Bloga geri dön
1. GİRİŞ
Dijital dünyada sistemler, IoT ve internet ile beraber ağ teknolojilerinin, güvenliği ülkeler, kurumlar, toplumlar ve insanlar için kritik seviyelere gelmiş durumdadır. Bu alanda etkili ve güvenli iletişim, güvenli bilgi, paylaşım ve saklama konularında gelişen teknolojilere uyum sağlama ve bununla beraber savunma oluşturabilmek için ortak terminolojilere hakimiyet ve uyum sağlamak kadar esastır. Bu makale, siber güvenlik ekosistemini oluşturan temel kavramları incelemektedir. Dijital günümüz dünyasında, bilgi ve iletişim teknolojileri hayatın her alanında vazgeçilmez bir rol oynamaktadır. Bu teknolojik ilerleme, beraberinde yeni ve karmaşık güvenlik risklerini de getirmektedir. Siber güvenlik, bu dijital varlıkları korumak, siber saldırıları önlemek ve olası bir saldırı durumunda zararı en aza indirmek için oluşturulmuş alanlardan oluşmaktadır. Siber güvenliğin üç temel direği olan tehdit, savunma ve analiz kavramlarını terminolojik bir çerçevede ele alınmıştır.
2. TEHDİT
2.1. Siber Tehdit Nedir?
Siber tehditler, teknoloji dünyasında bir varlığın gizliliğini, bütünlüğünü veya erişilebilirliğini (CIA Triad) ihlal etme potansiyeli taşıyan eylemler veya olaylardır. Saldırı vektörleri ise bu tehditlerin sisteme nüfuz etmek için kullandığı yollardır. Siber tehdit, bir bilgisayar ağına veya dijital bir varlığa zarar verme, verileri çalma, hizmetleri kesintiye uğratma veya başka kötü niyetli eylemlerde bulunma potansiyeli taşıyan her türlü durum, olay veya aktör olarak tanımlanabilmektedir. Tehditler, kasıtlı (saldırganlar tarafından) veya kasıtsız (kullanıcı hataları gibi) olabilir ve sürekli olarak evrimleşerek daha güncel ve karmaşık hale gelmekte olarak özetlenebilir.
2.2. Tehditler ve Saldırılar:
• Zararlı Yazılım (Malware): "kötü amaçlı yazılım" (malicious software) ifadesinin kısaltmasıdır. Temel amacı, bir bilgisayar sistemine, sunucuya veya ağa kullanıcının izni olmadan sızmak, zarar vermek, işleyişini bozmak veya hassas bilgileri çalmaktır.
• Virüsler (Viruses): Adını biyolojik virüslere benzer şekilde, bir "konak" dosyaya veya programa yapışarak yayılmalarından alırlar. Bir virüs bulaşmış bir program çalıştırıldığında veya bir dosya açıldığında, virüs de aktif hale gelir ve kendini diğer temiz dosyalara kopyalayarak yayılmaya başlar. Sistem dosyalarını bozabilir, verileri silebilir veya bilgisayarı çalışmaz hale getirebilirler.
• Solucanlar (Worms): Virüslerden en temel farkı, yayılmak için bir konak dosyaya veya insan müdahalesine (örneğin bir dosyayı çalıştırma) ihtiyaç duymamalarıdır. Ağ üzerindeki güvenlik açıklarından faydalanarak kendi kendilerine bir sistemden diğerine yayılırlar. Bu özellikleri nedeniyle çok hızlı bir şekilde geniş ağlara bulaşabilirler.
Genellikle ağ bant genişliğini tüketerek sistemleri yavaşlatırlar veya diğer zararlı yazılımları indirmek için bir arka kapı oluştururlar.
• Truva Atları (Trojan): Adını mitolojideki Truva Atı efsanesinden alır. Meşru ve zararsız bir yazılım (örneğin bir oyun, bir yardımcı program) gibi görünerek kullanıcıyı kandırır ve sisteme yüklenmesini sağlar. Bir kez etkinleştirildiğinde, asıl kötü niyetli görevini yerine getirir. Bu görev, genellikle saldırganın sisteme uzaktan erişim sağlaması (bir "arka kapı" oluşturması), klavye vuruşlarını kaydetmesi, hassas verileri çalması veya sisteme başka zararlı yazılımlar yüklemesidir.
• Casus Yazılımlar (Spyware): Kullanıcının haberi olmadan bilgisayara sızan ve kullanıcının internet aktiviteleri, klavye girişleri (şifreler dahil), e-posta adresleri gibi kişisel bilgilerini toplayıp bunları üçüncü taraflara gönderen yazılımlardır. Amacı tamamen bilgi hırsızlığı ve casusluk yapmaktır.
• Fidye Yazılımları (Ransomware): Bir kullanıcının veya kurumun dosyalarını şifreleyerek erişilemez hale getiren ve dosyaların geri verilmesi için fidye talep eden bir zararlı yazılım türüdür.
