Uç Nokta Güvenliği

End Point Security

Son Düzenleme: 03.05.2026 r.01.02

Uç Nokta Güvenliği Nedir?

Uç nokta güvenliği, ağa bağlanan cihazları (bilgisayarlar, sunucular, mobil cihazlar, IoT cihazları, yazıcılar vb.) siber tehditlerden korumaya yönelik strateji ve teknolojilerin tümüdür. Günümüzde artık şirket verilerinin yalnızca merkezi sunucularda olmadığı, her cihazın potansiyel bir ağ geçidi olduğu düşünülür.

Neden Önemlidir?

- Uzaktan çalışmanın yaygınlaşması – Çalışanlar farklı ağlardan ve cihazlardan bağlanıyor.

- Siber saldırıların karmaşıklaşması – Fidye yazılımı (ransomware), dosyasız saldırılar, kimlik avı (phishing) gibi tehditler sürekli evriliyor.

- Cihaz çeşitliliği – Kurumsal, kişisel (BYOD), mobil, IoT derken yönetilmesi gereken uç nokta sayısı katlanıyor.

📝 Fidye yazılımı (ransomware), bir bilgisayar veya ağdaki dosyaları şifreleyerek veya sistemi kilitleyerek kullanıcının bu dosyalara veya sisteme erişimini engelleyen kötü amaçlı bir yazılım türüdür. Saldırganlar, erişimi yeniden sağlamak karşılığında kurbanlardan fidye (genellikle Bitcoin gibi kripto paralarla) talep eder. Bu fidye ödenmediği takdirde verilerin kalıcı olarak kaybolmasına veya sızdırılmasına yol açabilir. Fidye yazılımları genellikle kimlik avı e-postaları, güvenlik açığı bulunan yazılımlar veya kötü amaçlı indirmeler yoluyla bulaşır. Siber güvenlik uzmanları, fidye ödenmemesini ve düzenli yedekleme ile güncel güvenlik önlemlerinin alınmasını önerir.

📝Dosyasız Saldırılar: (fileless attacks), geleneksel antivirüs yazılımları tarafından tespit edilmesi zor olan, sisteme zararlı bir dosya indirilmeden veya yüklenmeden gerçekleştirilen bir siber saldırı türüdür.

Detay

Siber Güvenlik Tehditler / Uç Nokta Güvenliği tehditleri / Dosyasız Saldırılar

Temel Tehditler

- Kötü amaçlı yazılımlar (virüs, solucan, trojan, ransomware)

- Sıfır gün açıkları (henüz yaması olmayan güvenlik zafiyetleri)

- Kimlik avı ve sosyal mühendislik (kullanıcıyı kandırma)

- İç tehditler (kasıtlı veya kazara yapılan zararlı işlemler)

- Donanım kaybı/çalınması

🌐 Detaylar için: Siber Güvenlik Tehditleri

Uç Nokta Güvenliği Bileşenleri

1. Antivirüs / Anti-malware – İmza tabanlı, Makine öğrenme (Machine learning) ve bulut tabanlı tespit.

2. Kişisel Güvenlik Duvarı – Gelen/giden trafiği kontrol.

3. Uygulama kontrolü – Sadece izinli yazılımların çalışmasına izin verme.

4. Cihaz kontrolü – USB, harici disk gibi çevre birimlerini sınırlama.

5. Yama yönetimi – İşletim sistemi ve uygulama güncellemelerini otomatikleştirme.

6. Şifreleme – Durdurulan cihazlardaki verileri koruma (disk, e-posta, dosya).

7. EDR – Uç nokta algılama ve yanıt verme (Endpoint Detection and Response). Anormallikleri gerçek zamanlı izler, otomatik müdahale eder.

8. Mobil cihaz yönetimi (MDM) – Telefon/tabletler için politika ve güvenlik uygulama.

Günümüzdeki Yaklaşımlar

- Sıfır güven modeli – Hiçbir cihaz veya kullanıcıya varsayılan olarak güvenilmez; her erişim doğrulanır.

- Bulut tabanlı koruma – İmzalar ve tehdit istihbaratı buluttan anlık güncellenir, cihaz üzerinde yük azalır.

- XDR (Genişletilmiş Algılama ve Yanıt) – Uç nokta, ağ, e-posta gibi farklı katmanlardan verileri birleştirerek daha kapsamlı tehdit avı.

En İyi Uygulamalar

- Tüm uç noktalara güncel bir endpoint security çözümü dağıtın.

