Dark-themed laptop setup with a red glowing keyboard and code on screen, ideal for tech enthusiasts.
Bulut Teknolojileri
Elif Şahin

2024’ün sonunda bir üretim firmasında yaşadığımız bir olay hâlâ aklımdan çıkmıyor. Cuma gecesi 23:40, IT müdürünün telefonu çalıyor: “Fabrika ERP’sine giremiyoruz, ekranlarda garip bir not var.” Ertesi sabah 07:00’de oradayız. Dosya sunucuları, ERP veritabanı, vardiya planlama sistemi — hepsi şifrelenmiş. Saldırgan VPN cihazındaki bilinen bir CVE’den içeri girmiş, 11 gün boyunca sessizce dolaşmış, yedeklere dokunmaya çalışmış ama başaramamış. Çünkü firma Azure Backup’ı immutable vault ile kurmuştu. 48 saatte ayaktaydık, fidye ödemedik, veri kaybı sadece son 24 saatlik işlemdi. Bu yazıyı o geceden öğrendiklerimle yazıyorum.

Ransomware tek seferlik bir saldırı değil, süreçtir

Hollywood filmlerindeki gibi tek tıkla dosyalar şifrelenmiyor. Modern ransomware bir kampanya, aşamalı bir operasyon:

  1. Initial access — phishing e-postası, açık RDP, VPN zafiyeti, tedarik zinciri. Olayların %70’ten fazlası e-posta ile başlıyor.
  2. Lateral movement — günler, bazen haftalar. Active Directory misconfigration, mimikatz ile credential dump, Pass-the-Hash. Bu aşamayı yakalayamayan şirket savaşı kaybeder.
  3. Data exfiltration — şifrelemeden önce hassas veri dışarı çıkarılır. “Double extortion” taktiği: ödemezsen veri yayınlanır baskısı.
  4. Encryption + fidye notu — yalnız en son aşama. Burası geldiğinde işiniz bitmiş değil, sadece alarmı yeni duyuyorsunuz.

Yani “ransomware korunması” dediğimizde aslında dört aşamada da savunma katmanı kurmaktan bahsediyoruz.

Önleme — ilk üç katman

E-posta güvenliği

Microsoft Defender for Office 365 olmadan hiçbir KOBİ bugün güvende değil. Özellikle iki özellik:

  • Safe Attachments: Ekler sandbox’ta açılıyor. CVE henüz patch’lenmemişse bile sandbox davranışla yakalıyor.
  • Safe Links: Tıklanan URL o anda kontrol ediliyor, e-posta alındığında temiz görünüp sonradan zararlı hale gelen link’ler yakalanıyor.

Teknik çözüm kadar önemli: çeyrekte bir simüle phishing testi. İlk testte çoğu şirkette %35-40 tıklama oranı görüyoruz. Üçüncü testte %5’in altına düşüyor. Eğitim şart.

Kimlik ve erişim

MFA’sız yönetici hesabı 2026’da hâlâ görüyorum, inanılmaz ama. Zorunlu MFA, sonra Conditional Access ile risk tabanlı politika:

{
  "conditions": {
    "signInRiskLevels": ["high", "medium"],
    "users": { "includeGroups": ["Admins"] }
  },
  "grantControls": {
    "operator": "AND",
    "builtInControls": ["mfa", "compliantDevice"]
  }
}

Sonra Just-in-Time: kalıcı admin yetkisi yok, PIM ile 2 saatlik talep üzerine yükseltme. Biri credential dump yapsa bile admin yetkisi bulamayacak.

Ağ segmentasyonu ve EDR

Düz ağ = saldırgan için cennet. Kritik sunucular ayrı subnet, NSG ile sadece gereken portlar, doğu-batı trafiği Azure Firewall üzerinden. Zero Trust: her istek doğrulanır, hiçbir şey “içeriden” sayılmaz.

Microsoft Defender for Endpoint’in bize en çok yardımcı olduğu yer: toplu dosya şifreleme davranışı. Normal kullanıcı 10 saniyede 500 dosyayı modify etmez; ettiği anda cihaz otomatik izole ediliyor. Bu 2024 olayında saldırgan ikinci fabrika sunucusunda bu şekilde yakalanmıştı — fabrika 1 gitti, fabrika 2 kurtuldu.

Yedek — son savunma hattı

Açık konuşayım: önceki üç katman delinirse, sizi sadece yedekler kurtarır. 3-2-1 klasik: 3 kopya, 2 farklı medya, 1’i off-site. Ama 2026’da bu yetmiyor; 3-2-1-1-0 pratiği:

  • 3 kopya, 2 farklı medya, 1 off-site — klasik.
  • +1 immutable kopya — silinemez, değiştirilemez.
  • +0 hata — restore testi düzenli yapılmış, çalıştığı kanıtlanmış.

Azure Backup’ta kritik üç ayarı test edip production’a almadan geçmeyiz:

az backup vault backup-properties set 
  --name $VAULT --resource-group $RG 
  --soft-delete-feature-state Enabled

az backup vault backup-properties set 
  --name $VAULT --resource-group $RG 
  --multi-user-authz enable

# Immutable vault: bir kez aktif edildi mi geri dönüşü yok
az dataprotection backup-vault update 
  --vault-name $VAULT --resource-group $RG 
  --immutability-state Locked

Soft delete 14 gün gecikmeli silme, MUA her silme işleminde ikinci onay, Immutable Vault belirli süre boyunca saldırganın da sizin de silemeyeceği kopya. 2024 olayında saldırgan MUA nedeniyle yedekleri silemedi, bu müşterinin kurtuluşu oldu.

