1.1 Katman 1 - Fiziksel Katman: Somut Tehdit#

• Ağ Mühendisinin Görüşü: Bu katman kabloların, fiber optiklerin, anahtarların ve hub’ların dünyasıdır. Birincil endişe fiziksel bağlantı, sinyal bütünlüğü ve donanım tedariğidir. Her şeyin üzerine inşa edildiği temeldir.
• Hacker’ın Görüşü: Fiziksel katman, eğer erişilebilirse nihai saldırı vektörüdür. Saldırılar genellikle küstahça ama son derece etkilidir:
• Kablo dinleme: Şifrelenmemiş trafiği engellemek için doğrudan ağ kablolarına bağlanma[2].
• Donanım İmplantları: Kalıcı bir C2 (Komut ve Kontrol) kanalı oluşturmak için kötü amaçlı cihazları (ör. Raspberry Pi) güvenli bir ağ içinde bir güvenlik duvarının arkasına yerleştirmek.
• Bağlantı Noktası Erişimi: Bir dizüstü bilgisayarı konferans odasındaki veya lobideki güvenli olmayan, aktif bir ağ jakına takmanız yeterlidir.
• Savunucunun Görüşü: Fiziksel güvenlik ağ güvenliğidir. Savunmalar prosedürsel ve fizikseldir: kilitli sunucu odaları, devre dışı bırakılmış, kullanılmayan duvar bağlantı noktaları, katı erişim kontrolü politikaları ve donanım üzerinde kurcalanmaya karşı koruma sağlayan mühürler. Teknik açıdan bakıldığında, IEEE 802.1X Ağ Erişim Kontrolü (NAC), ağa fiziksel olarak bağlanan herhangi bir cihazdan kimlik doğrulaması gerektirecek şekilde uygulanabilir[3].

1.2 Katman 2 - Veri Bağlantısı Katmanı: Yerel Ağ Savaş Alanı#

• Ağ Mühendisinin Görüşü: Bu, MAC adresleri, anahtarlar ve yerel alan ağları (LAN’lar) alanıdır. Birincil protokoller Ethernet ve IP adreslerini (Katman 3) MAC adreslerine (Katman 2) eşleyen ARP’dir (Adres Çözümleme Protokolü)[4]. Bu katman, çerçevelerin aynı yerel ağ bölümündeki doğru cihaza alınmasından sorumludur.
• Hacker’ın Görüşü: Katman 2, örtülü bir güven modeliyle tasarlandığından saldırılar için zengin bir ortamdır.
• ARP Sahteciliği/Zehirlenmesi: Saldırgan, LAN’a sahte ARP mesajları gönderir. Ağ geçidine, saldırganın MAC adresinin kurbanın IP’sine ait olduğunu söyleyebilir ve kurbana, saldırganın MAC adresinin ağ geçidinin IP’sine ait olduğunu söyleyebilirler. Bu, saldırganı konuşmanın ortasına yerleştirerek (Ortadaki Adam, MitM) kurbanın tüm trafiğini engellemesine veya değiştirmesine olanak tanır.[5].
• MAC Flooding: Bir ağ anahtarına yapılan saldırı. Saldırgan, farklı kaynak MAC adreslerine sahip bir Ethernet çerçeveleri seli göndererek anahtarın CAM (İçerik Adreslenebilir Bellek) tablosunu doldurur. Tablo dolduğunda, anahtar artık çerçeveleri belirli bağlantı noktalarına akıllıca iletemez ve bir hub gibi davranarak tüm çerçeveleri tüm bağlantı noktalarına yayınlayan bir “arıza açma” moduna girer. Bu, saldırganın anahtarlanan ağdaki tüm trafiği koklamasına olanak tanır[6].
• VLAN Atlama: Bir VLAN’a bağlı saldırganın, başka bir VLAN’da erişememesi gereken trafiğe erişim sağladığı saldırı. Bu genellikle yanlış yapılandırılmış ana hat bağlantı noktalarından yararlanılarak yapılır.[7].
• Savunucunun Görüşü: Anahtarlar, bu saldırılarla mücadele etmek için bir dizi güvenlik özelliği sunar:
• Bağlantı Noktası Güvenliği: Tek bir anahtar bağlantı noktasında kullanılabilecek MAC adreslerinin sayısını sınırlar ve yalnızca belirli MAC adreslerine izin verecek şekilde yapılandırılabilir[8].
• DHCP Gözetimi: Sahte DHCP sunucularının ağa tanıtılmasını engeller.
• Dinamik ARP Denetimi (DAI): ARP isteklerini/yanıtlarını DHCP gözetleme bağlama tablosuyla karşılaştırarak ARP sahtekarlığını önleyerek bir ağdaki ARP paketlerini doğrular.

