SOCMINT Social Media & Intelligence kelimelerinin kısaltmasından türetilmiştir. Türkçede Sosyal medya İstihbaratı olarak tanımlanan SOCMINT istihbarat teşkilatlarının, kuruluşların veya devletlerin sosyal kanallarda yer alan konuşmaları izlemesine, yanıt vermelerine ve sosyal veri odaklı konuşmaların incelenerek ihtiyaçlara göre ortaya çıkartılan analizler ve çözümler olarak tanımlanmaktadır. OSINT kaynaklarının artması ile birlikte SOCMINT ortaya çıkmıştır.
Özellikle de insanların sosyal ağlardaki hareketleri, davranışları ve konuşmalarının incelenmesi, toplumsal olaylardaki verilen tepkilerin ölçülmesi, terör örgütlerinin veya siber saldırganların ortaya çıkarttıkları olaylar bu veri analizlerin önemini ortaya çıkarmıştır. SOCMINT söz konusu olduğunda hukukun üstünlüğü, mahremiyet, sivil özgürlükler ve hatta telif hakları tehlikeye girmektedir. Çünkü OSINT’in aksine SOCMINT’de açık olmayan yani müdahaleci istihbarat faaliyetleri söz konusu hale gelmiştir. SOCMINT’in ana unsurlarına baktığımız zaman
- Açık olan (müdahaleci olmayan)
- Açık olmayan (müdahaleci)
Veri toplama ve istihbarat faaliyetlerini görmekteyiz. İkincisi yani açık olmayan istihbarat faaliyetlerinde NOSINT ya da gizli istihbarat (diğer insanların özel mesajlarını ya da e-postalarını okumak) kullanılır. Doğal olarak hukuki kurallar altında çalışırken, kamuoyu kabul edilebilirliği de düşünülmek zorundadır. SOCMINT’in uzun süre başarılı olması için en belirleyici bir rol açık olmayan veri toplama faaliyetleriyle önem kazanmıştır. Belki ahlaki açıdan sorgulanabilir bir aktivite, ancak kamuya açık ve yasal olarak mevcut bir seçenek olarak karşımıza çıkmıştır. SOCMINT’in bu özelliği günümüzde dahi sıkça tartışma konusu olmaya devam etmektedir. Özellikle de hukuk alanında bu tartışmalar yeni kural ve kanunların konulması gerektiğini ortaya çıkartmıştır.
Sosyal Medya İstihbaratı (SOCMINT) Kullanımı
Sosyal Medya kullanımı internet kullanımının en temel araçları arasındadır. Facebook, Twitter, Instagram, Linked-in ve benzeri birçok sosyal ağ, milyonlarca kullanıcı tarafından günlük olarak, aktif bir şekilde kullanılmaktadır. Kullanıcıların internete yükleyerek paylaştıkları metin, görüntü, video ve ses verileri aynı zamanda bilgi değeri olan pek çok verinin de internet ortamında dolaşması anlamına gelir. Elbette ki istihbarat örgütlerinin bu yeni teknolojiyi kullanmaya başlayarak istihbarat kaynaklarını zenginleştirmesi olası ve kaçınılmaz bir durumdur.
OSINT’in yanı sıra SOCMINT’de istihbarat farklı bir boyuta taşınmıştır. OSINT ile açık kaynak istihbaratı kullanılırken SOCMINT’de açık veya kapalı profiller üzerinden müdahaleci veya müdahaleci olmayan yöntemlerle bilgi toplama faaliyetleri yapılmaktadır.
Toplumsal olayların önceden tespit edilebilmesi veya gerçekleşen olaylarda geriye dönük araştırma yapılabilmesi için, sosyal medya çok önemli bir istihbarat ortamı haline gelmiştir. Üretilen veri göz önüne alındığı zaman çeşitli algoritmalardan geçirilerek elde edilecek istihbarat faaliyetleri toplumsal olaylar için önem arz etmeye başlamıştır.
Siber istihbaratın olmazsa olmalarından bir haline gelen SOCMINT günümüz internet dünyasında devletlerin ve istihbarat teşkilatlarının büyük yatırımlar yaptığı önemli bir alan olarak görülür.
