Siber Güvenlik - Tehditler

💻 Uç Nokta Güvenliği Tehditleri

🌐 Web Uygulama Güvenliği Tehditleri

📧 E-Posta Güvenliği Tehditleri

📡 Kablosuz Ağ Güvenliği Tehditleri

🖥️ Sunucu Güvenliği Tehditleri

Cybersecurity threats

Son Güncelleme : 03.05.2026 r.02.2

fileless attacks detayı,

Siber güvenlik tehditleri Veri çalmayı, dijital işlemleri aksatmayı veya sistemlere zarar vermeyi amaçlayan kötü niyetli eylemler, genellikle fidye yazılımı, kimlik avı ve yapay zeka destekli saldırılar şeklinde ortaya çıkar. Başlıca tehditler arasında kötü amaçlı yazılımlar, sosyal mühendislik ve kritik altyapıya yönelik saldırılar yer almaktadır.

Ağ Güvenliği Tehditleri Network Security

🔝

📝 En iyi ağ güvenliği ipuçları

OSI modelinin farklı katmanlarını anlamak, ağınızı güvence altına almak için çok önemlidir. İşte katmanlar genelindeki temel ağ güvenliği riskleri:

1️⃣ Physical Layer – Eavesdropping, tampering, and electromagnetic interference.

Eavesdropping: Gizlice dinlemek, Katılımcıların rızası olmadan özel konuşmaları veya iletişimleri gizlice veya sinsice dinleme, kaydetme veya ele geçirme eylemi

Tampering: Bir şeye izinsiz, gizlice veya zarar verme/hile yapma amacıyla müdahale etme, kurcalama veya tahrifat yapma

Elektromagnetic Interference : Elektronik cihazlarda bozulmaya, performans düşüşüne veya arızaya neden olan, harici bir kaynaktan gelen istenmeyen elektromanyetik radyasyon veya iletim.

2️⃣ Data Link Layer – MAC address spoofing, ARP spoofing, and switch flooding.

MAC address spoofing: MAC adresi sahtekarlığı , Wi-Fi veya Ethernet kartı gibi bir ağ arayüzünün fabrika tarafından atanmış Ortam Erişim Kontrolü (MAC) adresini değiştirmek için kullanılan yazılım düzeyinde bir tekniktir.
Donanıma "kazınmış" fiziksel adres değişmeden kalırken, işletim sistemi yerel ağa "sahte" veya taklit bir kimlik yayınlar.

ARP spoofing (ARP sahtekarlığı/zehirlenmesi), bir saldırganın yerel ağdaki (LAN) cihazların IP adreslerini kendi MAC adresiyle eşleştirerek sahte ARP mesajları göndermesi ve böylece ağ trafiğini ele geçirmesi veya durdurmasıdır. Bu yöntemle, trafiği izleme, değiştirme veya "Ortadaki Adam" (MitM) saldırıları gerçekleştirme imkanı bulunur.

Switch flooding: Bu durum, bir ağ anahtarının gelen veri çerçevelerini belirli bir hedefe değil, tüm portlara göndermesi, yani esasen bir hub gibi davranması durumunda ortaya çıkar.

3️⃣ Network Layer – IP spoofing, route table manipulation, and Smurf attacks.

IP Spoofing: bir saldırganın gönderdiği veri paketlerinin kaynağını gizlemek veya başka bir güvenilir sistemmiş gibi görünmesini sağlamak amacıyla sahte bir kaynak IP adresi kullanarak IP paketleri oluşturmasıdır
Bu yöntem, internet protokollerinin (IP) paket gönderirken gönderen adresini doğrulamamasındaki temel bir zayıflıktan yararlanır

Route table manipulation: Trafik akışını kontrol etmek için ağ rotalarını eklemek, silmek veya değiştirmek.Genellikle trafiği yönlendirmek, güvenlik politikalarını uygulamak (IP adreslerini reddetmek) veya ağ yollarını tanımlamak için kullanılır.

Smurf attacks: Smurf saldırısı, hedef sunucuyu çok büyük miktarda İnternet Kontrol Mesaj Protokolü (ICMP) yankı isteği (ping) ile aşırı yükleyen bir tür Dağıtılmış Hizmet Engelleme (DDoS) saldırısıdır.
Kurbanın IP adresini taklit ederek ve birçok cihaza istek göndererek, saldırı trafiği artırır ve ağları felç eder.

4️⃣ Transport Layer – UDP floods, SYN floods, and segmentation issues.

UDP floods: UDP flood, bir hedef sunucunun kaynaklarını tüketmek ve hizmet veremez hale getirmek amacıyla tasarlanmış, hacimsel bir Hizmet Engelleme (DoS/DDoS) saldırısı türüdür
Saldırgan, hedefin rastgele portlarına çok sayıda Kullanıcı Veri Bloğu Protokolü (UDP) paketi göndererek sistemi her paketi kontrol etmeye ve yanıtlamaya zorlar

SYN floods: TCP el sıkışma sürecini kullanarak bir sunucuyu aşırı yüklemeyi amaçlayan bir tür Hizmet Reddi (DDoS) saldırısıdır.
Saldırganlar, genellikle sahte IP adresleri içeren yüksek miktarda SYN (senkronizasyon) paketi gönderirler, ancak son ACK (onay) paketiyle el sıkışmayı tamamlamazlar.
Bu durum sunucunun bağlantı kuyruğunu doldurarak meşru kullanıcılara hizmet vermesini imkansız hale getirir.

Segmentation issues: Teknik bilişim hatalarından stratejik pazarlama başarısızlıklarına kadarBaşlıca sorunlar arasında bellek erişim hataları (segmentasyon hataları), ağlardaki veri gizliliği/yapılandırma sorunları, düşük kaliteli verilerin yetersiz yapay zeka modellerine yol açması ve eyleme geçirilemeyen, örtüşen veya yetersiz tanımlanmış müşteri segmentleri yer almaktadır.
Etkili çözümler, hassas veri temizliği, doğru kaynak tahsisi ve strateji uyumunu gerektirir.

5️⃣ Session Layer – Session replay, session fixation attacks, and man-in-the-middle attacks.

