Bu web sitesi; Cyber Kill Chain, Pyramid of Pain, temel siber güvenlik kavramları, saldırı türleri, savunma katmanları, veri, enformasyon, bilgi ve istihbarat gibi konuları sade, düzenli ve anlaşılır şekilde öğretmek için hazırlanmıştır.
Konuları KeşfetHedef hakkında bilgi toplama aşamasıdır. IP adresleri, açık portlar, çalışan bilgileri ve sistem altyapısı araştırılır.
Saldırıda kullanılacak zararlı dosya, exploit veya payload hazırlanır.
Zararlı içerik hedefe ulaştırılır. Genellikle e-posta, sahte site, USB veya indirme bağlantısı kullanılır.
Sistem açığı kullanılarak cihaza veya uygulamaya sızılır.
Zararlı yazılım hedef sisteme yerleşir ve kalıcılık sağlamaya çalışır.
Saldırgan, ele geçirdiği sistemle iletişim kurar ve uzaktan kontrol sağlar.
Son aşamada saldırgan veri çalar, sistemi bozar, şifreler veya hedeflediği işlemi tamamlar.
En alt seviyedir. Zararlı dosyaların MD5, SHA-1 veya SHA-256 gibi hash değerlerini temsil eder. Tespit edilmesi kolaydır ancak saldırganlar dosyayı küçük değişikliklerle yeniden paketleyerek bu göstergeleri hızlıca değiştirebilir.
Saldırgan altyapısında kullanılan IP adresleridir. Engellenebilirler fakat saldırganlar yeni IP adresleri edinerek veya farklı sunucular kullanarak bunları kolayca değiştirebilir.
Komuta kontrol veya zararlı dağıtımı için kullanılan alan adlarıdır. Savunmacılar için faydalıdır ancak saldırganlar yeni domain kayıtları oluşturarak bu aşamayı da aşabilir.
Saldırganın sistem veya ağ üzerinde bıraktığı izlerdir. Belirli dosya adları, registry kayıtları, URL kalıpları, user-agent bilgileri veya süreç davranışları bu gruba girer. Değiştirilmesi daha zordur.
Saldırganın kullandığı araçlar, zararlı yazılımlar, exploit kitleri veya yönetim scriptleridir. Savunmacılar bu araçları tespit ettiğinde saldırganın yeni araçlar geliştirmesi veya mevcut araçları ciddi şekilde değiştirmesi gerekir.
En üst ve en acı verici seviyedir. Saldırganın çalışma şekli, kullandığı yöntemler, operasyonel davranışı ve saldırı akışını kapsar. Bunları değiştirmek saldırgan için zaman, maliyet ve uzmanlık gerektirir. Bu yüzden savunmada en değerli seviyedir.
Korunması gereken her şeydir: veri, cihaz, kullanıcı hesabı, uygulama, ağ ve marka itibarı.
Sisteme zarar verme potansiyeli olan unsur veya olaydır. Saldırgan, hata, doğal afet veya içeriden gelen tehdit olabilir.
Bir tehdidin bir açığı kullanarak zarar oluşturma olasılığı ve etkisinin birleşimidir.
Sistemde bulunan zayıflık veya güvenlik açığıdır. Exploit bu açığı kullanır.
Bir güvenlik açığını kullanarak yetkisiz işlem yapmayı sağlayan kod, teknik veya yöntemdir.
Henüz üretici tarafından düzeltilmemiş ve savunmacıların hazırlıksız yakalanabildiği güvenlik açığıdır.
Yazılım hatalarını ve güvenlik açıklarını kapatan güncellemedir.
Indicator of Compromise; ihlal belirtisidir. Şüpheli hash, IP, domain veya dosya izi gibi göstergeleri kapsar.
Tactics, Techniques and Procedures; saldırganın amaç, yöntem ve operasyon biçimini tanımlar.
Saldırganın hedefe ulaşmak için kullanabileceği tüm giriş noktalarının toplamıdır.
Saldırının gerçekleştiği yol veya tekniktir. E-posta, açık port, USB veya web formu gibi örnekleri vardır.
Kullanıcı ve servislerin yalnızca ihtiyaç duyduğu minimum yetkiye sahip olması prensibidir.
Tek bir önleme güvenmek yerine çok katmanlı savunma yaklaşımıdır.
Virüs, worm, trojan, spyware, ransomware ve benzeri tüm zararlı yazılımların genel adıdır.
Başka dosyalara eklenerek yayılan zararlı yazılımdır.
Kullanıcı müdahalesi olmadan ağ üzerinden kendi kendine yayılabilen zararlı yazılımdır.
Masum yazılım gibi görünür ama arka planda zararlı işlemler yapar.
Kullanıcı davranışlarını ve bilgilerini gizlice izleyen zararlı yazılımdır.
İstenmeyen reklam gösteren ve bazen kullanıcı takibi yapan yazılımdır.
Klavye girişlerini kaydederek parola ve hassas bilgileri çalmayı hedefler.
Normal güvenlik kontrollerini atlayarak sisteme gizli erişim sağlar.
Zararlı bileşenleri gizleyerek tespiti zorlaştıran yazılım grubudur.
Ele geçirilmiş cihazların merkezi biçimde kontrol edilmesiyle oluşan saldırı ağıdır.
Command and Control; saldırganın ele geçirdiği sistemlerle kurduğu kontrol kanalıdır.
Saldırının asıl etkisini oluşturan zararlı içerik veya komuttur.
Verinin yetkisiz kişiler tarafından okunamayacak biçimde şifrelenmesidir.
Verinin sabit uzunlukta özete dönüştürülmesidir; özellikle parola saklamada kullanılır.
Verinin kaynağını ve bütünlüğünü doğrulayan kriptografik imzadır.
Girişte birden fazla doğrulama yöntemi kullanarak güvenliği artırır.
Ağ trafiğini kurallara göre filtreleyen güvenlik sistemidir.
Intrusion Detection System; şüpheli aktiviteleri tespit etmeye odaklanır.
Intrusion Prevention System; tehditleri tespit etmenin yanında engelleyebilir.
Log toplama, ilişkilendirme ve alarm üretimi yapan merkezi güvenlik platformudur.
Endpoint Detection and Response; uç noktalarda tehdit tespiti ve müdahale sağlar.
Farklı güvenlik kaynaklarından gelen verileri birleştirerek daha geniş görünürlük sağlar.
İnternet üzerinden şifreli tünel oluşturarak güvenli bağlantı sağlar.
Hassas verilerin izinsiz erişilmesi, sızdırılması veya çalınması olayıdır.
Kurum içindeki kişi veya iş ortaklarından gelen kasıtlı ya da kazara güvenlik tehdididir.
Tek kaynaktan yoğun istek göndererek sistemi hizmet veremez hale getirme saldırısıdır.
Birden fazla ele geçirilmiş cihazla eş zamanlı trafik gönderilerek hizmetin çökertilmesidir.
Sahte mesaj veya sayfalarla kullanıcı bilgilerini ele geçirmeye çalışan dolandırıcılık yöntemidir.
Belirli kişileri veya kurumları hedef alan özelleştirilmiş phishing saldırısıdır.
Üst düzey yöneticileri hedef alan gelişmiş kimlik avı saldırılarıdır.
SMS üzerinden gerçekleştirilen phishing saldırısıdır.
Telefon görüşmesiyle kandırma ve bilgi çalma saldırısıdır.
Dosyaları şifreleyip erişimi engelleyerek fidye isteyen zararlı yazılımdır.
İnsan psikolojisini kullanarak bilgi, erişim veya işlem elde etme sanatıdır.
Sahte bir senaryo ve kimlik oluşturarak kurbanın güvenini kazanma tekniğidir.
Merak uyandıran içerik, hediye veya dosya vaadiyle kurbanı kandırma yöntemidir.
Yetkili bir kişinin peşinden giderek fiziksel alana izinsiz giriş yapmaktır.
Şifreyi deneme-yanılma ile tahmin etmeye çalışan saldırı tekniğidir.
Birçok hesap üzerinde az sayıda yaygın parolayı deneyen saldırı yöntemidir.
Sızmış kullanıcı adı-parola çiftlerini farklı servislerde deneyen saldırıdır.
İki taraf arasındaki iletişime girerek veriyi izleme veya değiştirme saldırısıdır.
Geçerli oturum bilgisini ele geçirip kullanıcı gibi davranma saldırısıdır.
Veritabanı sorgularına zararlı komut ekleyerek veri çekme veya değiştirme saldırısıdır.
Web sayfasına zararlı script yerleştirerek kullanıcı tarayıcısında çalıştırma saldırısıdır.
Kullanıcının aktif oturumunu kullanarak haberi olmadan işlem yaptıran saldırıdır.
Uygulama zafiyetinden yararlanıp izin verilmeyen dosyalara erişme saldırısıdır.
Hedef sistemde uzaktan komut çalıştırmayı mümkün kılan kritik açık türüdür.
Düşük yetkili kullanıcının daha yüksek yetki elde etmesidir.
Saldırganın bir sistemden diğerine yayılıp ağ içinde ilerlemesidir.
Kurbanı sahte IP adresine yönlendirmek için DNS kayıtlarını manipüle etmektir.
Hedef kitlenin sık ziyaret ettiği siteyi enfekte ederek kurbanları etkileme tekniğidir.
Kullanıcı farkında olmadan ziyaret ettiği siteden zararlı içerik indirilmesidir.
Doğrudan hedef yerine tedarikçi veya bağımlılık üzerinden saldırma yöntemidir.
Güçlü parola, MFA, parola yöneticisi ve erişim politikaları ile hesapları koruma katmanıdır.
Bilgisayar, telefon ve sunucuların EDR, antivirüs ve hardening ile korunmasıdır.
Firewall, IDS/IPS, segmentasyon ve VPN ile trafiği kontrol eder.
Güvenli kodlama, test, input doğrulama ve yamalarla uygulamaların korunmasıdır.
Şifreleme, erişim kontrolü, sınıflandırma ve yedekleme ile verinin korunmasıdır.
Phishing filtreleri, SPF, DKIM ve DMARC gibi kontrollerle e-posta kaynaklı tehditleri azaltır.
SIEM, log yönetimi ve alarm mekanizmaları ile anomali ve tehditler takip edilir.
İhlal gerçekleştiğinde tespit, analiz, izolasyon, temizleme ve iyileştirme süreçlerini kapsar.
Ransomware ve sistem arızalarına karşı iş sürekliliğini sağlar.
İnsan hatasını azaltmak için kullanıcıların düzenli eğitilmesini sağlar.
Logları izler, alarmları değerlendirir ve olaylara ilk müdahaleyi yapar.
Sistemlerde görünmeyen tehditleri proaktif biçimde arar.
İhlal anında analiz, izolasyon ve iyileştirme süreçlerini yönetir.
Sistemleri kontrollü şekilde test ederek açıkları bulur.
Güvenlik mimarisi kurar, araçları yönetir ve altyapıyı güçlendirir.
Yeni açıkları, zararlı yazılımları ve saldırı tekniklerini inceler.
Yönetişim, risk ve uyum süreçlerini yönetir; politika ve standartları uygular.
Olay sonrası delilleri toplar, analiz eder ve raporlar.
Veri, tek başına anlamı tam oluşmamış ham gerçeklerdir. Sayılar, ölçümler, metin parçaları, tarih kayıtları veya gözlemler veri olabilir.
Örnek: “45”, “10 Mart”, “192.168.1.1”, “Ahmet giriş yaptı” gibi tekil kayıtlar veridir.
Enformasyon, işlenmiş ve düzenlenmiş veridir. Veriler bir araya getirilip anlamlı hale getirildiğinde enformasyona dönüşür.
Örnek: “Son 24 saatte sisteme 45 başarısız giriş denemesi yapıldı” ifadesi enformasyondur.
Bilgi, enformasyonun yorumlanmış ve karar vermede kullanılabilir halidir. İnsan deneyimi, analiz ve bağlam ile birleştiğinde bilgi ortaya çıkar.
Örnek: “Bu kadar fazla başarısız giriş denemesi bir brute force saldırısına işaret edebilir” ifadesi bilgidir.
İstihbarat, farklı kaynaklardan elde edilen bilgilerin toplanması, analiz edilmesi ve değerlendirilmesi sonucunda anlamlı sonuçlara ulaşılması sürecidir. Bu süreçte ham veriler işlenir, doğrulanır ve karar vericiler için kullanılabilir bilgi haline getirilir.
Türk Dil Kurumu'na göre istihbarat; haber alma ve bilgi toplama işi olarak tanımlanmaktadır. Modern güvenlik ve siber güvenlik alanlarında ise istihbarat yalnızca bilgi toplamak değil, aynı zamanda bu bilgileri analiz ederek tehditleri önceden tespit etmeyi ve doğru kararlar alınmasını sağlamayı da kapsar.