1.3 Katman 3 - Ağ Katmanı: Yönlendirme Satranç Tahtası#

• Ağ Mühendisinin Görüşü: Bu IP adresleri ve yönlendirme katmanıdır. Paketlerin farklı ağlar arasında taşınmasıyla ilgilidir. Yönlendiriciler bu katmanda çalışır ve paketleri nihai hedeflerine iletmek için hedef IP adreslerine göre kararlar verir. ICMP (ping ve traceroute için) ve IGMP gibi protokoller burada mevcuttur[9].
• Hacker’ın Görüşü: Katman 3 saldırıları, yönlendirmeyi bozmaya ve kimlik sahtekarlığına odaklanır.
• IP Sahtekarlığı: Saldırgan, sahte kaynak IP adresiyle IP paketleri oluşturur. Bu, Hizmet Reddi (DoS) saldırılarında kullanılan birincil tekniktir. Şirin saldırısında, saldırgan ağın yayın adresine çok sayıda ICMP yankı isteği (ping’ler) göndererek kaynak IP’yi kurbanın IP’si sanıyor. Ağdaki tüm ana bilgisayarlar daha sonra kurbana yanıt vererek onu ezer[10].
• Rota Ele Geçirme (BGP Ele Geçirme): Bir saldırganın, özellikle Sınır Ağ Geçidi Protokolü (BGP) tarafından tutulan internet yönlendirme tablolarını bozarak IP adresi gruplarının kontrolünü gayri meşru bir şekilde ele geçirdiği karmaşık bir saldırı. Bu, trafiği yeniden yönlendirmek için kullanılabilir, bu da onu casusluk veya büyük ölçekli MitM saldırıları için güçlü bir araç haline getirir[11].
• Savunucunun Görüşü: Bu katmandaki savunma, filtreleme ve doğrulamayla ilgilidir.
• Giriş/Çıkış Filtreleme: Güvenlik duvarları, internetten kaynak IP adresine sahip gelen paketleri dahili ağ içinden bırakacak şekilde yapılandırılmalıdır (giriş filtreleme). Ayrıca, kaynak IP’si olmayan giden paketleri dahili ağ içinden bırakacak şekilde de yapılandırılmalıdırlar (çıkış filtreleme). Bu, BCP 38 / RFC 2827’de belgelendiği gibi IP sahtekarlığının önlenmesine yardımcı olur[12].
• Erişim Kontrol Listeleri (ACL’ler): Yönlendiriciler ve güvenlik duvarları, kaynak/hedef IP, bağlantı noktası ve protokole dayalı olarak trafiğe izin vermek veya trafiği reddetmek için ACL’leri kullanır. Bu, ağ erişim kontrolünün temel yapı taşıdır.