Session Replay (Oturum Tekrarı), kullanıcıların bir web sitesi veya mobil uygulama ile etkileşimlerini (tıklamalar, kaydırmalar, imleç hareketleri ve klavye girişleri gibi) video benzeri bir formatta kaydeden ve yeniden izlenmesini sağlayan nitel bir analiz aracıdır

Oturum Sabitleme (Session Fixation) saldırısı, bir saldırganın kurbanı önceden belirlenmiş bir oturum kimliğini (Session ID) kullanmaya zorladığı bir siber saldırı türüdür
Saldırgan bu yöntemi kullanarak, kurban sisteme giriş yaptıktan sonra aynı oturum kimliğini kullanarak kurbanın hesabına erişim sağlar

Man-in-the-Middle (MITM) veya modern adıyla On-Path Attack, bir saldırganın birbiriyle doğrudan iletişim kurduğunu sanan iki taraf arasındaki trafiği gizlice yakaladığı, izlediği ve hatta değiştirdiği bir siber saldırı türüdür
2026 yılı itibarıyla, bu saldırılar özellikle Yapay Zeka (AI) destekli hale gelmiş ve geleneksel Çok Faktörlü Doğrulama (MFA) yöntemlerini aşabilen "Adversary-in-the-Middle" (AITM) tekniklerine evrilmiştir

6️⃣ Presentation Layer – SSL stripping, character encoding attacks, and data compression manipulation.

SSL Stripping (veya SSL Downgrade), bir web sitesi ile kullanıcı arasındaki güvenli HTTPS bağlantısının saldırgan tarafından araya girilerek şifresiz HTTP protokolüne düşürülmesi işlemidir.
Bu yöntem, kullanıcı fark etmeden tüm trafiğin düz metin (cleartext) haline gelmesini sağlar ve şifre gibi hassas verilerin çalınmasına olanak tanır.

Karakter Kodlama Saldırıları (Character Encoding Attacks), bir uygulamanın kullanıcıdan gelen veriyi yanlış veya eksik bir şekilde yorumlamasını kullanarak güvenlik filtrelerini (WAF, IPS veya input validation) atlatma yöntemidir.
Saldırgan, zararlı bir komutu (örneğin bir <script> etiketi veya SQL sorgusu) doğrudan göndermek yerine, bu komutu sistemin "zararsız" sanacağı farklı kodlama biçimlerine sokar.

Veri Sıkıştırma Manipülasyonu (Data Compression Manipulation), sıkıştırılmış dosya formatlarındaki (ZIP, GZIP, zlib vb.) algoritmik mantığı kullanarak sistem kaynaklarını tüketmeyi veya güvenlik mekanizmalarını atlatmayı hedefleyen bir saldırı sınıfıdır.
Bu saldırıların en tehlikeli yönü, küçük bir dosyanın açıldığında devasa boyutlara ulaşarak sistemi kilitlemesidir.

7️⃣ Application Layer – SQL injection, XSS, and DDoS attacks.

SSL Injection, siber güvenlik literatüründe genellikle iki farklı bağlamda kullanılan bir terimdir: İlki HTTP Header Injection'ın SSL/TLS üzerinden yapılması, ikincisi ise daha teknik bir konu olan SSL/TLS protokolünün zafiyetlerini (Handshake seviyesinde) manipüle etmektir.
Ancak güncel saldırı dünyasında bu terim genellikle "SSL/TLS sertifika kontrolünü baypas ederek sisteme veri enjekte etmek" veya "zayıf SSL yapılandırmalarını kullanarak araya sızmak" anlamında kullanılır.

XSS (Cross-Site Scripting), bir saldırganın güvenilir bir web sitesine kötü amaçlı istemci tarafı betikleri (genellikle JavaScript) enjekte etmesidir. Bu saldırı, sunucuyu değil, doğrudan web sitesini ziyaret eden kullanıcıları hedef alır.
Tarayıcı, kodun güvenilir bir kaynaktan geldiğini sandığı için betiği çalıştırır ve saldırganın kullanıcının oturum çerezlerine, hassas verilerine erişmesine veya sayfayı manipüle etmesine izin verir.

DDoS (Dağıtık Hizmet Engelleme) saldırıları, bir sunucunun veya ağın kaynaklarını yapay bir trafik yoğunluğuyla tüketerek, gerçek kullanıcıların sisteme erişmesini engelleme amacını taşır
2026 yılı itibarıyla bu saldırılar, özellikle Aisuru-Kimwolf gibi milyonlarca cihazdan oluşan "süper botnetler" ve Yapay Zeka (AI) desteğiyle yeni bir boyuta ulaşmıştır

Uç Nokta Güvenliği Tehditleri: End Point Security

🔝

Günümüzde siber güvenlik tehditleri, artık yalnızca ağ çevresini (firewall, IDS/IPS) korumakla sınırlı değil. Laptoplar, mobil cihazlar, sunucular ve hatta IoT sensörleri gibi her bir uç nokta (endpoint) , saldırganlar için doğrudan bir hedef haline gelmiştir. Modern tehditler, bu cihazları ele geçirerek kurumsal ağlara sızmakta ve büyük veri ihlallerine yol açmaktadır.

📝 Son kullanıcı siber güvenlik tehditleri; kişisel verileri, finansal bilgileri veya cihaz güvenliğini hedef alan, kimlik avı (phishing), fidye yazılımları, sosyal mühendislik ve zayıf parola kullanımı gibi yöntemlerle gerçekleştirilen saldırılardır
Bu tehditler, kullanıcıları kandırarak veya sistem açıklarından yararlanarak veri hırsızlığına, maddi kayıplara ve cihazların kullanılamaz hale gelmesine neden olur

Kimlik Avı (Phishing) ve Smishing: Sahte e-postalar, SMS'ler veya web siteleri aracılığıyla kullanıcıların parola, kredi kartı veya kişisel bilgilerini çalmayı amaçlayan saldırılardır

Yaygın Yöntemler: Oltalama (Phishing), kimlik bilgisi doldurma (credential stuffing), bilgi hırsızı malware'ler (RedLine vb.) ve oturum ele geçirme.