• APT (Advanced Persistent Threat)-Gelişmiş Sürekli Tehdit: Genellikle devlet destekli veya yüksek organizasyonel yeteneğe sahip tehdit aktörleri tarafından yürütülen uzun soluklu ve hedefe yönelik saldırı kampanyalarıdır. APT'lerin temel özelliği, sisteme sızdıktan sonra tespit edilmeden (persistence) kalıcı erişim sağlamak ve stratejik öneme sahip verileri sürekli olarak sızdırmaktır.
• Botnet: Siber saldırganlar tarafından ele geçmiş ve Komuta-Kontrol (C2) sunucusu üzerinden uzaktan yönettiği, kötü amaçlı yazılımlar tarafından enfekte edilmiş ve ele geçmiş (bilgisayar, IoT cihazı vb.) cihazlardır. DDoS saldırıları, spam gönderimi ve kripto para madenciliği gibi yasal olmayan amaçlar doğrultusunda için kullanılırlar.
• Buffer Overflow - Arabellek Taşması: Bir programın, kendisine ayrılan bellek alanından (buffer) daha büyük veriyi işlemeye çalışması sonucu ortaya çıkan bir programlama zafiyetidir. Bu durum, programın çökmesine veya daha tehlikelisi, saldırganın bellek taşması yoluyla sisteme rastgele kod enjekte ederek sistem üzerinde kontrol sağlamasına olanak tanır.
• DoS & DDoS - Hizmet Engelleme : DoS, tek bir kaynaktan hedef sistemin kaynaklarını (bant genişliği, CPU, bellek) tüketerek meşru kullanıcıların hizmet almasını engellemeyi amaçlar. DDoS ise bu saldırının, genellikle bir botnet aracılığıyla, çok sayıda coğrafi olarak dağınık kaynaktan eş zamanlı olarak gerçekleştirilmesiyle etkisini katbekat artıran versiyonudur.
• Ağ Dinleme (Sniffing): Ağ trafiğini pasif olarak izleyerek, şifrelenmemiş veri paketlerinin (protokoller arası veri trafiği, kişiler arası ya da makinalar arası trafiği) içeriğini yakalama amaçlamaktadır.
2 Sosyal Mühendislik (Social Engineering): Teknik zafiyetler yerine insan psikolojisini ve zaaflarını (güven, korku, merak) hedef alan manipülasyon saldırı yöntemidir. En yaygın türleri şunlardır:
• Oltalama (Phishing): Genellikle e-posta yoluyla, güvenilir bir kurum (banka, sosyal medya platformu) taklit edilerek gönderilen ve kurbanı sahte bir web sitesine yönlendirerek kimlik bilgilerini çalmayı hedefleyen saldırılardır.
• Hedefli Oltalama (Spear Phishing): Belirli bir kişi veya gruba özel olarak, detaylı ön araştırma yapılarak hazırlanmış, son derece ikna edici oltalama saldırısıdır. • Balina Avı (Whaling): Yüksek seviyeli yöneticiler gibi yüksek profilli hedeflere yönlendirilen tehdit türüdür.
• Sesli Oltalama (Voice Phishing): Oltalama saldırısının VoIP gibi sesli iletişim teknolojileri kullanılarak yapılmasıdır.
• Kimlik Sahtekarlığı (Spoofing): Bir iletişim kaynağının (IP adresi, e-posta göndericisi, domain bilgisi) kimliğini taklit ederek, iletişimin meşru bir kaynaktan geldiği izlenimini yaratma eylemidir.
• Spam: Genellikle reklam amaçlı, ancak bazen kötü amaçlı bağlantılar veya ekler de içeriklerle istenmeyen ve toplu olarak gönderilen elektronik iletilerdir.
Kaynak: Ulusal Siber Olaylara Müdahale Merkezi (USOM)
3. SAVUNMA
3.1. Siber Savunma Nedir?
Siber savunma, bilgi sistemlerini, ağları ve verileri siber tehditlere karşı korumak için uygulanan teknoloji, süreç ve uygulamaların bütünüdür. Proaktif (önleyici) ve reaktif (müdahale edici) stratejileri içerir. Amaç, saldırı yüzeyini daraltmak, saldırıları erken aşamada tespit etmek ve engellemektir.
3.2. Temel Savunma Mekanizmaları
Güvenlik Duvarı (Firewall): Ağ trafiğini önceden belirlenmiş güvenlik kurallarına göre izleyen ve filtreleyen, böylece yetkisiz erişimleri engelleyen bir ağ güvenlik sistemidir.
Antivirüs: İmza tabanlı veya davranışsal analiz (heuristic) yöntemleriyle sistemlerdeki bilinen kötü amaçlı yazılımları tespit eden, karantinaya alan ve silen yazılımdır.
Saldırı Tespit ve Önleme Sistemleri (IDS/IPS):
• IDS (Intrusion Detection System): Ağ veya sistem trafiğini izleyerek şüpheli aktiviteleri ve bilinen saldırı paternlerini tespit eder ve bir uyarı (alert) üretir.
