Bir müşterimizde yaptığımız bir çalışmasında, ilk etapta hedef sistemlere erişmenin oldukça zor olacağını düşündük. EDR vardı, SIEM kuruluydu, loglar toplanıyordu, kullanıcılar iki kademeli kimlik doğrulaması kullanıyordu… Her şey yerli yerindeydi.
Ama sadece 3 saat içinde, sessizce domain admin haklarını aldık. Neden mi?
• EDR ajanları bazı makinelerde kurulu değildi.
• SIEM’e log gönderildiği sanılan bazı sistemler aslında 2 aydır bağlantı kuramıyordu.
• Bir IT çalışanın MFA’sı, “tatilde sorun çıkmasın” diye geçici olarak kapatılmıştı… ama açılmamıştı.
• Yerel ağ segmentasyonu kurallarından bir tanesi bir gevşek yazılmıştı.
Kâğıt üzerinde her şey vardı. Ama gerçekte? “Ne EDR’lar, ne SIEM’ler, ne antivirüsler gördük, zaten yoktular” dedirtecek biçimde; kontroller ya eksikti ya da devre dışıydı.
“Bizde Böyle Değil”
Bu kısmı “bizde öyle değildir” diye okuyanlara ufak bir hatırlatma:
Rapid7 2025 ilk çeyreğinde görülen saldırıların ilk giriş vektörlerini şöyle sıralıyor:
1. Kullanıcı hesabının ele geçirilmesi (MFA yok veya devrede değil)
2. Bilinen zafiyetin istismar edilmesi (Yama yayımlanmış, bilinen açık)
3. Kaba kuvvet parola tahmini (CAPTCHA, vb. tedbirler alınmamış)
4. Erişilebilen RDP
5. SEO zehirlemesi (çalışanların aradıkları siteye değil, çıkan reklama veya daha üst sırada yer alan bir sayfaya gitmeleri)
Bunun yanında bir de şunu düşünelim: hacklendiğini duyduğunuz bütün kuruluşları (en büyükten, en küçüğe) düşünün… hepsinde sizin kadar veya daha fazla güvenlik yatırımı vardı. Anlaşılacağı üzere, etkin kullanılmayan güvenlik çözümleri her sektörde ve her ölçekteki kuruluşta karşılaşılan bir durum.
“Gerçek Risk, Varsayımlarda Yatar”
Kuruluşlarda gördüğümüz en yaygın güvenlik açıklarının başında, “bu kontrol bizde var” rahatlığı geliyor. Ancak bir kontrolün var olması, onu otomatik olarak etkili kılmaz. Gerçek saldırganlar, dokümantasyonla değil zafiyetle ilgilenir.
Bu boşluklar genellikle şu sebeplerden kaynaklanır:
• Bölümlenmiş Güvenlik Yaklaşımı: Farklı departmanların ve ekiplerin birbirinden bağımsız çalışması. (Örn. Firewall’a Network ekibi bakıyor, SIEM Siber Güvenlik ekibinde, Bilgi Güvenliği Politikalarını Bilgi Güvenliği ekibi yazıyor ama bunların düzenli ve etkin bir iletişimleri ve işbirlikleri yok)
• Eksik Yapılandırma: Güvenlik teknolojilerinin optimum yapılandırma olmadan uygulanması (Bkz. Iki next bir finish kurulan güvenlik çözümleri veya “sadece kurmayı bilen” arkadaşların yapılandırdığı çözümler)
• Test Eksikliği: Güvenlik kontrollerinin gerçek dünya senaryolarına karşı düzenli test edilmemesi (Kurulum sonra etkinlik testi yapılmadıysa bu sorun sizde var)
• Değişim Yönetimi Sorunları: Yeni sistemlerin ve uygulamaların güvenlik mimarisine düzgün entegre edilmemesi (Napoleon sağ olsaydı ve bizim meslekte çalışsaydı o söz “Entegrasyon, Entegrasyon ve Entegrasyon” olurdu)
Güvenlik Boşluklarını Nasıl Tespit Edersiniz?