Blob Storage için WORM (Write Once Read Many) policy kullanın. Arşiv logları, finansal belgeler — bir kere yazıldı mı süresi dolmadan değiştirilemez.

Müdahale — 24 saatin planı

Saldırıyı fark ettiğiniz dakikadan başlayarak kritik ilk 24 saat. Kafayı çalıştırmak için plan önceden yazılmış olmalı:

  1. İzole et, kapatma — kablo çek, NSG ile izole et, ama shutdown yapma. Forensic kanıt RAM’de.
  2. Kapsam çıkar — hangi sistemler, hangi kullanıcılar, hangi zaman aralığı. Sentinel ve Defender XDR logları birleştirip timeline’ı çıkarıyoruz.
  3. İletişim tetikle — üst yönetim, hukuk, KVKK açısından VERBIS bildirimi (72 saat), müşteriler. Bu çağrı listesi önceden hazır olmalı.
  4. Temiz ortama restore — aynı ortama değil, yeni subscription/resource group’a immutable backup’tan restore. Eski ortamda backdoor olabilir.
  5. Kök neden kapat — giriş vektörü (VPN CVE, phishing kullanıcısı, vb.) kapatılmadan hiçbir sistem açılmaz.

Fidye ödemeyin. Bunu kalın punto ile yazıyorum. Ödemeniz verinin döneceğini garanti etmez (vakaların yaklaşık üçte birinde dönmüyor), saldırganı teşvik eder ve Chainalysis raporlarına göre aynı kurbana 18 ay içinde tekrar saldırı olasılığı 2.5 kat artıyor.

Defender for Cloud ile sürekli izleme

Defender for Cloud, Azure ortamında ransomware habercisi sinyalleri yakalıyor: yönetici portunun RDP/SSH için olağandışı erişim girişimi, adaptive application control’ün tanımadığı process, beklenmeyen PowerShell encoded command. Uyarıları Sentinel’e beslediğimizde SOC’da tek pane-of-glass oluyor.

Just-in-Time VM access ile 3389 ve 22 portları default kapalı, talep-onay ile 3 saatliğine açılıyor. Basit ama çok etkili — brute force yüzey alanı neredeyse sıfıra iniyor.

Gerçek vaka özeti

Giriş paragrafındaki üretim firması. Hangi kararlar kurtardı, kısaca:

  • Azure Backup + Immutable Vault + MUA — yedekler korundu.
  • Defender for Endpoint fabrika 2’de lateral movement’ı yakaladı.
  • Önceden yazılmış incident response playbook — iletişim kaosu yaşanmadı.
  • Test edilmiş restore süreci — 48 saat ilk başarıya ulaştı.

Hangi kararlar eksikti: VPN patch gecikmesi (CVE 4 aydır patch’liydi), MFA bazı servis hesaplarında yoktu, SOC 7/24 değildi. Üçünü de olay sonrası kapattık.

Sık Sorulan Sorular

Bulut kaynakları ransomware’e karşı güvende mi?
Tek başına değil. Azure VM şifrelenebilir, Storage Account’ta veri silinebilir. Avantaj: immutable backup, snapshot, cross-region replication gibi yerleşik mekanizmalar. Doğru yapılandırıldığında kurtarma süresi günlerden saatlere iner. Yanlış yapılandırılmış bulut → aynı derecede risk.

KOBİ’ler de hedef mi?
Özellikle hedef. Saldırganlar otomatik tarama ile açık RDP ve bilinen zafiyetleri aramaya çıkar — büyüklük ayırt etmez. KOBİ’de güvenlik bütçesi küçük olduğu için ROI (saldırgan için) yüksek. Türkiye’deki son vakaların çoğu 50-200 çalışanlı firmalar.

Siber sigorta alsam yeter mi?
Yetmez ama alın. Sigorta son 2 yılda koşullarını sıkılaştırdı: MFA, immutable backup, EDR olmadan poliçe yazmıyorlar artık. Yani sigortanın öncesinde zaten bu kontrolleri kurmuş olmanız gerekiyor.

Sonuç

Ransomware koruması bir ürün değil bir mimari. E-posta → kimlik → ağ → uç nokta → yedek → müdahale planı. Bu katmanların tek biri eksik kalırsa, diğer katmanların değeri de düşer. 2024 vakasından çıkan net ders: immutable backup hayat kurtarıyor, incident response playbook hayat kurtarıyor, test edilmiş restore hayat kurtarıyor. Hangisini bugün kurabilirsiniz?

CloudSpark siber güvenlik hizmetleri ile katmanlı savunma mimarisini kurmakta, tatbikat yapmakta ve 7/24 SOC hizmetinde yanınızdayız.

Etiketler:

Benzer İçerikler

🇹🇷 Türkçe🇬🇧 English🇩🇪 Deutsch🇫🇷 Français🇸🇦 العربية🇷🇺 Русский🇪🇸 Español