Siber Güvenlik Hizmetleri ve 5651 Uyum Çözümleri
Firewall ve ağ güvenliğinden 5651 log yönetimine, sızma testinden sertleştirmeye kurumsal siber güvenlik: katmanlı savunmayı İstanbul'dan yönetiyoruz.
- Katmanlı Savunma: Neden Tek Bir Duvar Yetmez?
- Tehdit Modelini Anlamak: Kimden, Neyi Koruyorsunuz?
- En Az Yetki İlkesi: Herkese Her Kapı Açılmaz
- Sınır Kapısı: Firewall ve Ağ Güvenliği
- Segmentasyon: İç Sınırlar ve Karantina Bölgeleri
- VPN ve Uzaktan Erişim: Sınırdan İçeri Güvenli Geçiş
- Kural Hijyeni: Sınır Kapısının Kurallarını Temiz Tutmak
- İç Güvenlik: Sistem ve Uç Nokta Sertleştirmesi (Hardening)
- Yama Yönetimi: Açık Kapıları Zamanında Kapatmak
- Yerel Yönetici Parolaları ve Ayrıcalıklı Hesaplar
- Kayıt ve Yasa: 5651 Log Yönetimi ve Yasal Uyum
- Loglama Mimarisi: Kaydı Doğru Tutmak
- Zafiyet Avı: Sızma Testi ve Güvenlik Taraması
- Kırmızı Takım Zihniyeti: Saldırgan Gibi Düşünmek
- Raporlama ve Önceliklendirme: Bulmak Değil, Kapatmak
- İstihbarat: SIEM ve Sürekli İzleme
- Log Toplama ve Korelasyon: Sinyalleri Birleştirmek
- Ayrıcalıklı Hesap İzleme ve Alarm
- Kriz Anı: Güvenlik Olay Müdahalesi
- Fidye Yazılımı: İlk Saatlerde Ne Yapılmalı?
- Yedekleme ve Kurtarma: Son Savunma Hattı
- En Zayıf Halka: İnsan ve Farkındalık Eğitimi
- Oltalama ve Sosyal Mühendislik: Kapıyı İçeriden Açtırmak
- Güvenlik Kültürü: Kalıcı Bir Alışkanlık İnşa Etmek
- Sonuç: Güvenlik Bir Ürün Değil, Sürekli Bir Nöbettir
- Hızlı Güvenlik Check-up Listesi
- Siber Güvenlik Hakkında Sık Sorulan Sorular
Kurumsal siber güvenlik, bir ülkenin sınırını, iç düzenini ve vatandaşını koruyan güvenlik teşkilatına benzer. Bir devleti tek bir sur duvarı korumaz; sınır kapısı, gümrük, pasaport kontrolü, iç güvenlik, istihbarat ve yasalar birlikte çalışır. Bir işletmenin dijital varlığını korumak da tek bir cihaza indirgenemez; firewall, sistem sertleştirmesi, sürekli izleme, yasal loglama ve insan farkındalığı aynı anda ayakta durmalıdır. Bir kapı ne kadar sağlam olursa olsun, pencere açık bırakılmışsa bina güvende değildir.
Bu rehber, siber güvenliği bir korku pazarlaması olarak değil, kurulabilir ve yönetilebilir bir disiplin olarak ele alır. Serçe Bilişim olarak teknik önlemleri en iyi uygulamalar çerçevesinde hayata geçirir, 5651 ve KVKK gibi yasal uyum süreçlerini baştan sona yürütürüz. Her bölüm önce sınır güvenliği dünyasından bir analoji ile kavramı yerleştirir, ardından bunun teknik karşılığına ve sahadaki gerçeğine iner. Bu makale BT sistem yönetimi ve kurumsal network kurulumu hizmetlerinin güvenlik katmanını tamamlar.
Katmanlı Savunma: Neden Tek Bir Duvar Yetmez?
Katmanlı savunma (defense in depth), tek bir güvenlik önleminin aşılması durumunda arkasında bir sonraki önlemin devreye girdiği, üst üste dizilmiş savunma halkaları yaklaşımıdır. Bir ülkenin güvenliğini düşünün: sınırda gümrük vardır, ama gümrüğü geçen herkes serbestçe her yere giremez; şehirlerde polis, kritik tesislerde ek koruma, arka planda istihbarat ve hepsinin üstünde yasalar vardır. Hiçbir kademe tek başına ülkeyi korumaz; güç, kademelerin üst üste binmesindedir.
Siber güvenlikte bu ilke birebir geçerlidir. Bir saldırgan firewall’u aşsa bile, iç ağdaki segmentasyonla karşılaşmalı; oraya da sızsa sistem sertleştirmesiyle durdurulmalı; yine de ilerlerse izleme sistemi alarm üretmeli. Tek katmana yatırım yapan kurum, bütçesinin tamamını sınır kapısına harcayıp iç güvenliği boş bırakan bir devlet gibidir: kapı görkemlidir, ama içeri giren için her yer açıktır.