- En az ayrıcalık ilkesi uygulayın (kullanıcılar yalnızca ihtiyacı olan yetkilere sahip olmalı).

- Çok faktörlü kimlik doğrulama (MFA) zorunlu tutun.

- Düzenli yedekleme yapın ve yedekleri çevrimdışı saklayın.

- Çalışanları düzenli olarak bilinçlendirin (özellikle kimlik avı e-postalarına karşı).

🌐 Detaylar için: Siber Güvenlik Farkındalığı

- Uç noktalarınızı sürekli izleyin – sadece korumak değil, tehdidi anında tespit edip müdahale edebilmek önemlidir.

Hangi Çözümleri Değerlendirmelisiniz?

- Ücretsiz / bireysel için: Windows Defender (modern yeterli koruma sağlar), Kaspersky Free, AVG.

- Açık kaynak seçenekleri: Wazuh (EDR), ClamAV (temel antivirüs) – fakat yönetimi bilgi gerektirir.

Uç Nokta Tespiti ve Yanıtı EDR End Point Detection and Response

🔝

Gartner tarafından tanımlanan EDR, geleneksel antivirüsün aksine sürekli izleme ve anlık müdahale üzerine kurulmuş bir güvenlik kamera sistemi gibi çalışır. Sadece bildiği tehditleri değil, nasıl davrandığını bilmediği şüpheli hareketleri de tespit ederek güvenlik ekiplerine güçlü bir görünürlük sağlar.

⚙️ EDR'nin Çalışma Adımları

Bu süreci, sürekli çalışan bir döngü olarak düşünebilirsiniz:

* 📊 Toplama – Cihazlara kurulan bir ajan üzerinden işlem oluşturma, dosya değişiklikleri, ağ bağlantıları gibi her olay verisi toplanır.

* 🧠 Analiz – Veriler, bir dosya adı yerine bir süreç zincirini analiz ederek tuhaf davranışları tespit eden davranışsal analiz ile merkezde incelenir.

* 🚨 Tespit – Analiz sonucunda, örneğin bir fidye yazılımı yayılmaya çalıştığında, daha verilerin çoğu şifrelenmeden EDR tarafından bir İhlal Uyarısı (Alert) oluşturulur.

* 🛡️ Müdahale – Platform, etkilenen cihazı ağdan izole etmekten süreci otomatik olarak durdurmaya kadar aksiyon alabilir, böylece saldırgan alan hareket edemez hale gelir.

* 🕵️‍♂️ Adli İnceleme – Olaydan sonra, toplanan veriler saldırının kök nedenini bulmak için derinlemesine incelenir. Bu, aynı hatanın tekrarlanmasını önlemenin anahtarıdır.

💡 EDR'yi Farklı Kılan 3 Özellik

1. Adli Bant Kaydedici (Forensics) – EDR, bir “kara kutu” gibi cihazda olan her şeyi kaydeder. Bu sayede saldırganın tam olarak ne yaptığını geriye dönük izleyip adli delil toplayabilirsiniz.

2. DVR Gibi Geriye Dönük Arama – Saldırı haftalar sonra fark edilse bile, EDR geçmiş kayıtlara dalıp Sıfırıncı hasta nın kim olduğunu bularak kapsamlı bir analiz sağlar.

3. Saldırı Durdurma Oranı – Davranışsal analiz sayesinde EDR, daha önce hiç görülmemiş (zero-day) saldırıları bile tespit edebilir ve ortalama bir EDR’ın bilinmeyen tehditleri yakalama oranının geleneksel yöntemlere göre oldukça yüksek olduğu bilimsel çalışmalarla kanıtlanmıştır.

Genişletilmiş Algılama ve Yanıt XDR Extendet Detection and Response

🔝

XDR (Genişletilmiş Algılama ve Yanıt – Extended Detection and Response), aslında EDR'nin mantığının çok daha geniş bir alana yayılmış hali dir. EDR sadece uç noktalara (bilgisayar, sunucu) odaklanırken, XDR e-posta, ağ, bulut iş yükleri, kimlik doğrulama sistemleri gibi farklı güvenlik katmanlarını tek bir platform altında birleştirir.

Bunu şöyle düşünebilirsiniz:

- EDR → Bir binanın sadece odalarına (uç noktalar) yerleştirilmiş hareket dedektörleri.

- XDR → Aynı binanın koridorlarına, giriş kapısına, pencerelerine, hatta çalışanların rozet geçişlerine kadar her yere dedektör koyup tüm verileri tek bir merkezden izlemek.