Ülkeler istihbarat kurumlarında siber istihbarat birimleri oluşturmaya başlamış ve siber istihbaratın önemli araçları ve gereksinimleri nedeni ile geleneksel yöntemleri bir üst düzeye çıkartacak özel ekipler yetiştirmektedir. Ortaya çıkan gereksinimler doğrultusunda farklı program ve algoritmalar kullanılarak, sosyal medya verilerinden istenilen ve doğru sonuçlara ulaşmak mümkün hale gelmiştir.
İstihbarat açısından çok önemli olan sosyal medya siteleri ticari, akademik veya güvenlik amaçlarıyla analiz edilmeye başlanmıştır. Aynı zamanda sosyal ağlar üzerinde üretilen verilerin monitör edildiğinin de (kayıt altında tutulduğunun) altını çizmek gerekiyor.
Dünya üzerinde insanların birbiriyle bu kadar yakın ve hızlı bir etkileşime sahip olması sosyal medya sitelerinin kitleleri harekete geçirme etkisini de artırmıştır. Aynı zamanda gün geçtikçe hem sosyal medya siteleri hem de bu siteleri kullanan insan sayısı artmaya devam etmektedir.
Ülkemizde yakın geçmişte karşımıza gelen 15 Temmuz kalkışması sırasında da sosyal medya etkin bir biçimde kullanılmış, siyasiler ve halk arasındaki iletişim sosyal ağlar üzerinden ve internet yayınları ile desteklenmiştir. Darbeci örgüt televizyon kanallarını kapatmaya çalışırken insanlar sosyal medya üzerinden iletişim kurarak sokağa çıkmış ve darbecilerin karşısında durmuştur.
Türkiye ve Dünyada bunlara benzer örnekler görülmekte ve yaşanmaya devam etmektedir. Bu olaylar ülkelerin gerek devlet istihbaratı gerekse ticari amaçlı istihbarat anlamında sosyal medya üzerine yoğunlaşması gereğini bir kez daha ortaya çıkarmıştır. Sosyal medya sanal dünyanın gerçeğe dönüşmesini sağlayan, bir anlamda “sanal hayatın gerçek hayatın bir gölgesi” olarak görülmesini sağlamıştır.
Siber uzay olarak adlandırılan bu alan, bilgi çağı teknolojisinin ulusal güvenliğe hem avantaj hem de dezavantaj sağladığı net olarak ispatlanmıştır. Kısaca siber mücadele organize suçlarla ve terörle mücadelede önemli bir araç olarak kullanıldığı gibi, ulusal güvenliği tehdit edebilecek bu örgütler tarafından da stratejik bilgileri elde etmek için kullanılmaktadır.
Sosyal ağlar sayesinde insanlar birbirleri ile iletişim ağları kurarak büyük toplulukları etkileyebilir ve fikirlerini saniyeler içerisinde milyonlarca kişiye aktarabilir bir hale gelmiştir. Bu sayede kişiler veya topluluklar kendi medyalarını ve gündemlerini oluşturmaya başlamıştır.
Bu kadar yoğun bilginin yer aldığı bir ortamda bu bilgileri denetleyerek yararlı / zararlı veya ticari gibi şekillerde kullanmak isteyen kişiler, markalar veya istihbarat örgütleri olabileceği de kaçınılmaz bir durumdur.
Bu noktada “Siber Güvenlik” önem kazanmaktadır. Siber güvenlik, sanal ortamlardaki kişi, kurum veya kuruluşların varlıklarını korumak amacı ile kullanılan araç, politika, risk yönetimi ve benzeri faaliyetleri içermektedir. Siber güvenlik bizlerin her türlü elektronik ortamdaki hareketlerimizin, davranışlarımızın, sanal dünyamızın gizliliği, bütünlüğü ve erişilebilirliğini sağlamaktır. Bu sebeple güvenlik amaçlı siber istihbarat çalışmaları ise günümüzün en önemli konularından biri haline gelmiştir.