Tehdit Modelini Anlamak: Kimden, Neyi Koruyorsunuz?
Doğru güvenlik, doğru soruyla başlar: neyi, kimden koruyorsunuz? Bir ülke sınırını çizerken önce coğrafyasını, komşularını ve zayıf noktalarını analiz eder; hangi geçidin dağla, hangisinin sadece bir tabelayla korunduğunu bilir. Güvenlik bütçesi bu analize göre dağıtılır, rastgele değil.
Kurumda bu analizin adı tehdit modellemesidir (threat modeling). Hangi verinin kritik olduğu (müşteri kayıtları, mali tablolar, üretim sırları), bu veriye kimlerin eriştiği ve saldırganın hangi yoldan gelebileceği çıkarılır. Fidye yazılımı mı, veri hırsızlığı mı, içeriden sızıntı mı, yoksa yasal uyumsuzluk mu birincil risk; bu cevaba göre öncelik belirlenir.
Somut bir örnek: bir üretim şirketi için en kritik varlık genellikle müşteri listesi değil, üretim reçeteleri ve CAD dosyalarıdır; bir muhasebe ofisi için mali kayıtlar ve e-fatura altyapısı; bir sağlık kuruluşu için hasta verileridir ve bunlar aynı zamanda KVKK açısından en yüksek riski taşır. Aynı bütçe, bu farklı kurumlarda tamamen farklı yerlere harcanmalıdır; çünkü koruma önceliği, korunması gereken değere göre şekillenir.
Saha gerçeği şu ki, çoğu kurum bu adımı atlar ve moda olan ürünü satın alır. Oysa neyi koruduğunu bilmeyen bir savunma, en pahalı cihazla bile yanlış yeri korur. Bir güvenlik projesine her zaman “en değerli veriniz nerede duruyor” sorusuyla başlarız; çünkü kasanın yerini bilmeden nöbetçi dikmenin anlamı yoktur.
En Az Yetki İlkesi: Herkese Her Kapı Açılmaz
En az yetki ilkesi (least privilege), her kullanıcıya ve her sisteme yalnızca işini yapmaya yetecek kadar erişim vermek demektir. Bir devlet dairesinde temizlik görevlisine arşiv odasının anahtarı verilmez; herkesin yetkisi, görevinin sınırıyla çizilidir. Bu kısıtlama güvensizlikten değil, bir kartın çalınması durumunda hasarı sınırlama mantığından doğar.
Teknik karşılığı nettir: kullanıcılar yönetici (admin) yetkisiyle günlük iş yapmamalı, servis hesapları gereğinden fazla hakka sahip olmamalı, kaynaklara erişim doğrudan kişiye değil gruplar üzerinden verilmelidir. Bu yapının kurulması Active Directory güvenlik sertleştirmesi ve kullanıcı, grup ve OU yönetimi rehberlerinde ayrıntılı ele alınır.
Bunun ihmali sahada en sık gördüğümüz hatadır: “çalışsın da kurtulayım” mantığıyla herkese geniş yetki verilir, sonra kimin neye eriştiği kimsenin bilmediği bir düğüm oluşur. Bir hesap ele geçirildiğinde, o hesabın yetkisi kadar hasar alırsınız; yetki ne kadar genişse, tek bir çalınmış parolanın açtığı kapı o kadar büyüktür.
Sınır Kapısı: Firewall ve Ağ Güvenliği
Firewall, kurumsal ağın sınır kapısıdır: içeri ve dışarı giden her trafiği önceden tanımlı kurallara göre denetleyen ilk savunma hattı. Bir ülkenin gümrük ve pasaport kontrolü gibi, kimin geçebileceğine, neyi taşıyabileceğine ve hangi kapının tümden kapalı olacağına karar verir. Sınır kapısı olmayan bir ülke nasıl her türlü giriş-çıkışa açıksa, firewall’suz bir ağ da internete tümüyle savunmasız durur.
Ama modern bir sınır sadece “geç veya geçme” demez. Yeni nesil güvenlik duvarları (Next-Generation Firewall) trafiğin içine bakar: hangi uygulamanın konuştuğunu, içerikte zararlı bir yük olup olmadığını, tanınan bir saldırı imzası taşıyıp taşımadığını inceler. Bu, pasaportu damgalamakla yetinmeyip valizi de tarayan bir gümrük gibidir. Firewall kurulumu, yönetimi ve danışmanlığı hizmetimizin kapsamını ilgili rehberimizde ayrıntısıyla anlatıyoruz.
Segmentasyon: İç Sınırlar ve Karantina Bölgeleri
Ağ segmentasyonu, iç ağı birbirinden yalıtılmış bölgelere ayırarak bir sorunun tüm kuruma yayılmasını engeller. Bir ülkenin sadece dış sınırı değil, iç idari sınırları da vardır; bir şehirde çıkan yangın veya salgın, iller arası kontrolle sınırlandırılır. İç sınır olmadan, sınırı bir kez aşan tehdit her yere serbestçe ulaşır.
