EDR, SIEM ve MFA’ya rağmen 3 saat içinde Domain Admin erişimi nasıl elde edilir? Güvenlik kontrol boşlukları, varsayım temelli güvenlik testleri ve mor takım (Purple Teaming) yaklaşımıyla gerçek etkinliği nasıl ölçebileceğinizi anlatan detaylı vaka analizi.
Güvenlik Kontrol Boşlukları Nedir?
Dünyanın en iyi EDR ve SIEM çözümlerine sahip olabilirsiniz, ancak bu sistemlerin sadece ‘var olması’ güvende olduğunuz anlamına gelmez. Güvenlik kontrol boşlukları, en karmaşık MFA ve ağ segmentasyonu yapılarını bile kağıt üzerinde bırakan, yanlış yapılandırma veya eksik kapsama nedeniyle oluşan görünmez deliklerdir.
Bir kontrolün envanterde yer alması, etkin olduğu anlamına gelmez. Gerçek saldırganlar politika dokümanlarına değil, teknik boşluklara odaklanır.
Her şeyin yerli yerinde göründüğü bir sistemde, nasıl oldu da sadece 3 saat içinde tüm yetkileri ele geçirdik? Teknolojiye değil, metodolojiye odaklanmanız gerektiğini kanıtlayan o vakayı konuşalım.
Vaka Analizi: Her Şey Yerli Yerindeydi…
Not: Aşağıdaki senaryo, farklı müşteri çalışmalarında tekrar eden örüntülerden derlenen kompozit bir vaka analizidir. Spesifik teknik detaylar ve zaman çerçevesi gerçek saha bulgularına dayanmakla birlikte, gizlilik yükümlülükleri kapsamında kurum kimlikleri ve hassas bilgiler paylaşılmamaktadır.
Çalışma yapılan kurumda:
EDR aktifti
SIEM log topluyordu
Kullanıcılar MFA kullanıyordu
Ağ segmentasyonu tanımlanmıştı
Teknik olarak korunaklı görünüyordu ancak yalnızca 3 saat içinde Domain Admin ayrıcalıkları elde edildi.
Bu ilerleme teknoloji eksikliği nedeniyle değil, kontrol boşlukları nedeniyle mümkün oldu:
EDR ajanları kritik bazı makinelerde kurulu değildi.
SIEM’e log gönderdiği varsayılan sistemler 2 aydır bağlantı kuramıyordu.
Bir IT personelinin MFA’sı geçici olarak kapatılmış ve tekrar aktive edilmemişti.
Ağ segmentasyon kurallarındaki tek bir yapılandırma hatası, yatay hareket (Lateral Movement) imkânı sağladı.
İç ağa erişim sağlandıktan sonra saldırgan gibi ilerleyişimiz klasik tekniklerle devam etti:
Parola karması tekrar kullanımı üzerinden Pass-the-Hash
Yetki belirteci taklidi (Token Impersonation)
Kimlik bilgisi dökümü (Credential Dumping)
SMB ve WinRM üzerinden yatay hareket
Bu tekniklerin çoğu, doğru yapılandırılmış ve entegre edilmiş kontrollerle erken aşamada tespit edilebilirdi.
Güvenlik Kontrol Boşluklarının Temel Nedenleri
Aşağıdaki tablo, sahada en sık karşılaşılan boşlukları teknik ve kurumsal etkileriyle birlikte özetler:
| Sorun | Teknik Sonuç | Saldırgan Fırsatı | Kurumsal Risk |
|---|---|---|---|
| Bölümlenmiş güvenlik yaklaşımı | Ekipler arası görünürlük eksikliği | İstisna kurallarının kötüye kullanımı | Kör noktalar oluşması |
| Eksik yapılandırma | Varsayılan ayarlarla çalışan araçlar | EDR/ SIEM atlatma | Yanlış güvenlik algısı |
| Test eksikliği | Kontrollerin doğrulanmaması | Uzun süreli gizli kalma | Tespit gecikmesi |
| Değişim yönetimi boşluğu | Yeni sistemlerin entegrasyon eksikliği | Yeni zafiyet alanları | Sürekli risk artışı |
Bu tür boşluklar genellikle kapsamlı bir Siber Güvenlik Mimarisi ve Teknik Tasarım incelemesi yapılmadığında ortaya çıkar.
En Sık Görülen İlk Erişim Vektörleri
Rapid7 tarafından yayımlanan 2025 başı tehdit raporlarına göre en yaygın ilk erişim yöntemleri şunlardır:
Hesap ele geçirme (Account Takeover) – MFA devre dışı veya atlatılmış
Bilinen zafiyet istismarı – Yaması yayımlanmış ancak uygulanmamış açıklar
Kaba kuvvet (Brute Force) saldırıları
İnternete açık RDP (Remote Desktop Protocol)
SEO zehirlemesi (SEO Poisoning)
Bu veriler, yatırımın büyüklüğünün değil, kontrol etkinliğinin belirleyici olduğunu gösterir.