Uzun vadeli planlama ve politik kararlar için kullanılan istihbarat türüdür. Devletlerin, kurumların veya organizasyonların geleceğe yönelik stratejilerini belirlemelerine yardımcı olur.
Belirli operasyonların planlanması ve yürütülmesi için kullanılan istihbarattır. Genellikle orta vadeli planlama ve operasyon yönetimi için kullanılır.
Kısa vadeli operasyonlarda ve sahadaki karar verme süreçlerinde kullanılan istihbarat türüdür. Genellikle anlık durumlara hızlı şekilde müdahale edilmesini sağlar.
İnsan kaynaklarından elde edilen istihbarattır. Ajanlar, muhbirler, tanıklar veya doğrudan insan iletişimi yoluyla elde edilen bilgiler HUMINT kapsamına girer.
Uydu görüntüleri, hava fotoğrafları ve keşif sistemlerinden elde edilen görüntülerin analiz edilmesiyle oluşturulan istihbarattır.
Coğrafi veriler, haritalar, uydu görüntüleri ve konum bilgileri kullanılarak elde edilen istihbarattır.
Elektronik sinyaller ve iletişim sistemlerinden elde edilen istihbarattır. Telefon görüşmeleri, radyo sinyalleri ve veri iletişimleri bu kapsamda analiz edilir.
İnternet siteleri, sosyal medya, haber kaynakları, akademik yayınlar ve herkese açık veri tabanlarından elde edilen istihbarattır.
Veri: Ham ve işlenmemiş gerçeklerdir.
Enformasyon: Düzenlenmiş ve anlam kazanmış veridir.
Bilgi: Yorumlanmış ve karar vermede kullanılabilir hale gelmiş enformasyondur.
İstihbarat: Toplanan bilgi ve verilerin analiz edilip değerlendirilmesiyle elde edilen, karar alma süreçlerinde kullanılan sonuçtur.
Uzun, benzersiz ve tahmin edilmesi zor parolalar oluştur.
Her hesap için farklı parola üretmek ve saklamak için parola yöneticisi kullan.
Hesap girişlerinde ikinci doğrulama katmanı ekle.
Mesaj ve e-postalardaki bağlantıları kontrol etmeden açma.
Bilinmeyen kaynaklardan gelen ekleri açmadan önce doğrula.
İşletim sistemi, tarayıcı, eklenti ve uygulamaları düzenli güncelle.
Önemli verileri çevrimdışı veya güvenli bulutta düzenli yedekle.
Uç noktalarda tehditleri tespit edip engelleyen araçlardan yararlan.
Hassas işlemlerde güvenilmeyen ağlardan kaçın, gerekiyorsa VPN kullan.
Günlük kullanımda yönetici hesabı yerine standart hesap tercih et.
Kaynağı bilinmeyen depolama cihazlarını sisteme takma.
Phishing, sosyal mühendislik ve yeni saldırı türleri hakkında bilgi sahibi ol.
Siber tehdit, bilgisayar sistemlerine, ağlara, uygulamalara veya verilere zarar verme, yetkisiz erişim sağlama, veri çalma veya hizmetleri durdurma potansiyeline sahip her türlü dijital risk ve saldırı unsurudur.
Siber tehditler bireyleri, kurumları ve devletleri hedef alabilir. Bu tehditler zararlı yazılımlar, kimlik avı saldırıları, hizmet engelleme saldırıları (DoS/DDoS), veri sızıntıları ve sosyal mühendislik gibi yöntemlerle gerçekleştirilebilir.
Bu saldırıları gerçekleştiren kişi veya gruplara siber tehdit aktörleri denir.
Siber teröristler; korku, panik ve kaos oluşturmak amacıyla dijital sistemleri hedef alan kişi veya gruplardır. Kritik altyapılar, devlet kurumları ve iletişim sistemleri bu saldırıların hedefi olabilir.
Hackerlar bilgisayar sistemlerini inceleyen, güvenlik açıklarını bulan veya bu açıkları kullanarak sistemlere erişim sağlayan kişilerdir. Bazı hackerlar kötü amaçlı saldırılar gerçekleştirirken bazıları güvenlik açıklarını tespit ederek sistemlerin daha güvenli hale gelmesine yardımcı olur.
Hacktivistler siyasi, sosyal veya ideolojik amaçlarla siber saldırılar gerçekleştiren kişi veya gruplardır. Amaçları genellikle maddi kazanç değil, dikkat çekmek ve bir mesaj vermektir.
Bazı şirketler rekabet avantajı elde etmek amacıyla rakip firmalar hakkında bilgi toplamak için siber casusluk faaliyetleri gerçekleştirebilir. Bu saldırılar genellikle ticari sırları ve araştırma verilerini hedef alır.
Casusluk faaliyetleri devletler veya kurumlar tarafından yürütülebilir. Amaç genellikle gizli bilgileri elde etmek, stratejik avantaj sağlamak veya rakip organizasyonların faaliyetlerini izlemektir.
Devlet destekli saldırılar genellikle ulusal güvenlik, askeri bilgi toplama veya kritik altyapılara zarar verme amacıyla gerçekleştirilir. Bu tür saldırılar genellikle gelişmiş ve uzun süreli operasyonlardır.
Kurum çalışanları, eski çalışanlar veya yetkili kullanıcılar kasıtlı veya kazara güvenlik ihlallerine neden olabilir. Bu tür tehditler insider tehdit olarak adlandırılır ve kurum içinden geldiği için tespiti zor olabilir.
Organize siber suç grupları genellikle finansal kazanç elde etmek amacıyla faaliyet gösterir. Fidye yazılımı saldırıları, banka dolandırıcılığı, veri hırsızlığı ve kimlik avı saldırıları bu grupların en sık kullandığı yöntemler arasındadır.
Siber tehdit istihbaratı, siber saldırılar, saldırganlar, zararlı yazılımlar, güvenlik açıkları, saldırı yöntemleri ve tehdit aktörleri hakkında bilgi toplanması, analiz edilmesi ve değerlendirilmesi sürecidir.
Bu süreçte elde edilen bilgiler, kurumların veya bireylerin siber tehditleri önceden fark etmesine, riskleri değerlendirmesine ve uygun güvenlik önlemlerini almasına yardımcı olur.
Siber tehdit istihbaratının temel amacı; olası saldırıları erken aşamada tespit etmek, tehditleri anlamak, savunma mekanizmalarını güçlendirmek ve güvenlik ekiplerinin daha doğru kararlar almasını sağlamaktır.
Bu istihbarat türü; IP adresleri, domainler, hash değerleri, zararlı yazılım örnekleri, saldırgan davranışları, TTP'ler (Tactics, Techniques and Procedures) ve güvenlik açıkları gibi birçok farklı veri türünü içerebilir.
Siber Tehdit İstihbaratı (CTI - Cyber Threat Intelligence), siber saldırılar, tehdit aktörleri, zararlı yazılımlar, güvenlik açıkları ve saldırı yöntemleri hakkında bilgi toplanması, analiz edilmesi ve değerlendirilmesi sürecidir.
CTI, siber tehditleri anlamaya ve bu tehditlere karşı daha etkili savunma stratejileri geliştirmeye yardımcı olur. Bu süreçte elde edilen bilgiler güvenlik ekiplerinin olası saldırıları önceden fark etmesini ve gerekli güvenlik önlemlerini almasını sağlar.
Siber Tehdit İstihbaratı, saldırılar gerçekleşmeden önce tehditleri tespit etmeyi amaçlayan proaktif bir siber güvenlik dalıdır. Bu sayede kurumlar ve bireyler potansiyel saldırılara karşı daha hazırlıklı olabilir ve güvenlik risklerini azaltabilir.
CTI kapsamında; saldırgan gruplar, saldırı yöntemleri, zararlı yazılım davranışları, IP adresleri, domainler, hash değerleri ve saldırı teknikleri gibi birçok farklı veri türü analiz edilir.
Sosyal mühendislik, insanların güvenini kazanarak veya onları manipüle ederek bilgi elde etmeye çalışan saldırı yöntemidir. Bu saldırılar genellikle insan psikolojisini hedef alır.
Sosyal mühendislik saldırıları çoğu zaman insanların merak, korku veya güven duygularını kullanarak karar verme mekanizmasını manipüle etmeye çalışır.
Saldırganlar hedef kişiyi kandırmak için güven oluşturur, sahte senaryolar üretir ve hedef kişinin güvenini kazanarak bilgi elde etmeye çalışır.
Saldırganlar kendilerini IT çalışanı, banka görevlisi, yönetici veya güvenilir bir kişi gibi göstererek hassas bilgileri elde etmeye çalışabilir.
Saldırganlar çöpe atılmış belgeler, notlar veya dijital cihazlar üzerinden kurum hakkında hassas bilgiler elde etmeye çalışabilir.
Bir kişinin ekranına veya klavyesine bakarak parola, PIN veya hassas bilgileri gözlemleme yöntemidir.
Saldırganlar bazen araştırma veya anket yapıyormuş gibi davranarak çalışanlardan kurum hakkında hassas bilgiler toplamaya çalışabilir.
Sahte e-postalar veya web siteleri kullanılarak kullanıcıların parola, kredi kartı veya kişisel bilgilerini ele geçirmeyi amaçlayan saldırıdır.
Telefon görüşmeleri yoluyla yapılan sosyal mühendislik saldırısıdır. Saldırganlar kendilerini banka veya kurum çalışanı gibi tanıtabilir.
Social Engineering Toolkit, sosyal mühendislik saldırılarını test etmek için kullanılan bir siber güvenlik aracıdır. Güvenlik uzmanları tarafından penetrasyon testlerinde kullanılır.
Stuxnet, 2010 yılında keşfedilen ve tarihteki en gelişmiş siber saldırılardan biri olarak kabul edilen bir bilgisayar solucanı (worm) türüdür. Bu zararlı yazılım özellikle endüstriyel kontrol sistemlerini hedef almak için geliştirilmiştir.
Stuxnet'in hedefi İran'ın Natanz nükleer tesisinde bulunan uranyum zenginleştirme santrifüjleriydi. Bu saldırı sayesinde santrifüjlerin çalışma düzeni bozulmuş ve fiziksel hasar meydana gelmiştir.
Stuxnet, yalnızca bilgisayar sistemlerini değil aynı zamanda fiziksel makineleri de etkileyebilen ilk büyük siber saldırılardan biri olarak kabul edilmektedir.
Stuxnet bir worm olduğu için ağ üzerinden kendini otomatik olarak yayabilen bir zararlı yazılımdır. İnsan müdahalesi olmadan bilgisayardan bilgisayara geçebilir ve kısa sürede birçok sisteme bulaşabilir.
Natanz nükleer tesisi internetten izole edilmiş bir ağ kullanıyordu. Bu nedenle saldırganlar Stuxnet'i USB bellekler aracılığıyla sisteme bulaştırmıştır. USB takıldığında zararlı yazılım otomatik olarak sisteme yerleşmiştir.
Stuxnet özellikle Siemens tarafından geliştirilen SCADA ve PLC sistemlerini hedef almıştır. Bu sistemler fabrikalarda ve endüstriyel tesislerde makinelerin kontrol edilmesini sağlar.
Zararlı yazılım santrifüjlerin dönüş hızını gizlice değiştirerek makinelerin bozulmasına neden olmuştur. Aynı zamanda kontrol sistemlerine yanlış veriler göndererek operatörlerin saldırıyı fark etmesini zorlaştırmıştır.
Stuxnet oldukça gelişmiş gizlenme teknikleri kullanmıştır. Rootkit teknolojisi sayesinde sistemde uzun süre fark edilmeden çalışabilmiştir.
Stuxnet saldırısı, siber saldırıların yalnızca veri çalmak için değil aynı zamanda fiziksel altyapılara zarar vermek için de kullanılabileceğini göstermiştir. Bu nedenle modern siber savaşın ilk büyük örneklerinden biri olarak kabul edilmektedir.
Sony Pictures saldırısı, 2014 yılında gerçekleşen ve büyük yankı uyandıran bir siber saldırıdır. Bu saldırı Sony Pictures Entertainment şirketinin bilgisayar sistemlerini hedef almıştır.
Saldırıyı gerçekleştiren grup kendisini "Guardians of Peace (GOP)" olarak tanıtmıştır. Saldırı sonucunda Sony'nin iç ağındaki birçok veri ele geçirilmiş ve internete sızdırılmıştır.
Çalınan veriler arasında çalışan bilgileri, şirket içi e-postalar, henüz yayınlanmamış filmler ve finansal belgeler bulunuyordu. Bu olay, tarihin en büyük şirket veri sızıntılarından biri olarak kabul edilmektedir.
