Bilişim Teknolojileri

Geleneksel güvenlik duvarları ve antivirüs yazılımlarının yetersiz kaldığı günümüz siber tehdit manzarasında, EDR (Endpoint Detection and Response) sistemleri modern ağ savunmasının belkemiğini oluşturur. Özellikle bir Güvenlik Operasyon Merkezi (SOC) mimarisinde ağa bağlı bilgisayarların, sunucuların, akıllı tahtaların ve diğer uç noktaların derinlemesine izlenmesi, tehditlerin anında tespit edilip engellenmesi için kritik bir gereksinimdir. Bu makale, EDR mimarisinin nasıl çalıştığını, geleneksel yöntemlerden nasıl ayrıştığını ve güvenlik operasyonlarında nasıl konumlandırıldığını incelemektedir. 1. EDR Nedir ve Geleneksel Antivirüslerden Farkı Nerededir? EDR, ağdaki uç noktaları sürekli olarak izleyen, siber tehditleri tespit etmek için toplanan verileri analiz eden ve kural ihlallerine veya zararlı aktivitelere otomatik yanıt veren entegre bir güvenlik çözümüdür. En temel fark, yaklaşım biçimidir : Geleneksel Antivirüs (AV): İmza tabanlıdır (Signature-based). Sadece önceden biline...

Günümüz siber güvenlik operasyonlarında, ağ üzerindeki her cihaz, sunucu ve uygulama saniyede binlerce log (kayıt) üretir. Bu devasa veri yığını içinde gerçek bir saldırıyı tespit etmek, samanlıkta iğne aramaya benzer. İşte bu noktada SIEM (Security Information and Event Management) devreye girer. SIEM, bir Güvenlik Operasyon Merkezi'nin (SOC) kalbidir ve ağdaki tüm anormallikleri anlamlı, eyleme geçirilebilir uyarılara dönüştürür. Bu makale, SIEM'in temel çalışma prensiplerini, mimarisini ve gerçek dünya senaryolarındaki kullanımını detaylandırmaktadır. 1. SIEM Nedir ve Neden Gereklidir? SIEM, temelde iki farklı kavramın birleşimidir: SIM (Security Information Management): Verilerin toplanması, normalleştirilmesi ve uzun süreli depolanması. SEM (Security Event Management): Olayların gerçek zamanlı olarak izlenmesi, korelasyonu ve uyarı üretilmesi. SIEM sistemleri, ağdaki görünürlüğü (visibility) maksimuma çıkarır. Bir sistem yöneticisi veya Blue Team analisti, her sunucunun...

Siber güvenlik dünyasındaki en karmaşık ve tehlikeli saldırı türlerinden biri olan Gelişmiş Sürekli Tehditler (APT - Advanced Persistent Threat) hakkında hazırladığım detaylı eğitim makalesini aşağıda bulabilirsiniz. Siber güvenlik dendiğinde akla genellikle virüsler, fidye yazılımları veya oltalama (phishing) e-postaları gelir. Bunlar yaygın ve tehlikeli olsalar da, genellikle hızlı sonuç almaya odaklı, tabiri caizse "vur-kaç" tarzı saldırılardır. Ancak Gelişmiş Sürekli Tehditler (APT) tamamen farklı bir boyuttur. Bir hırsızın evinize girip televizyonu çalması sıradan bir siber saldırıysa; bir APT, hırsızın evinize gizlice taşınması, duvarların içine saklanması, yıllarca sizinle yaşaması ve en değerli sırlarınızı her gün azar azar dışarı sızdırmasıdır. APT Nedir? (Kavramsal Çerçeve) APT kavramını tam olarak anlamak için ismini oluşturan üç kelimeyi incelemek gerekir: Advanced (Gelişmiş): Bu saldırganlar sıradan bilgisayar korsanları değildir. Ellerinde sıfırıncı gün (zero...

Security Operations Center (SOC) – Güvenlik Operasyon Merkezi , bir kurumun bilgi sistemlerini, ağlarını, sunucularını, uygulamalarını ve kullanıcı faaliyetlerini 7/24 izleyen, tehditleri tespit eden ve güvenlik olaylarına müdahale eden uzman ekiplerin bulunduğu merkezi yapıdır. Modern kurumlarda saldırılar artık yalnızca antivirüs ile engellenemeyecek kadar karmaşık hale gelmiştir. Fidye yazılımları, gelişmiş kalıcı tehditler (APT), kimlik avı saldırıları, içeriden gelen tehditler ve sıfır gün açıkları nedeniyle kuruluşlar sürekli izleme yapmak zorundadır. SOC'un temel amacı: Tehditleri erken tespit etmek Güvenlik olaylarına müdahale etmek Veri ihlallerini önlemek İş sürekliliğini korumak Siber riskleri azaltmak SOC'un Tarihçesi İlk SOC yapıları 1990'lı yılların sonlarında ortaya çıkmıştır. Başlangıçta: Firewall logları inceleniyordu. IDS sistemleri kullanılıyordu. Manuel analiz yapılıyordu. Günümüzde ise: Yapay zeka destekli analizler SOAR platformları EDR/XDR çözümleri T...

Siber güvenlik alanında teorik bilgilerin pratik becerilere dönüşmesini sağlayan en etkili yöntemlerin başında Capture The Flag (CTF) yarışmaları ve simülasyonları gelir. CTF, katılımcıların kasıtlı olarak zafiyet barındıran sistemlere sızarak, şifreli dosyaları çözerek veya ağ trafiklerini analiz ederek gizlenmiş "bayrakları" (genellikle flag{...} formatındaki metin dizeleri) bulmaya çalıştıkları uygulamalı bir eğitim modelidir. Öğrenciler için izole edilmiş bir ortamda gerçek dünya tehditlerini simüle etmek, analitik düşünme ve problem çözme yeteneklerini en üst düzeye çıkarır. 1. Giriş CTF (Capture The Flag) , siber güvenlik alanında bilgi ve becerileri geliştirmek amacıyla düzenlenen yarışmalardır. Katılımcılar çeşitli güvenlik problemlerini çözerek "flag" adı verilen gizli metinleri bulmaya çalışırlar. Örnek flag: flag{th1s_1s_4_s4mpl3_fl4g} CTF'ler gerçek saldırı tekniklerini öğretirken aynı zamanda savunma bakış açısını da geliştirir. 2. CTF'nin Ta...

1. Wireshark Nedir? Wireshark, ağ trafiğini gerçek zamanlı olarak analiz etmek için kullanılan dünyanın en popüler açık kaynak paket analizörlerinden biridir. Siber güvenlik uzmanları, ağ yöneticileri, SOC analistleri, DFIR uzmanları ve penetrasyon test uzmanları tarafından yaygın olarak kullanılır. Temel amacı: Ağ üzerinden geçen paketleri yakalamak Ağ sorunlarını tespit etmek Siber saldırıları analiz etmek Zararlı yazılım trafiğini incelemek Adli bilişim incelemeleri yapmak Ağ performansını ölçmek 2. Wireshark Nasıl Çalışır? Ağ kartı üzerinden geçen paketleri yakalar ve katman katman ayrıştırır. Örneğin bir web sitesine girdiğinizde: Bilgisayarınız ↓ DNS Sorgusu ↓ TCP El Sıkışması ↓ TLS Şifreleme ↓ HTTPS Trafiği ↓ Web Sunucusu Wireshark bu sürecin tamamını görebilir. 3. OSI Modeli ve Wireshark Wireshark paketleri OSI katmanlarına göre gösterir. Katman           Örnek Uygulama           HTTP, DNS,...