Varsayım Temelli Güvenlik Testi (Assumption-Based Security Testing)
Varsayım Temelli Güvenlik Testi, sahip olduğunuz her kontrolü bir varsayım olarak ele alıp teknik olarak doğrulama yaklaşımıdır.
Örnek:
Varsayım: “Web Uygulama Güvenlik Duvarı (Web Application Firewall – WAF) tüm SQL Injection saldırılarını engeller.”
Test: WAF atlatma teknikleriyle enjeksiyon vektörleri denenir.
Varsayım: “MFA hesap ele geçirmeyi önler.”
Test: Oturum çalma (Session Hijacking) veya MFA yorgunluğu (MFA Fatigue) senaryoları simüle edilir.
Varsayım: “EDR tüm kimlik bilgisi dökümünü tespit eder.”
Test: Bellek içi araçlarla (In-Memory Techniques) kimlik bilgisi erişim denemeleri yapılır.
Bu yaklaşım klasik kontrol listesi denetiminden farklıdır. Amaç, kontrolün varlığını değil sınırlarını ölçmektir. Bu metodoloji, düzenli Sızma Testi ve Zafiyet Yönetimi süreçleriyle birlikte uygulanmalıdır.
Purple Teaming ile Güvenlik Kontrollerinin Gerçek Etkinliğini Ölçmek
Mor Takım (Purple Teaming), Kırmızı Takım (Red Team – saldırı simülasyonu) ile Mavi Takımın (Blue Team – savunma ve izleme) koordineli çalıştığı test modelidir.
Bu yaklaşımda yalnızca zafiyet bulunmaz; aynı zamanda:
Tespit süresi (Mean Time to Detect – MTTD)
Müdahale süresi (Mean Time to Respond – MTTR)
SIEM kural etkinliği
EDR yapılandırma doğruluğu ölçülür.
Purple Team çalışmaları, güvenlik kontrollerinin kağıt üzerindeki varlığını değil, gerçek dünyadaki etkinliğini ortaya koyar.
Bu konu hakkında detaylı bilgi için Purple Teaming Nedir? ve Purple Teaming ile Güvenlik Kontrollerinin Gerçek Etkinliğini Ölçmek başlıklı içeriklerimize göz atabilirsiniz.
Ölçüm ve Metrik Bağlantısı: Kontrol Etkinliği Nasıl Somutlaştırılır?
Güvenlik kontrol etkinliği, ölçülebilir göstergelerle desteklenmelidir. Bu noktada KPI (Temel Performans Göstergeleri) ve KRI (Temel Risk Göstergeleri) birlikte ele alınmalıdır.
Örnek metrik bağlantısı:
Yamanmamış kritik açık oranı → Risk göstergesi (KRI)
Kritik açık kapatma süresi → Performans göstergesi (KPI)
Yatay hareket tespit süresi → Performans göstergesi
Ayrıcalıklı hesap yoğunluğu → Risk göstergesi
Bu göstergeler düzenli raporlanmadığı sürece “kontrol var” ifadesi anlamlı değildir. Güvenlik Kontrol Boşlukları Nedir? ve Siber Güvenlik Olgunluk Modelleri içeriklerimiz bu metrik çerçevesini detaylandırmaktadır.
Yönetim Seviyesi İçin Stratejik Yaklaşım
Yönetim için güvenlik bir teknoloji değil, risk yönetimidir.
Stratejik olarak yapılması gerekenler:
Risk iştahı (Risk Appetite) belgesinin tanımlanması
Kritik varlıkların (Crown Jewels) net belirlenmesi
KPI ve KRI setinin yönetim kuruluna düzenli raporlanması
Bağımsız ve periyodik güvenlik doğrulama süreçlerinin yürütülmesi
Test – Ölçüm – İyileştirme döngüsünün kurumsallaştırılması
Kurumunuzdaki her güvenlik kontrolü için şu soruyu yanıtlayabilir misiniz: Bu kontrol, gerçek bir saldırı senaryosunda ne kadar süre dayanır?
Çoğu kurum bu soruyu hiç sormaz. Saldırganlar ise zaten biliyor.
EDR kurulu olabilir. SIEM log topluyor olabilir. MFA zorunlu tutulmuş olabilir. Ancak hiçbiri, etkinliği düzenli olarak doğrulanmıyorsa sizi korumaz — yalnızca korunduğunuz hissini üretir. Güvenlik yatırımı ile güvenlik etkinliği aynı şey değildir. Biri satın alınır, diğeri ölçülür.
Bizim yaklaşımımız kontrolün varlığını değil sınırlarını ölçmek, boşlukları teknik olarak doğrulamak ve bulguları ölçülebilir göstergelerle yönetişim modeline entegre etmektir.
Kurumunuza özel kontrol boşluğu analizi ve teknik doğrulama süreci için şimdi başlayalım.