1.4 Katman 4 - Aktarım Katmanı: Bağlantı Sözleşmesi#

• Ağ Mühendisinin Görüşü: Bu katman, ana bilgisayardan ana bilgisayara iletişim hizmetleri sağlar. En önemli iki protokol TCP (İletim Kontrol Protokolü) ve UDP’dir (Kullanıcı Datagram Protokolü)[13].
• TCP: Bağlantı odaklı, güvenilir ve düzenli teslimat. Üç yönlü el sıkışma (SYN, SYN-ACK, ACK) aracılığıyla bağlantı kurar ve tüm verilerin doğru şekilde ulaşmasını sağlar. HTTP, FTP, SMTP için kullanılır.
• UDP: Bağlantısız, güvenilmez ve sırasız. Bu, çok daha hızlı olan ancak teslimat garantisi sunmayan bir “ateşle ve unut” protokolüdür. DNS, VoIP, çevrimiçi oyun için kullanılır.
• Hacker’ın Görüşü: Bu katmandaki saldırılar genellikle kaynak tüketimine ve keşiflere odaklanır.
• TCP SYN Flood: Klasik bir DoS saldırısı. Saldırgan, kurban sunucuya yüksek miktarda TCP SYN paketi göndererek kaynak IP adresini taklit eder. Sunucu bir SYN-ACK ile yanıt verir ve yeni bağlantı için kaynakları tahsis eder, hiçbir zaman gelmeyecek olan son ACK’yı bekler (çünkü kaynak IP sahtedir). Bu, çok sayıda yarı açık bağlantı bırakarak sunucunun bağlantı tablosunu tüketir ve meşru kullanıcıların bağlanmasını engeller[14].
• Bağlantı Noktası Taraması: Saldırgan, hangi hizmetlerin çalıştığını keşfetmek amacıyla hedef ana bilgisayardaki çeşitli bağlantı noktalarına araştırma göndermek için nmap gibi araçları kullanır. “Açık” bağlantı noktası, istismar için potansiyel bir hedef olabilecek bir dinleme hizmetini belirtir[15].
• Savunucunun Görüşü: Savunmalar, durum yönetimi ve tarama tespitine odaklanır.
• Durum Bilgili Güvenlik Duvarları: Bu güvenlik duvarları TCP bağlantılarının durumunu izler. Bir SYN-ACK paketine yalnızca karşılık gelen bir SYN paketi gördüklerinde izin verirler ve bir ACK’ye yalnızca bir SYN-ACK gördüklerinde izin verirler. Bu onları durum bilgisi olmayan paket filtrelerinden çok daha güvenli kılar.
• SYN Çerezleri: SYN taşmalarını azaltmaya yönelik bir teknik. Sunucu, bir SYN aldıktan sonra kaynakları tahsis etmek yerine, bağlantı hakkındaki bilgileri SYN-ACK paketinin sıra numarasına kodlar ve onu geri gönderir. Kaynakları yalnızca istemci “çerez”i içeren ve bunun meşru bir kaynak olduğunu kanıtlayan son ACK’yı gönderdiğinde tahsis eder[16].
• İzinsiz Giriş Tespit Sistemleri (IDS): Bir IDS, bağlantı noktası tarama etkinliğini tespit edecek ve uyaracak şekilde yapılandırılabilir ve savunmacılara olası bir saldırı konusunda erken uyarı verir.

2.1 Segmentasyon Prensibi: İç Duvarlar İnşa Etmek#

• Ağ Mühendisinin Görüşü: Segmentasyon, bir ağı daha küçük, yalıtılmış alt ağlara bölme uygulamasıdır. Bu, aşağıdakiler kullanılarak elde edilir:
• Alt ağ oluşturma: Büyük bir IP adresi bloğunu daha küçük bloklara bölme. Trafiğin alt ağlar arasında hareket etmesi için yönlendiriciler gereklidir.
• VLAN’lar (Sanal LAN’lar): Aynı fiziksel anahtarlama altyapısı üzerinde mantıksal olarak ayrı ağlar oluşturmanın bir yolu. Bir anahtar, VLAN 10’daki bağlantı noktaları farklı fiziksel anahtarlarda olsalar bile yalnızca VLAN 10’daki diğer bağlantı noktalarıyla konuşabilecek şekilde yapılandırılabilir[18].
• Katmanlı Mimari: Uygulama işlevine göre ağı ayıran, genellikle internete yönelik hizmetler için bir DMZ (Askersiz Bölge) oluşturan klasik bir tasarım modeli[19].
• Web Katmanı (DMZ): İnternetten erişilebilen en dış katman. Web sunucularını ve ters proxy’leri içerir.
• Uygulama Katmanı: Yalnızca Web Katmanından erişilebilen orta katman. Uygulama sunucularını ve iş mantığını içerir.
• Veri Katmanı: Yalnızca Uygulama Katmanından erişilebilen en içteki, en korumalı katman. Veritabanlarını içerir.
• Savunucunun Görüşü: Segmentasyon, Derinlemesine Savunma’nın temel taşıdır. Ağ düzeyinde en az ayrıcalık ilkesini doğrudan destekler. Bir web sunucusunun doğrudan etki alanı denetleyicisiyle konuşması gerekmez; dolayısıyla güvenlik duvarı kuralları bu iletişim yolunu engellemelidir. Web sunucusunun güvenliği ihlal edilirse, saldırganın yana doğru hareket etme yeteneği ciddi şekilde kısıtlanır. Amaç, saldırgan için DMZ’den uygulama katmanına, uygulama katmanından veri katmanına kadar her adımı zor ve yoğun şekilde izlenen bir tıkanma noktası haline getirmektir.