Sosyal ağların günlük hayata büyük oranda yansıması ve ortaya çıkan büyük veri sayesinde bireysel, kurumsal ve devlet güvenliği konularına siber düzeyde farklı çözüm arayışlarına ihtiyaç duyulmaktadır. Bazı ülkeler sosyal medya sahipleri ile yaptıkları anlaşmalar sayesinde istedikleri kişilere yönelik istihbarat elde edebilmektedirler. Her ne kadar da Facebook ve Twitter gibi sosyal medya devlerinin katı kuralları olsa dahi bazı durumlarda devletler doğrudan veya dolaylı yollarla bu sitelerden istediklerini alabilmektedirler. OSINT ve SOCMINT’in ortaya çıkışıyla da bu istihbarat faaliyetleri hızla artmıştır.
Günümüz dünyasında batı toplumlarında birçok istihbarat şirketinin detaylı internet kullanıcı bilgilerini incelemeyi sağlayacak internet teknolojileri geliştirmek için hatırı sayılır bütçeler ayırdığını söyleyebiliriz.
Siber istihbarat kavramında SOCMINT veya OSINT hem açık kanallarda hem de kapalı ağlar üzerinden toplanan verileri içermektedir. Bu veriler sosyal ağlarla birlikte forumları, Deep Web ortamlarını, blogları ve hatta kapalı grupları da içerisine almak zorundadır.
Devletlerin bu konuyu çok fazla önemsediğini ve hukuka aykırı girişimlerde bulunarak SOCMINT ve benzeri yeni nesil siber istihbarat araçları üzerinden toplanan verilerle insanları cezalandırdıklarını görmekteyiz.
İsrail’de yaşanan bir Filistinli vakasını bu duruma örnek olarak gösterebiliriz. Filistinli 15 yaşındaki genç bir kız Facebook duvarına sadece “beni affet” yazdığı için İsrail polisi tarafından tutuklanmış ve basına yapılan açıklamada “bir saldırı yapmak üzere olduğunu” belirterek göz altına aldıkları belirtilmiştir.
Bu durumu şu örneğe benzetebiliriz. Sokakta yürüyorsunuz devriye gezen bir polis size bakıyor ve hiçbir sebep yokken aracı ile önünüzü keserek apar topar sizi tutukluyor. Bu noktada ortada herhangi bir sebep yoktur ve şüphe üzerine gözaltına alınmışsınızdır. Şüphe ise yalnızca yolda yürümenizdir.
Geleneksel kurallara baktığımız zaman delil, arama emri, şüphe, mahkeme kararı gibi resmi işlemler gerektiğini söyleyebiliriz. Yahut şüphe üzerine gözaltına alındığınızda kısa bir süre sonra ifadenizi vererek özgürlüğünüze tekrar kavuşmanız gerekir. Ancak olay sosyal ağlar üzerinden gerçekleştiği zaman kurallar ve yasaların ihlal edildiğini görüyoruz. Bugün içlerinde demokrasinin en önemli toplumlarının da yer aldığı birçok ülkede yasa ve hukuk tanımaz bir şekilde bu tarz takip, gözetleme veyahut tutuklama kararları alındığını görüyoruz.
Kısacası devletler, istihbarat teşkilatları veyahut diğer kişiler tarafından sosyal ağlar üzerinden dinliyor, izliyor ve kişilerin üzerinde analizler gerçekleştirilerek tahminler yapılabiliyorlar. Bu tahminlerde veya analizlerde ortaya çıkabilecek risk durumları için ise özgürlükleriniz kısıtlanabilir hale gelmiştir.
İngilizlerin bu noktada SOCMINT ile birlikte birçok aracı kullandıklarını görmekteyiz. Basına çıkan açıklamalara göre İngiliz istihbarat teşkilatı içerisinde 17 kişilik bir ekibin kontrolünde herkese açık olan Tweetler, Youtube Videoları, Facebook ve Instagram profillerine kadar her türlü veri inceleniyor ve takip ediliyor. Üstelik bu verilerin açık olması da gerekmiyor. Yani kapalı profiller de takip altında olduğu belirtiliyor. SOCMINT’in yapay zeka ile birleştirildiği birçok raporlama araçları ile toplanan bu veriler belirli filtrelerden geçirilerek risk durumları ortaya çıkartılıyor.