Saldırganlar Sony Pictures'ın iç sistemlerine sızarak çok büyük miktarda veri çalmıştır. Çalınan veriler arasında çalışanların kişisel bilgileri, şirket e-postaları, maaş bilgileri ve film senaryoları bulunuyordu.
Saldırı sırasında bazı henüz vizyona girmemiş Sony filmleri internete sızdırılmıştır. Bu durum şirket için ciddi maddi kayıplara neden olmuştur.
Saldırganlar veri çalmanın yanı sıra "wiper" adı verilen bir zararlı yazılım kullanarak Sony'nin birçok bilgisayarını kullanılamaz hale getirmiştir.
Saldırının, Sony tarafından hazırlanan "The Interview" adlı film nedeniyle gerçekleştirildiği düşünülmektedir. Film Kuzey Kore lideri Kim Jong-un ile ilgili bir komedi filmi olduğu için siyasi gerilim oluşturmuştur.
ABD yetkilileri saldırının arkasında Kuzey Kore bağlantılı hacker gruplarının olabileceğini açıklamıştır. Bu durum saldırının devlet destekli bir siber operasyon olabileceği tartışmalarını gündeme getirmiştir.
Sony Pictures saldırısı, büyük şirketlerin siber saldırılara karşı ne kadar savunmasız olabileceğini göstermiştir. Olay sonrası birçok şirket siber güvenlik yatırımlarını artırmaya başlamıştır.
WannaCry, 2017 yılında ortaya çıkan ve dünya çapında yüz binlerce bilgisayarı etkileyen büyük bir ransomware (fidye yazılımı) saldırısıdır.
Bu zararlı yazılım bilgisayarlara bulaştıktan sonra sistemdeki dosyaları şifreler ve kullanıcıdan dosyaların tekrar açılabilmesi için fidye talep eder.
WannaCry saldırısı kısa sürede dünya genelinde yayılmış ve hastaneler, şirketler, üniversiteler ve devlet kurumları dahil birçok kuruluşu etkilemiştir.
WannaCry saldırısı, Microsoft Windows işletim sisteminde bulunan EternalBlue adlı güvenlik açığını kullanarak yayılmıştır.
Bu açık, Windows'un SMB (Server Message Block) protokolünde bulunuyordu ve saldırganların uzaktan sistemlere erişmesine imkan tanıyordu.
WannaCry yalnızca bir fidye yazılımı değil aynı zamanda bir worm özelliğine sahipti.
Bu sayede ağ içerisindeki diğer bilgisayarlara otomatik olarak yayılabiliyor ve çok kısa sürede binlerce sistemi enfekte edebiliyordu.
WannaCry bulaştığı bilgisayarlarda belgeler, fotoğraflar, veri tabanı dosyaları ve diğer önemli dosyaları güçlü şifreleme algoritmaları kullanarak kilitlemiştir.
Kullanıcılar dosyalarına tekrar erişebilmek için saldırganlara Bitcoin ile ödeme yapmaya zorlanmıştır.
WannaCry saldırısı 150'den fazla ülkede yaklaşık 200.000'den fazla bilgisayarı etkilemiştir.
Özellikle İngiltere'deki NHS hastaneleri bu saldırıdan ciddi şekilde etkilenmiş ve bazı sağlık hizmetleri geçici olarak durdurulmuştur.
Bir güvenlik araştırmacısı WannaCry kodunda bulunan bir alan adını fark etmiş ve bu alan adını kayıt ederek saldırının yayılmasını büyük ölçüde yavaşlatmayı başarmıştır.
WannaCry saldırısı, güncel olmayan sistemlerin ne kadar büyük güvenlik riski oluşturabileceğini göstermiştir.
Bu olaydan sonra birçok kurum düzenli yazılım güncellemeleri ve güvenlik yamalarının önemini daha iyi anlamıştır.
2020 yılında dünya siber güvenlik tarihinin en büyük siber casusluk operasyonlarından biri ortaya çıktı. Bu saldırının merkezinde ABD merkezli bir yazılım şirketi olan SolarWinds bulunuyordu.
SolarWinds şirketi, dünya genelinde birçok kurumun kullandığı Orion adlı ağ yönetim yazılımını geliştiriyordu. Bu yazılım büyük şirketler, teknoloji firmaları ve hatta devlet kurumları tarafından kullanılmaktaydı.
Saldırıyı gerçekleştiren grup, güvenlik araştırmacıları tarafından APT29 veya Cozy Bear olarak adlandırılan gelişmiş bir siber casusluk grubuydu.
Bu grup doğrudan hedef kurumlara saldırmak yerine çok daha stratejik bir yöntem seçti: tedarik zinciri saldırısı.
Saldırganlar SolarWinds'in yazılım geliştirme altyapısına sızmayı başardı.
Ardından Orion yazılımının güncelleme paketine gizli bir zararlı kod eklediler.
Bu zararlı yazılım daha sonra Sunburst olarak adlandırıldı.
SolarWinds Orion kullanıcıları normal bir yazılım güncellemesi aldıklarını düşünerek bu güncellemeyi indirdiler.
Ancak bu güncelleme içinde gizlenmiş olan zararlı yazılım, sistemlere arka kapı açıyordu.
Yaklaşık 18.000 kurum bu güncellemeyi indirmişti.
Sunburst zararlı yazılımı sistemde sessiz şekilde çalışacak şekilde tasarlanmıştı.
Zararlı yazılım belirli bir süre bekledikten sonra saldırganların komuta kontrol (C2) sunucularına bağlanarak sistem hakkında bilgi göndermeye başladı.
Böylece saldırganlar hedef kurumların ağlarına gizlice erişebiliyordu.
SolarWinds saldırısından birçok büyük kurum etkilendi.
ABD devlet kurumları, teknoloji şirketleri ve güvenlik firmaları saldırının hedefleri arasında yer aldı.
Saldırı ilk olarak ABD merkezli güvenlik şirketi FireEye tarafından fark edildi.
FireEye kendi sistemlerinde şüpheli aktiviteler tespit ettikten sonra detaylı bir analiz yaptı ve SolarWinds güncellemelerinde zararlı kod bulunduğunu ortaya çıkardı.
SolarWinds saldırısı modern siber casusluk operasyonlarının en gelişmiş örneklerinden biri olarak kabul edilmektedir.
Bu saldırı tedarik zinciri güvenliğinin ne kadar kritik olduğunu tüm dünyaya göstermiştir.
OSINT (Open Source Intelligence), herkesin erişebileceği açık kaynaklardan elde edilen bilgilerin toplanması, analiz edilmesi ve anlamlı istihbarata dönüştürülmesi sürecidir.
Açık kaynak istihbaratı; internet siteleri, sosyal medya platformları, haber kaynakları, akademik yayınlar, forumlar, kamuya açık veri tabanları ve diğer herkese açık bilgi kaynaklarından elde edilen verilerin incelenmesini kapsar.
OSINT hem devlet kurumları hem de siber güvenlik uzmanları tarafından kullanılan önemli bir istihbarat yöntemidir. Bu yöntem sayesinde hedef hakkında bilgi toplamak, tehditleri analiz etmek ve saldırıları önceden tespit etmek mümkün olabilir.
Açık kaynak istihbaratı birçok farklı kaynaktan elde edilebilir. Bunlar arasında sosyal medya platformları, bloglar, haber siteleri, forumlar, şirket web siteleri, akademik makaleler ve kamuya açık veri tabanları yer alır.
Ayrıca alan adı kayıtları (WHOIS), IP bilgileri, açık veri setleri ve devlet kurumlarının yayınladığı raporlar da OSINT kaynakları arasında bulunmaktadır.
OSINT'in temel amacı, açık kaynaklardan elde edilen bilgileri analiz ederek anlamlı istihbarat üretmektir.
Bu bilgiler; tehdit analizi yapmak, hedef hakkında bilgi toplamak, siber saldırıları araştırmak veya güvenlik açıklarını tespit etmek için kullanılabilir.
Siber güvenlik alanında OSINT, saldırganların veya savunma ekiplerinin hedef hakkında bilgi toplamasında önemli bir rol oynar.
Güvenlik uzmanları OSINT kullanarak potansiyel tehditleri, saldırgan grupları ve zararlı yazılım kampanyalarını analiz edebilir.
Açık kaynak istihbaratı birçok farklı alanda kullanılmaktadır. Bunlar arasında siber güvenlik, gazetecilik, araştırmacılık, askeri istihbarat ve suç soruşturmaları bulunmaktadır.
Ayrıca şirketler de OSINT yöntemlerini kullanarak rekabet analizi yapabilir ve marka güvenliğini koruyabilir.
OSINT çalışmalarında birçok farklı araç kullanılabilir. Bu araçlar veri toplama, analiz etme ve görselleştirme işlemlerini kolaylaştırır.
Örnek OSINT araçları arasında Maltego, Shodan, Google Dorking, SpiderFoot ve Recon-ng gibi araçlar bulunmaktadır.
Günümüzde internet üzerinde çok büyük miktarda veri bulunmaktadır. Bu verilerin doğru şekilde analiz edilmesi önemli istihbarat bilgilerinin ortaya çıkarılmasını sağlayabilir.
Bu nedenle OSINT, modern istihbarat ve siber güvenlik çalışmalarının önemli bir parçası haline gelmiştir.
Google Dorking, arama motorlarında gelişmiş arama operatörleri kullanarak normalde kolay bulunmayan bilgileri keşfetme yöntemidir. Bu teknik OSINT çalışmalarında yaygın olarak kullanılır.
Örneğin belirli dosya türlerini, açık dizinleri veya yanlış yapılandırılmış sistemleri bulmak için kullanılabilir.
Google Hacking Database, güvenlik araştırmacıları tarafından paylaşılan Google dork sorgularının bulunduğu bir veri tabanıdır.
Bu veri tabanı sayesinde açık dizinler, hassas belgeler ve yanlış yapılandırılmış sistemler gibi birçok bilgi keşfedilebilir.
Çevrimiçi topluluklar, tartışma grupları ve mesajlaşma platformları OSINT araştırmalarında önemli bilgi kaynaklarıdır.
Bu gruplar üzerinden kullanıcı davranışları, ilgi alanları ve çeşitli teknik bilgiler analiz edilebilir.
Forumlar, kullanıcıların bilgi paylaşımı yaptığı platformlardır. OSINT araştırmalarında forumlar, teknik tartışmalar ve kullanıcı paylaşımları açısından önemli bilgiler sağlayabilir.
Bloglar bireyler veya kurumlar tarafından paylaşılan içeriklerin bulunduğu platformlardır.
OSINT çalışmalarında blog yazıları üzerinden kişiler, şirketler veya olaylar hakkında önemli bilgiler elde edilebilir.
Sosyal medya platformları OSINT çalışmalarında en önemli veri kaynaklarından biridir.
Kullanıcı paylaşımları, fotoğraflar, konum bilgileri ve etkileşimler analiz edilerek kişi veya kurumlar hakkında önemli bilgiler elde edilebilir.
Wayback Machine, internet sitelerinin geçmiş versiyonlarını saklayan bir arşiv sistemidir.
OSINT araştırmalarında bir web sitesinin geçmişteki içeriklerini incelemek ve silinmiş sayfaları görmek için kullanılabilir.
Shodan, internete bağlı cihazları aramaya yarayan özel bir arama motorudur. Kameralar, sunucular, routerlar ve endüstriyel kontrol sistemleri gibi cihazlar hakkında bilgi bulunmasını sağlar.
OSINT Framework, açık kaynak istihbaratı araçlarını kategorilere ayıran bir platformdur. Araştırmacılar bu platform üzerinden birçok OSINT aracına ulaşabilir.
Archive.org, internet üzerindeki içerikleri arşivleyen bir dijital kütüphanedir. Web sitelerinin eski versiyonlarını incelemek için kullanılabilir.
Wayback Machine, web sitelerinin geçmiş versiyonlarını saklayan bir internet arşiv sistemidir. Silinmiş veya değiştirilmiş sayfaları görüntülemek mümkündür.
WHOIS servisleri bir alan adının sahibi, kayıt tarihi, kayıt şirketi ve teknik bilgileri öğrenmek için kullanılan sistemlerdir.
SpiderFoot, otomatik OSINT veri toplama aracıdır. IP adresleri, domainler ve altyapı hakkında birçok veri kaynağını analiz edebilir.
TheHarvester, e-posta adresleri, alt alan adları ve şirket bilgilerini arama motorları ve veri kaynaklarından toplayan bir OSINT aracıdır.
Maltego, veri toplama ve ilişki analizi yapan bir OSINT aracıdır. Toplanan verileri grafik şeklinde görselleştirerek bağlantıları analiz etmeyi kolaylaştırır.
Gazeteler, akademik makaleler, dergiler ve kitaplar da açık kaynak istihbaratı için önemli bilgi kaynaklarıdır.
MarineTraffic, dünya genelindeki gemilerin konumlarını ve hareketlerini takip etmeye yarayan bir platformdur.
