Scramble Konsepti
Bu blogdaki zararlı yazılım analizi ve olay müdahalesi yazılarında, çalışmanın bağlamını hızlıca ayırmak için askeri havacılık terminolojisinden esinlenen bir Scramble sınıflandırması kullanıyorum.
Amaç basit: Okur, yazının daha ilk satırlarında bunun gerçek bir olay müdahalesi mi yoksa kontrollü laboratuvar analizi mi olduğunu anlayabilsin.
Scramble Nedir?
Hava kuvvetlerinde scramble, hava sahası ihlali, kimliği belirsiz hava aracı tespiti veya ani tehdit durumlarında hazır bekleyen uçakların kısa sürede kalkışa geçirilmesi prosedürüdür.
Bu kavramı siber güvenlik bağlamında; bir tehdide karşı hızlı, kontrollü ve disiplinli reaksiyonu temsil etmesi için kullanıyorum.
Sınıflandırma
| Kod | Kapsam | Anlamı |
|---|---|---|
| Alpha Scramble | Gerçek olay müdahalesi | Canlı sistemleri etkileyen, aktif müdahale gerektiren veya gerçek zarar potansiyeli taşıyan vakalar |
| Tango Scramble | Kontrollü analiz | Sandbox, lab veya izole analiz ortamında incelenen zararlı yazılım örnekleri ve pratik çalışmalar |
| ISR Action | İstihbarat ve gözlem | Tehdit istihbaratı, kampanya takibi, altyapı gözlemi ve IOC korelasyonu |
| Doctrine | Metodoloji ve prensip | Analiz yaklaşımı, savunma üretimi, araç kullanımı ve operasyonel rehber yazıları |
Alpha Scramble
Alpha Scramble, gerçek tehdide karşı yapılan müdahale yazılarını temsil eder.
Bu kategori altında yer alan yazılar genellikle canlı sistemlerde gözlemlenen, aktif olarak müdahale edilen veya kurum/servis sürekliliğini etkileyebilecek olayları kapsar. Olay müdahalesi, log analizi, IOC çıkarımı, saldırı zinciri rekonstrüksiyonu ve temizleme adımları bu sınıfta öne çıkar.
Tango Scramble
Tango Scramble, kontrollü analiz ve eğitim amaçlı incelemeleri temsil eder.
Bu kategori altında yer alan yazılar genellikle izole laboratuvar ortamında yapılan malware analizi, reverse engineering, sandbox gözlemi, YARA/IOC üretimi ve teknik pratikleri kapsar. Amaç gerçek bir sistemi müdahale altında tutmak değil, örneği güvenli bir ortamda anlamak ve savunma çıktısı üretmektir.
ISR Action
ISR Action, tehdit istihbaratı ve gözlem odaklı yazılar için ayrılmıştır.
Bu kategori; kampanya takibi, C2 altyapısı, domain/IP ilişkileri, IOC kümeleri ve tehdit aktörü davranışlarına dair gözlemleri sınıflandırmak için kullanılacaktır.
Doctrine
Doctrine, metodoloji ve prensip odaklı yazılar için ayrılmıştır.
Bu kategori; analiz yaklaşımı, araç kullanımı, detection engineering, YARA/Sigma üretimi ve operasyonel çalışma düzenine dair rehber yazıları sınıflandırmak için kullanılacaktır.
Bu sınıflandırma, yazının teknik değerinden ziyade bağlamını belirtir. Bir yazının Alpha veya Tango olması, analiz seviyesini değil; vakanın gerçek ortam mı yoksa kontrollü lab çalışması mı olduğunu gösterir.