Sıfır Gün (Zero-Day) Açıkları: Yazılım satıcısının henüz haberdar olmadığı veya yamasını yayınlamadığı açıklardır. Saldırganlar, yama çıkmadan saatler içinde bu açıkları kullanarak sisteme sızabilir

Risk: Özellikle uç cihazlardaki (edge device) zafiyetler (CVE'ler) ve yama yönetimindeki gecikmeler, şirket ağlarına açık birer arka kapı oluşturur

Fidye Yazılımları (Ransomware): Kullanıcının dosyalarını şifreleyerek, bu dosyaları açmak karşılığında fidye talep eden zararlı yazılım türüdür

Hedef: Tüm iş operasyonlarını durdurarak finansal ve itibari hasar oluşturmak.
Güncel Taktik: "Sürükle ve bırak" (living-off-the-land) yöntemleriyle tespit edilmekten kaçınmak

Dosyasız Saldırılar ve Yerleşik Araçların Kötüye Kullanımı: Living-off-the-Land (LotL) olarak bilinen bu saldırılarda, kötü amaçlı yazılım dosyası yüklenmez. Saldırgan, sistemde zaten var olan PowerShell, WMI veya komut satırı gibi meşru araçları kullanarak kötücül işlemleri doğrudan bellek üzerinde gerçekleştirir

📝 Dosyasız saldırılar (fileless attacks), geleneksel antivirüs yazılımlarının tespit etmesini zorlaştıran, genellikle diskte iz bırakmayan veya mevcut sistem araçlarını kötüye kullanan saldırılardır. İşte gerçek dünyadan ve teknik literatürden bazı önemli örnekler:

1. PowerShell ile Yapılan Saldırılar (Örn: PowerSploit, Empire)

- Nasıl çalışır? Saldırgan, hedef makinede `powershell.exe`'yi çalıştırarak doğrudan belleğe zararlı kod enjekte eder. Hiçbir dosya diske yazılmaz.

- Örnek senaryo: Kullanıcıyı bir makro içeren Word belgesini açmaya ikna etmek. Makro, arka planda PowerShell çalıştırarak bir C2 sunucusundan mimikatz gibi bir araç indirmez; doğrudan bellekte çalıştırır.

2. WMI (Windows Management Instrumentation) Kullanımı

- Nasıl çalışır? WMI, sistem yönetimi için meşru bir araçtır. Saldırgan, WMI olay abonelikleri oluşturarak kalıcılık sağlar veya uzak kod çalıştırır.

- Örnek: WMI event subscription ile belirli bir olay tetiklendiğinde (örneğin kullanıcı oturumu açtığında) PowerShell betiği çalıştırılır. Disk üzerinde bir dosya olmaz.

3. Registry Üzerinde Yaşayan Saldırılar

- Nasıl çalışır? Zararlı kod, Windows kayıt defteri anahtarlarına (örneğin `HKCU\Software\Microsoft\Windows\CurrentVersion\Run`) doğrudan base64 veya şifrelenmiş olarak yazılır.

- Örnek: Kovter trojanı, polimorfik kodunu kayıt defterine yazar ve her başlangıçta bu kodu çalıştırarak bellekte bir dosyasız, dosyasız kalıcılık sağlar.

4. Sistem DLL’lerine Enjeksiyon (Process Hollowing)

- Nasıl çalışır? Meşru bir işlem (explorer.exe, svchost.exe) başlatılır, içindeki kod boşaltılır ve yerine zararlı kod yazılır. Diskten okunan bir exe yoktur, işlem bellekte kötü amaçlı hale gelir.

- Örnek: Equation Group (APT) saldırılarında, `lsass.exe` veya `csrss.exe` gibi güvenilen işlemlere enjeksiyon yapılır.

5. Makro ve Komut Dosyaları (Word/Excel Makroları)

- Nasıl çalışır Office belgesi açıldığında VBA makrosu çalışır, bu makro doğrudan `cmd.exe` veya PowerShell çağırır.

- Örnek: Emotet ilk varyantları, Word makrosu kullanarak diskte dosya bırakmadan doğrudan bankacılık truva atını belleğe yüklerdi.

6. MSHTA / HTA Dosyaları

- Nasıl çalışır? `.hta` dosyası aslında bir HTML uygulamasıdır. Saldırgan, bir HTA dosyasını (ki bu teknik olarak dosya olsa da) çalıştırdığında, içindeki JavaScript/VBScript doğrudan `mshta.exe` üzerinden çalışır. Bazen bu dosya geçicidir veya belleğe yüklenir.

- Örnek: CVE-2017-0199 (Microsoft Office uzaktan kod yürütme) kullanılarak bir HTA dosyası indirilmeden çalıştırılırdı.

7. .NET Framework ile Bellek İçi Çalıştırma

- Nasıl çalışır? Saldırgan, `csc.exe` (C# derleyicisi) gibi meşru araçları kullanarak bir C# kaynak kodunu bellekte derler ve çalıştırır. Disk dosyası oluşmaz.

- Örnek: 'Cobalt Strike’ın “execute-assembly” modülü, Meterpreter veya diğer araçları diske yazmadan bellekte çalıştırır.

8. Fragmented Payloads (Parçalanmış Yükler)

- Nasıl çalışır? Zararlı kod parçalara ayrılır, bunlar farklı ortamlarda (DNS sorguları, HTTP başlıkları, Registry değerleri) saklanır. Çalışma anında birleştirilir ve doğrudan belleğe yüklenir.

- Örnek: DNSMessenger saldırısı, PowerShell kullanarak DNS TXT sorguları üzerinden gelen parçaları birleştirip çalıştırırdı.

Gerçek Dünya Saldırılarından Öne Çıkanlar:

- Astro (APT28 / Fancy Bear): PowerShell ile bellek içi yük çalıştıran dosyasız teknikler.

- Duqu 2.0: Belleğe enjekte edilen modüller ile çalışır, diskte kendini hiç göstermez.

- PowerLike (Turla grubu): WMI ve PowerShell kombinasyonu ile çalışır.

Tespit Zorluğu ve Korunma:

Bu saldırılar genellikle AMSI (Antimalware Scan Interface), PowerShell Logging, Sysmon (Event ID 1, 7, 8, 10) ve Endpoint Detection and Response (EDR)1 çözümleri ile tespit edilmeye çalışılır.