Google Social Search, sosyal medya platformlarında yapılan paylaşımları ve kullanıcı bilgilerini araştırmak için kullanılan bir arama yöntemidir.
FlightRadar24, dünya genelindeki uçakların gerçek zamanlı konumlarını ve uçuş bilgilerini gösteren bir uçuş takip platformudur.
OSINT çalışmalarında uçuş rotalarını analiz etmek ve belirli uçuşları takip etmek için kullanılabilir.
Sinyal İstihbaratı (SIGINT - Signals Intelligence), elektronik sinyallerin ve iletişim sistemlerinin dinlenmesi, toplanması ve analiz edilmesi yoluyla elde edilen istihbarat türüdür.
SIGINT, radyo sinyalleri, telefon görüşmeleri, uydu iletişimi, internet trafiği ve diğer elektronik iletişim kaynaklarından elde edilen verilerin incelenmesini kapsar. Bu istihbarat yöntemi özellikle askeri, güvenlik ve istihbarat kurumları tarafından kullanılmaktadır.
Sinyal istihbaratı sayesinde iletişim trafiği analiz edilerek potansiyel tehditler tespit edilebilir, saldırı planları hakkında bilgi edinilebilir ve düşman faaliyetleri hakkında önemli veriler elde edilebilir.
COMINT, insanlar arasında gerçekleşen iletişimlerin dinlenmesi ve analiz edilmesiyle elde edilen istihbarat türüdür. Telefon görüşmeleri, radyo iletişimi, e-posta ve diğer iletişim türleri bu kategoriye girer.
ELINT, radar sistemleri ve diğer elektronik cihazlardan yayılan sinyallerin analiz edilmesiyle elde edilen istihbarattır. Özellikle askeri radar sistemlerinin incelenmesinde kullanılır.
FISINT, yabancı ülkelerin kullandığı sensörler, silah sistemleri veya test sistemlerinden yayılan sinyallerin analiz edilmesiyle elde edilen istihbarat türüdür.
Uydu iletişim sistemleri ve radar cihazları da sinyal istihbaratı için önemli veri kaynaklarıdır. Bu sinyaller analiz edilerek askeri faaliyetler veya iletişim hareketleri hakkında bilgi elde edilebilir.
Modern siber güvenlik çalışmalarında SIGINT, ağ trafiğinin analiz edilmesi ve şüpheli iletişimlerin tespit edilmesi için kullanılabilir. Bu sayede saldırganların komuta kontrol (C2) iletişimleri tespit edilebilir.
Sinyal istihbaratı, modern istihbarat çalışmalarında en önemli veri kaynaklarından biridir. Elektronik iletişimlerin artmasıyla birlikte SIGINT, güvenlik kurumları için kritik bir istihbarat yöntemi haline gelmiştir.
Wireshark, ağ trafiğini analiz etmek için kullanılan en popüler paket analiz araçlarından biridir. Ağ üzerinden geçen veri paketlerini yakalayarak detaylı inceleme yapılmasını sağlar.
tcpdump, komut satırı tabanlı bir paket analiz aracıdır. Ağ üzerinden geçen paketleri yakalamak ve analiz etmek için kullanılır.
ngrep (Network Grep), ağ paketleri içinde belirli metinleri veya veri kalıplarını aramak için kullanılan bir ağ analiz aracıdır.
Kismet, kablosuz ağları tespit etmek ve analiz etmek için kullanılan bir araçtır. Wi-Fi ağlarının izlenmesi ve güvenlik analizlerinde kullanılır.
SIPCapture, VoIP ve SIP protokolü üzerinden gerçekleşen iletişim trafiğini analiz etmek için kullanılan bir ağ izleme aracıdır.
Zoiper, VoIP iletişimi için kullanılan bir softphone uygulamasıdır. SIP protokolü üzerinden yapılan çağrıların test edilmesi ve analiz edilmesinde kullanılabilir.
SIPp, SIP protokolü üzerinden çağrı senaryoları oluşturmak ve VoIP sistemlerini test etmek için kullanılan bir araçtır.
sipdump, SIP paketlerini yakalamak ve analiz etmek için kullanılan bir araçtır. PCAP dosyaları ağ trafiğinin kaydedilmesini ve daha sonra analiz edilmesini sağlar.
Snort, ağ tabanlı bir saldırı tespit sistemidir (IDS). Ağ trafiğini analiz ederek şüpheli aktiviteleri ve potansiyel saldırıları tespit eder.
OpenNMS, ağ izleme ve yönetim sistemi olarak kullanılan açık kaynaklı bir platformdur. Ağ performansını izlemek ve olay yönetimi yapmak için kullanılır.
TECHINT (Technical Intelligence), teknolojik sistemler, yazılımlar, donanımlar ve teknik altyapılar hakkında bilgi toplama, analiz etme ve değerlendirme sürecidir.
Teknik istihbaratın amacı bir teknolojinin nasıl çalıştığını anlamak, kullanılan yöntemleri incelemek ve bu sistemlerin güçlü ve zayıf yönlerini analiz etmektir.
Bu istihbarat türü özellikle askeri sistemler, elektronik cihazlar, zararlı yazılımlar, ağ teknolojileri ve güvenlik açıkları üzerinde yapılan teknik analizleri kapsar.
Teknik istihbarat çalışmalarında zararlı yazılımlar incelenerek nasıl çalıştıkları analiz edilir.
Örneğin bir araştırmacı ele geçirilen bir zararlı yazılımın dosya yapısını inceleyerek şu bilgileri ortaya çıkarabilir:
• Zararlı yazılım hangi sistemleri hedef alıyor
• Hangi komuta kontrol (C2) sunucusuna bağlanıyor
• Verileri nasıl çalıyor veya şifreliyor
Reverse engineering, bir yazılımın veya cihazın nasıl çalıştığını anlamak için yapılan teknik inceleme sürecidir.
Örneğin bir güvenlik araştırmacısı zararlı bir programı analiz ederek kodun hangi fonksiyonları kullandığını, hangi komutları çalıştırdığını ve nasıl yayıldığını ortaya çıkarabilir.
Teknik istihbaratta exploit analizleri de yapılır. Bir saldırıda kullanılan exploit incelenerek hangi güvenlik açığının kullanıldığı belirlenebilir.
Örneğin bir saldırganın bir web uygulamasında SQL Injection kullandığı tespit edilirse, sistem yöneticileri bu açığı kapatarak saldırının tekrar gerçekleşmesini önleyebilir.
TECHINT çalışmalarında ağ trafiği incelenerek şüpheli bağlantılar ve saldırı aktiviteleri tespit edilebilir.
Örneğin bir sistemin sürekli olarak bilinmeyen bir IP adresine veri gönderdiği görülürse bu durum veri sızıntısı veya zararlı yazılım faaliyetinin göstergesi olabilir.
Teknik istihbarat sadece yazılımlar üzerinde değil, aynı zamanda donanım sistemleri üzerinde de yapılır.
Örneğin ele geçirilen bir cihazın içindeki elektronik bileşenler incelenerek cihazın hangi teknolojileri kullandığı ve nasıl çalıştığı anlaşılabilir.
Teknik istihbarat, siber güvenlik ve askeri analizlerde çok önemli bir rol oynar.
Zararlı yazılımların analiz edilmesi, saldırı tekniklerinin anlaşılması ve savunma mekanizmalarının geliştirilmesi TECHINT sayesinde mümkün olur.
IDA Pro (Interactive Disassembler), yazılım tersine mühendisliği için kullanılan güçlü bir analiz aracıdır. Derlenmiş programların makine kodunu inceleyerek programın nasıl çalıştığını anlamaya yardımcı olur.
Ghidra, NSA tarafından geliştirilen açık kaynaklı bir tersine mühendislik aracıdır. Zararlı yazılımların ve programların analiz edilmesinde yaygın olarak kullanılır.
OllyDbg, Windows uygulamalarını analiz etmek için kullanılan bir debugger aracıdır. Programların çalışma sırasında nasıl davrandığını incelemek için kullanılır.
Splunk, büyük miktarda log verisini toplamak, analiz etmek ve görselleştirmek için kullanılan güçlü bir veri analiz platformudur. SOC ekipleri tarafından sıkça kullanılır.
Elasticsearch, büyük veri kümelerini hızlı şekilde aramak ve analiz etmek için kullanılan bir arama ve veri analiz motorudur.
Logstash, farklı sistemlerden gelen log verilerini toplamak, dönüştürmek ve analiz sistemlerine göndermek için kullanılan bir veri işleme aracıdır.
Kibana, Elasticsearch verilerini görselleştirmek için kullanılan bir dashboard ve analiz aracıdır. Log verilerini grafiksel olarak incelemeyi sağlar.
Wireshark, ağ trafiğini analiz etmek için kullanılan en popüler paket analiz araçlarından biridir. Ağ paketlerini yakalayarak detaylı inceleme yapılmasını sağlar.
Zeek, eski adıyla Bro olarak bilinen bir ağ güvenlik izleme platformudur. Ağ trafiğini analiz ederek güvenlik olaylarını tespit etmeye yardımcı olur.
Suricata, ağ tabanlı bir saldırı tespit ve önleme sistemidir (IDS/IPS). Ağ trafiğini analiz ederek zararlı aktiviteleri ve saldırı girişimlerini tespit eder.
Google Maps, dünya genelindeki yolları, işletmeleri, bölgeleri ve konumları incelemek için kullanılan en yaygın harita platformlarından biridir.
Bing Maps, Microsoft tarafından sunulan harita hizmetidir. Yol haritaları, uydu görünümü ve yer bilgileri sunar.
Mapbox, özelleştirilebilir harita servisleri sunan bir platformdur. Coğrafi veri görselleştirme ve özel harita oluşturma işlemlerinde kullanılabilir.
OpenStreetMap, kullanıcılar tarafından oluşturulan açık kaynaklı bir dünya haritasıdır. Sokaklar, yapılar ve coğrafi detaylar hakkında bilgi sunar.
Google Earth, dünya üzerindeki yerleri üç boyutlu olarak incelemeye imkan tanır. Uydu görüntüleri ve arazi yapıları detaylı şekilde görüntülenebilir.
Map Compare, farklı harita servislerini aynı anda karşılaştırmalı olarak görüntülemeye yarar. Aynı bölgenin farklı haritalardaki görünümünü incelemek için kullanılır.
Uydu görüntüleri, belirli bir bölgenin yukarıdan incelenmesini sağlar. Coğrafi değişimler, yapılaşma ve arazi kullanımı gibi bilgiler elde edilebilir.
Planet Explorer, yüksek çözünürlüklü uydu görüntülerini incelemek için kullanılan bir platformdur. Zaman içindeki değişimleri analiz etmeye yardımcı olur.
OpenAerialMap, açık hava ve uydu görüntülerine erişim sağlayan bir platformdur. Haritalama ve konum doğrulama çalışmalarında kullanılabilir.
Sentinel Hub, Sentinel uydu verilerini analiz etmeye imkan sağlayan güçlü bir platformdur. Coğrafi değişim, çevresel inceleme ve arazi analizi için kullanılır.
Zoom Earth, uydu görüntüleri ve hava durumu verilerini gerçek zamana yakın şekilde sunan bir platformdur. Fırtına, yangın ve çevresel olayların takibinde yararlıdır.
NASA Worldview, NASA'nın sağladığı uydu verilerini görüntülemeye yarayan bir araçtır. Doğal olaylar, iklim değişiklikleri ve çevresel hareketler incelenebilir.
World Imagery Wayback, geçmiş tarihli uydu ve hava görüntülerini karşılaştırmalı şekilde incelemeye olanak tanır. Zaman içindeki değişimleri analiz etmek için kullanılır.
Mapillary, kullanıcılar tarafından yüklenen sokak seviyesi görüntüleri sunan bir platformdur. Cadde, bina ve çevre doğrulaması için yararlıdır.
Pic2Map, fotoğraflardaki EXIF ve konum verilerini inceleyerek harita üzerinde değerlendirme yapılmasına yardımcı olan bir araçtır.
SunCalc, güneşin ve ayın belirli bir tarih ve konumdaki açısını gösterir. Fotoğraf ve videolarda gölge analizi yaparak zaman ve yön doğrulaması için kullanılabilir.
GeoServer, coğrafi verilerin yayınlanmasını ve paylaşılmasını sağlayan açık kaynaklı bir sunucu uygulamasıdır. Harita servisleri ve coğrafi veri katmanları sunmak için kullanılır.
QGIS, açık kaynaklı bir coğrafi bilgi sistemi (GIS) yazılımıdır. Haritalama, mekânsal veri analizi ve katmanlı coğrafi çalışmalar için yaygın olarak kullanılır.