XDR Neden Ortaya Çıktı?

Günümüz saldırıları artık tek bir noktadan gerçekleşmiyor. Örneğin:

1. Bir çalışana kimlik avı e-postası geliyor (e-posta katmanı)

2. E-postadaki bağlantıya tıklıyor ve zararlı yazılım bilgisayarına iniyor (uç nokta)

3. Zararlı yazılım, çalışanın kimlik bilgilerini çalıp ağ üzerinde yatay hareket ediyor (ağ katmanı)

4. Son olarak buluttaki bir depolama alanını şifreliyor (bulut katmanı)

EDR bu saldırının sadece 2. adımını (uç nokta) görür ve saldırının bütün resmini anlamak zordur. XDR ise e-posta, uç nokta, ağ ve buluttan gelen verileri birleştirerek "Aha, bu aynı saldırının farklı aşamaları" diyebilir.

XDR Nasıl Çalışır?

XDR'nin çalışma prensibi 4 temel adımdan oluşur:

1. Çoklu Katmanlardan Veri Toplama

XDR platformu, kurumdaki farklı güvenlik araçlarından ham veri toplar:

- Uç noktalardan (EDR ajanları)

- Ağ cihazlarından (firewall, proxy, switch logları)

- E-posta sunucularından (Office 365, Gmail kurumsal logları)

- Kimlik sağlayıcılardan (Active Directory, Azure AD)

- Bulut platformlarından (AWS, Azure, GCP logları)

2. Normalizasyon ve İlişkilendirme (Correlation)

Farklı cihazlardan gelen veriler ortak bir formata dönüştürülür. Örneğin:

- E-posta kaydı (log): "user@company.com, bağlantıya tıkladı, saat 10:05"

- Uç nokta kaydı: "user@company.com'un PC'sinde powershell.exe çalıştı, saat 10:06"

- Ağ kaydı: "user@company.com'un PC'sinden 185.130.5.253 IP'sine bağlantı, saat 10:07"

XDR, bu 3 olayın birbiriyle ilişkili olduğunu anlar ve onları tek bir olay zinciri halinde birleştirir.

3. Gelişmiş Analiz ve Tespit

Veriler birleştirildikten sonra XDR, tehditleri çeşitli yöntemlerle tespit eder:

- Davranışsal analiz: Bir kullanıcının normalde hiç yapmadığı bir hareketi (örneğin gece 03:00'te yönetici yetkisi yükseltmesi)

- MITRE ATT&CK eşleme: Saldırganın hangi taktik ve teknikleri kullandığını otomatik etiketleme

- Makine öğrenmesi: Daha önce görülmemiş saldırı desenlerini tanıma

- Tehdit istihbaratı: Bilinen kötü IP adresleri, dosya imzaları, domainler

4. Otomatik veya Yarı Otomatik Müdahale

Tehdit tespit edildiğinde XDR, güvenlik ekibine sadece uyarı vermekle kalmaz, aksiyon da alır:

Tehdit Tespiti

XDR'nin Yapabilecekleri

Fidye yazılımı davranışı

Uç noktayı ağdan izole et, prosesi sonlandır |

Kimlik avı e-postası

Aynı e-postayı alan diğer kullanıcıların posta kutularından temizle

Yetkisiz ağ bağlantısı

Firewall'da otomatik kural oluştur ve bağlantıyı engelle

Tehdit bulut kaynağına sızdı

O bulut kaynağının erişim anahtarlarını hemen iptal et

EDR ile XDR Arasındaki Temel Farklar

Özellik

EDR

XDR

Veri kaynakları

Sadece uç noktalar

Uç nokta + Ağ + E-posta + Kimlik + Bulut

Tehdit görünürlüğü

Tek bir cihazdaki olaylar

Saldırının tüm aşamaları (birbiriyle bağlantılı)

Müdahale kapsamı

Sadece uç noktaya

Uç nokta + Ağ + Bulut + E-posta

Yanlış pozitif oranı

Daha yüksek (sınırlı veri olduğu için)

Daha düşük (çapraz doğrulama mümkün)

Karmaşıklık

Orta

Yüksek (farklı kaynakları entegre etmek gerekir)

XDR'nin Avantajları ve Zorlukları

Avantajlar:

- Parçaları birleştirir: Farklı güvenlik araçlarının ayrı ayrı verdiği uyarıları birleştirip anlamlı hale getirir.