Sentimantel Analysis ile ruh analizini tespit ediyor, Horizon Scanning ile internette paylaştığınız verilerde suç unsuru bulunup bulunmadığına bakılıyor, Yüz Tanıma Teknolojisi ile paylaşılan fotoğraf ve videolardan gerçek kimlikler tespit ediliyor, Geo-Location teknolojisi ile bağlandığınız lokasyon ve gezdiğiniz yerler haritalar üzerinde geçmişe yönelik işaretleniyor.
Sokakta yürürken birinin sizi takip ettiğini düşünün? Rahatsız olmanız çok doğaldır. İnternette gezinirken de birileri sizi takip ediyor, analiz ediyor ve yorumluyor. Üstelik sokakta yürürken üretmiş olduğunuz veriden daha fazlasına sahip olabiliyorlar. İngilizler bu noktada SOCMINT ve benzeri siber istihbarat tekniklerini toplumda kimin, neyi ve nasıl söylediğini anlamak ve toplum güvenliğini sağlamak için kullandıklarını belirtiyorlar. Diğer bir yandan internette yayılan söylentilere göre İngiliz devleti, politik gruplara bağlı olan veya aktivist olduğu söylenilen 9.000 kişiyi özel bir listeye alarak yakından takip ettiği belirtiliyor. Yani bu kişilerin yalnızca ne söyledikleri değil, özel mesajlarına kadar takip edildiğini söylemek mümkün!
Yine yakın geçmişte Londra isyanları sırasında İngiliz polisinin özel hayat sınırlarını aşacak kadar sosyal medya verisi toplayarak ortaya çıkardığı istihbarat ile isyanı bastırdığını ve benzeri durumlar için önleme faaliyetleri aldıklarını görüyoruz.
Trump’ın Twitter Analizi
ABD başkanı Trump’ın Tweet analizinin gerçekleştirildiği Michael Tauberg’ın yazısına dikkatinizi çekmek istiyoruz. Trump diğer başkanların aksine ABD’de farklı bir yönetim sergiliyor. Bu noktada Twitter’ı da aktif olarak kullandığını görmekteyiz.
Trump için gerçekleştirilen Tweet analizlerini de Siber İstihbarat konusunda örnek olarak gösterilecek özel bir çalışma olduğunu söylemek mümkündür. Donald Trump’ın 24.000’den fazla tweeti analiz edilerek gerçekleştirilen bu analizde ortaya çıkan verilere baktığımız zaman…
Basit bir dil kullanıyor.
Trump’ın tweet’lerini okuduğunuz zaman ilk olarak dil kullanımının ne kadar basit olduğu ortaya çıkıyor. Karmaşıklıklarını analiz etmek için tweet’leri Hemingway uygulaması ile süzülüyor ve 5. derece bir okuma seviyesi olduğu tespit ediliyor. Dikkat ederseniz basit sözler etkilidir ve Trump’un birçok ülke başkanı için paylaşmış olduğu tweetlerin büyük yankılar getirdiğine şahit olundu.
Trump’ın tweet’lerinde en sık kullanılan kelimelere bakarsak (ve, veya, a gibi kelimeleri kaldırarak) kısa ve net olduğunu görüyoruz.
Yukarıdaki grafikte Trump’un tweetlerinde en çok kullanmış olduğu kelimeler görülmektedir. Bu basit dilin çoğu Trump’ın sıfat seçiminde standartlara bağlı kalmasından kaynaklanıyor. Trump’ın sözlüğündeki en yaygın kelime “harika” dır. Diğer ortak sıfatları tweet’lerinde sıralarsak, basit dil kullanımı (iyi, kötü, en iyi, en kötü, yeni, eski, sahte, adil, akıllı, aptal) şeklindedir.
Sadece bu sıfatlara baktığımızda, başka bir eğilim daha ortaya çıkıyor. Trump’ın tanımlayıcı kelimelerinin çoğu olumlu olarak (mavi renkte olanlara bakınız) kullanılmıştır.