Neden Tehlikeli? Geleneksel antivirüs yazılımları, imza tabanlı tarama yaptığı için bu tür "dosyasız" aktiviteleri genellikle tespit edemez.

İç Tehditler (Insider Threats): Her tehdit dışarıdan gelmez. Çalışanlar, yükleniciler veya iş ortakları kasıtlı veya ihmalkar davranışlarıyla büyük risk oluşturabilir

Kötü Niyetli İç Tehdit: Verileri çalmak veya sistemi sabote etmek.
İhmalkar İç Tehdit: Yanlış yapılandırma, e-postayı yanlış kişiye gönderme, güvenli olmayan USB bellek kullanımı. İhlallerin %68'inde insan faktörü bulunmaktadır

Web Tarayıcı ve Uzantı Saldırıları: Tarayıcılar, günlük iş akışının merkezinde olduğu için saldırganların birincil hedefleri arasındadır.

Yöntem: Kullanıcıları, aşırı izinler isteyen kötü amaçlı ancak meşru görünen tarayıcı uzantılarını yüklemeleri için kandırmak.
Risk: Bu uzantılar, tüm web trafiğini okuyabilir, kripto para madenciliği yapabilir veya oturum çerezlerini çalabilir.

Merkezi Yönetim Platformlarının Ele Geçirilmesi: Mart 2026'daki Stryker siber saldırısında görüldüğü gibi, saldırganlar artık doğrudan uç noktaları değil, onları yöneten platformları (Microsoft Intune gibi) hedef almaktadır

Etki: Tek bir yönetici hesabının ele geçirilmesi, saldırgana binlerce cihaz üzerinde tam kontrol (cihaz silme, yazılım yükleme, politika değiştirme) yetkisi verir.
Sonuç: "Sıfır Güven" (Zero Trust) ilkesiyle yönetici hesaplarının korunması ve yüksek riskli işlemler için çoklu onay mekanizmaları şarttır

Sosyal Mühendislik: İnsanları psikolojik olarak manipüle ederek, güven duygusunu kötüye kullanıp gizli bilgilere erişim sağlamak veya para transferi yaptırmak (örneğin; kendisini banka çalışanı olarak tanıtmak)

Zararlı Yazılımlar (Malware): Virüsler, solucanlar veya Truva atları gibi bilgisayar veya mobil cihazın işleyişini bozan, verileri çalan yazılımlardır

Zayıf ve Yeniden Kullanılan Parolalar: Birden fazla hesapta aynı şifreyi kullanmak veya kolay tahmin edilebilir şifreler belirlemek, tek bir sızıntıda tüm hesapların ele geçirilmesine yol açar

Güvensiz Kamu Wi-Fi Ağları: Halka açık, şifresiz ağlar üzerinden yapılan veri trafiğinin izlenmesi (Man-in-the-Middle saldırıları) sonucu bilgilerin ele geçirilmesi

Mobil Güvenlik Açıkları: Güncellenmemiş uygulamalar veya zararlı içerik barındıran üçüncü taraf uygulamalar üzerinden akıllı telefonların hedef alınması

📝 Bu tehditlere karşı korunmak için yalnızca antivirüs yeterli değildir. Uç Nokta Algılama ve Yanıtlama (EDR) çözümleri, davranışsal analiz yaparak dosyasız saldırıları ve sıfır gün tehditlerini tespit edebilir. Ayrıca, Çok Faktörlü Kimlik Doğrulama (MFA), otomatik yama yönetimi ve düzenli güvenlik farkındalık eğitimleri olmazsa olmazdır.

Web Uygulama Güvenliği Tehditleri Web Application Security

🔝

📝 Web uygulama tehditleri, bir web uygulamasının zafiyetlerinden yararlanarak veri hırsızlığı, hizmet kesintisi veya sistem ele geçirme gibi amaçlarla gerçekleştirilen saldırıları kapsar. OWASP (Açık Web Uygulaması Güvenlik Projesi) bu konuda en kapsamlı sınıflandırmayı sunmaktadır.

Aşağıda en yaygın ve kritik web uygulama tehditlerini bulabilirsiniz:

1. Enjeksiyon Saldırıları (Injection Flaws)

Bu tehdit, uygulamanın güvenilmez verileri bir yorumlayıcıya (interpreter) göndermesine izin verdiğinde ortaya çıkar.

* SQL Enjeksiyonu (SQLi): En yaygın türüdür. Saldırgan, bir giriş alanına (örn: kullanıcı adı kutusu) SQL kodu ekleyerek veritabanından yetkisiz veri okumayı, veri silmeyi veya değiştirmeyi hedefler.

* Kod Enjeksiyonu: Uygulamaya kötü amaçlı kod eklenmesidir. Uygulama bu kodu yorumlar/çalıştırırsa performansı ve işlevselliği etkilenir.

2. Kimlik Doğrulama ve Oturum Yönetimi Zafiyetleri (Broken Authentication)

Kullanıcı kimlik doğrulama ve oturum yönetimi mekanizmalarındaki hatalardan kaynaklanır.

* Saldırganlar, zayıf şifreler, sızdırılmış kimlik bilgileri veya oturum belirteci (session token) ele geçirme yoluyla geçici veya kalıcı olarak başka bir kullanıcının kimliğine bürünebilir.

* Çapraz Site İstek Sahteciliği (CSRF): Kimliği doğrulanmış bir kullanıcıyı, farkında olmadan web uygulaması üzerinde istenmeyen bir işlem (şifre değiştirme, para transferi gibi) yapmaya zorlar.

3. Hassas Veri Açığa Çıkması (Sensitive Data Exposure)

Uygulamaların hassas verileri (kredi kartı, sağlık kayıtları, kimlik bilgileri) yeterince korumaması durumudur.

* Verilerin iletim sırasında şifrelenmemesi (HTTP kullanımı) veya depolanırken zayıf şifreleme algoritmaları ile korunması bu tehdidi oluşturur

4. XML Dış Varlık Enjeksiyonu (XXE)

Zayıf yapılandırılmış XML ayrıştırıcıları hedef alır.