2.2 Mikro Segmentasyon ve Sıfır Güven#

• Ağ Mühendisinin Görüşü: Mikrosegmentasyon, segmentasyonun daha ayrıntılı bir evrimidir. Büyük bölgelere (VLAN’lar) göre segmentlere ayırmak yerine, bireysel iş yükleri veya uygulamalar etrafında güvenlik sınırları oluşturabilirsiniz. Sanallaştırılmış veya bulut ortamında bu genellikle yazılım tanımlı ağ iletişimi (SDN) ve sanal güvenlik duvarlarıyla uygulanır.
• Siber Güvenlik Uzmanının Görüşü: Mikro bölümleme, Sıfır Güven ağ mimarisinin nihai ifadesidir. Sıfır Güven’in temel ilkesi “asla güvenme, her zaman doğrula”dır. Saldırganların zaten ağın içinde olduğunu varsayar[20]. Bu nedenle, aynı alt ağda olsalar bile iki sanal makine arasındaki iletişime örtülü olarak güvenilmez. Bir güvenlik politikası tarafından açıkça izin verilmesi gerekir. Bu, saldırganın yanal hareketini son derece zorlaştırır.
• Yazılım Mühendisinin Görüşü: Bunun geliştiriciler açısından sonuçları vardır. Uygulamalar, ağ bağlantısının garanti edilmediği varsayımıyla tasarlanmalıdır. Bağlantı hatalarına karşı dayanıklı olmaları ve doğru hizmet bulma mekanizmalarıyla yapılandırılmaları gerekir. Kubernetes Ağ Politikaları, geliştiricilerin kodda (YAML) mikro bölümleme kurallarını tanımlamalarına ve hangi bölmelerin hangi diğer bölmelerle iletişim kurmasına izin verildiğini belirlemelerine önemli bir örnektir[21].

3.1 Güvenlik Duvarı: Ağ Ağ Geçidi Denetleyicisi#

• Durumsuz ve Durum Bilgili: Bölüm 1’de tartışıldığı gibi, durum bilgisi olan bir güvenlik duvarı, bir bağlantının içeriğini anladığı için çok daha üstündür.
• Yeni Nesil Güvenlik Duvarı (NGFW): NGFW, basit bağlantı noktası/protokol incelemesinin ötesine geçen bir “derin paket incelemesi” güvenlik duvarıdır. Aşağıdaki gibi özellikleri içerir:
• Uygulama Farkındalığı: Yalnızca bağlantı noktası numarasına değil (birçok uygulama 443 numaralı bağlantı noktası üzerinden çalıştığından) uygulamaya dayalı olarak trafiği tanımlayabilir ve kontrol edebilir (ör. Facebook’u engelleyin ancak Salesforce’a izin verin)[22].
• Entegre İzinsiz Giriş Önleme (IPS): Bilinen saldırı imzalarıyla eşleşen trafiği aktif olarak engelleyebilir.
• Tehdit İstihbaratı Akışları: Bilinen kötü amaçlı IP adreslerinden veya etki alanlarından gelen trafiği engellemek için bulut tabanlı tehdit istihbaratı hizmetleriyle entegre olabilir.
• Web Uygulaması Güvenlik Duvarı (WAF): WAF, Katman 7’de (Uygulama Katmanı) çalışan özel bir güvenlik duvarıdır. Web uygulamalarını OWASP Top 10 listesinde listelenenler gibi yaygın web tabanlı saldırılara karşı korumak için tasarlanmıştır.[23].
• Geliştiricinin Görüşü: WAF çok önemli bir savunma katmanıdır ancak güvenli kodlamanın yerini tutmaz. Bu bir güvenlik ağıdır. Bir WAF, aşağıdaki gibi temel bir SQL Enjeksiyon saldırısını engelleyebilir:OR 1=1ancak yetenekli bir saldırgan genellikle kodlama, gizleme veya daha karmaşık sorgular kullanarak WAF kurallarını atlamanın yollarını bulabilir. Birincil savunma kodun kendisinde olmalıdır (parametreli sorgular kullanılarak).
• Hacker’ın Görüşü: WAF’tan kaçınma köklü bir disiplindir. Saldırganlar, WAF’leri araştırmak, satıcıyı ve kural kümelerini belirlemek ve sözdizimsel olarak geçerli ancak WAF imzalarını tetiklemeyen veriler oluşturmak için araçlar kullanır[24].