Teknik karşılığı VLAN’lar ve alt ağlarla kurulan bölünmedir: muhasebe, üretim, misafir Wi-Fi ve sunucular ayrı segmentlerde durur; aralarındaki geçiş firewall kurallarıyla denetlenir. Böylece misafir ağına bağlanan bir cihaz, muhasebe sunucusuna doğrudan ulaşamaz. Bu segmentasyonun doğru kurulması kurumsal network kurulumu disiplininin kalbindedir.
Segmentasyonu atlayan kurumlarda tek bir düz ağ olur: tek bir bilgisayara bulaşan fidye yazılımı, dakikalar içinde tüm paylaşımlara ve sunuculara yayılır. Karantina bölgesi olmayan bir yapıda, en küçük bir sızıntı en büyük felakete dönüşür; segmentasyon bu zincirleme reaksiyonu kesen iç duvardır.
Yıllarca birikmiş, açıklamasız ve gölge kurallarla dolu bir firewall’u nasıl temizleyip segmentasyon, IPS/IDS ve web filtrelemeyle sıkılaştırdığımızı firewall güvenlik sıkılaştırma vaka çalışmasında anlatıyoruz.
VPN ve Uzaktan Erişim: Sınırdan İçeri Güvenli Geçiş
VPN (Virtual Private Network), kurum dışındaki bir kullanıcının iç ağa şifreli ve doğrulanmış bir tünelle bağlanmasını sağlar. Yurt dışındaki bir vatandaşın ülkeye vize ve kimlik kontrolünden geçerek girmesi gibi, uzaktan çalışan da kimliği doğrulanarak ve trafiği şifrelenerek içeri alınır. Vize olmadan sınırın açık bırakılması ne kadar tehlikeliyse, denetimsiz uzaktan erişim de o kadar risklidir.
Modern yaklaşımda VPN’in yanına çok faktörlü kimlik doğrulama (MFA) eklenir: parola tek başına yetmez, ikinci bir doğrulama (telefon uygulaması veya donanım anahtarı) istenir. Böylece çalınmış bir parola tek başına içeri girmeye yetmez; sahte pasaportla gelen, ikinci kimlik kontrolünde durdurulur.
Uzaktan erişimi gelişigüzel açan kurumlar, saldırganlara en sevdikleri kapıyı sunar. İnternete açık, MFA’sız bir uzak masaüstü (RDP) bağlantısı, botların gece gündüz denediği bir kilittir; sınırı zorlayanların ilk bakacağı yer, en zayıf ve en gözden uzak geçittir.
Kural Hijyeni: Sınır Kapısının Kurallarını Temiz Tutmak
Firewall kural hijyeni, zamanla biriken gereksiz, çakışan veya unutulmuş kuralların düzenli olarak temizlenmesidir. Bir sınır kapısında yıllar içinde eklenen, kimin neden koyduğu unutulmuş “geçici” izinler birikir; her biri o an makul görünse de, toplamı denetlenemez bir gevşekliğe dönüşür. Kural listesi büyüdükçe güvenlik artmaz, tam tersine görünürlük azalır.
Teknik karşılığı; kuralların periyodik gözden geçirilmesi, artık kullanılmayan izinlerin kaldırılması, aşırı geniş “any-any” (her kaynaktan her hedefe) kurallarının daraltılması ve her kuralın neden var olduğunun belgelenmesidir. İyi bir firewall, en az kuralla en net sınırı çizen firewall’dur; kalabalık değil, düzenli olan korur.
Sahada sık gördüğümüz tablo, yıllardır kimsenin dokunmadığı, yüzlerce kurallı bir firewall’dur: içinde çoktan kapatılmış bir projenin açık portu, ayrılmış bir çalışanın erişimi, test için açılıp unutulmuş bir geçit durur. Bu unutulmuş kurallar, saldırganın aradığı sessiz açıklardır; kural hijyeni, sınırı sadece kurmakla kalmayıp temiz tutmaktır.
İç Güvenlik: Sistem ve Uç Nokta Sertleştirmesi (Hardening)
Sertleştirme (hardening), bir sistemi varsayılan haliyle değil, saldırı yüzeyi daraltılmış bir yapılandırmayla çalıştırmaktır. Sınırı geçen herkesin serbest dolaştığı bir ülke güvenli sayılmaz; kritik tesisler ayrıca korunur, gereksiz kapılar kapatılır, herkese açık alanlar sınırlandırılır. Sertleştirme, sınırın gerisindeki bu iç koruma katmanıdır.
Teknik olarak bu; gereksiz servislerin kapatılması, varsayılan parolaların değiştirilmesi, güncel yamaların uygulanması, yönetici yetkilerinin kısıtlanması ve eski, güvensiz protokollerin (SMBv1, NTLMv1 gibi) devre dışı bırakılması demektir. Her kapalı kapı, saldırganın deneyebileceği bir seçeneği ortadan kaldırır. Sunucu, ağ cihazı ve uç nokta sertleştirmesini nasıl uyguladığımızı siber güvenlik sıkılaştırma (hardening) rehberimizde ayrıntısıyla anlatıyoruz.