* Saldırgan, yerel dosya sistemindeki dosyaları okuyabilir, dahili port taraması yapabilir veya uzaktan kod çalıştırabilir.

5. Erişim Kontrolü Zafiyetleri (Broken Access Control)

Kullanıcıların, yetkilerinin ötesindeki işlev veya verilere erişmesine izin veren güvenlik açıklarıdır.

* Güvensiz Doğrudan Nesne Referansı (IDOR): Saldırgan, URL veya parametredeki bir kimlik değerini (örn: `/hesap?id=1234`) değiştirerek başka bir kullanıcının hesabına yetkisiz erişim sağlayabilir.

* Korunmayan URL Erişimi: Yetkili kullanıcılara gösterilmeyen bir admin paneli, doğrudan URL yazılarak erişilebilir hale gelebilir.

6. Güvenlik Yanlış Yapılandırmaları (Security Misconfigurations)

En sık karşılaşılan tehditlerdendir. Varsayılan parolaların değiştirilmemesi, gereksiz özelliklerin açık bırakılması, ayrıntılı hata mesajlarının kullanıcıya gösterilmesi (bilgi sızdırabilir) bu kapsamdadır.

7. Çapraz Site Komut Dosyası Çalıştırma (XSS)

Uygulamanın, güvenilmez verileri web sayfasına dahil ettiğinde ortaya çıkar.

* Saldırgan, tarayıcıda çalışacak kötü amaçlı bir komut dosyası (genellikle JavaScript) enjekte eder. Bu script, diğer kullanıcıların oturum bilgilerini çalabilir, web sitesini değiştirebilir veya kullanıcıyı kötü niyetli sitelere yönlendirebilir.

8. Güvensiz Tersine Mühendislik (Reverse Engineering)

Özellikle mobil uygulamalar veya zengin istemci (fat client) web uygulamaları için önemli bir tehdittir.

* Saldırganlar, uygulamanın derlenmiş kodunu (APK, WASM vb.) analiz ederek API anahtarları, şifreleme algoritmaları veya iş mantığı gibi hassas bilgileri ifşa edebilir.

9. Bilinen Bileşenlerdeki Zafiyetler (Vulnerable Components)

Modern web uygulamaları, açık kaynak kütüphaneler, framework'ler (Node.js, Laravel vb.) ve API'ler gibi birçok üçüncü taraf bileşen kullanır.

* Bu bileşenlerdeki bilinen güvenlik açıkları (zafiyet) güncellenmediğinde, tüm uygulama tehlikeye girer. Örneğin, sızdırılmış bir Laravel şifreleme anahtarı (`APP_KEY`) sunucunun tamamen ele geçirilmesine yol açabilir.

10. Hizmet Engelleme (DDoS) Saldırıları

Uygulamanın 7. katmanını (Application Layer/Layer 7) hedef alan bu saldırılarda, hedef sunucuya büyük miktarda istek gönderilerek kaynakların tükenmesi ve meşru kullanıcıların hizmet alamaması hedeflenir.

📝 Web uygulama güvenliği, tek seferlik bir işlem değil, sürekli dikkat ve güncelleme gerektiren bir süreçtir. Özellikle **OWASP Top 10** listesi, bu alandaki en güncel riskleri takip etmek için sektör standardı bir kaynaktır.

Web Uygulama Güvenliği İçin Alınabilecek Temel Önlemler

Bu tehditlere karşı kapsamlı bir savunma için aşağıdaki stratejiler uygulanmalıdır:

Güvenli Geliştirme (DevSecOps): Güvenlik, yazılım geliştirme yaşam döngüsünün başından itibaren dahil edilmeli, geliştiricilere güvenli kodlama eğitimi verilmelidir.

Web Uygulama Güvenlik Duvarı (WAF): SQL enjeksiyonu ve XSS gibi bilinen saldırıları filtreleyen, uygulama kodunda değişiklik yapmadan koruma sağlayan bir katmandır.

Düzenli Güvenlik Testleri: Statik kod analizi (SAST), dinamik uygulama testi (DAST) ve penetrasyon testleri ile zafiyetler sürekli taranmalıdır. |

Sır Yönetimi (Secrets Management): API anahtarları, veritabanı şifreleri gibi bilgiler asla kod içerisine gömülmemeli; HashiCorp Vault gibi özel araçlarla yönetilmelidir.

Bağımlılık Yönetimi: Kullanılan tüm açık kaynak kütüphaneler ve framework'ler düzenli olarak takip edilmeli, güvenlik güncellemeleri (patch) zamanında uygulanmalıdır.

E-Posta Güvenliği Tehditleri E-Mail Security

🔝

E-posta, günümüzde siber saldırganların birincil hedefi olmaya devam ediyor. Saldırıların yaklaşık %68'i kötü amaçlı bir e-posta ile başlamaktadır. Artık sadece spam veya virüslü eklerden bahsetmiyoruz; saldırganlar, yapay zeka (AI) ve bulut hizmetlerini silah haline getirerek e-postaların güvenilir görünmesini sağlıyor.

Aşağıda, günümüzün en kritik e-posta güvenliği tehditlerini, özellikle de 2026 yılında öne çıkanları detaylıca bulabilirsiniz.

🎯 Yapay Zeka Destekli Tehditler (AI-Powered Threats)

Yapay zeka, saldırganların elinde hem ölçek hem de kişiselleştirme açısından ezici bir silaha dönüşmüştür.

* AI ile Üretilmiş Kimlik Avı (Phishing): Geleneksel kimlik avı e-postalarındaki yazım hataları ve garip cümleler devri sona erdi. Yapay zeka, şirket web siteleri ve sosyal medya hesaplarından toplanan verilerle, hedef kişinin yöneticisinin veya iş ortağının yazışma stilini birebir taklit edebilen, gramer hatası içermeyen e-postalar üretebiliyor. Her hedef için benzersiz ve son derece inandırıcı içerikler oluşturulabiliyor.

