Siber saldırılar çeşitlidir; amaçları veri hırsızlığı, hizmet kesintisi, kimlik çalma veya finansal kazanç olabilir. Etkili bir savunma, saldırı türlerini bilmek ve her tür için uygun önlemleri uygulamaktan geçer. Bu rehberde en yaygın saldırı türlerini, tespit yöntemlerini ve her birine karşı uygulanabilecek koruma adımlarını ayrıntılı biçimde açıklıyorum.
Saldırı türlerini bilmek:
Olay anında hızlı ve doğru müdahale etmenizi sağlar,
Önleyici güvenlik yatırımlarını doğru hedeflendirir,
Risk yönetimi ve uyumluluk (compliance) gereksinimlerini karşılamaya yardımcı olur.
Aşağıda sıralanan saldırı türleri hem küçük sitelere hem kurumsal altyapılara yönelik yaygın tehditleri kapsar.
Tanım: Kullanıcıları kandırarak kimlik bilgilerini, kredi kartı verilerini veya hassas dosyaları ele geçirme amaçlı sahte e-postalar veya web sayfaları.
Belirti: Beklenmedik e-posta istekleri, sahte giriş formları, kullanıcı şikayetleri.
Korunma: Kullanıcı eğitimi, e-posta filtreleri, DMARC/DKIM/SPF kayıtları, 2FA (iki faktörlü kimlik doğrulama).
Tanım: Zararlı yazılımlar; ransomware dosyaları şifreleyerek fidye talep eder.
Belirti: Dosya şifrelenmesi, normal süreçlerin yavaşlaması, bilinmeyen süreçler.
Korunma: Endpoint antivirüs/EDR, düzenli yedekleme, uygulama beyaz listeleme, güncel yamalar, kullanıcı yetki minimizasyonu.
Tanım: Hedefe aşırı trafik göndererek hizmetin kullanılamaz hale getirilmesi.
Belirti: Ani trafik patlamaları, yüksek CPU/Network kullanım, erişim kesintileri.
Korunma: CDN + WAF + DDoS mitigasyon servisi, rate limiting, trafik filtreleme, yük dengeleme.
Tanım: Kötü niyetli SQL kod parçalarının veritabanı sorgularına enjekte edilmesi.
Belirti: Beklenmeyen veri sızıntıları, veri bütünlüğü sorunları, anormal sorgu logları.
Korunma: Parametreli sorgular/prepared statements, ORM kullanımı, WAF, input validasyonu, veritabanı ayrıcalıklarını kısıtlama.
Tanım: Kullanıcı girdisinin uygun şekilde temizlenmemesi sonucu zararlı scriptlerin başka kullanıcıların tarayıcısında çalıştırılması.
Belirti: Kullanıcı oturumlarının çalınması, beklenmeyen yönlendirmeler, grafiksel değişiklikler.
Korunma: Output encoding, Content Security Policy (CSP), input sanitization, framework güvenlik güncellemeleri.
Tanım: İki taraf arasındaki iletişimin gizlice dinlenmesi/ortalama müdahale edilmesi.
Belirti: SSL uyarıları, beklenmeyen kimlik doğrulama sorunları.
Korunma: TLS/HTTPS zorunluluğu, HSTS, güvenli Wi-Fi kullanımı, sertifika pinning (gerektiğinde).
Tanım: Kaba kuvvetle kullanıcı adı/parola denemeleri veya sızdırılmış kimlik bilgileriyle otomatik giriş denemeleri.
Belirti: Çok sayıda başarısız giriş denemesi, IP blokları.
Korunma: Hesap kilitleme politikaları, rate limiting, CAPTCHA, 2FA, parola politikaları, izinsiz giriş tespitleri.
Tanım: Henüz yamalanmamış veya bilinmeyen bir yazılım açığını sömüren saldırılar.
Belirti: Anormal davranış; spesifik imzaya dayalı tespit zor.
Korunma: Ağ segmentasyonu, uygulama davranış izleme (ABM), hızlı yamalama süreçleri, EDR.
Tanım: Güvenilen bir tedarikçi veya üçüncü parti yazılım üzerinden sisteme sızma.
Belirti: Doğrudan görünür saldırı yerine arka kapı davranışları.
Korunma: Tedarikçi güvenlik değerlendirmesi, imza doğrulamaları, bağımsız kod taraması, bağımlılık yönetimi.
Tanım: Meşru erişime sahip kişilerin kasıtlı veya kazara zararlı eylemleri.
Belirti: Beklenmeyen veri erişimleri, anormal davranışlar.
Korunma: En az ayrıcalık, erişim loglama, veri kaybı önleme (DLP), düzenli denetimler.
SIEM (Security Information and Event Management): Log toplama, korelasyon ve uyarı.
EDR (Endpoint Detection & Response): Uç nokta davranış analizi.