Tweetler analiz edilirken Sentimental analizler de gerçekleştirilmiş. Sentimental analizi, ruh analizi (duygu analizi) olarak tanımlayabiliriz. Kimi zaman olumlu, kimi zaman ise sinirli olarak tweetler paylaşıldığı ortaya çıkıyor.
Yukarıdaki grafiğe baktığımız zaman Trump’ın Twitteri iki ayrı cihazdan paylaşıldığı ortaya çıkıyor. Twitter API’si üzerinden alınan bu veri ile Tweetler cihazlara göre ayrı ayrı inceleniyor. Ortaya çıkan sonuca göre, Trump’ın kendi kişisel telefonundan kendi tweetlerini gönderdiği ve Samsung Galaxy kullandığı ortaya çıkmıştır. Danışmanı ise iPhone kullanıyordu. Yani bu hesaptan gönderilen Tweetler iki ayrı kişi tarafından paylaşılıyordu. Diğer kişi ise danışmanı olarak tanımlanıyordu.
Ortaya çıkan verilere göre Android cihazlardan sert Tweetler, iPhone’dan ise yumuşak paylaşımlar yapılıyor. Duygu analizlerinde de bu veri net olarak doğrulanıyor. Iphone’dan gelen paylaşımlarda resim ve bağlantılar sıkça (38 kat) kullanılırken Trump’ın yani Android telefondan gelen paylaşımlarda çok daha az olduğu ortaya çıkıyor.
Bu analizler yapıldıktan sonra Beyaz Saray Sosyal Medya Direktörü açıklama yaparak bu verileri doğruladı. Bu veriler doğrulandıktan sonra FBI güvenlik riski ortaya çıktığı için Trump’un Samsung marka telefonu kullanımının durdurulduğu belirtildi.
Trump’ın tweet’lerinde genel olarak en çok kullanılan kelimeler hangileriydi ve bu kelimelerden ne gibi sonuçlar çıkartabileceğimize baktığımız zaman, paylaşılan Tweet’in hashtagsiz olduğunda ve negatif kelimeler kullanıldığında Trump tarafından bizzat atıldığını söyleyebiliriz. Diğer bir yandan Trump’ın “Kötü”, “çılgın”, “zayıf” ve “aptal” gibi birçok “duygusal olarak yüklü” sözcükler kullandığını ve Iphone’dan gönderilen tweetlere göre ezici bir şekilde daha yaygın olduğunu ortaya çıkarılmıştır.
Sonuç olarak SOCMINT veya OSINT olmasaydı bu bilgilere erişmek isteseydik, acaba ne kadar zaman, para ve emek harcamak zorunda kalırdık? Sorusunu sorarak OSINT ve SOCMINT’in önemini vurgulayabiliriz. ABD başkanı dahi olsa, OSINT veya SOCMINT gibi yeni nesil siber istihbarat kaynakları ile çok daha fazla veriye çok daha hızlı ve uygun maliyetlerle ulaşabildiğimiz bir devir yaşıyoruz.
SOCMINT’in Kullanım Alanları
Sosyal medya platformlarında SOCMINT ile gözetleme yapılabilir bir hale gelmiştir. Herkese açık veya özel olarak (kapalı hesaplar, private paylaşımlar) yayınlanan mesajlar incelenebilir bir hale geliyor. Elbette ki bu paylaşımlara kapalı grupları da dahil edebiliyoruz. SOCMINT geliştikçe sosyal medya üzerinden gönderilen özel mesajların dahi okunabildiği bir dünyaya doğru ilerliyoruz.
SOCMINT yapılan kullanıcıların verileri incelendiğinde ilgi alanları, politik seçenekleri, tercihleri, davranışları ve diğer birçok bilgiye rahatlıkla ulaşılabiliyor. Yapılan tahminlere baktığımız zaman %80 doğrulukla başarılara ulaştıkları görülebiliyor. Yapay zeka ile birleştirilen sosyal medya zekası (istihbaratı) büyük veri analizleri ile doğru istihbaratlar elde edilebiliyor.