• IPS (Intrusion Prevention System): IDS'in bir adım ötesine geçerek, tespit ettiği tehditleri aktif olarak engelleme (örneğin, zararlı paketi düşürme veya bağlantıyı sonlandırma) yeteneğine sahiptir.
Korumalı Alan (Sandboxing): Şüpheli bir dosya veya uygulamanın, ana işletim sisteminden izole edilmiş, sanal bir ortamda çalıştırılarak davranışlarının analiz edilmesidir. Potansiyel zararın ana sisteme yayılması engellenir.
Arındırılmış Bölge (DMZ - Demilitarized Zone): İç (güvenilir) ağ ile dış (güvenilmeyen) internet arasına konumlandırılan, web sunucusu gibi kamuya açık hizmetlerin barındırıldığı tampon bir ağ segmentidir. DMZ'ye yönelik bir saldırının iç ağa sıçraması engellenir.
Bal Küpü (Honeypot): Kasıtlı olarak zafiyetli bırakılmış ve sahte verilerle donatılmış, saldırganları çekmek ve onların Taktik, Teknik ve Prosedürlerini (TTPs) analiz etmek için kullanılan bir tuzak sistemidir. Bir istihbarat toplama aracıdır.
Güçlü Kimlik Doğrulama: Kullanıcıların kimliklerini doğrulamak için sadece parola değil, aynı zamanda çok faktörlü kimlik doğrulama (MFA – 2FA) gibi ek güvenlik katmanlarının kullanılmasını içerir.
Güvenlik Farkındalığı Eğitimi: Kurum çalışanlarını oltalama, sosyal mühendislik ve diğer tehditler konusunda bilgilendirerek insan faktöründen kaynaklanan riskleri en aza indirmeyi hedefler.
Kaynak: https://gelecegiyazanlar.turkcell.com.tr/blog/honeypot-bal-kupu-kavrami
4. ANALİZ
4.1. Siber Güvenlik Analizi Nedir?
Siber güvenlik analizi, bir kurumun güvenlik duruşunu anlamak, potansiyel zafiyetleri tespit etmek, tehditleri belirlemek ve güvenlik olaylarını soruşturmak için veri toplama, işleme ve değerlendirme sürecidir. Analiz, savunma mekanizmalarının etkinliğini ölçmek ve gelecekteki saldırılara karşı hazırlıklı olmak için kritik öneme sahiptir.
4.2. Önemli Analiz Süreçleri
• Günlük (Log) Yönetimi ve Analizi: Ağ cihazları, sunucular ve uygulamalar tarafından üretilen günlük kayıtlarının merkezi olarak toplanması, saklanması ve potansiyel güvenlik ihlallerini tespit etmek için incelenmesidir.
• Güvenlik Bilgi ve Olay Yönetimi (SIEM): Farklı kaynaklardan gelen güvenlik verilerini (loglar, uyarılar vb.) gerçek zamanlı olarak toplayan, ilişkilendiren ve analiz ederek anlamlı güvenlik olaylarını tespit eden ve uyarılar üreten sistemlerdir.
• Siber Tehdit İstihbaratı (Cyber Threat Intelligence): Mevcut ve potansiyel tehditler hakkında bilgi toplama, işleme ve analiz etme sürecidir. Bu istihbarat, kurumların proaktif bir savunma stratejisi geliştirmesine yardımcı olur.
• Olay Müdahalesi (Incident Response): Bir güvenlik ihlali meydana geldiğinde, saldırının etkisini sınırlamak, sistemi kurtarmak ve gelecekteki benzer olayları önlemek için izlenen planlı yaklaşımdır.
5. SONUÇ
Siber güvenlik, dinamik ve sürekli gelişen bir alandır. Bu makalede incelenen tehdit, savunma ve analiz kavramları, etkili bir siber güvenlik stratejisinin birbirinden ayrılmaz parçalarıdır. Tehditleri anlamadan sağlam bir savunma inşa etmek mümkün değildir. Aynı şekilde, savunma mekanizmalarının etkinliğini ve ortaya çıkan yeni tehditleri sürekli olarak analiz etmeden bu savunmayı güncel ve işlevsel tutmak imkansızdır. Bu üç temel unsurun bir döngü içinde sürekli olarak birbirini beslediği, proaktif ve bütüncül bir yaklaşımla kurumlar ve bireyler dijital dünyadaki varlıklarını daha etkin bir şekilde koruyabilirler.
6. KAYNAKÇA
• Bilgi Teknolojileri ve İletişim Kurumu (BTK). (2025). Siber Güvenlik Gelişim Programı. https://kariyerrehberi.btkakademi.gov.tr/gelisim_programlari/siber guvenlik.html
• https://gelecegiyazanlar.turkcell.com.tr/egitimler/siber-guvenlik-analisti
• https://www.kaspersky.com/resource-center/definitions/spear-phishing
• https://gelecegiyazanlar.turkcell.com.tr/blog/honeypot-bal-kupu-kavrami
• https://gelecegiyazanlar.turkcell.com.tr/blog/sosyal-muhendislik-nedir-social engineering