3.2 IDS/IPS: Ağ Gözetleme Kulesi#

• İzinsiz Giriş Tespit Sistemi (IDS): Pasif bir izleme cihazı. Ağ trafiğinin bir kopyasını analiz eder ve şüpheli etkinlik tespit ederse bir uyarı gönderir. Trafiği engellemez.
• İzinsiz Girişi Önleme Sistemi (IPS): Aktif, hat içi bir cihaz. Trafiği analiz eder ve kötü amaçlı imzalarla eşleşen paketleri hedeflerine ulaşmadan önce aktif olarak engelleyebilir veya bırakabilir.
• Algılama Metodolojileri:
• İmza Tabanlı: Antivirüs yazılımı gibi çalışır. Bilinen saldırı modellerinden (“imzalar”) oluşan bir veritabanına sahiptir. Bu, bilinen tehditlere karşı çok etkilidir ancak yeni “sıfır gün” saldırılarını tespit edemez.
• Anomali Tabanlı: Sistem öncelikle “normal” ağ trafiğinin neye benzediğine dair bir temel oluşturur. Daha sonra bu temel çizgiden önemli ölçüde sapan herhangi bir aktivite konusunda uyarı veriyor. Bu, yeni saldırıları tespit edebilir ancak genellikle yüksek oranda yanlış pozitifliğe eğilimlidir[25].
• Hacker’ın Görüşü: Kaçırma teknikleri arasında paketlerin parçalanması, şifreleme kullanılması (bir IDS/IPS, hesaplama açısından pahalı olan SSL/TLS şifre çözme işlemini gerçekleştirmediği sürece şifrelenmiş trafiği denetleyemez) ve bilinen imzaların eşleşmesini önlemek için saldırı yüklerinin değiştirilmesi yer alır.

4.1 Kalenin Katmanları#

Ortaçağ kalesi mükemmel bir benzetme sağlıyor:

1. Hendek (Çevre Güvenliği): Bu ilk savunma hattıdır. Sınır yönlendiricilerine ve çevre güvenlik duvarlarına karşılık gelir. Görevi bilgisiz, fırsatçı saldırganları uzak tutmaktır.
2. Dış Duvar (Ağ Güvenliği): Daha güçlü bir bariyer. Bu, dahili segmentasyona, IDS/IPS’ye ve güçlü erişim kontrol listelerine karşılık gelir. Çevreyi aşan tehditleri kontrol altına alacak şekilde tasarlanmıştır.
3. Duvardaki Okçular (İzleme ve Tespit): Bunlar nöbetçilerdir. Bu, Güvenlik Operasyon Merkezi (SOC), SIEM sistemleri ve günlük analizine karşılık gelir. Aktif olarak bir saldırının işaretlerini arıyorlar.
4. İç Kale (Ana Bilgisayar ve Uç Nokta Güvenliği): Ağır şekilde güçlendirilmiş bir kale. Bu, sunuculardaki ve iş istasyonlarındaki güvenlik kontrollerine karşılık gelir: Uç Nokta Algılama ve Yanıt (EDR), ana bilgisayar tabanlı güvenlik duvarları, antivirüs ve dosya bütünlüğü izleme.
5. Kraliyet Mücevherleri (Uygulama ve Veri Güvenliği): En güçlü kontrollerle korunan en büyük ödül. Bu, güvenli uygulama koduna, sağlam kimlik doğrulama ve yetkilendirmeye ve beklemede ve aktarım sırasında veri şifrelemeye karşılık gelir.
6. Korumalar (İnsan, Süreç ve Politika): İnsan unsuru. Buna güvenlik farkındalığı eğitimi, olay müdahale planları ve güçlü operasyonel güvenlik prosedürleri dahildir.

• Hacker’ın Görüşü: Saldırgan bu katmanları aşılması gereken bir dizi engel olarak görür. Amaçları her katmandaki en zayıf halkayı bulmaktır. Bir çalışanın bir kimlik avı bağlantısına tıklaması durumunda (çevre ve ağ katmanlarını atlayarak) güçlü bir güvenlik duvarı işe yaramaz. Güvenli bir uygulama, ana bilgisayar katmanında tehlikeye atılabilecek yamalanmamış bir sunucuda çalışıyorsa işe yaramaz.

5.1 STRIDE Metodolojisi#

Microsoft tarafından geliştirilen STRIDE, tehditleri kategorilere ayırmaya yönelik bir anımsatıcıdır[28]:

• Spoofing: Yasadışı bir şekilde başka bir kullanıcının veya bileşenin kimliğini üstlenmek.
• Savunma: Güçlü kimlik doğrulama (MFA), dijital imzalar.
• Tamperleme: Aktarım halindeki veya beklemedeki verilerde izinsiz değişiklik yapılması.
• Savunma: Karma, erişim kontrolleri, veri şifreleme.
• Rreddedilme: Bir kullanıcının bir eylemi gerçekleştirdiğini inkar etmesi.
• Savunma: Güvenli denetim günlükleri, dijital imzalar.
• IBilgi İfşası: Hassas bilgilerin yetkisiz kişilerin eline geçmesi.
• Savunma: Şifreleme, erişim kontrolleri.
• **Hizmetin Engellenmesi: Meşru kullanıcıların sisteme erişiminin engellenmesi.
• Savunma: Hız sınırlama, yük dengeleme, esnek mimari.
• EAyrıcalık Yükselmesi: Bir kullanıcının veya bileşenin, hak sahibi olmadığı izinleri elde etmesi.
• Savunma: En az ayrıcalık ilkesi, sağlam yetkilendirme kontrolleri.