Ancak SOCMINT tek başına yeterli olmayacaktır. SOCMINT ile OSINT, HUMINT, GEOINT, SGINT, IMINT ve benzeri birçok istihbarat türünü birlikte kullanmak gerekiyor.
Diğer bir yandan yalnızca Twitter ve Facebook profilleri ile sınırlı kalınmaz. Bloglar, forumlar, Deep Web kaynakları, Youtube, Instagram gibi diğer ağlar da dahil olmak üzere birçok noktadan veri girişi gerçekleştirilir. Kullanıcılar genelde birden fazla sosyal medya hesabına sahiptir ve her ağ üzerinden farklı bilgilere ulaşılabileceği ortaya çıkıyor. Twitter’da siyasi bir söylem geliştiren bir kullanıcının Instagram hesabında kişisel mesajlar paylaştığı, Facebook üzerinde aile ve benzeri arkadaşlara özel mesajlar paylaştığını görmekteyiz.
Paylaşılan içerikler üzerinde birçok analiz gerçekleştirilebiliyor. Yalnızca paylaşılan mesajlar değil, fotoğraflar ve videolar gibi içeriklerden de lokasyon (GPS) bilgisi, ses, ortam, duygu analizi gibi birçok veriye ulaşılabiliyor. Kullanıcıların sosyal ağlarda kendilerine özel bilgiler paylaştığı gibi arkadaşlarının doğum tarihi, evlilikleri, siyasi görüşleri gibi bilgileri de paylaştıklarını görmekteyiz.
Dijital ortamlarda fikir paylaşan, tartışan, konuşan, eğlenen, kınayan ve alkışlayan milyonlarca insanın bakış açısını ölçmenin ve anlamanın birçok alan, çıkar grubu ve sanayi için geniş bir değere sahip olduğunu görüyoruz.
SOCMINT’in bir bilgi kaynağı olarak kullanılmasına ek olarak yasa uygulayıcıların ve devletlerin halka kabul edebilir bir hale getirmesine gerek duyuluyor. Bu noktada gerekli yasaların koyulup, gerekli kuralların belirlenmesi önem arz etmektedir. Çünkü yapılan analizlerde artık müdahaleci uygulamalara ve kişisel verilerin elde edilmesine yönelik kişisel verilerin güvenliğini tehdit eden sonuçlar çıkabiliyor. SOCMINT’in kullanımında en önemli şart meşru olmasıdır. Ancak Avrupa ve Amerika da dahil olmak üzere SOCMINT konusunda meşru olma problemleri ve tartışmaları devam etmektedir.
Birçok devlet, ulusal güvenliğin sağlanması, suçun engellenmesi ve tespiti için müdahaleci istihbarat toplama düzenlenmesine ilişkin yasal bir çerçeveye sahiptir. Bu tür mevzuatların içeriğinde, müdahaleci SOCMINT için gerekli erişim yetkilerinin yasal düzeyde izlenecek usulleri belirtilmeli ve sınırlandırılması da gerekiyor.
Sosyal medya popülerliğin sunduğu fırsatlar dikkat çekicidir. SOCMINT bu noktada istihbaratın ve kolluk kuvvetlerinin bir üyesi olmalıdır.
SOCMINT ile sentimental değerlendirmeler yapılmalıdır. Basitçe tanımlayacak olursak “sentiment analysis” yani ‘Duygu Analizi’ şeklinde çevrilebilir. Kişi, kurum, ürün veya toplumsal konular hakkında konuşan kitlenin yaptığı yorumların olumlu ya da olumsuz olma ile duygusallık ve psikolojik durumunu analiz eder. Sentimental analiz günümüzde SOCMINT’in vazgeçilmez bir parçası haline gelmiştir.
Hayali Amerikan siber tehdit analiz hesabı!
Oluşturulan bir test hesabından birçok veri istihbarat verisi elde edilmiştir. Bu testte Facebook, twitter, linkedln gibi sosyal medyada oluşturulan sahte bir profilin deniz kuvvetlerinde çalışan siber tehdit analizcisi olduğu belirtilmiştir. Bu sahte hesaptan gelen data analiz edilerek ilginç sonuçlara ulaşılmıştır.