Yama Yönetimi: Açık Kapıları Zamanında Kapatmak
Yama yönetimi (patch management), üreticinin yayınladığı güvenlik güncellemelerinin düzenli ve gecikmesiz uygulanması sürecidir. Bir şehirde surda bir gedik tespit edildiğinde onarımın günlerce ertelenmesi düşünülemez; her açık gün, o gedikten içeri girme fırsatıdır. Yazılım açıkları da böyledir: yayınlanan her güncelleme, aslında bir gediğin duyurusudur.
İşin ince noktası şu ki, bir açık kamuoyuna duyurulduğu anda saldırganlar da onu öğrenir. Yamalanmamış sistemler, adresi ilan edilmiş açık kapılara dönüşür; WannaCry ve NotPetya gibi büyük fidye dalgaları, aylar önce yaması çıkmış bir açığı kapatmayan kurumları vurdu. Yamanın var olması değil, zamanında uygulanması korur.
Sahada en can sıkıcı tablo, “çalışan sisteme dokunmayalım” refleksiyle yıllarca güncellenmemiş sunuculardır. O sunucu çalışıyor olabilir, ama her geçen gün bilinen bir açıkla internete bakan bir davetiyeye dönüşür; sertleştirmenin en ucuz ve en etkili adımı, düzenli yamadır.
Yerel Yönetici Parolaları ve Ayrıcalıklı Hesaplar
Ayrıcalıklı hesapların korunması, en yüksek yetkiyi taşıyan anahtarların en sıkı denetime tabi tutulmasıdır. Bir ülkede kasa dairesinin anahtarı sıradan bir memurda dolaşmaz; en kritik erişim, en az kişide ve en sıkı kayıtla durur. Yönetici hesapları da dijital dünyanın kasa anahtarlarıdır.
Bunun iki somut karşılığı vardır: her bilgisayarda ayrı ve rastgele yerel yönetici parolası (Windows LAPS) kullanmak, ve Domain Admin gibi yüksek yetkili hesapları günlük işlerden ve sıradan makinelerden uzak tutmak (Tier modeli). Detaylı uygulama Active Directory güvenlik sertleştirmesi rehberinde adım adım anlatılır.
En sık gördüğümüz hata, tüm makinelerde aynı yerel yönetici parolasının kullanılmasıdır: bir makine ele geçirildiğinde, o parolayla tüm ağa atlanır. Tek anahtarın tüm kapıları açtığı bir binada, tek bir hırsız her odaya girer; ayrıcalıklı hesap disiplini bu tek anahtarı ortadan kaldırır.
Kayıt ve Yasa: 5651 Log Yönetimi ve Yasal Uyum
5651 sayılı kanun, internet erişimi sağlayan işletmelere erişim kayıtlarını (log) belirli süre saklama ve talep halinde yetkili mercilere sunma yükümlülüğü getirir. Nasıl ki bir ülke, sınırından kimin ne zaman girip çıktığını kayıt altında tutmak zorundaysa, internet erişimi sunan bir işletme de kimin hangi saatte hangi kaynağa eriştiğini kayıt altına almak zorundadır. Bu teknik bir tercih değil, doğrudan yasal bir zorunluluktur.
Kapsam çoğu işletme sahibinin sandığından geniştir: müşterisine Wi-Fi veren kafe, misafirine internet sunan otel, personeline erişim sağlayan ofis hepsi kapsamdadır. Kayıtların sadece tutulması da yetmez; zaman damgası (timestamp) ile bütünlüğünün korunması ve talep edildiğinde okunabilir biçimde sunulabilmesi gerekir.
Loglama Mimarisi: Kaydı Doğru Tutmak
Doğru loglama mimarisi, kayıtların merkezi, değiştirilemez ve zaman damgalı biçimde saklanmasını sağlar. Bir devlet arşivinde kayıtlar ilgili memurun çekmecesinde dağınık durmaz; merkezi, tasnifli ve sonradan değiştirilemez şekilde tutulur, çünkü bir kaydın güvenilirliği değiştirilememesinden gelir. Log kayıtları da böyle olmalıdır.
Teknik olarak bu; erişim kayıtlarının bir log sunucusunda toplanması, zaman damgasıyla imzalanması ve yasal saklama süresi boyunca yedekli tutulması demektir. Dağınık, imzasız veya kolayca silinebilir loglar, bir denetimde hukuki değer taşımaz. Uygulama detayları 5651 log yönetimi rehberinde ele alınır; 12 lokasyonlu bir eğitim kurumunda bunu 3 günde nasıl hayata geçirdiğimizi 5651 uyum projesi vaka çalışmasında okuyabilirsiniz.