IMINT (Imagery Intelligence), fotoğraf, uydu görüntüsü, hava görüntüsü, keşif görüntüsü ve diğer görsel kaynaklardan elde edilen verilerin analiz edilmesiyle oluşturulan istihbarat türüdür.
Görüntü istihbaratı, belirli bir bölgeyi, yapıyı, aracı, hareketliliği veya coğrafi değişimi görsel materyaller üzerinden incelemeyi sağlar. Bu nedenle özellikle askeri istihbarat, güvenlik, sınır takibi, afet analizi ve açık kaynak araştırmalarında önemli bir yer tutar.
IMINT'in temel amacı, görüntülerden anlamlı bilgi çıkarmak ve bu bilgileri karar vericiler için kullanılabilir hale getirmektir. Bir görüntü, bazen uzun raporlardan daha hızlı ve açık bilgi verebilir.
Uydu görüntüleri, IMINT'in en önemli kaynaklarından biridir. Belirli bir bölgedeki yapılaşma, araç hareketleri, arazi değişimleri, askeri tesisler veya doğal afet etkileri bu görüntüler üzerinden analiz edilebilir.
Uçaklar, insansız hava araçları veya keşif platformları tarafından çekilen hava fotoğrafları; bölgenin daha yakın ve detaylı şekilde incelenmesini sağlar. Özellikle operasyonel planlamada önemlidir.
Güvenlik kameraları, keşif sistemleri, saha görüntüleri veya gözlem cihazlarından elde edilen görseller de IMINT kapsamında değerlendirilebilir. Bu görüntüler olay analizi ve hedef takibi açısından önemlidir.
Aynı bölgeye ait farklı tarihlerde çekilmiş görüntüler karşılaştırılarak zaman içindeki değişimler tespit edilebilir. Yeni yapıların eklenmesi, araç yoğunluğu, yıkım veya hareketlilik gibi unsurlar bu şekilde ortaya çıkarılabilir.
IMINT, askeri üslerin, araçların, savunma sistemlerinin, sınır hareketliliğinin ve stratejik bölgelerin izlenmesinde yaygın olarak kullanılır. Bu nedenle savunma ve güvenlik alanında kritik bir istihbarat türüdür.
Görüntü istihbaratı, açık kaynak istihbaratı ile birlikte kullanıldığında çok daha güçlü hale gelir. Sosyal medya görüntüleri, haritalar, uydu servisleri ve yer bulma araçları bir araya getirilerek daha kapsamlı analizler yapılabilir.
Yandex Images, bir görselin internette daha önce nerelerde kullanıldığını bulmak için kullanılan güçlü bir tersine görsel arama aracıdır. Özellikle yüz, mekan ve nesne benzerliği bulmada oldukça etkilidir.
TinEye, yüklenen bir görselin internetteki farklı sürümlerini, eski kullanımlarını ve benzer örneklerini tespit etmek için kullanılan tersine görsel arama aracıdır.
Google Lens, görsel içindeki nesneleri, yazıları, mekanları ve benzer görüntüleri tanımlamak için kullanılan bir görsel analiz aracıdır. Fotoğraf doğrulama ve nesne tanımada faydalıdır.
ExifTool, görsellerin ve diğer dosyaların metadata bilgilerini incelemek için kullanılan güçlü bir araçtır. Fotoğrafın çekim zamanı, cihaz bilgisi, koordinatlar ve teknik ayrıntılar gibi bilgiler ortaya çıkarılabilir.
Jimpl, fotoğrafların metadata bilgilerini hızlı şekilde görüntülemek için kullanılan çevrim içi bir EXIF analiz aracıdır.
MetaPicz, görsellerdeki EXIF ve metadata verilerini incelemeye yardımcı olan bir çevrim içi araçtır. Görselin teknik özelliklerini ve kayıt bilgilerini göstermede kullanılır.
FotoForensics, bir görsel üzerinde oynama yapılıp yapılmadığını anlamaya yardımcı olan bir görsel adli analiz aracıdır. Özellikle Error Level Analysis (ELA) ile dikkat çeker.
Forensically, görüntü manipülasyonu, kopyalama izleri, gürültü analizi ve piksel incelemesi yapmak için kullanılan gelişmiş bir görsel analiz platformudur.
InVID, videoları analiz etmek, karelere ayırmak, tersine görsel arama yapmak ve doğrulama süreçlerini desteklemek için kullanılan önemli bir araçtır.
WeVerify, sosyal medya içeriklerini, görselleri ve videoları doğrulamak için kullanılan bir açık kaynak doğrulama aracıdır. Özellikle dezenformasyon analizi çalışmalarında yararlıdır.
Geolocation estimation, bir görselin çekildiği yeri tahmin etmek için kullanılan yöntem ve araçların genel adıdır. Bina yapıları, yol çizgileri, tabelalar, gölgeler ve arazi özellikleri gibi unsurlar analiz edilir.
Open Source Munitions, mühimmat, silah parçaları ve çatışma alanlarına ait görsellerin tanımlanmasında kullanılan açık kaynak bilgi ve doğrulama yaklaşımını ifade eder.
OpenStreetCam, sokak seviyesinde görüntüler sunan bir platformdur. Konum doğrulama ve çevresel detay analizi için kullanılabilir.
Pl@ntNet, bitki türlerini fotoğraflar üzerinden tanımlamaya yardımcı olan bir araçtır. Çevresel ve coğrafi analizlerde destekleyici veri sağlayabilir.
Identify, fotoğraflar üzerinden bitki, hayvan ve doğal yaşam unsurlarını tanımlamaya yardımcı olur. Bir görseldeki çevresel ipuçlarını anlamada faydalı olabilir.
Belirli bir alan adı içinde arama yapar.
Örnek:
site:example.com
Sayfa başlığında belirli bir kelime bulunan sonuçları gösterir.
Örnek:
intitle:login
URL adresinde belirli kelimeleri arar.
Örnek:
inurl:admin
Sayfa içeriğinde geçen kelimeleri arar.
Örnek:
intext:password
Belirli dosya türlerini aramak için kullanılır.
Örnek:
filetype:pdf
Belirli uzantıya sahip dosyaları arar.
Örnek:
ext:xls
Başlıkta birden fazla kelimenin aynı anda bulunmasını sağlar.
Örnek:
allintitle:admin panel
URL içinde birden fazla kelimenin bulunmasını sağlar.
Örnek:
allinurl:login admin
Sayfa içeriğinde birden fazla kelimeyi aynı anda arar.
Örnek:
allintext:username password
Google'ın bir sayfanın önbellekte saklanan versiyonunu gösterir.
Örnek:
cache:example.com
Belirli bir siteye benzer siteleri bulur.
Örnek:
related:example.com
Belirli tarihlerden önce veya sonra yayınlanan sonuçları gösterir.
Örnek:
cyber attack after:2022
Belirli bir sitedeki belirli dosya türlerini bulur.
Örnek:
site:gov filetype:pdf
Belirli bir site içinde başlığı belirli olan sayfaları bulur.
Örnek:
site:example.com intitle:login
URL içinde giriş sayfası bulunan sayfaları bulabilir.
Örnek:
inurl:login
Belirli dosyalarda belirli kelimeleri arar.
Örnek:
filetype:xls password
Genellikle açık dizinleri bulmak için kullanılır.
Örnek:
intitle:"index of"
Giriş sayfalarını tespit etmek için kullanılabilir.
Örnek:
inurl:admin login
Bazı belgeleri veya veri dosyalarını bulabilir.
Örnek:
filetype:xls password
Yapılandırma dosyalarını bulmak için kullanılabilir.
Örnek:
filetype:env DB_PASSWORD
İnternet üzerinde bir web sitesine ulaşmak için birçok teknik sistem birlikte çalışır. Bunların en önemlilerinden ikisi DNS (Domain Name System) ve WHOIS sistemleridir. Bu sistemler sayesinde bir alan adının hangi sunucuya ait olduğu ve kime kayıtlı olduğu gibi bilgiler öğrenilebilir.
DNS (Domain Name System), internetin telefon rehberi gibi çalışan bir sistemdir. İnsanların kolayca hatırlayabileceği alan adlarını (örneğin google.com) bilgisayarların anlayabileceği IP adreslerine çevirir.
Örneğin bir kullanıcı tarayıcıya google.com yazdığında, DNS sistemi bu alan adını ilgili IP adresine çevirir ve kullanıcı doğru sunucuya yönlendirilir.
Bir kullanıcı bir web sitesine girmek istediğinde şu adımlar gerçekleşir:
1. Kullanıcı tarayıcıya alan adını yazar.
2. DNS sunucusuna sorgu gönderilir.
3. DNS sistemi alan adının IP adresini bulur.
4. Tarayıcı bu IP adresine bağlanarak web sitesini açar.
Bu işlem genellikle milisaniyeler içinde gerçekleşir.
DNS sisteminde farklı kayıt türleri bulunur:
A Kaydı: Alan adını IP adresine yönlendirir.
MX Kaydı: E-posta sunucularını belirtir.
CNAME: Bir alan adını başka bir alan adına yönlendirir.
TXT: Alan adı hakkında ek bilgiler içerir.
NS: Alan adının hangi DNS sunucuları tarafından yönetildiğini gösterir.
WHOIS, bir alan adının kime ait olduğunu ve kayıt bilgilerini gösteren bir sorgulama sistemidir.
WHOIS veritabanı sayesinde bir alan adının sahibi, kayıt tarihi, alan adı sağlayıcısı ve DNS sunucuları gibi bilgiler öğrenilebilir.
Bir WHOIS sorgusunda genellikle şu bilgiler bulunur:
• Alan adı sahibi veya kuruluş
• Alan adının kayıt tarihi
• Alan adının son kullanma tarihi
• Alan adı kayıt firması (Registrar)
• DNS sunucuları
DNS ve WHOIS verileri açık kaynak istihbaratı (OSINT) çalışmalarında önemli bilgi kaynaklarıdır.
Araştırmacılar bu sistemleri kullanarak bir web sitesinin altyapısını, barındırma sağlayıcısını veya alan adı geçmişini analiz edebilir.
Name Server (NS), bir alan adının DNS kayıtlarını yöneten sunuculardır. Yani bir web sitesine ait alan adının hangi DNS sunucuları tarafından kontrol edildiğini gösterir.
İnternette bir alan adı kullanıldığında, sistem önce o alan adının hangi name server'lara bağlı olduğunu öğrenir. Daha sonra bu sunucular üzerinden IP adresi, e-posta sunucusu ve diğer DNS kayıtları sorgulanır.
Örneğin bir alan adı için ns1.example.com ve ns2.example.com gibi kayıtlar bulunabilir. Bu kayıtlar, ilgili alan adının DNS yönetiminin hangi sunucularda yapıldığını gösterir.
Kısaca name server, bir alan adının internet üzerindeki yönlendirme ve çözümleme bilgilerini tutan DNS sunucusudur.
DNSDumpster, bir alan adı hakkında DNS kayıtlarını, alt alan adlarını (subdomain), IP adreslerini ve sunucu bilgilerini görselleştirerek analiz etmeye yarayan bir OSINT aracıdır.
Bu araç özellikle güvenlik araştırmacıları, siber güvenlik uzmanları ve OSINT analistleri tarafından bir web sitesinin altyapısını incelemek için kullanılır.
İlk olarak tarayıcıdan dnsdumpster.com adresine gidilir.
Site açıldığında karşınıza bir alan adı arama kutusu çıkar.
Arama kutusuna analiz etmek istediğiniz alan adı yazılır.
Örneğin:
example.com
Ardından Search butonuna basılır.
Arama sonucunda alan adıyla ilgili DNS kayıtları listelenir.
Bu bilgiler arasında şunlar bulunabilir:
• A kayıtları
• MX kayıtları
• NS kayıtları
• Alt alan adları (subdomain)
DNSDumpster aynı zamanda alan adının bağlı olduğu sunucuların IP adreslerini gösterir.
Bu bilgiler sayesinde bir sitenin hangi sunucuda barındırıldığı veya hangi altyapıyı kullandığı analiz edilebilir.
Araç ayrıca alan adıyla ilişkili sunucuların ve DNS kayıtlarının görsel bir ağ haritasını oluşturur.
Bu harita sayesinde alan adı ile ilişkili sunucular ve servisler daha kolay analiz edilir.
DNSDumpster, açık kaynak istihbaratı çalışmalarında bir web sitesinin altyapısını anlamak için önemli bir araçtır.
Araştırmacılar bu araç sayesinde alt alan adlarını, DNS kayıtlarını ve ağ yapısını inceleyebilir.
Port, bir bilgisayarın ağ üzerinden hangi servisi kullandığını belirten numaradır. Bir sunucu aynı anda birçok servis çalıştırabilir ve her servis farklı bir port üzerinden iletişim kurar.
Örneğin web siteleri genellikle 80 veya 443 portunu kullanır.
FTP veri aktarımı için kullanılan porttur.