5.2 Pratik Bir Tehdit Modelleme Alıştırması#

• Yazılım Mühendisinin Görüşü: Bir kullanıcının profilini güncellemek için basit bir API uç noktası hayal edin:PUT /api/users/{id}. Geliştirme ekibi, bir güvenlik uzmanıyla birlikte bir tehdit modeli gerçekleştirecek.

1. Uygulamayı Parçalayın: Bir veri akış şeması çizin. Kullanıcının tarayıcısı bir API Ağ Geçidine bir HTTPS isteği gönderir, bu istek bunu bir Kullanıcı Hizmetine iletir ve daha sonra PostgreSQL veritabanını günceller.
2. STRIDE kullanarak Tehditleri Belirleyin:

• (Spoofing): Bir kullanıcı, başka bir kullanıcının profilini değiştirerek güncelleyebilir mi?{id}URL’de mi? (Bu klasik bir yetkilendirme hatasıdır).
• (Kurcalama): MitM konumundaki bir saldırgan, aktarım halindeki profil verilerini değiştirebilir mi? (Savunma: HTTPS/TLS bunu engeller).
• (Bilgi Açıklaması): API yanıtı, kullanıcının şifre karması veya diğer kişisel bilgiler gibi hassas verileri sızdırıyor mu?
• (Hizmet Reddi): Bir saldırgan, hizmeti veya veritabanını aşmak için bu uç noktayı çok sayıda istekle doldurabilir mi? (Savunma: Hız sınırlaması).
• (Ayrıcalık Yükseltmesi): Güncelleme mantığında, bir saldırganın yönetici ayrıcalıkları elde etmesine izin verecek bir güvenlik açığı (örn. SQL Enjeksiyonu) var mı?

Bu süreç, güvenliği soyut bir kavramdan somut bir mühendislik görevleri ve test senaryoları listesine dönüştürür.

6.1 SOC’nin Temeli: SIEM#

• Güvenlik Bilgileri ve Olay Yönetimi (SIEM): SIEM, bir SOC’nin merkezi sinir sistemidir. Görevi şudur:

1. Günlükleri Toplayın: Yüzlerce veya binlerce kaynaktan (güvenlik duvarları, sunucular, uygulamalar, bulut hizmetleri vb.) günlük verilerini toplayın.
2. Verileri Normalleştirin: Bu farklı günlük formatlarını ortak bir şemada ayrıştırın.
3. Olayları İlişkilendirin: Bu, temel işlevdir. SIEM, farklı kaynaklardan gelen bireysel, görünüşte zararsız olayları anlamlı bir güvenlik olayına bağlamak için korelasyon kurallarını kullanır.
4. Uyarı: Bir korelasyon kuralı tetiklendiğinde SIEM, bir güvenlik analistinin araştırması için yüksek kaliteli bir uyarı oluşturur[29].

• Geliştiricinin Görüşü: Uygulamanızın günlükleri SIEM için kritik bir veri kaynağıdır. İyi bir günlük kaydı bir güvenlik özelliğidir. Günlükler yapılandırılmalı (ör. JSON), ilgili bağlamı içermeli (kullanıcı kimliği, kaynak IP, istek kimliği) ve hem başarılı hem de başarısız güvenlikle ilgili olayları (ör. oturum açma bilgileri, şifre değişiklikleri, yetkilendirme hataları) kaydetmelidir.

6.2 Olay Müdahale Yaşam Döngüsü#

Bir uyarının gerçek bir olay olduğu doğrulandığında SOC, genellikle NIST’inki gibi bir çerçeveye dayanan yapılandırılmış bir olay müdahale (IR) planını izler.[30]:

1. Hazırlık: Bir olay meydana gelmeden önce yapılan iş (planlara, araçlara ve eğitimli personele sahip olmak).
2. Tanımlama: Bir olayın bir güvenlik olayı olup olmadığının belirlenmesi.
3. Sınırlama: Acil öncelik kanamayı durdurmaktır. Bu, güvenliği ihlal edilmiş bir ana bilgisayarın ağdan izole edilmesini veya güvenliği ihlal edilmiş bir kullanıcı hesabının devre dışı bırakılmasını içerebilir.
4. Ortadan kaldırma: Tehdidi ortamdan kaldırmak (ör. kötü amaçlı yazılımları kaldırmak, güvenlik açığına yama uygulamak).
5. Kurtarma: Sistemleri normal çalışmaya geri yükleme.
6. Alınan Dersler: Olayın temel nedenini belirlemek ve olayın tekrar yaşanmasını önlemek için iyileştirmeleri belirlemek amacıyla yapılan otopsi analizi.