Sahada sık karşılaşılan yanılgı, “modem zaten log tutuyor” rahatlığıdır. Ev tipi bir cihazın birkaç günlük, imzasız kaydı yasal gereksinimi karşılamaz; denetim geldiğinde elinizde hukuken geçerli kayıt yoksa, iyi niyet cezayı durdurmaz.
Kamera sistemlerinde de aynı ayrım geçerlidir: 500 kamerada NTP, isimlendirme ve KVKK uyumu vaka çalışmasında, ses kaydı almadan görüntü kaydı prensibiyle bunu nasıl sağladığımızı anlatıyoruz.
Zafiyet Avı: Sızma Testi ve Güvenlik Taraması
Sızma testi (pentest), kurumun savunmasını gerçek bir saldırgan gibi düşünen uzmanların kontrollü biçimde yoklamasıdır. Bir ülkenin kendi sınır birliklerini denemek için düzenlediği tatbikatlar gibi: amaç zarar vermek değil, gerçek bir saldırı gelmeden önce zayıf geçitleri bulup kapatmaktır. Test edilmemiş bir savunmanın gerçekten çalışıp çalışmadığını, ilk kez saldırı anında öğrenmek en pahalı yoldur.
Bu iki farklı derinlikte yapılır. Güvenlik açığı taraması (vulnerability scan), otomatik araçlarla bilinen zayıflıkları hızlıca listeler; geniş ama yüzeysel bir taramadır. Sızma testi ise bir uzmanın bu açıkları gerçekten sömürmeye çalışarak, zincirleme bir saldırının nereye kadar ilerleyebileceğini gösterir; dar ama derindir.
Kırmızı Takım Zihniyeti: Saldırgan Gibi Düşünmek
Kırmızı takım (red team) yaklaşımı, savunmayı savunanın değil saldıranın gözünden değerlendirmektir. Bir kaleyi tasarlayan mimar, onu yıkmaya çalışan bir kuşatmacının gözüyle bakmadıkça zayıf noktaları göremez; çünkü savunmacı “olması gerekeni”, saldırgan “gerçekte olanı” görür. Güvenlikte bu bakış açısı farkı, her şeyi belirler.
Teknik olarak bu; sadece bir açık listesi çıkarmak değil, o açıkları birleştirerek gerçek bir saldırı senaryosu kurmaktır. Tek başına küçük görünen üç açık, arka arkaya kullanıldığında Domain Admin yetkisine giden bir yol oluşturabilir. Kırmızı takım bu yolu, saldırgandan önce yürüyüp haritalar.
Saha gerçeği şu ki, çoğu kurum sadece otomatik tarama yaptırıp “temiz” raporuyla rahatlar. Oysa otomatik araç, insan yaratıcılığını taklit edemez; gerçek saldırgan senaryo kurar, tarama ise sadece kutu işaretler. Kağıt üzerinde güvenli görünüp sahada düşen sistemlerin çoğu, hiç gerçek bir teste tabi tutulmamıştır.
Raporlama ve Önceliklendirme: Bulmak Değil, Kapatmak
Bir sızma testinin değeri, bulunan açıkların sayısında değil, doğru önceliklendirilip kapatılmasında yatar. Bir tatbikat sonrası hazırlanan rapor, hangi geçidin acilen takviye edileceğini, hangisinin bekleyebileceğini söyler; her zaafiyet aynı aciliyette değildir. Önceliklendirmesiz bir açık listesi, okunmadan rafa kalkan bir dosyadır.
İyi bir rapor her bulguyu iş riskiyle eşleştirir: bu açık sömürülürse ne kaybedilir, ne kadar kolay sömürülür, önce hangisi kapatılmalı. Böylece sınırlı bütçe ve zaman, en yüksek riski en önce azaltacak şekilde kullanılır.
En sık görülen israf, pahalı bir test yaptırıp raporu bir daha açmamaktır. Bulunan ama kapatılmayan açık, artık saldırgandan önce sizin de bildiğiniz ama görmezden geldiğiniz bir kapıdır; testin değeri bulguda değil, o bulgunun kapatılmasındadır.
İstihbarat: SIEM ve Sürekli İzleme
SIEM (Security Information and Event Management), kurumdaki tüm sistemlerin log kayıtlarını tek merkezde toplayıp anlamlı alarmlara çeviren izleme altyapısıdır. Bir ülkenin istihbarat teşkilatı gibi çalışır: tek tek anlamsız görünen sinyalleri (bir başarısız giriş, bir olağandışı saat, bir yeni cihaz) birleştirip bir tehdit örüntüsü çıkarır. Sınırdaki nöbetçi tek bir noktayı görür; istihbarat, tüm noktalardan gelen bilgiyi birleştirip resmin tamamını görür.
Bu birleştirme kritiktir çünkü modern saldırılar tek bir gürültülü olayla değil, birbirinden kopuk küçük adımlarla ilerler. Bir Domain Controller’da tek tek bakıldığında masum görünen olaylar, merkezi olarak ilişkilendirildiğinde bir Kerberoasting saldırısının veya yavaş bir sızmanın izini ele verir.