* Deepfake ile Sosyal Mühendislik: Artık sadece metin değil, ses ve görüntü de taklit ediliyor. Saldırganlar, e-posta ile başlattıkları iletişimi, yapay zeka ile üretilmiş bir sesli arama (CEO'nun sesiyle) veya görüntülü görüşme ile destekleyerek acil para transferi gibi taleplerin inandırıcılığını artırabiliyor. Bu, çok kanallı (multimodal) bir saldırı stratejisidir.

* AI Geliştirilmiş Kötü Amaçlı Yazılım: AI, e-posta eklerinde gönderilen zararlı yazılımların, hedef sistemin güvenlik açıklarını analiz ederek davranışını değiştirmesine ve geleneksel antivirüs yazılımlarından kaçmasına olanak tanıyor.

📧 Kimlik İstismarı ve Oltalama Taktikleri

Bu tehditler, kurbanları kandırmak için psikolojik manipülasyon ve teknik hileleri birleştirir.

* İş E-postası Uzlaşması (BEC - Business Email Compromise): Saldırgan, bir üst düzey yöneticinin veya güvenilir bir tedarikçinin e-posta hesabını ele geçirir veya taklit eder. Ardından, şirket içindeki bir çalışana (genellikle finans veya İK departmanından) acil bir ödeme yapması veya hassas çalışan verilerini göndermesi için talimat verir. AI sayesinde bu talepler artık çok daha ikna edici bir dille yazılıyor.

* Hedefli Kimlik Avı (Spear Phishing): Genel bir kitleye değil, belirli bir kişi veya departmana özel olarak hazırlanmış e-postalardır. Saldırgan, hedef hakkında (iş unvanı, güncel projeleri, seyahat planları gibi) araştırma yapar ve e-postayı kişiye özel kılar.

* SaaS Platformlarının Silahlaştırılması (Platform-as-a-Proxy - PaaP): Bu oldukça yeni ve sinsi bir yöntemdir. Saldırganlar, doğrudan sahte bir e-posta göndermek yerine, GitHub veya Jira gibi meşru platformların bildirim sistemlerini kullanır. Bu platformlar üzerinden oluşturdukları bir "davet" veya "yorum", platformun kendi resmi e-posta altyapısı (örneğin `noreply@github.com`) üzerinden hedefe iletilir. Bu e-postalar SPF, DKIM ve DMARC gibi tüm kimlik doğrulama kontrollerini geçtiği için güvenlik duvarları tarafından engellenemez ve son derece güvenilir görünür.

🛡️ Kimlik Doğrulama ve Protokol Zafiyetleri

Güvenlik duvarlarını aşmak için kullanılan teknik açıklardır.

* DMARC Zafiyetleri: DMARC (`p=reject` politikası), bir alan adı adına yetkisiz kişilerin e-posta göndermesini engelleyen kritik bir protokoldür. Ancak araştırmalar, ihlal yaşayan kurumların %75'inin etkili bir DMARC politikası uygulamadığını göstermektedir. Bu, saldırganlara şirketinizin alan adını taklit ederek (spoofing) size veya müşterilerinize e-posta gönderme fırsatı verir.

* OAuth ve URL Yeniden Yönlendirme Suistimalleri: Saldırganlar, meşru bir Google veya Microsoft oturum açma sayfasına yönlendiren bağlantılar kullanır. Kullanıcı, tanıdık bir ekranla karşılaştığı için şifresini girer, ancak arka planda bu bilgiler saldırgana akar.

🧩 Yenilikçi ve Gelişen Saldırı Vektörleri

Saldırganlar, geleneksel güvenlik kontrollerini aşmak için sürekli yeni yöntemler geliştiriyor.

* Quishing (QR Kodu ile Kimlik Avı): Saldırgan, e-postaya bir PDF eki veya resim olarak yerleştirdiği bir QR kodu ile kullanıcıyı kötü amaçlı bir siteye yönlendirir. Güvenlik yazılımları bu kodu tarayamadığı için tehdit algılanmaz. 2024-2025 yılları arasında **QR kodlu saldırılarda %28 oranında artış** yaşanmıştır.

* ClickFix Saldırıları: Kullanıcıya, bir sorunu çözmek için bilgisayarının "Çalıştır" (Win+R) penceresine bir kod parçacığı kopyalayıp yapıştırması gerektiğini söyleyen bir mesaj gösterilir. Kullanıcı bunu yaptığında, aslında kötü amaçlı bir yazılımı kendisi çalıştırmış olur.

* Konuşma Zinciri Saldırıları (Reply-Chain Attack): Saldırgan, bir şirketin veya tedarikçisinin e-posta hesabını ele geçirir ve mevcut, gerçek bir e-posta görüşmesine sızar. Geçmişteki güvenilir yazışmaların arasına kendi kötü amaçlı bağlantısını veya sahte fatura bilgilerini ekler. Bu, tecrübeli bir kullanıcının bile şüphelenmesini neredeyse imkansız hale getirir.

⚙️ Savunma Stratejileri (Ne Yapmalısınız?)

Bu tehditlere karşı savunmak için katmanlı bir yaklaşım şarttır:

1. DMARC'ı Uygulayın ve "Reject" Politikasına Alın: En kritik adım, kendi alan adınızın taklit edilmesini engellemek için SPF, DKIM ve özellikle DMARC (`p=reject`) protokollerini eksiksiz bir şekilde devreye almaktır.

2. AI Tabanlı E-posta Koruma Çözümleri Kullanın: Geleneksel güvenlik duvarları (SEG) yeterli değildir. Davranışsal analiz yapan, bir çalışanın normalde kiminle nasıl iletişim kurduğunu öğrenerek anormallikleri tespit edebilen (örneğin, finans departmanındaki birinin hiç alışık olmadığı bir saatte para transferi talebi alması) **API tabanlı veya AI destekli** çözümlere yönelin.

3. Koşulsuz Çok Faktörlü Kimlik Doğrulama (MFA) Şart Koşun: MFA, çalınan bir şifrenin saldırgana tek başına bir fayda sağlamamasını garanti eder. Ancak, "MFA yorgunluğu" saldırılarına karşı dayanıklı yöntemler (donanım token veya biyometrik) tercih edin.