8.1 Temellerin Ötesinde Web Uygulaması Güvenlik Açıkları#

• Sunucu Tarafı İstek Sahteciliği (SSRF): Bir saldırganın, sunucu tarafındaki bir uygulamayı rastgele bir etki alanına HTTP istekleri yapmaya zorlayabileceği bir güvenlik açığı. Bulut ortamlarında bu, bulut sağlayıcının meta veri hizmetine erişmek için kullanılabilir ve bu da geçici güvenlik kimlik bilgilerinin sızdırılmasına neden olabilir[32].
• Geliştiricinin Görüşü: SSRF güvenlik açıkları, bir uygulamanın kullanıcı tarafından sağlanan bir URL’yi alıp uygun doğrulama olmadan bu URL’den içerik alması durumunda ortaya çıkar. Savunma, uygulamanın talep etmesine izin verilen alan adları ve protokollerden oluşan katı bir izin verilenler listesi tutmaktır.
• Güvensiz Seriden Çıkarma: Bu güvenlik açığı, bir uygulamanın güvenilmeyen, kullanıcı tarafından sağlanan verileri uygun doğrulama olmaksızın seri durumdan çıkarması durumunda ortaya çıkar. Bir saldırgan, seri durumdan çıkarıldığında uzaktan kod yürütülmesine yol açabilecek kötü amaçlı serileştirilmiş bir nesne oluşturabilir[33].

8.2 İnsan Unsuru: Sosyal Mühendislik#

• Hacker’ın Görüşü: İnsan çoğu zaman en zayıf halkadır. Sosyal mühendislik, insanları eylemler gerçekleştirmeye veya gizli bilgileri açıklamaya yönlendirme sanatıdır.
• Kimlik avı: Mağdurları kandırarak hassas bilgileri ifşa etmeleri veya kötü amaçlı yazılım dağıtmaları için meşru bir kaynaktan geliyormuş gibi görünen sahte e-postalar göndermek. Hedef odaklı kimlik avı, belirli bir kişiye veya kuruluşa yönelik, oldukça hedefli bir kimlik avı biçimidir[34].
• Bahane: Mağdurun güvenini kazanmak için uydurma bir senaryo (bahane) yaratmak.
• Savunucunun Görüşü: Sosyal mühendisliğe karşı savunma çok katmanlıdır:
• Teknik Kontroller: Kötü amaçlı bağlantıları ve ekleri tarayan e-posta ağ geçitleri.
• Kullanıcı Eğitimi: En kritik savunma. Düzenli güvenlik farkındalığı eğitimi.
• Süreç: Hassas işlemler için birden fazla kişinin onayını gerektirir.

11.1 Ayrıntılı Olarak Kimlik Doğrulama ve Yetkilendirme#

• Kimlik doğrulama (Sen kimsin?):
• Çok Faktörlü Kimlik Doğrulama (MFA): Hesapları korumak için en etkili tek kontrol. Farklı kategorilerden iki veya daha fazla doğrulama faktörü gerektirir: bildiğiniz bir şey (şifre), sahip olduğunuz bir şey (telefon) veya olduğunuz bir şey (biyometrik)[40].
• Yetkilendirme (Ne yapmanıza izin veriliyor?):
• Geliştiricinin Görüşü: Pek çok kritik hatanın ortaya çıktığı yer burasıdır. Yaygın görülen bir kusura Güvensiz Doğrudan Nesne Referansı (IDOR) adı verilir. Bu durum, bir uygulamanın yetkilendirme kontrolü yapmadan bir kaynağa erişmek için kullanıcı tarafından sağlanan bir tanımlayıcıyı kullanması durumunda meydana gelir.[41]. Çözüm, şu anda kimliği doğrulanmış kullanıcının istenen kaynağa erişim iznine sahip olduğunu her zaman doğrulamaktır.