NIDS / NIPS (Network Intrusion Detection/Prevention): Ağdaki kötüye kullanım imzalarını yakalar/engeller.
WAF (Web Application Firewall): Web uygulaması katmanı tehditlerini filtreler.
Sürekli log ve metrik izleme: CPU, memory, ağ, uygulama logları (Grafana/Prometheus/ELK/Graylog).
Güçlü parola ve 2FA politikası uygulayın.
Yazılım/yama yönetimi (patch management) süreçleri kurun.
Ağ segmentasyonu ile kritik sistemleri izole edin.
Yedekleme stratejisi (offline ve off-site) oluşturun ve test edin.
Güvenlik duvarı (firewall) ve WAF konfigürasyonu yapın.
Gereksiz servisleri kapatın; sadece ihtiyaç duyulan portları açık bırakın.
Uygulama güvenliği testleri (SAST/DAST) ve kod incelemeleri yapın.
Tedarikçi güvenlik değerlendirmesi uygulayın.
Kullanıcı eğitimi ile phishing ve sosyal mühendislik risklerini azaltın.
Saldırı simülasyonu (red team/blue team) ile savunmayı sınayın.
Olay müdahale planı (IRP) hazır tutun: roller, iletişim, adımlar.
İzolasyon: Etkilenen sistemleri ağdan izole edin.
İzleme/forensics: Logları toplayın, kanıtları saklayın.
Düzeltme: Zayıf noktaları yamayın, şifreleri sıfırlayın.
İletişim: Gerekirse müşteriler ve regülatörlerle şeffaf iletişim kurun.
Geri dönüş testi: Sistemleri güvenli şekilde yeniden devreye alınmadan önce test edin.
Öğrenme: Olay sonrası root cause analysis (RCA) yapıp iyileştirme uygulayın.
Web uygulamaları için: Prepared statements, input validation, output encoding, CSP, secure cookies (HttpOnly, Secure, SameSite).
Veritabanı için: En az ayrıcalık prensibi, şifreleme at-rest ve in-transit, sorgu limitleri.
Ağ için: VLAN, VPN erişimi, IDS/IPS, anti-spoofing kuralları.
E-posta için: SPF/DKIM/DMARC, e-posta gateway antispam/antiphishing.
Güvenlik kültürü: Düzenli eğitimler, phishing testleri, politika bilgilendirmesi.
Erişim yönetimi: IAM çözümleri, rol-tabanlı erişim (RBAC), periyodik erişim gözden geçirmesi.
Change management: Değişiklikler test ortamında doğrulanmalı, onay süreci olmalı.
EDR & Endpoint Antivirus: CrowdStrike, SentinelOne, Microsoft Defender for Endpoint.
SIEM / Log Yönetimi: Splunk, ELK Stack (Elasticsearch, Logstash, Kibana), Graylog.
WAF & CDN: Cloudflare, Akamai, Imperva, ModSecurity.
Vulnerability Scanners: Nessus, OpenVAS, Qualys.
Penetration Testing: Kali, Burp Suite, Metasploit (uzman ekipler tarafından).
(Not: Spesifik ürün seçimi ihtiyaç, bütçe ve mevcut altyapıya göre yapılmalıdır.)
Otomatik yedekleme sağlayın (günlük).
Hosted WAF/CDN (Cloudflare Free/Pro) kullanın.
2FA’yı zorunlu hale getirin (admin hesapları için).
Düzenli basit güvenlik taramaları yapın (online vulnerability scanner).
E-posta doğrulama (SPF/DKIM/DMARC) ayarlarını yapın.
Saldırı atlatıldıktan sonra yapılması gerekenler:
Olay raporu (what, when, how, impact) hazırlayın.
İzlenen KPI’ları (MTTD, MTTR) ölçün ve iyileştirin.
Güvenlik politikalarını güncelleyin ve eksikleri kapatın.
Eğitimleri tekrar planlayın, gerekli teknolojik yatırımı gözden geçirin.
Hiçbir tek önlem tüm tehditleri engelleyemez. Etkili siber güvenlik, proaktif teknik önlemler, kullanıcı eğitimi ve iyi hazırlanmış olay yönetimi süreçlerinin bir arada yürütülmesiyle sağlanır. Kaynakların doğru önceliklendirilmesi ve düzenli testler ile riski önemli oranda azaltabilirsiniz.
Yedekleme otomasyonu ve periyodik test
2FA tüm yönetici hesaplarında aktif
WAF / CDN yapılandırması
Endpoint koruması ve EDR çözümü
SIEM veya log toplama sistemi
Güncellemeler & yama yönetimi (patching)
E-posta koruması (SPF/DKIM/DMARC)
Erişim politikaları (RBAC)
Düzenli vulnerability taramaları
Olay müdahale planı