Teknik Ekipler İçin:
1. Kapsamlı Güvenlik Mimari İncelemesi:
• Mevcut güvenlik kontrollerinizin bir envanterini çıkarın
• Her kontrolün kapsama alanını ve sınırlarını tanımlayın
• Potansiyel kör noktaları ve örtüşmeleri haritalayın
2. Proaktif Test Uygulamaları:
• Düzenli güvenlik açığı taramaları ve sızma testleri gerçekleştirin
• Varsayım-odaklı güvenlik testleri uygulayın (Varsayım-temelli test): Bu yaklaşımda güvenlik kontrollerinizin etkinliğini belirli varsayımlar üzerinden test edersiniz. Örneğin:
o Varsayım: “Web Uygulama Güvenlik Duvarımız (WAF) tüm SQL enjeksiyon saldırılarını engeller” → Test: WAF’ı bypass etmeye çalışan çeşitli SQL enjeksiyon saldırı vektörlerini test edin
o Varsayım: “Çok faktörlü kimlik doğrulama sistemimiz hesap ele geçirme saldırılarını önler” → Test: MFA sistemini atlama yöntemleri (SMS yönlendirme, sosyal mühendislik, oturum çalma vs.) ile sistemi test edin
o Varsayım: “Veri tabanı sunucularımız yalnızca yetkilendirilmiş IP adreslerinden erişilebilir” → Test: Yetkilendirilmemiş ağ konumlarından erişim sağlama yöntemlerini deneyin
o Varsayım: “DLP çözümümüz hassas verilerin e-posta yoluyla sızmasını engeller” → Test: Çeşitli veri gizleme ve kodlama teknikleri kullanarak DLP sisteminin atlatılıp atlatılamayacağını test edin
• Mor takım çalışmaları ile gerçek dünya saldırı senaryolarını simüle edin: Mor takım yaklaşımı, saldırı (kırmızı takım) ve savunma (mavi takım) ekiplerinin işbirliği içinde çalışmasıdır. Bu yöntemle:
o Bir finans kurumu için gerçekleştirdiğimiz mor takım çalışmasında, kırmızı takım bir APT grubunun taktiklerini kullanarak (spear-phishing, uzaktan erişim truva atı ve bilinen sistem yönetimi araçlarını kötüye kullanma) ağa sızma girişiminde bulunurken, mavi takım bu saldırıları gerçek zamanlı olarak tespit etmeye ve engellemeye çalıştı. Bu çalışma sayesinde, kurum SIEM kurallarındaki eksiklikleri ve EDR çözümünün yanlış yapılandırılmış ayarlarını tespit etti.
o Bir sanayi kuruluşunda, OT/ICS sistemlerine yönelik hedefli bir saldırı senaryosu oluşturuldu. Kırmızı takım, IT ve OT ağları arasındaki segmentasyon eksikliklerini kullanarak kritik üretim sistemlerine erişim sağlarken, mavi takım anormali tespiti ve olay müdahale prosedürlerini test etti. Bu çalışma, güvenlik izleme sistemlerinin endüstriyel protokolleri düzgün şekilde izleyemediğini ortaya çıkardı.
o Bir e-ticaret platformu için, ödeme sistemlerine odaklanan bir mor takım alıştırması gerçekleştirildi. Kırmızı takım, API güvenlik açıklarını kullanarak ödeme işlem sürecine müdahale etmeye çalışırken, mavi takım güvenlik kontrollerinin etkinliğini ve olay müdahale süreçlerini değerlendirdi. Sonuçta, API ağ geçidi güvenlik kurallarının ve anormal işlem tespiti mekanizmalarının iyileştirilmesi gerektiği belirlendi.
3. Veri Analizi ve Görünürlük:
• SIEM çözümünüzden gelen verileri analiz ederek tespit boşluklarını belirleyin
• Ağ trafiği analiziyle kör noktaları tespit edin
• Güvenlik kontrollerini atlatabilecek anomalileri izleyin
Yönetim Ekipleri İçin:
1. Güvenlik Kontrol Çerçeveleri ve Olgunluk Değerlendirmeleri:
• NIST CSF, ISO 27001 veya CIS Controls gibi çerçevelere karşı kurumunuzu değerlendirin
• Her güvenlik kontrol kategorisi için olgunluk seviyenizi ölçün
• Endüstri benchmark’ları ile karşılaştırın
2. Risk Bazlı Yaklaşım:
• Kritik varlıklarınızı ve korumak için gereken kontrolleri belirleyin
• Mevcut kontrollerin etkinliğini bu kritik varlıklar bağlamında değerlendirin
• Boşlukların giderilmesini risk azaltma potansiyeline göre önceliklendirin
Güvenlik Kontrol Boşluklarını Nasıl Azaltırsınız?
1. Kademeli Savunma Mimarisine Geçin:
• Tek bir kontrol noktasına güvenmek yerine, katmanlı bir savunma stratejisi benimseyin
• Her güvenlik kontrol katmanının diğerleriyle nasıl etkileşimde bulunduğunu anlayın
• Farklı güvenlik teknolojileri arasında örtüşen ve tamamlayıcı koruma sağlayın
2. Entegrasyon ve Otomasyon:
• Güvenlik araçlarınızı birbirleriyle iletişim kuracak şekilde entegre edin
• Tehdit istihbaratını otomatik olarak güvenlik kontrollerine besleyin
• Olay yanıtını, tespit ile koruma arasındaki süreyi minimize edecek şekilde otomatikleştirin
3. Sürekli Doğrulama:
• Güvenlik kontrollerinin etkinliğini düzenli olarak test edin
• Varsayımlarınızı sorgulayın ve doğrulayın
• Yeni tehditlere ve saldırı vektörlerine karşı kontrollerinizi güncel tutun
4. Bütünsel Yaklaşım:
• Teknik, fiziksel ve insan odaklı güvenlik kontrollerini birlikte değerlendirin
• Güvenlik ekibi, BT ekibi ve iş birimleri arasındaki iletişimi güçlendirin
• Güvenlik boşluklarını kapama stratejinizi kurumsal hedeflerinizle uyumlu hale getirin