4. Çalışanları Yeni Senaryolarla Eğitin: Klasik "şüpheli e-posta" testleri artık yetersiz. Eğitimlerinizde **QR kodu taratma, sahte telefon aramaları (vishing)** ve gelen kutularına düşen meşru görünümlü GitHub/Jira bildirimleri gibi senaryoları mutlaka simüle edin.

5. Alternatif Doğrulama Kanalları Oluşturun: Özellikle para transferi veya hassas veri paylaşımı içeren talepler için her zaman e-posta dışında ikinci bir doğrulama kanalı (telefonla arayarak teyit etme gibi) zorunluluğu getirin.

📝 Özetle, 2026 yılında bir e-postanın güvenilir görünmesi, onun gerçekten güvenli olduğu anlamına gelmiyor. Savunma stratejinizi, hiçbir e-postaya, hatta tanıdık birinden geliyor olsa bile, otomatik olarak güvenmeyeceğiniz bir "Sıfır Güven" (Zero Trust) modeline göre yeniden yapılandırmalısınız.

Kablosuz Ağ Güvenliği Tehditleri AP Security

🔝

Kablosuz ağ güvenliği tehditleri, artık yalnızca zayıf şifrelerden ibaret değil. Saldırganlar, yapay zeka (YZ) ve IoT cihazlarındaki açıkları kullanarak ağlara sızmakta ve kurumların %58'i son bir yılda kablosuz güvenlik olayları nedeniyle finansal kayıp yaşamaktadır.

Günümüzdeki en kritik tehditleri OSI katmanlarına göre sınıflandırarak aşağıda bulabilirsiniz:

📡 1. Fiziksel Katman (Layer 1) Tehditleri: Radyo Dalgası Saldırıları

Bu tehditler, sinyallerin fiziksel iletimini hedef alır ve genellikle donanım müdahalesi gerektirir.

* Sinyal Karıştırma (Jamming): Saldırgan, belirli bir frekansta daha güçlü bir sinyal yayarak meşru iletişimi engeller. Özellikle senkronizasyon sinyallerini karıştırarak cihazların ağa bağlanmasını veya veri alışverişini durdurabilir .

* Sinyal Sahteciliği (Spoofing): Saldırgan, sahte bir GPS veya ağ senkronizasyon sinyali yayarak cihazların konumunu veya zaman algısını manipüle eder. Bu, daha büyük saldırılar için bir ön adım olabilir .

🎭 2. Veri Bağı Katmanı (Layer 2) Tehditleri: Kimlik ve Erişim Saldırıları

Bu katman, cihazların ağa nasıl bağlanacağını yönetir ve en yaygın tehditleri barındırır.

* Kötü Amaçlı Erişim Noktaları (Rogue AP & Evil Twin): Bu, en sinsi tehditlerden biridir. Saldırgan, meşru bir ağın SSID'sini (Wi-Fi adı) taklit eden sahte bir erişim noktası kurar. Kullanıcılar bu ağa bağlandığında, saldırgan tüm internet trafiğini dinleyebilir, şifreleri çalabilir veya kimlik avı saldırıları düzenleyebilir .

* Bağlantı Kesme (Deauthentication) Saldırısı: Saldırgan, bir cihaza sahte "bağlantıyı kes" komutu göndererek sizi meşru ağdan atar. Amaç genellikle sizin, aynı anda kurduğu sahte (Evil Twin) ağa bağlanmanızı sağlamaktır .

* MAC Adresi Sahteciliği (Spoofing): Saldırgan, ağdaki yetkili bir cihazın MAC adresini taklit ederek güvenlik filtrelerini (MAC filtreleme gibi) aşar ve ağa sızar .

* WPS Zafiyetleri: Kolay bağlantı için tasarlanan WPS özelliği, zayıf PIN yapısı nedeniyle saldırganların birkaç saat içinde Wi-Fi şifrenizi kırmasına olanak tanır .

🔗 3. Ağ ve Uygulama Katmanı (Layer 3+) Tehditleri

Daha üst katmanlardaki protokol zafiyetlerini veya yazılım hatalarını hedef alır.

* Sürücü Zafiyetleri (Driver Exploits): Kablosuz ağ kartlarının yazılım sürücülerindeki güvenlik açıkları (CVE'ler) hedef alınır. 2025 yılında sadece **937 yeni kablosuz zafiyeti (CVE)** raporlanmıştır. Bu zafiyetler, saldırganın cihazınız üzerinde tam kontrol ele geçirmesine yol açabilir .

* Protokol Zafiyetleri (KRACK gibi): WPA2 protokolündeki "4 yönlü el sıkışma" hatasını hedef alan KRACK saldırısı, saldırganın şifrenizi bilmeden trafiğinizi şifresiz olarak okumasına olanak tanır. Eski cihazlar bu tür saldırılara karşı savunmasızdır .

* Hizmet Engelleme (DoS/DDoS): Ağa aşırı miktarda sahte istek gönderilerek kaynakların tüketilmesi ve meşru kullanıcıların hizmet alamaması hedeflenir .

🤖 4. Yeni Nesil Tehditler: YZ Destekli ve IoT Saldırıları

* YZ Destekli Saldırılar: Yapay zeka, saldırganların oyun alanını değiştirmektedir. **Saldırganların %35'i**, YZ destekli saldırıları en büyük tehditlerden biri olarak görmektedir. YZ, keşif (reconnaissance) süreçlerini otomatize ederek, tespit mekanizmalarından kaçarak ve meşru kullanıcı davranışlarını taklit ederek ağda yatay hareketlilik (lateral movement) sağlar .

* IoT Cihaz Zafiyetleri: Akıllı sensörler, kameralar ve diğer nesnelerin interneti (IoT) cihazları, genellikle zayıf güvenlik yapılandırmaları nedeniyle ağa açık birer arka kapı görevi görür. Kurumların %36'sı, güvenliği ihlal edilmiş IoT/OT sistemlerine bağlı kesintiler yaşamıştır .

🛡️ Etkili Savunma Stratejileri

Bu tehditlere karşı savunma, katmanlı ve "Sıfır Güven" (Zero Trust) prensiplerine dayanmalıdır.