Dosya transfer protokolü için kullanılan porttur.
Güvenli uzak bağlantı ve sistem yönetimi için kullanılır.
Uzak bağlantı için kullanılan eski ve güvensiz bir protokoldür.
E-posta gönderimi için kullanılan protokoldür.
Alan adlarını IP adreslerine çeviren DNS sistemi tarafından kullanılır.
Ağdaki cihazlara IP adresi dağıtan DHCP sunucusu tarafından kullanılır.
DHCP istemcilerinin IP adresi almak için kullandığı porttur.
Basit dosya transfer protokolü.
Web siteleri için kullanılan standart porttur.
E-postaları sunucudan almak için kullanılan protokoldür.
Usenet haber grupları için kullanılır.
Sistem saatlerini senkronize etmek için kullanılır.
Windows ağlarında isim çözümleme için kullanılır.
Windows ağ servisleri için kullanılır.
Windows dosya paylaşımı için kullanılır.
E-postaları sunucudan okumak için kullanılan protokoldür.
Ağ cihazlarını izlemek için kullanılan yönetim protokolüdür.
İnternet yönlendirme protokolüdür.
Internet Relay Chat protokolü için kullanılır.
Dizin servisleri için kullanılan protokoldür.
Şifreli web bağlantıları için kullanılan porttur.
Windows dosya paylaşımı ve ağ servisleri için kullanılır.
Şifreli e-posta gönderim protokolüdür.
VPN bağlantılarında kullanılır.
Log yönetimi için kullanılan protokoldür.
Router yönlendirme protokolüdür.
E-posta gönderimi için modern SMTP portudur.
Şifreli LDAP bağlantısı.
Güvenli FTP veri aktarımı.
Şifreli FTP bağlantısı.
Şifreli IMAP e-posta protokolü.
Şifreli POP3 e-posta protokolü.
Microsoft SQL Server veritabanı portudur.
Oracle veritabanı bağlantıları için kullanılır.
Network File System dosya paylaşım protokolüdür.
Web hosting yönetim paneli portudur.
Şifreli cPanel yönetim paneli.
Web hosting sunucu yönetim paneli.
Şifreli WHM panel portu.
Apache Zookeeper servis portudur.
Web geliştirme sunucuları tarafından sık kullanılır.
MySQL veritabanı bağlantı portudur.
Windows uzak masaüstü bağlantısı.
SVN versiyon kontrol sistemi portudur.
Pentesting araçlarında sık kullanılan porttur.
PostgreSQL veritabanı portudur.
Elastic Stack görselleştirme aracı.
Mesajlaşma kuyruğu servisi.
Uzaktan masaüstü bağlantısı için kullanılır.
Redis veritabanı portudur.
IRC sohbet protokolü portudur.
Oracle WebLogic sunucusu portu.
Geliştirme ortamlarında kullanılan web sunucu portudur.
Alternatif web sunucu portudur.
Alternatif HTTPS portudur.
Geliştirme araçları tarafından sık kullanılan porttur.
Apache Cassandra veritabanı portudur.
Apache Kafka mesajlaşma sistemi portudur.
Elasticsearch arama motoru portudur.
MongoDB veritabanı portudur.
Shodan, internete bağlı cihazları aramak için kullanılan bir arama motorudur. Google web sitelerini indekslerken, Shodan internet üzerindeki cihazları, sunucuları ve servisleri indeksler.
Shodan sayesinde internet üzerindeki kameralar, sunucular, routerlar, IoT cihazları, endüstriyel kontrol sistemleri ve açık portlar gibi birçok cihaz bulunabilir.
Bu nedenle Shodan, siber güvenlik araştırmacıları, OSINT analistleri ve sistem yöneticileri tarafından yaygın olarak kullanılmaktadır.
Tarayıcıdan shodan.io adresine gidilir.
Arama kutusuna cihaz, servis veya port bilgisi yazılarak arama yapılabilir.
Shodan arama kutusuna belirli bir servis veya port yazılarak sonuçlar bulunabilir.
Örneğin:
apache
nginx
port:22
Shodan sonuçlarında genellikle şu bilgiler bulunur:
• IP adresi
• Açık portlar
• Sunucu türü
• Konum bilgisi
• İşletim sistemi
Shodan aramalarında filtreler kullanılarak sonuçlar daraltılabilir.
Örneğin belirli bir ülkedeki cihazları aramak için filtreler kullanılabilir.
Belirli bir portu aramak için kullanılır.
Örnek:
port:22
Belirli bir ülkedeki cihazları aramak için kullanılır.
Örnek:
country:TR
Belirli bir şehirdeki cihazları aramak için kullanılır.
Örnek:
city:Istanbul
Belirli bir alan adına ait cihazları arar.
Örnek:
hostname:example.com
Belirli bir kuruma ait cihazları arar.
Örnek:
org:"Google"
Belirli bir işletim sistemine sahip cihazları arar.
Örnek:
os:"Windows"
Belirli IP aralığında arama yapar.
Örnek:
net:192.168.1.0/24
Belirli bir yazılım veya servis kullanan cihazları arar.
Örnek:
product:Apache
Web sayfası başlığına göre arama yapar.
Örnek:
title:"login"
Belirli bir yazılım sürümünü arar.
Örnek:
product:nginx version:1.18
Web sunucuları:
port:80
SSH sunucuları:
port:22
Web kameraları:
webcam
Apache sunucuları:
product:Apache
MySQL sunucuları:
port:3306
MongoDB veritabanları:
port:27017
FTP sunucuları:
port:21
CVE (Common Vulnerabilities and Exposures), bilinen güvenlik açıklarının standart bir kimlik numarası ile tanımlanmasını sağlayan uluslararası bir sistemdir.
Her güvenlik açığına benzersiz bir CVE ID verilir. Bu sayede güvenlik araştırmacıları, yazılım geliştiriciler ve sistem yöneticileri aynı güvenlik açığından bahsederken karışıklık yaşamaz.
Örnek bir CVE kimliği şu şekilde görünür:
CVE-2021-44228
Bu CVE, Log4j kütüphanesinde bulunan çok kritik bir güvenlik açığını ifade eder.
Vulnerability yani güvenlik zafiyeti, bir yazılımda, sistemde veya ağda bulunan ve saldırganların kullanabileceği güvenlik açığıdır.
Bu açıklar sayesinde saldırganlar sistemlere yetkisiz erişim sağlayabilir, veri çalabilir veya sistemi kontrol edebilir.
Bir CVE kimliği genellikle şu formatta olur:
CVE-YIL-NUMARA
Örnek:
CVE-2023-23397
Burada:
• 2023 → Açığın yayınlandığı yıl
• 23397 → Açığın benzersiz numarası
CVE kayıtları MITRE tarafından yönetilen bir veritabanında tutulur.
Araştırmacılar ve güvenlik uzmanları yeni keşfettikleri güvenlik açıklarını bu sisteme bildirir.
Bu sayede dünya genelinde herkes aynı güvenlik açığı hakkında bilgi sahibi olur.
CVE kayıtlarını incelemek için kullanılan bazı önemli kaynaklar:
• cve.mitre.org
• nvd.nist.gov
• exploit-db.com
• vulners.com
Bir CVE kaydının ne kadar tehlikeli olduğunu göstermek için CVSS adı verilen bir puanlama sistemi kullanılır.
CVSS puanı genellikle 0 ile 10 arasında değişir.
0-3 → Düşük risk
4-6 → Orta risk
7-8 → Yüksek risk
9-10 → Kritik risk
CVE-2014-0160 → Heartbleed OpenSSL açığı
CVE-2017-0144 → EternalBlue (WannaCry saldırısı)
CVE-2021-44228 → Log4Shell açığı
Bu güvenlik açıkları dünya çapında büyük siber saldırılara neden olmuştur.
Cyber Threat Intelligence (CTI), siber tehditler hakkında bilgi toplayan, analiz eden ve bu bilgileri paylaşarak saldırılara karşı savunma geliştirmeyi amaçlayan bir güvenlik alanıdır.
CTI çalışmalarında saldırı tekniklerini analiz etmek, tehdit aktörlerini incelemek ve güvenlik ekipleri arasında bilgi paylaşımı yapmak için çeşitli frameworkler ve platformlar kullanılır.
MITRE ATT&CK, saldırganların kullandığı taktik, teknik ve prosedürleri (TTP) sınıflandıran bir framework'tür.
Bu framework saldırganların bir sisteme nasıl sızdığını, sistem içinde nasıl hareket ettiğini ve hedeflerine nasıl ulaştığını analiz etmek için kullanılır.
MITRE ATT&CK özellikle SOC ekipleri, threat hunterlar ve güvenlik analistleri tarafından kullanılmaktadır.
Cyber Kill Chain, bir siber saldırının başlangıcından hedefe ulaşana kadar geçen aşamaları tanımlayan bir saldırı modelidir.
Bu model saldırıları şu aşamalara ayırır:
• Reconnaissance
• Weaponization
• Delivery
• Exploitation
• Installation
• Command & Control
• Actions on Objectives
Diamond Model, siber saldırıları analiz etmek için kullanılan bir framework'tür.
Bu model dört temel bileşen üzerinden çalışır:
• Adversary (Saldırgan)
• Infrastructure (Altyapı)
• Capability (Araçlar / Zararlı yazılım)
• Victim (Hedef)
Bu model saldırı kampanyalarını analiz etmek için kullanılır.
MISP (Malware Information Sharing Platform), tehdit istihbaratı paylaşımı için kullanılan açık kaynaklı bir platformdur.
MISP sayesinde kurumlar IOC bilgilerini paylaşabilir.
IOC örnekleri:
• Zararlı IP adresleri
• Domain adresleri
• Hash değerleri
• Zararlı yazılım örnekleri
OpenCTI, tehdit istihbaratı verilerini toplamak, analiz etmek ve görselleştirmek için kullanılan bir CTI platformudur.
Farklı kaynaklardan gelen tehdit bilgilerini bir araya getirerek saldırı kampanyalarını analiz etmeyi sağlar.
TAXII (Trusted Automated eXchange of Intelligence Information), tehdit istihbaratı verilerinin kurumlar arasında otomatik olarak paylaşılmasını sağlayan bir protokoldür.
Genellikle STIX veri formatı ile birlikte kullanılır.
STIX (Structured Threat Information Expression), siber tehdit istihbaratı verilerini standart bir formatta tanımlamak için kullanılan bir veri modelidir.
STIX sayesinde tehdit verileri farklı sistemler arasında paylaşılabilir.
Threat Intelligence Platformları tehdit verilerini toplamak, analiz etmek ve güvenlik sistemlerine entegre etmek için kullanılır.
En bilinen TIP platformları:
• MISP
• OpenCTI
• ThreatConnect
• Anomali ThreatStream
Linux işletim sisteminde birçok işlem komut satırı üzerinden gerçekleştirilir. Bu komutlar dosya yönetimi, sistem kontrolü, ağ işlemleri ve süreç yönetimi gibi birçok görevi yerine getirmek için kullanılır.
which – Bir komutun çalıştırılabilir dosyasının tam yolunu gösterir.
yum – Fedora, CentOS ve Red Hat Enterprise Linux sistemlerinde paket aramak, kurmak, kaldırmak ve güncellemek için kullanılır.
cat – Dosya içeriğini terminalde gösterir.
clear – Terminal ekranını temizler.
echo – Terminale metin veya değişken yazdırır.
top – Çalışan işlemler hakkında bilgi gösterir.
env – Sistem üzerinde çalışan tüm ortam değişkenlerini gösterir.
export – Ortam değişkenlerini dışa aktarır.
printenv – Belirli bir ortam değişkenini görüntüler.
source – Bir dosyadaki komutları mevcut shell içinde çalıştırır.
cd – Başka bir dizine geçiş yapar.
cp – Dosya veya klasör kopyalar.
find – Dosya veya dizin arar.
grep – Metin içinde belirli bir ifadeyi arar.
ls – Dizindeki dosyaları listeler.
mkdir – Yeni dizin oluşturur.
more – Dosya içeriğini sayfa sayfa gösterir.
mv – Dosyayı taşır veya yeniden adlandırır.
pwd – Mevcut dizinin yolunu gösterir.
rm – Dosya veya klasör siler.
tar – Dosyaları sıkıştırmak veya açmak için kullanılır.
man – Linux komutlarının manual (yardım) sayfalarını gösterir.
curl – URL üzerinden veri almak veya göndermek için kullanılır.
ip – IP adresleri ve ağ bilgilerini gösterir.
netstat – Ağ bağlantıları hakkında bilgi verir.
ssh – Uzak bir bilgisayara güvenli bağlantı kurar.
wget – İnternetten dosya indirmek için kullanılır.