- Daha hızlı müdahale: Güvenlik analistinin saatler sürecek manuel ilişkilendirme işini saniyelere indirir.

- Düşük yanlış pozitif: Bir katmandaki şüpheli aktivite diğer katmanlarda doğrulanamazsa, XDR onu önceliklendirmez.

Zorluklar / Dezavantajlar:

- Yüksek maliyet: Genellikle ayrı ayrı EDR + SIEM + NDR satın almaktan daha pahalı olabilir.

- Entegrasyon sorunları: Farklı üreticilerin ürünleriyle (örneğin Trend Micro XDR ile Palo Alto firewall) çalışmak bazen sınırlıdır. En iyi sonuç aynı üreticinin ürün ailesiyle alınır.

- Veri patlaması: Tüm katmanlardan sürekli veri toplamak ciddi depolama ve işlem gücü gerektirir.

Hangi Durumda XDR Tercih Edilmeli?

- Orta ve büyük ölçekli kurumlar için uygundur (karmaşıklığı küçük işletmeler için fazla olabilir).

- Farklı güvenlik araçlarını tek bir yerden yönetmek isteyen ekipler için idealdir.

- Özellikle bulut ve uzaktan çalışmanın yaygın olduğu, saldırı yüzeyi geniş olan kurumlar için neredeyse zorunlu hale gelmiştir.

- Eğer bütçe kısıtlıysa, iyi yapılandırılmış bir EDR + SIEM kombinasyonu da benzer faydalar sağlayabilir (ancak daha fazla manuel çaba gerektirir).

Çok faktörlü kimlik doğrulama (MFA) Multi-Factor Authentication

🔝

Çok faktörlü kimlik doğrulama (MFA - Multi-Factor Authentication), bir kullanıcının bir sisteme, uygulamaya veya hesaba erişim izni verilmeden önce kimliğini doğrulamak için iki veya daha fazla farklı doğrulama yöntemi sunmasını gerektiren bir güvenlik mekanizmasıdır.

Bu yöntem, yalnızca kullanıcı adı ve parola gibi tek bir faktöre (tek faktörlü kimlik doğrulama) güvenmekten çok daha güvenlidir. Çalışma mantığı, üç temel faktör kategorisinden en az ikisini kullanmaya dayanır:

1. Bildiğiniz bir şey (Bilgi Faktörü): Yalnızca sizin bildiğiniz bir bilgi. (Örn: Parola, PIN, güvenlik sorusu cevabı)

2. Sahip olduğunuz bir şey (Sahiplik Faktörü): Fiziksel olarak sadece sizde bulunan bir nesne. (Örn: Cep telefonu (SMS veya uygulama bildirimi alan), akıllı kart, USB güvenlik anahtarı (YubiKey gibi), donanım token'ı)

3. Siz olduğunuz bir şey (Biyometrik Faktör): Vücudunuza ait benzersiz bir özellik. (Örn: Parmak izi, yüz tanıma, ses tanıma, iris taraması)

Günlük hayattan örnekler:

- Banka ATM'si: Fiziksel banka kartınız (sahip olduğunuz) + PIN kodunuz (bildiğiniz).

- E-posta veya sosyal medya hesabı: Parolanızı girdikten sonra cep telefonunuza gönderilen tek kullanımlık bir kodu girmeniz (bildiğiniz + sahip olduğunuz).

- Akıllı telefonunuz: Yüzünüzü (siz olduğunuz) veya parmak izinizi (siz olduğunuz) tarattıktan sonra, ekran kilidi PIN'ini (bildiğiniz) girmeniz.

Neden önemlidir?

- Parola Hırsızlığına Karşı Koruma: Parolanız phishing (oltalama) saldırısıyla çalınsa veya bir veri ihlalinde sızdırılsa bile, saldırganın diğer faktöre (örneğin telefonunuza) erişimi olmadığı sürece hesabınıza giremez.

- Kimlik Avına Karşı Etkili: Tek faktörlü sistemlere kıyasla, MFA kullanan hesapların ele geçirilmesi çok daha zordur.

Özetle: Çok faktörlü kimlik doğrulama, tek bir güvenlik katmanına (sadece parola) bağımlı kalmayarak, hesaplarınıza ve verilerinize yetkisiz erişimi engellemek için katmanlı bir savunma oluşturur. Günümüzde e-posta, bankacılık, sosyal medya, kurumsal ağlar ve bulut hizmetleri için önerilen en temel siber güvenlik önlemlerinden biridir.