Log Toplama ve Korelasyon: Sinyalleri Birleştirmek
Korelasyon, farklı kaynaklardan gelen olayları ilişkilendirerek tek başına görünmeyen saldırıyı ortaya çıkarmaktır. Bir istihbarat analisti, havaalanı kaydını, otel rezervasyonunu ve telefon trafiğini yan yana koyduğunda tek tek bakınca kaçırılacak bir örüntüyü görür; güvenlikte de değer, olayları yan yana koyabilmekte yatar. Tek bir cihaza bakan göz, dağıtık bir saldırıyı asla göremez.
Teknik olarak bu; firewall, sunucu, Active Directory ve uç noktalardan gelen logların bir SIEM’de toplanması ve önceden tanımlı kurallarla (örneğin aynı hesap için kısa sürede çok sayıda başarısız giriş) otomatik alarma çevrilmesidir. Wazuh, Microsoft Sentinel veya Splunk gibi çözümler bu işi yapar; KOBİ ölçeğinde açık kaynak Wazuh makul bir başlangıçtır.
Somut bir örnek üzerinden bakalım: bir Kerberoasting saldırısı, tek tek bakıldığında Domain Controller’daki sıradan Event ID 4769 (Kerberos bilet talebi) kayıtları gibi görünür. Ama aynı hesap için kısa aralıklarla, zayıf şifreleme türüyle tekrarlanan bu talepler bir SIEM’de ilişkilendirildiğinde, örüntü anında bir saldırı belirtisine dönüşür. Aynı şekilde, normalde hiç oturum açmaması gereken bir acil durum hesabının girişi (Event ID 4624) tek başına masum bir kayıt, ama bir alarm kuralına bağlandığında ilk uyarıdır. Değer, olayın kendisinde değil, doğru kuralla anlamlandırılmasındadır.
Sahada en tehlikeli durum, logların tutulup hiç bakılmamasıdır. Kayıt var ama izleyen yoksa, saldırı ancak hasar görünür olduğunda fark edilir; oysa aynı kayıt, korelasyonla izlense saldırıyı başlangıcında yakalardı. Toplanan ama izlenmeyen log, çekilmiş ama kimsenin bakmadığı güvenlik kamerası gibidir.
Bunu birinci ağızdan bir örnekle somutlaştırayım. Destek verdiğim bir kurumda, yıllardır kullanılan lisanssız (crackli) bir ağ izleme yazılımı çalışıyordu. Sistem ve network uzmanı olarak göreve geldiğimde logları incelediğimde ortaya çıkan tablo rahatsız ediciydi: bu sunucu yıllarca, kurumun kendi IP adresi üzerinden dışarıya saldırı düzenlemek için kullanılmıştı. Aynı şekilde eski bir QNAP depolama cihazı da ele geçirilmiş, bir “zombi”ye dönüşmüş ve yine kurumun internet çıkışından dışarıya saldırı trafiği üretiyordu. Yıllarca kimse fark etmemişti, çünkü logları izleyen kimse yoktu.
Bu olayın iki ayrı yüzü vardı. Birincisi hukuki: dışarıya yapılan saldırılar kurumun IP adresinden çıktığı için, bir şikayet veya soruşturma durumunda sorumluluk doğrudan o kuruma işaret ediyordu. İkincisi daha derin: ortada hiçbir sertleştirme politikası olmadığından bu ortam, saldırganların istediği gibi kullanabileceği hazır bir platforma dönüşmüştü; bugün dışarıya saldırı düzenleyen bu zombiler, yarın kurum içine girecek bir fidye yazılımının sıçrama tahtası olabilirdi. Lisanssız yazılım ve güncellenmemiş bir cihaz, yalnızca bir uyumsuzluk değil; farkında olmadan başkasının eline verilmiş bir anahtardır.
Ayrıcalıklı Hesap İzleme ve Alarm
Ayrıcalıklı hesap izleme, en yüksek yetkili hesapların her hareketinin özel olarak gözetlenmesidir. Bir ülkede en kritik kişilerin ve tesislerin ayrı bir koruma ve takip protokolü olması gibi, dijital dünyada da yönetici hesapları ve kritik sunucular ayrı bir dikkatle izlenir; çünkü buralardaki bir anormallik en büyük hasarın habercisidir.
Teknik olarak bu; Domain Admin girişleri, yetki değişiklikleri, yeni yönetici hesabı oluşturma ve normalde hiç oturum açmaması gereken hesapların (örneğin acil durum “break-glass” hesapları) her hareketinin anlık alarma bağlanmasıdır. Bu tür bir hesabın beklenmedik bir anda oturum açması, ya planlı bir testtir ya da gerçek bir olaydır; ikisi de anında doğrulanmalıdır.
Bu izleme kurulmadığında, saldırgan yönetici yetkisi ele geçirdikten sonra günlerce fark edilmeden dolaşabilir. En büyük hasar, en yüksek yetkinin sessizce kullanılmasından gelir; ayrıcalıklı hesap izleme, bu sessizliği bozan alarmdır.