&& – Komutları sıralı şekilde çalıştırır.
kill – Çalışan bir işlemi sonlandırır.
ps – Aktif işlemleri listeler.
poweroff – Bilgisayarı kapatır.
restart – Bilgisayarı yeniden başlatır.
whoami – Mevcut kullanıcı adını gösterir.
find komutu:
sudo find / -name hostname
Bu komut sistemde hostname isimli dosyayı arar.
grep komutu:
grep "search_expression" input
Bir dosyada veya çıktıda belirli bir metni aramak için kullanılır.
Penetrasyon testi (Pentest), bir sistemin, ağın veya uygulamanın güvenlik açıklarını tespit etmek amacıyla gerçekleştirilen kontrollü siber saldırı simülasyonudur.
Pentest uzmanları gerçek bir saldırganın kullanabileceği yöntemleri kullanarak sistemdeki güvenlik zafiyetlerini bulmaya çalışır. Bu sayede kurumlar saldırı gerçekleşmeden önce açıklarını tespit edip gerekli önlemleri alabilir.
Pentest çalışmaları genellikle şu hedefler için yapılır:
• Güvenlik açıklarını tespit etmek
• Sistemlerin saldırılara karşı dayanıklılığını ölçmek
• Güvenlik kontrollerini test etmek
• Kurumsal güvenlik seviyesini artırmak
White Box Pentest, test yapan kişinin sistem hakkında tam bilgiye sahip olduğu penetrasyon testidir.
Test uzmanına genellikle şu bilgiler verilir:
• Sistem mimarisi
• Kaynak kodları
• Sunucu bilgileri
• Ağ topolojisi
• Kullanıcı hesapları
Bu yöntem sayesinde güvenlik açıkları çok daha detaylı şekilde analiz edilebilir.
White box testler genellikle uygulama güvenliği ve yazılım güvenliği analizlerinde kullanılır.
Black Box Pentest, test yapan kişinin hedef sistem hakkında hiçbir bilgiye sahip olmadığı test türüdür.
Pentester gerçek bir saldırgan gibi davranır ve hedef hakkında bilgi toplamak için OSINT ve keşif tekniklerini kullanır.
Bu testte genellikle şu aşamalar uygulanır:
• Reconnaissance (Bilgi toplama)
• Scanning (Tarama)
• Exploitation (Açıkları kullanma)
• Post exploitation
Black box testler gerçek saldırı senaryolarına en yakın test yöntemlerinden biridir.
Grey Box Pentest, white box ve black box test yöntemlerinin birleşimidir.
Pentester sisteme ait sınırlı bilgiye sahiptir.
Örneğin test uzmanına şu bilgiler verilebilir:
• Kullanıcı hesabı
• Sistem hakkında temel bilgiler
• Uygulama erişimi
Grey box testler genellikle gerçek kullanıcı senaryolarını simüle etmek için kullanılır.
Nmap, ağ keşfi ve port tarama için kullanılan en popüler pentest araçlarından biridir.
Açık portları, çalışan servisleri ve işletim sistemlerini tespit etmek için kullanılır.
Metasploit, güvenlik açıklarını test etmek ve exploit geliştirmek için kullanılan bir framework'tür.
Pentesterlar bu araç ile sistemlerde bulunan açıkları kullanarak saldırı simülasyonu yapabilir.
Burp Suite, web uygulamalarını test etmek için kullanılan güçlü bir güvenlik aracıdır.
HTTP trafiğini analiz etmek, güvenlik açıklarını tespit etmek ve web uygulama testleri yapmak için kullanılır.
Wireshark, ağ trafiğini analiz etmek için kullanılan bir paket analiz aracıdır.
Pentest sırasında ağ üzerindeki veri paketlerini incelemek için kullanılır.
John the Ripper, parola kırma aracı olarak kullanılır.
Hash değerlerini analiz ederek zayıf parolaları tespit etmek için kullanılır.
Nikto, web sunucularındaki güvenlik açıklarını tespit etmek için kullanılan bir tarama aracıdır.
Deadline, bir işin, görevin veya projenin tamamlanması gereken son tarih veya son zaman anlamına gelir.
Bu süre, bir çalışmanın ne zamana kadar bitirilmesi gerektiğini belirtir. Deadline geçildiğinde işin zamanında teslim edilmediği kabul edilir.
Türkçe karşılığı genellikle son teslim tarihi, son tarih veya teslim süresi şeklindedir.
Penetrasyon testi (Pentest), bir sistemin güvenliğini test etmek amacıyla gerçekleştirilen kontrollü saldırı simülasyonudur. Ancak bu testler gerçek saldırı teknikleri kullanılarak yapıldığı için hukuki izin olmadan gerçekleştirilmesi birçok ülkede suç sayılabilir.
Bu nedenle pentest çalışmalarına başlamadan önce mutlaka yasal izin ve yetkilendirme alınması gerekir. Pentester ile kurum arasında resmi bir sözleşme yapılır ve testin kapsamı belirlenir.
Pentest sırasında şu konular açık şekilde belirlenmelidir:
• Test yapılacak sistemler ve ağlar
• Testin kapsamı ve sınırları
• Test süresi ve zaman aralığı
• Kullanılabilecek teknikler
• Veri güvenliği ve raporlama süreci
Bu süreç sayesinde pentest çalışmaları hem güvenli hem de yasal çerçevede gerçekleştirilir.
NDA (Non-Disclosure Agreement), taraflar arasında paylaşılan bilgilerin gizli tutulmasını sağlayan hukuki bir sözleşmedir.
Pentest çalışmaları sırasında sistem mimarisi, kullanıcı bilgileri, güvenlik açıkları ve kurum içi bilgiler gibi çok hassas veriler ortaya çıkabilir.
Bu nedenle pentester ve kurum arasında bir gizlilik sözleşmesi imzalanır.
NDA sözleşmesinin amacı kurumun hassas bilgilerini korumaktır.
Pentest sırasında elde edilen veriler üçüncü kişilerle paylaşılamaz ve yalnızca test amacıyla kullanılabilir.
Bu sözleşme sayesinde hem kurum hem de pentester hukuki olarak korunmuş olur.
Pentest çalışmalarında NDA kapsamında korunan bilgiler şunlar olabilir:
• Sistem mimarisi
• Ağ altyapısı
• Kullanıcı hesapları
• Güvenlik açıkları
• İç raporlar
• Kaynak kodları
Pentest çalışmalarında mutlaka yazılı bir yetkilendirme belgesi bulunmalıdır.
Bu belge testin hangi sistemlerde yapılacağını ve hangi yöntemlerin kullanılabileceğini belirler.
Yetkisiz şekilde yapılan testler izinsiz erişim olarak kabul edilir ve ciddi hukuki sonuçlar doğurabilir.
Yetkilendirme Belgesi, bir kurumun veya sistem sahibinin bir güvenlik uzmanına ya da pentester'a belirli sistemler üzerinde güvenlik testi yapma izni verdiğini gösteren resmi belgedir.
Penetrasyon testleri gerçek saldırı teknikleri kullanılarak gerçekleştirildiği için bu testlerin yasal olması adına önceden yazılı bir yetkilendirme belgesi alınması gerekir.
Bu belge sayesinde pentester hangi sistemlerde test yapabileceğini, hangi yöntemleri kullanabileceğini ve testin hangi zaman aralığında gerçekleşeceğini açık şekilde bilir.
Yetkilendirme belgesi olmadan yapılan güvenlik testleri birçok ülkede izinsiz erişim veya siber saldırı olarak kabul edilebilir ve hukuki sonuçlar doğurabilir.
Genellikle bu belgede şu bilgiler yer alır:
• Test yapılacak sistemler ve IP adresleri
• Testin kapsamı ve sınırları
• Test süresi
• Yetkilendirilen pentester veya güvenlik firması
• Kurumun resmi onayı
Kapsam (Scope), bir penetrasyon testi sırasında hangi sistemlerin, ağların veya uygulamaların test edileceğini belirleyen sınırları ifade eder.
Pentest başlamadan önce kurum ve güvenlik uzmanı birlikte testin hangi hedefler üzerinde yapılacağını belirler. Bu süreç hem teknik hem de hukuki açıdan önemlidir.
Scope belirleme sayesinde pentester hangi sistemlerde test yapabileceğini açık şekilde bilir.
Scope içinde genellikle şunlar bulunur:
• Test yapılacak IP adresleri
• Domain ve subdomainler
• Web uygulamaları
• Ağ altyapısı
• API servisleri
Out of Scope, penetrasyon testi sırasında test edilmesi yasak olan veya test kapsamına dahil olmayan sistemleri ifade eder.
Bu sistemler genellikle kritik altyapılar, üçüncü taraf servisler veya üretim sistemleri olabilir.
Pentester bu sistemlere saldırı testi yapamaz çünkü bu durum hizmet kesintisine veya hukuki sorunlara neden olabilir.
Out of Scope örnekleri:
• Üçüncü taraf servisler
• Müşteri sistemleri
• Kritik üretim sunucuları
• Fiziksel saldırı testleri
• Sosyal mühendislik testleri (izin yoksa)
Scope ve Out of Scope net şekilde belirlenirse pentest çalışması daha güvenli ve kontrollü şekilde gerçekleştirilir.
Kapsam formu, bir penetrasyon testi veya güvenlik değerlendirmesi başlamadan önce testin sınırlarını, hedeflerini ve kurallarını belirleyen resmi dokümandır.
Bu form sayesinde hem kurum hem de pentest ekibi hangi sistemlerin test edileceğini, hangi sistemlerin test dışı olduğunu ve hangi yöntemlerin kullanılabileceğini açık şekilde belirler.
Testi talep eden kurumun adı, iletişim bilgileri, yetkili kişi bilgileri ve proje sorumluları bu bölümde yer alır.
Pentest ekibinin adı, firma bilgileri, uzmanların isimleri ve iletişim bilgileri yazılır.
Testin neden yapıldığı belirtilir. Örneğin güvenlik açığı tespiti, uyumluluk kontrolü, risk analizi veya saldırı simülasyonu amacı yazılabilir.
Test edilecek sistemler bu bölümde açıkça belirtilir.
• IP adresleri
• Domain ve subdomainler
• Web uygulamaları
• API servisleri
• Mobil uygulamalar
• İç ağ / dış ağ sistemleri
Test dışında bırakılan sistemler ve alanlar burada belirtilir.
• Üçüncü taraf servisler
• Kritik üretim sistemleri
• Müşteri sistemleri
• Fiziksel saldırı testleri
• Sosyal mühendislik testleri (izin verilmemişse)
Testin white box, grey box veya black box olup olmadığı belirtilir. Ayrıca iç ağ testi, dış ağ testi, web uygulama testi veya mobil güvenlik testi gibi türler yazılabilir.
Pentest sırasında kullanılabilecek teknikler açıkça belirtilir.
• Port tarama
• Zafiyet tarama
• Manuel testler
• Exploit doğrulama
• Parola güvenliği testleri
Hizmet kesintisine neden olabilecek veya riskli görülen yöntemler bu bölümde yasaklanabilir.
• DoS / DDoS testleri
• Veri silme işlemleri
• Kalıcı zararlı yerleştirme
• Yetkisiz sosyal mühendislik
Testin başlangıç ve bitiş tarihi, çalışma saatleri ve bakım pencereleri belirtilir.
Testin kurum tarafından resmi olarak onaylandığı, yetkili kişilerce imzalandığı ve pentest ekibine izin verildiği bu bölümde belirtilir.
Test sırasında elde edilen verilerin gizli tutulacağı ve yalnızca yetkili kişilerle paylaşılacağı belirtilir. NDA veya gizlilik sözleşmesine atıf yapılabilir.
Test sonrası raporun kimlere teslim edileceği, rapor formatı, bulguların risk seviyeleri ve sunum süreci belirtilir.
Escalate etmek, bir sorunu veya durumu daha üst bir yetkiliye, daha üst bir birime veya daha yüksek bir seviyeye iletmek anlamına gelir.
İş dünyasında ve teknik alanlarda bir problem çözülemiyorsa veya daha yüksek yetki gerektiriyorsa konu üst yönetime veya uzman bir ekibe escalate edilir.
Siber güvenlik ve IT alanında escalate etmek genellikle bir güvenlik olayının daha üst seviye uzmanlara veya incident response ekiplerine iletilmesi anlamına gelir.
Örneğin bir SOC analisti ciddi bir güvenlik ihlali tespit ederse durumu üst seviye güvenlik ekiplerine escalate edebilir.
Pentest metodolojisi, bir penetrasyon testinin planlı ve sistematik şekilde gerçekleştirilmesini sağlayan aşamalardan oluşan bir süreçtir. Bu metodoloji sayesinde güvenlik uzmanları sistemlerdeki güvenlik açıklarını belirli adımlar izleyerek tespit eder.
Pentest sürecinin ilk aşaması planlama aşamasıdır. Bu aşamada testin amacı, kapsamı ve beklentileri netleştirilir.
