Kurumsal e-posta güvenliğinde gerçek zamanlı koruma
E-posta, kurumsal iletişimin en kritik kanallarından biri olmasının yanı sıra siber saldırganlar için en sık kullanılan hedeflerden biridir. Phishing, malware, spam ve Business Email Compromise (BEC) gibi tehditler, kullanıcıya ulaşmadan önce engellenmediğinde ciddi mali ve operasyonel kayıplara yol açabilir. Klasik spam filtreleri ve imza tabanlı yöntemler, günümüzde hızla değişen saldırı tekniklerine karşı yetersiz kalmaktadır. Bu noktada Threat Intelligence (TI) entegrasyonu, e-posta gateway’inizi çok daha proaktif ve bağlamsal bir savunma hattına dönüştürür.
Threat Intelligence, dünya genelinden toplanan, analiz edilen ve yapılandırılmış siber tehdit bilgisidir. E-posta güvenliği bağlamında genellikle şu bileşenleri içerir:
IP adresleri: kötü amaçlı kaynaklardan gelen bağlantılar
Alan adları ve URL’ler: phishing ve zararlı içerik dağıtımı yapan domainler
Dosya imzaları: MD5, SHA256 gibi bilinen zararlı dosya hash’leri
Davranışsal göstergeler: sandbox analizleri ve anormal trafik örüntüleri
Bu bilgiler üç ana kaynaktan elde edilir:
OSINT (Açık kaynaklar): Güvenlik topluluklarının paylaştığı ücretsiz listeler
Ticari Threat Intelligence servisleri: Yüksek doğruluk ve hızlı güncellenen veriler
Kurumiçi veriler: SOC raporları, honeypot ve SIEM korelasyonları
Feed Toplama: Güvenilir kaynaklardan IP, domain, URL ve dosya hash listeleri düzenli olarak çekilir.
Normalize & Zenginleştirme: Veriler standart bir formata dönüştürülür ve WHOIS, ASN, GeoIP gibi bağlamsal bilgiler eklenir.
Skorlama & Politika: Tehdit verisi skorlanır (0–100) ve aksiyon belirlenir: block, quarantine, rewrite veya allow.
Gateway Uygulaması:
SMTP oturum açılışında IP kontrolü
Header, gövde ve ek içerik analizi
URL ve dosyaların sandbox’ta test edilmesi
Geri Besleme: Karantina ve kullanıcı raporları, SIEM/SOAR entegrasyonu ile sisteme geri beslenir.
TI Broker/Collector: Farklı feed’leri toplar, normalize eder ve tek bir dağıtım noktası sağlar.
Policy Exporter: Gateway’in anlayacağı formata çevirir (RPZ, JSON ACL, REST).
DNS Tabanlı (RPZ / DNSBL):
Zararlı domainler DNS’e yüklenir. SMTP oturumunda IP veya domain sorgulanır.
API Tabanlı:
URL/IP, Threat Intelligence servisine gerçek zamanlı sorulur. Skora göre block, karantina veya rewrite yapılır.
Dosya İmza Kontrolü:
Eklerin hash değerleri veritabanı ile karşılaştırılır, gerekirse sandbox’ta çalıştırılır.
Time-of-Click (TOC) Koruması:
Linkler gateway’de rewrite edilir ve tıklama anında tekrar kontrol edilir.
Skor ≥ 90 → Block
Skor 70–89 → Karantina + kullanıcı uyarısı
Skor 50–69 → URL rewrite + TOC kontrolü
Skor < 50 → Sadece loglama
Ek Not: Skorlama algoritması, IOC türü, kaynağın güvenilirliği, domain yaşı ve passive DNS geçmişi gibi faktörlere göre ağırlıklandırılır.
Loglarda IOC türü, aksiyon, mesaj ID, gönderen ve kullanıcı bilgileri tutulur.
Korelasyon örnekleri:
Aynı gönderen kısa süre içinde birden fazla şüpheli URL → yüksek öncelikli alarm
Aynı dış IP’den brute-force denemeleri → hesap ele geçirme olasılığı
SOAR playbook’ları: Karantinaya alınan iletileri incele, kullanıcı aktivitelerini kontrol et, gerekiyorsa parola sıfırla ve MFA zorunlu kıl.
Keşif & Hazırlık: Hedef, inbound/outbound; entegrasyon yöntemi; log ve SIEM şeması belirlenir.
POC / Pilot: 1–2 feed ile izleme modunda test edilir, false positive analizi yapılır.
Yaygınlaştırma: Eşikler ve whitelist’ler netleşince blok moduna geçilir, SOAR playbook’ları uygulanır.
Operasyon & İyileştirme: Düzenli tuning, KPI takibi ve kullanıcı geri bildirimleri ile sistem optimize edilir.
Süreli whitelist kullanımı
Kategori bazlı farklı eşikler
Kullanıcı geri bildirimleri ile SOC’a raporlama
Sandbox ve outbound kontrolü
Bloklanan IP/URL/E-posta sayısı
False positive oranı
Tıklama anında bloklama süresi
Kullanıcı raporları ve doğrulanmış olaylar
Kara listeye düşen IP/Domain sayısı
E-posta gateway üzerinde Threat Intelligence entegrasyonu, kurumsal güvenlik için statik filtrelerden çok daha güçlü bir savunma sağlar. Güncel tehdit verileri, sandbox analizleri ve gerçek zamanlı skorlama sayesinde hem bilinen hem de sıfır gün tehditler kullanıcıya ulaşmadan engellenir. Doğru yapılandırılmış politika ve sürekli tuning ile kurumun itibarını, teslimat oranlarını ve uyumluluk gereksinimlerini güvence altına alır.
Copyright © 2025 Tüm Hakları Saklıdır.