Kriz Anı: Güvenlik Olay Müdahalesi
Güvenlik olay müdahalesi (incident response), bir saldırı gerçekleştiğinde paniklemeden, önceden tanımlı adımlarla hasarı sınırlayıp sistemi kurtarma sürecidir. Bir ülkenin afet ve acil durum planı gibi: deprem anında ne yapılacağının kriz anında değil, öncesinde belirlenmiş olması gerekir. Müdahale planı olmayan kurum, yangını yangın anında söndürmeye çalışan, hortumun yerini o an arayan bir yapıya benzer.
İyi bir müdahale dört evrede ilerler: tespit (bir şey oldu), sınırlama (yayılmayı durdur), temizleme (tehdidi kaldır) ve kurtarma (normale dön). Bu evrelerin her biri önceden planlanmış olmalı; kriz anı, plan yapma zamanı değil plan uygulama zamanıdır.
Fidye Yazılımı: İlk Saatlerde Ne Yapılmalı?
Fidye yazılımı saldırısında ilk saatler, hasarın boyutunu belirleyen en kritik penceredir. Bir salgının ilk saatlerinde hastanın izole edilmesi nasıl yayılmayı belirliyorsa, bir fidye yazılımının ilk saatlerinde etkilenen sistemlerin ağdan koparılması da felaketin çapını belirler. Panik veya yanlış hamle, sınırlanabilecek bir olayı tüm kuruma yayar.
Doğru ilk adımlar nettir: etkilenen makineleri ağdan izole edin, kapatmadan önce mümkünse durumu delil olarak kaydedin, fidyeyi hemen ödemeyin ve bir uzmana ulaşın. Fidye ödemek ne verinin geri geleceğini garanti eder ne de bir daha hedef olmayacağınızı; asıl kurtarma yolu, saldırıdan etkilenmemiş sağlam bir yedektir.
Yedekleme ve Kurtarma: Son Savunma Hattı
Yedekleme, tüm diğer savunmalar aşıldığında geriye kalan son ve en belirleyici savunma hattıdır. Bir ülkenin kritik tohumlarını, kayıtlarını ve değerlerini uzak ve korunaklı bir depoda (Svalbard Küresel Tohum Deposu gibi) saklaması gibi, kurum da verisinin bir kopyasını saldırının ulaşamayacağı bir yerde tutmalıdır. Her şey kaybedildiğinde geri dönülecek nokta, bu kopyadır.
Sağlam bir yedekleme 3-2-1 kuralına uyar: verinin en az üç kopyası, iki farklı ortamda, biri tesis dışında. Kritik olan nokta, yedeğin fidye yazılımının erişemeyeceği şekilde ayrılmış (offline veya değiştirilemez) olmasıdır; aksi halde saldırı yedeği de şifreler ve son savunma hattı da düşer.
Sahada en acı tablo, “yedeğimiz var” sanıp kriz anında yedeğin ya bozuk ya da saldırıyla birlikte şifrelenmiş olduğunu görmektir. Test edilmemiş yedek, yedek değildir; kurtarma provası yapılmamış bir plan, ihtiyaç anında çalışacağının garantisini vermez.
En Zayıf Halka: İnsan ve Farkındalık Eğitimi
Çalışan farkındalığı, en gelişmiş teknik savunmanın bile bağlı olduğu son ve en kırılgan halkadır. Bir ülkenin sınırı ne kadar sağlam olursa olsun, içerideki bir görevli kandırılıp kapıyı açarsa savunma çöker; güvenliğin zinciri, en zayıf halkası kadar güçlüdür. Ve bu halka neredeyse her zaman teknoloji değil, insandır.
Saldırıların büyük kısmı bir yazılım açığından değil, bir insanı kandırmaktan (sosyal mühendislik) başlar: sahte bir e-posta, acele ettiren bir mesaj, güven veren bir taklit. Milyonluk güvenlik yatırımı, tek bir çalışanın oltalama bağlantısına tıklamasıyla aşılabilir.
Oltalama ve Sosyal Mühendislik: Kapıyı İçeriden Açtırmak
Oltalama (phishing), meşru görünen sahte bir mesajla kullanıcıyı parolasını vermeye veya zararlı bir bağlantıya tıklamaya ikna etmektir. Bir dolandırıcının resmi kılıkta kapıya gelip görevliyi ikna etmesi gibi, saldırgan da tanıdık bir kurumun kılığında gelir: bankanız, kargonuz, yöneticiniz. Kapı zorlanmaz, içeriden açtırılır.
Teknik önlemler (spam filtresi, bağlantı taraması) bu riski azaltır ama sıfırlamaz; çünkü hedef sistem değil, insan kararıdır. Bu yüzden savunmanın bir katmanı da eğitimdir: çalışanların şüpheli mesajı tanıması, acele ettiren taleplere direnmesi ve tıklamadan önce durup düşünmesi.