Bu aşamada yapılan işlemler:
• Testin amacı ve beklentileri belirlenir
• Hukuki belgeler imzalanır
• NDA (Gizlilik sözleşmesi) yapılır
• Yetkilendirme belgesi hazırlanır
• Test kapsamı (scope) doğrulanır
• Out of scope alanları belirlenir
• Test takvimi oluşturulur
Bu aşamada hedef sistem hakkında mümkün olduğunca fazla bilgi toplanır. Genellikle OSINT teknikleri kullanılır.
• Domain bilgileri
• IP adresleri
• DNS kayıtları
• Subdomainler
• Açık kaynak bilgiler
Tarama aşamasında hedef sistem aktif olarak analiz edilir. Açık portlar, çalışan servisler ve güvenlik açıkları tespit edilmeye çalışılır.
• Açık portların tespiti
• Servislerin belirlenmesi
• Servis versiyonlarının belirlenmesi
• İşletim sistemi tahmini
• Zafiyet taraması
Enumeration aşaması, hedef sistem hakkında daha ayrıntılı bilgi toplama sürecidir. Bu aşamada sistemde çalışan servisler ve kullanıcı hesapları detaylı şekilde analiz edilir.
• Kullanıcı hesapları
• Servis versiyonları
• Domain bilgileri
• Paylaşılan ağ kaynakları
• Sistem yapılandırmaları
Bu aşamada tespit edilen güvenlik açıkları kullanılarak sisteme erişim sağlanmaya çalışılır.
Amaç sistemin gerçekten savunmasız olup olmadığını doğrulamaktır.
Sisteme ilk erişim sağlandıktan sonra bir sonraki hedef, mevcut yetkileri artırmaktır. Bu aşamada local privilege escalation yöntemleri denenir ve saldırganın sistem üzerinde daha yüksek haklara sahip olup olamayacağı test edilir.
Yetki yükseltme aşamasında genellikle sistemdeki yanlış yapılandırmalar (misconfiguration), zayıf izinler, hatalı servis ayarları ve güvenlik eksiklikleri incelenir.
Ayrıca credential reuse yani aynı kullanıcı adı ve parola bilgilerinin farklı sistemlerde tekrar kullanılıp kullanılmadığı kontrol edilir. Bu durum saldırganın daha geniş erişim elde etmesine neden olabilir.
İç ağ veya Active Directory ortamlarında ise domain seviyesinde erişim elde edilip edilemeyeceği test edilir. Amaç, düşük yetkili bir hesaptan başlayarak daha yüksek ayrıcalıklara ulaşma ihtimalini değerlendirmektir.
Bu aşamada incelenen başlıca konular:
• Local privilege escalation zafiyetleri
• Yanlış konfigürasyonlar
• Zayıf dosya ve klasör izinleri
• Servis ve görev yapılandırmaları
• Credential reuse durumları
• Domain seviyesinde erişim imkanları
Post Exploitation, sisteme başarılı bir şekilde erişim sağlandıktan sonra gerçekleştirilen faaliyetleri kapsayan aşamadır.
Bu aşamada amaç yalnızca sisteme erişmek değil, erişimin ne kadar genişletilebileceğini ve saldırganın sistem içinde ne kadar ilerleyebileceğini anlamaktır.
Pentester bu aşamada sistemde bulunan hassas verileri, kullanıcı bilgilerini ve ağ içerisindeki diğer sistemleri analiz eder.
Post Exploitation aşamasında yapılan işlemler:
• Sistem üzerinde bulunan hassas verilerin tespiti
• Kullanıcı ve yönetici hesaplarının incelenmesi
• Ağ içerisinde diğer sistemlere erişim (lateral movement)
• Kalıcılık yöntemlerinin test edilmesi (persistence)
• Sistem yapılandırmalarının analiz edilmesi
Bu aşama, saldırganın sistem üzerinde ne kadar kontrol sağlayabileceğini ve potansiyel zararın boyutunu anlamak açısından oldukça önemlidir.
Pentest sürecinin en önemli aşamalarından biridir. Tespit edilen güvenlik açıkları detaylı şekilde raporlanır ve çözüm önerileri sunulur.
CVSS (Common Vulnerability Scoring System), bir güvenlik açığının ne kadar ciddi ve tehlikeli olduğunu ölçmek için kullanılan standart bir puanlama sistemidir.
CVSS sistemi güvenlik açıklarını sayısal bir skor ile değerlendirir. Bu skor 0 ile 10 arasında değişir ve açığın risk seviyesini gösterir.
Bu sistem sayesinde güvenlik uzmanları hangi açıkların daha kritik olduğunu belirleyebilir ve öncelikli olarak hangi açıkların kapatılması gerektiğine karar verebilir.
CVSS Risk Seviyeleri:
• 0.0 → Yok
• 0.1 – 3.9 → Düşük (Low)
• 4.0 – 6.9 → Orta (Medium)
• 7.0 – 8.9 → Yüksek (High)
• 9.0 – 10 → Kritik (Critical)
CVSS puanı genellikle güvenlik açıkları veri tabanlarında (CVE, NVD vb.) yer alır ve güvenlik açıklarının önem derecesini hızlı şekilde anlamayı sağlar.
CVSS puanı, bir güvenlik açığının etkisini ve istismar edilebilirliğini ölçen çeşitli metriklerin hesaplanmasıyla oluşturulur. Bu hesaplama genellikle üç ana kategoriye dayanır.
1. Base Score (Temel Skor)
Güvenlik açığının teknik özelliklerine göre hesaplanan temel puandır. Açığın sistem üzerindeki etkisini ve istismar edilme kolaylığını ölçer.
Bu hesaplamada şu faktörler kullanılır:
• Attack Vector (Saldırı türü: network, local vb.)
• Attack Complexity (Saldırının zorluk seviyesi)
• Privileges Required (Gerekli yetki)
• User Interaction (Kullanıcı etkileşimi gerekip gerekmediği)
• Confidentiality Impact (Gizlilik etkisi)
• Integrity Impact (Bütünlük etkisi)
• Availability Impact (Erişilebilirlik etkisi)
2. Temporal Score (Zaman Skoru)
Güvenlik açığının zaman içindeki durumunu değerlendirir. Örneğin exploit kodu yayınlanmış mı veya güvenlik yaması çıkmış mı gibi faktörler bu skoru etkiler.
• Exploit Code Maturity
• Remediation Level
• Report Confidence
3. Environmental Score (Ortam Skoru)
Açığın belirli bir kurum veya sistem üzerindeki gerçek etkisini ölçer. Kurumun altyapısı ve güvenlik politikalarına göre skor değişebilir.
• Sistem kritikliği
• Veri hassasiyeti
• Kurumsal risk seviyesi
Bu üç kategori birlikte değerlendirilerek güvenlik açığının 0 ile 10 arasında bir CVSS puanı hesaplanır.
Teknik raporda yer alan ekran görüntüleri, bulunan güvenlik açığının gerçekten mevcut olduğunu göstermesi açısından önemli kanıt sağlar.
Ayrıca raporda yer alan bulguların tekrarlanabilir olması da çok önemlidir. Çünkü teknik ekipler aynı adımları izleyerek açığı doğrulayabilmeli ve gerekli düzeltmeleri uygulayabilmelidir.
Bu nedenle raporda, açığın nasıl istismar edildiği adım adım sömürü süreci şeklinde açıklanır.
Teknik rapora genellikle aşağıdaki unsurlar eklenir:
• Ekran görüntüleri
• Adım adım exploitation süreci
• Kullanılan komutlar
• Komut çıktıları
• Elde edilen erişim seviyeleri
• Teknik kanıtlar ve doğrulama bilgileri
Bu bilgiler sayesinde rapor yalnızca bir bulgu listesi değil, aynı zamanda açığın nasıl doğrulandığını gösteren kapsamlı bir teknik doküman haline gelir.
Yönetici özeti, penetrasyon testi raporunun teknik olmayan, üst düzey yöneticiler için hazırlanmış özet bölümüdür.
Bu bölümde testin genel sonucu, bulunan güvenlik açıklarının risk seviyesi ve kurum için oluşturabileceği potansiyel etkiler kısa ve anlaşılır şekilde açıklanır.
Yönetici özeti teknik detaylardan çok risk, etki ve öncelik üzerine odaklanır. Böylece yöneticiler sistemin güvenlik durumunu hızlı şekilde anlayabilir.
Yönetici özetinde genellikle şu bilgiler bulunur:
• Pentest çalışmasının amacı
• Testin kapsamı
• Test süresi ve yöntemleri
• Genel güvenlik durumu
• Kritik ve yüksek riskli güvenlik açıkları
• Kurum için potansiyel riskler
• Genel güvenlik önerileri
Yönetici özeti, raporu okuyan üst düzey yöneticilerin teknik detaylara girmeden güvenlik risklerini hızlı şekilde değerlendirmesini sağlar.
Pentest çalışması tamamlandıktan sonra test sırasında elde edilen verilerin güvenli şekilde imha edilmesi gerekir.
Pentest sürecinde sistem yapılandırmaları, kullanıcı bilgileri, ağ verileri veya hassas kurum bilgileri gibi kritik veriler elde edilebilir. Bu verilerin test sonrasında saklanması güvenlik riski oluşturabilir.
Bu nedenle test tamamlandıktan sonra elde edilen tüm veriler güvenli yöntemlerle silinir ve sistemlerde herhangi bir test verisi bırakılmaz.
Veri imha süreci genellikle kurum ile pentest ekibi arasında imzalanan NDA (Gizlilik Sözleşmesi) ile uyumlu şekilde gerçekleştirilir.
Veri imha sürecinde yapılan işlemler:
• Toplanan test verilerinin silinmesi
• Test sırasında oluşturulan hesapların kaldırılması
• Geçici dosyaların temizlenmesi
• Log ve çıktı dosyalarının güvenli şekilde imha edilmesi
Bu süreç, kurum verilerinin korunmasını sağlar ve pentest çalışmasının güvenli şekilde tamamlandığını garanti eder.
Penetrasyon testi çalışmaları sırasında güvenlik uzmanlarının belirli etik kurallara uyması gerekir. Bu kurallar hem kurum güvenliğini korumak hem de test sürecinin profesyonel ve yasal çerçevede yürütülmesini sağlamak için önemlidir.
Temel etik kurallar şunlardır:
• Yetki dışına çıkılmamalıdır.
• Gerçek veri değiştirilmemelidir.
• Sisteme zarar verilmemelidir.
• Profesyonel sınırlar korunmalıdır.
Pentester yalnızca belirlenen kapsam (scope) içerisinde hareket etmeli ve elde ettiği bilgileri sorumlu şekilde kullanmalıdır. Amaç sistemi zarar vermek değil, güvenlik açıklarını tespit ederek kurumun güvenliğini artırmaktır.
Re-Test veya Double Check, penetrasyon testi sonrasında tespit edilen güvenlik açıklarının gerçekten giderilip giderilmediğini doğrulamak için yapılan yeniden test sürecidir.
Pentest raporu hazırlandıktan sonra teknik ekipler güvenlik açıklarını düzeltir. Daha sonra pentester aynı zafiyetleri tekrar test ederek açığın tamamen kapatıldığını doğrular.
Bu süreç güvenlik açıklarının yanlış şekilde kapatılmasını veya eksik düzeltmeler yapılmasını önlemek için önemlidir.
Re-Test sürecinde yapılan işlemler:
• Daha önce tespit edilen zafiyetlerin yeniden test edilmesi
• Uygulanan güvenlik yamalarının doğrulanması
• Konfigürasyon değişikliklerinin kontrol edilmesi
• Açığın tekrar oluşup oluşmadığının incelenmesi
Re-Test süreci tamamlandığında güvenlik açığının kapatıldığı veya hala risk oluşturduğu rapor üzerinde belirtilir.
Süreklilik, bir kurumun veya sistemin olası saldırılar, arızalar veya kriz durumları sırasında bile faaliyetlerini kesintisiz şekilde sürdürebilmesini ifade eder.
Siber güvenlik alanında süreklilik, özellikle kritik sistemlerin çalışmaya devam etmesini sağlamak ve hizmet kesintilerini en aza indirmek amacıyla planlanan önlemleri kapsar.
Kurumlar sürekliliği sağlamak için çeşitli planlar ve güvenlik önlemleri uygular.
Sürekliliği sağlamak için kullanılan yöntemler:
• Düzenli veri yedekleme
• Felaket kurtarma planları (Disaster Recovery)
• İş sürekliliği planı (Business Continuity Plan)
• Yedek sistemler ve altyapı
• Güvenlik izleme ve olay müdahale planları
Bu önlemler sayesinde kurumlar, siber saldırılar veya teknik arızalar gibi beklenmeyen durumlarda bile hizmetlerini sürdürebilir.