Sahte hesap ile ABD Savunma Bakanlığı ve diğer ABD İstihbarat kuruluşlarında çalışan üst düzey yöneticileri ile irtibat kurulmuştur. İki ay süren test sonucunda; Google ve Lockheed Martin gibi önemli firmalardan iş teklifi, erkeklerden de akşam yemeği teklifi alınmıştır, Birçok istihbaratçı personel bu sahte hesap ile arkadaş olmuş ve kendisine sunulan bilgilerin çoğuyla harekât güvenliği ve personel güvenliği kuralları ihlal edilmiştir.
Kurumlar İçin SOCMINT Kullanımı
Kurumlar için siber istihbarat önemli bir hale gelmiştir. Son yıllarda siber istihbarat üzerine piyasaya birçok ürün ve çözüm sunulmuştur. Bu ürün ve çözümler genel olarak açık kaynaklardan veri toplayarak kurumları tehdit edebilecek risklere karşı önlem almaları için uyarı üretmektedir. Ancak bu noktada yalnızca açık kaynakları kullanmak (Pastebin, Forumlar, Bloglar, Twitter, Facebook gibi) yeterli olmayacaktır.
Çünkü siber saldırganlar hedefli siber saldırılarda bu tarz bilgileri DeepWeb kaynakları, kapalı illegal hacker forumlarından da paylaşabiliyor. Doğal olarak kurumlar siber istihbarat noktasında kapalı kaynakları inceleme zorunda kalıyor.
Deep Web kaynaklarını incelediğimiz zaman özellikle de kapalı hacker forumlarında çok kritik kurum verileri, bankaların hacklenen dataları veya hacklenen kredi kartı gibi bilgilerin de yer aldığını, satıldığını veya paylaşıldığını görüyoruz.
Diğer bir yandan kurumlar her gün yüzlerce saldırı almaktadır. Bu saldırılar sırasında da kurum ağları ve güvenlik cihazları üzerinde birçok ipucu bırakılabiliyor. Siber saldırganların bırakmış olduğu bu bilgiler içerisinde sahte e-posta adresleri, user-agent bilgileri, ip adresleri, header bilgileri, exif bilgileri, bulaştırılan zararlı yazılımlar içerisindeki kodlardan elde edilen imzalar ve bilgiler gibi birçok veri bulunuyor.
Kurumlar siber saldırılara karşı bu bilgileri kullanarak saldırganların kimlikleri, yapmış oldukları saldırı yöntemleri ve bırakmış oldukları izlerden adli analiz bilgileri çıkartabilir hale gelmiştir. Doğal olarak SOCMINT kaynaklarını ve OSINT kaynaklarını kullanarak bu saldırılara karşı önlem alabilir veya saldırganların kimliklerini belirleme konusunda avantaj sahibi olabilirler.
Bu noktada en önemli OSINT / SOCMINT örneği olarak geçtiğimiz yıllarda karşımıza gelen WannaCry saldırılarını verebiliriz. WannaCry saldırıları ilk olarak Rusya’da ve Ukrayna’da başlamıştı. Siber istihbarat ürünleri bu saldırıları Ukrayna ve Rusya’da ilk olarak tespit ettikten sonra güvenlik uzmanları hizmet sundukları kurum ve kuruluşlara WannaCry saldırılarında elde edilen IP, User-Agent, Saldırı vektörü ve kullanılan alan adlarını ilettiler ve saldırılar henüz Türkiye’de başlamadan, kurumlara bu bilgiler iletilerek korunma yollarını (IP’ler ve saldırıda kullanılan alan adları kara listelere alındı, Firewall, Endpoint, IPS ve IDS gibi ürünlerden bloke edildi) geliştirdiler. Doğal olarak siber istihbarat kullanan firmalar bu saldırılardan etkilenmedi veya az bir zararla atlatılmış oldu. Ancak siber istihbarat hizmeti almayan firmalarda bu saldırıların büyük zararlara yol açtığına şahit olduk.