Saha gerçeği şu ki, “bizim çalışanlar bunlara kanmaz” diyen kurumlar, kontrollü bir oltalama testinde çoğu zaman şaşırır. Farkındalık bir kere anlatılan bir slayt değil, düzenli tekrarlanan bir reflekstir; test edilmeyen ve tazelenmeyen bilinç, zamanla körelir.
Güvenlik Kültürü: Kalıcı Bir Alışkanlık İnşa Etmek
Güvenlik kültürü, güvenliğin BT biriminin işi olmaktan çıkıp tüm kurumun günlük alışkanlığına dönüşmesidir. Bir toplumda trafik güvenliğinin sadece polisin değil her sürücünün refleksi haline gelmesi gibi, kurumsal güvenlik de herkesin sahiplendiği bir davranış olduğunda gerçek anlamda çalışır. Tek başına BT’ye yüklenen güvenlik, kalıcı olamaz.
Bunun karşılığı; parola hijyeni, şüpheli durumu bildirme alışkanlığı, cihaz kilitleme, veri paylaşımında dikkat gibi küçük ama sürekli davranışların norm haline gelmesidir. Bunlar tek seferlik bir kurulumla değil, yönetimin de sahiplendiği sürekli bir kültürle oturur.
En kalıcı güvenlik, en pahalı cihazda değil, herkesin refleksinde yaşar. Bir kurumda güvenlik “BT’nin sorunu” olarak görüldüğü sürece hep bir açık kalır; herkesin sorunu olduğunda ise, en zayıf halka en güçlü savunmaya dönüşür.
Sonuç: Güvenlik Bir Ürün Değil, Sürekli Bir Nöbettir
Siber güvenlik tek seferde satın alınıp bir kenara konan bir ürün değil, her gün yeniden tutulan bir nöbettir. Bir ülkenin güvenliği tek bir surla değil, sınırından istihbaratına, iç güvenliğinden yasasına ve en önemlisi insanına kadar uzanan katmanların sürekli işleyişiyle sağlanır. Bir katmana yapılan dev yatırım, diğerleri ihmal edildiğinde boşa gider; güç, katmanların birlikteliğindedir.
Serçe Bilişim olarak siber güvenliği bir korku pazarlaması olarak değil, kurulabilir ve yönetilebilir bir disiplin olarak ele alıyoruz. Firewall ve segmentasyondan sistem sertleştirmesine, 5651 ve KVKK uyumundan sürekli izlemeye ve çalışan farkındalığına kadar tüm katmanları tek elden, sizin ihtiyacınıza göre kurup yönetiyoruz. Amacımız sizi tehditle korkutmak değil, tehdit geldiğinde hazır olmanızı sağlamaktır.
Hızlı Güvenlik Check-up Listesi
- Firewall kuralları güncel ve gereksiz açık portlar kapalı mı?
- İç ağ segmentlere (VLAN) ayrılmış, misafir ağı yalıtılmış mı?
- Uzaktan erişimde çok faktörlü kimlik doğrulama (MFA) zorunlu mu?
- Sunucu ve istemcilerde güvenlik yamaları düzenli uygulanıyor mu?
- 5651 erişim kayıtları merkezi, zaman damgalı ve yedekli tutuluyor mu?
- Log kayıtları sadece tutuluyor mu, yoksa izleniyor mu (SIEM)?
- Saldırıdan izole, test edilmiş bir yedeğiniz var mı (3-2-1)?
- Çalışanlar düzenli farkındalık eğitimi alıyor mu?
Siber Güvenlik Hakkında Sık Sorulan Sorular
Yazan
İlker PehlivanKurucu | Ağ ve Sistem Yöneticisi
İlker Pehlivan, karmaşık BT altyapılarını ölçeklenebilir ve güvenli sistemlere dönüştüren bir ağ ve sistem mühendisidir. Şirketlere özel teknoloji rehberleri burada.
Ücretsiz Değerlendirme
Bu hizmet hakkında bilgi alın
Projenizi konuşmak için bize ulaşın. İlk değerlendirme ücretsizdir.
İçindekiler
Derinlemesine Okuma
Uzmanlık Makaleleri
5651 Sayılı Kanun: İnternet Log Yönetimi ve Uyum Çözümleri
5651 sayılı kanun kapsamında internet log kayıt yükümlülükleri, teknik gereksinimler ve uyum çözümleri. Kimler yükümlü, ne kadar saklanmalı, ceza riski nedir?
Devamını okuSiber Güvenlik Sıkılaştırma (Hardening) Hizmetleri
Siber güvenlik sıkılaştırma ile sunucu, ağ cihazı ve uç nokta güvenlik açıklarınızı CIS Benchmark ve NIST standartlarına göre uçtan uca kapatıyoruz.
Devamını okuÜcretsiz Değerlendirme
Siber Güvenlik Hizmetleri ve 5651 Uyum Çözümleri için teklif alın.
Mevcut altyapınızı inceler, ihtiyaçlarınızı anlar ve size özel çözüm önerir, ücretsiz sunarız.