11.2 Geliştiriciler için Şifreleme: Temel Kurallar#

• Kural 1: Asla Kendi Kriptonuzu Yuvarlamayın. Kriptografiyi doğru şekilde kullanmak inanılmaz derecede zordur. Her zaman iyi denetlenmiş standart kitaplıkları kullanın (ör. Google’ın Tink’i, Libsodium)[42].
• Kural 2: Güçlü, Standart Algoritmalar Kullanın. Şifreleri karma hale getirmek için Argon2 gibi modern, yavaş bir algoritma kullanın.[43]. Simetrik şifreleme için AES-256-GCM kullanın. Asimetrik şifreleme için RSA-4096 veya eliptik eğri şifrelemesini kullanın.
• Kural 3: Anahtar Yönetimi Her Şeydir. Bir kriptografik sistemin güvenliği tamamen anahtarların gizliliğine bağlıdır. Şifreleme anahtarlarını depolamak ve yönetmek için özel bir anahtar yönetim sistemi (KMS) veya donanım güvenlik modülü (HSM) kullanın[44].

11.3 Tedarik Zinciri Güvenliği: Yeni Sınır#

• Yazılım Mühendisinin Görüşü: Modern uygulamalar yüzlerce açık kaynak bağımlılığından bir araya getirilmiştir. Bu bağımlılıklardan yalnızca birindeki bir güvenlik açığı, uygulamanızda bir güvenlik açığına dönüşür. Bu bir tedarik zinciri saldırısıdır.
• Log4Shell (Örnek): Log4j güvenlik açığı feci bir örnekti. Her yerde bulunan tek bir günlük kitaplığı, milyonlarca uygulamayı anında saldırıya açık hale getiren kritik bir uzaktan kod yürütme güvenlik açığına sahipti[45].
• Savunma:
• Yazılım Malzeme Listesi (SBoM): Uygulamanızdaki tüm bağımlılıkların eksiksiz bir envanterini tutun[46].
• Güvenlik Açığı Taraması: Bağımlılıklarınızı bilinen güvenlik açıklarına karşı sürekli olarak taramak için Snyk, Dependabot veya Trivy gibi araçları kullanın.

12.1 Konteyner Güvenliği#

• Güvenli Temel Görüntüler: Minimum düzeyde güvenilir temel görüntülerle başlayın (ör.distrolessveyaalpine) saldırı yüzeyini azaltmak için[47].
• Kök Olarak Çalıştırma: Varsayılan olarak, kapsayıcılar kök olarak çalıştırılır.rootkullanıcı. Şunu kullanın:USERUygulamayı ayrıcalıklı olmayan bir kullanıcı olarak çalıştırmak için Dockerfile’ınızdaki talimat.
• Görüntü Tarama: Kapsayıcı görüntülerinizi bir kayıt defterine gönderilmeden önce bilinen güvenlik açıklarına karşı taramak için Trivy veya Clair gibi araçları CI/CD ardışık düzeninize entegre edin.

12.2 Kubernetes Güvenliği#

Kubernetes, geniş saldırı yüzeyine sahip güçlü ancak karmaşık bir sistemdir.

• Rol Tabanlı Erişim Denetimi (RBAC): Küme içindeki hem kullanıcılar hem de hizmet hesapları için en az ayrıcalık ilkesini uygulamak üzere RBAC’yi kullanın[48].
• Ağ Politikaları: Varsayılan olarak, bir kümedeki tüm bölmeler diğer tüm bölmelerle konuşabilir. Uygulamanız gerekirNetworkPolicy”Varsayılan olarak reddet” duruşuna dayalı olarak iletişimi kısıtlamak için kaynaklar.
• Sır Yönetimi: Sırları ConfigMaps’te düz metin olarak saklamayın. Yerleşik Kubernetes Secrets nesnesini kullanın ancak daha yüksek güvenlik için HashiCorp Vault gibi harici bir gizli dizi yöneticisiyle entegre edin[49].
• Pod Güvenlik Standartları: Pod’ların kök olarak çalıştırma veya ana bilgisayarın ağına erişme gibi tehlikeli yapılandırmalarla çalışmasını önlemek için Pod Güvenlik Standartlarını kullanın.[50].

12.3 Kod Olarak Altyapı (IaC) Güvenliği#

• Geliştiricinin Görüşü: Terraform gibi IaC araçları, altyapınızı kodla tanımlamanıza olanak tanır. Bu kod, dağıtılmadan önce yanlış yapılandırmalara karşı taranabilir.
• IaC için Statik Analiz: CI/CD işlem hattınızda Checkov veya tfsec gibi araçları kullanarak Terraform kodunuzu genel erişime açık bir S3 klasörü veya tüm internetten SSH’ye izin veren bir güvenlik grubu oluşturmak gibi genel güvenlik sorunlarına karşı taramak için kullanın (0.0.0.0/0)[51].