullanıcı bildirimi amacıyla işlem. Politika dokümanı + Veri Sorumlusu sicili (VERBİS).

2. Veri minimizasyonu: sızıntı içinden sadece kurum-spesifik alanlar alınır, jenerik kayıtlar (rakip kurumun çalışan verisi) elenir. Kuruma ait olmayan PII saklanmaz.

3. Erişim kontrolü: dark web data store'a sadece yetkili güvenlik analisti (3-5 kişi max) RBAC + MFA + audit log altında erişir.

4. Retention period: 90 gün sıcak (alert + investigation), sonra hashed reference + 12 ay arşiv (sadece "bu kullanıcı X tarihinde Y kaynağında geçti" metadata, ham veri silinir).

5. Encryption: tüm depolama (Elasticsearch index, S3 backup, MISP DB) AES-256 at-rest + TLS 1.3 in-transit.

6. Cross-border transfer: SaaS vendor (Recorded Future, Mandiant) data lokasyonu tipik ABD/AB. DPA + Standard Contractual Clauses sözleşmeye eklenir, Türkçe tercüme.

7. İhlal bildirim entegrasyonu: bulduğun sızıntı gerçek bir KVKK ihlali gösteriyorsa (kurum müşteri verisi sızmış), Kurum 72 saat içinde Kurul'a bildirir + ilgili kullanıcılara aydınlatma. Bu süreç bildirim → kayıt → kanıt zinciri olarak otomatize edilir.

OSINT araştırma hizmetimiz bu yedi disiplini sözleşme ekiyle birlikte kurumsal politikaya entegre eder.

7. Sürekli olgunlaşma — metrikler, threat hunting, ekip eğitimi

Dark web monitoring + TI kurulup unutulan bir sistem değil; yaşayan disiplin. İlk 6 ay sonrası gerçek iş başlar.

KPI dashboard (haftalık):

Metrik	Hedef	Anlam
Alert volume	Trend takip	Patlamalar tuning sinyali
Mean Time To Detect (MTTD)	<24 saat	Sızıntı yayınlandı → fark edildi süresi
Mean Time To Action (MTTA)	<4 saat (P1)	Fark edildi → ilk aksiyon süresi
False positive rate	<%20	Yüksekse keyword/scoring tuning
Verified leak count / month	Sektör baseline	Etkili kapsama göstergesi
Sources monitored	Sürekli artar	Kapsama büyümesi
Takedown success rate	%60+	Brand abuse operasyon kalitesi

Threat hunting (alert-driven değil, proaktif):

• Aylık hipotez: "FIN7 grubu son 6 ayda hangi sektörü hedef alıyor, biz yakın mıyız?" → MITRE ATT&CK Groups + dark web search → kuruma özel risk değerlendirmesi.
• "Hangi tedarikçimiz son 90 günde leak forumda geçti?" → 3rd-party risk surfacing.
• "Hangi eski çalışan kimlik bilgileri hâlâ aktif görünüyor?" → AD audit + revocation cycle.

Ekip eğitimi:

• Aylık dark web update brief (yeni forum, yeni grup, yeni TTP).
• 6-aylık sertifika hedefi: SANS FOR578 (Cyber Threat Intelligence), GIAC GCTI, CREST CRTIA.
• Yıllık konferans: SANS CTI Summit, FIRST Conference, Black Hat, BSides İstanbul.
• OPSEC tatbikat: her analist 6 ayda bir kişisel OPSEC audit (e-mail, sosyal medya, persona ayrışması).

Post-incident review: her P1 sızıntı sonrası blameless retro — neyi yakaladık, neyi geç gördük, hangi kaynak eksikti, hangi keyword eklemek gerek. Retrospektif notları kapalı wiki'ye yazılır.

Pratik özet — başlangıç check-list'i

İlk üretim dark web monitoring + TI programınız için doğru sıra:

1. Kapsam tanımı: 5 alan × 30-50 keyword. Negatif keyword zorunlu.
2. Kaynak haritası: Tor + Telegram + clear web dark forums. Telegram'ı atlama.
3. Toplama mimarisi: KOBİ → SaaS (Recorded Future / Flare / KELA); kurumsal → hibrit (SaaS + self-hosted + MISP).
4. OPSEC: dark web crawler ayrı IP + persona; kurum IP/identity yok.
5. IoC scoring + TTL: kaynak güven + yaş + bağlam. Düşük scoring SIEM'e gitmez.
6. MISP: tüm IoC'yi tek hub'da, sektör paylaşımı (BDDK, USOM) aktif.
7. Yanıt playbook'ları: 5 senaryo için yazılı (credential / IAB / ransomware / brand abuse / source code).
8. KVKK politikası: yasal dayanak, retention, encryption, erişim kontrolü, ihlal bildirim entegrasyonu.
9. KPI dashboard: haftalık MTTD/MTTA/FP, aylık trend review.
10. Sürekli olgunlaşma: threat hunting (haftalık), eğitim (sertifika), post-incident review (her P1).

Bu liste minimum disiplin. Üzerine sektörel ek (banka için BDDK Tehdit İstihbarat Yönetmeliği uyumu, sağlık için özel nitelikli veri ek koruma, savunma için sınıflandırılmış bilgi handling) eklenir. Dark web monitoring'in değeri araç sahibi olmakta değil, bulduğunu hızlı + dürüst + yasal şekilde aksiyona dönüştürmekte.

Bizim ekibimiz Şanlıurfa Karaköprü'den tehdit istihbaratı, OSINT araştırma ve data fusion hizmetleriyle finans, sağlık, enerji, e-ticaret ve kamu sektörlerinde dark web monitoring + TI programları kurdu ve işletiyor. Kurumsal dark web monitoring pilotu, TI program değerlendirmesi veya mevcut izleme sisteminizin olgunluk auditi için iletişim formundan ulaşabilirsiniz — ilk değerlendirme görüşmesi ücretsizdir.

---

eCloud Tech — Şanlıurfa merkezli kurumsal yazılım, yapay zekâ, blockchain ve siber güvenlik ekibi. Building Tomorrow.