Modern Altyapı: WPA3 şifreleme standardına geçin. Eski WPA2 ve WEP protokollerini devre dışı bırakın. Eski protokollerdeki (KRACK gibi) bilinen açıkları kapatır.

Kimlik Doğrulama: 802.1X ile sertifika tabanlı kimlik doğrulama kullanın. Mümkünse çok faktörlü kimlik doğrulama (MFA) zorunlu kılın. Sadece güvenilir cihazların ağa bağlanmasını sağlar ve kimlik bilgisi hırsızlığını zorlaştırır.

Sürekli İzleme: Kablosuz Saldırı Tespit ve Önleme Sistemi (WIDS/WIPS) kurun. Rogue AP, Evil Twin gibi sahte erişim noktalarını ve anormal aktiviteleri gerçek zamanlı tespit edip engeller.

Ağ Bölümlendirme: (Segmantasyon) Kritik sistemleri, IoT cihazlarını ve misafir ağlarını birbirinden izole edin (VLAN). Bir bölüm ele geçirilse bile saldırganın diğer bölümlere sıçramasını (lateral movement) engeller.

Cihaz Hijyeni: Tüm erişim noktalarının ve bağlı cihazların yazılımlarını (firmware) güncel tutun. Varsayılan yönetici şifrelerini değiştirin. Bilinen güvenlik açıklarının (CVE) istismar edilmesini önler.

RF İzleme: Kritik alanlarda (veri merkezi, Ar-Ge) tüm RF spektrumunu pasif olarak izleyen çözümler kullanın. Yetkisiz bir Bluetooth bağlantısı veya gizli bir hücresel modem gibi standart dışı tehditleri ortaya çıkarır.

💡 Kullanıcılar İçin Altın Kurallar

* Halka Açık Wi-Fi'lerde VPN Kullanın: Kafede veya havaalanında "Free_Wi-Fi" gibi ağlara bağlanırken mutlaka bir VPN kullanarak trafiğinizi şifreleyin .

* Oto-Bağlanmayı Kapatın: Cihazınızın daha önce bağlandığı ağlara otomatik olarak bağlanma özelliğini devre dışı bırakın. Bu, sizi farkında olmadan bir Evil Twin ağına bağlanmaktan korur .

* Ağ İsmini (SSID) Teyit Edin: Bir ağa bağlanmadan önce, özellikle bir işletmede, görevlilere resmi ağ adını sorun .

Kablosuz ağ güvenliği, sürekli değişen ve YZ ile daha da karmaşık hale gelen bir alandır. Sadece duvarları korumak artık yeterli değildir; havayı da korumalısınız. Bu nedenle, en güncel tehditler ve savunma yöntemleri için WBA'nın yayınladığı Wi-Fi Güvenlik Rehberi gibi sektör standartlarını takip etmek önemlidir .

Sunucu Güvenliği Tehditleri Server Security

🔝

Sunucu güvenlik tehditleri, günümüzde siber saldırganların birincil hedefi olmaya devam etmektedir. Artık sadece işletim sistemi zafiyetlerinden bahsetmiyoruz; saldırganlar, yapay zeka ve otomasyonu kullanarak tespit edilmeyi zorlaştırmakta, kimlik avını kişiselleştirmekte ve hatta kendi kararlarını verebilen otonom kötü amaçlı yazılımlar geliştirmektedir.

Aşağıda, günümüzün en kritik sunucu güvenliği tehditlerini, özellikle de 2026 yılında öne çıkanları detaylıca bulabilirsiniz.

🎯 Yapay Zeka Destekli ve Otonom Tehditler

Yapay zeka, saldırganların elinde hem ölçek hem de hız açısından ezici bir silaha dönüşmüştür.

* Otonom Kötü Amaçlı Yazılımlar: Artık sadece komut bekleyen yazılımlar değil, keşif yapabilen, zafiyetleri kendi kendine tespit edip kullanabilen ve hatta fidye taleplerini otomatik olarak müzakere edebilen yapay zeka ajanları geliştirilmektedir. Bu, saldırganların daha hızlı ve ölçeklenebilir operasyonlar yapmasına olanak tanır.

* AI ile Geliştirilmiş Kötü Amaçlı Yazılım: Yapay zeka, kötü amaçlı yazılımların hedef sistemin güvenlik açıklarını analiz ederek davranışını değiştirmesine ve geleneksel antivirüs yazılımlarından kaçmasına olanak tanır. Ayrıca, yamalar yayınlandıktan saatler içinde tersine mühendislik yapılarak istismar edilebilir kodlar üretilebilmektedir.

* Yarı Otonom Zararlılar (Semi-Autonomous Malware): QakBot ve Lumma Stealer gibi zararlılar, ağ içinde yayılma ve veri toplama gibi belirli görevleri otomatize ederek, tam otonom zararlılara giden yolda önemli bir adım teşkil etmektedir.

🛡️ Kimlik ve Erişim Yönetimi Zafiyetleri

Bu tehditler, geleneksel güvenlik duvarlarını aşmak için kimlik bilgilerini hedef alır.

* Kimlik Bilgisi Hırsızlığı ve Tekrar Kullanımı (Credential Replay): Çalınan kullanıcı adları, parolalar, oturum çerezleri ve hatta çok faktörlü kimlik doğrulama (MFA) token'ları, saldırganlar tarafından tekrar kullanılarak sisteme meşru bir kullanıcı gibi giriş yapılmasını sağlar. Özellikle Lumma, Vidar ve Rhadamanthys gibi bilgi hırsızları (infostealers), bu bilgileri büyük ölçekte toplamak için yaygın olarak kullanılmaktadır.

* AI Ajan Kimliği Hırsızlığı: Yapay zeka ajanlarına iş akışlarını otomatikleştirmek için yetkiler verildikçe, saldırganların hedefi bu ajanların kimliklerini ele geçirmek olacaktır. Bir AI ajanının kimliği ele geçirildiğinde, saldırgan onun tüm yetkilerine (veri erişimi, sistem değişiklikleri) sahip olabilir.

* Gölge Ajanlar (Shadow Agents): Çalışanların şirket onayı olmadan kendi başlarına devreye soktuğu yapay zeka ajanları, hassas verilere gizli ve kontrolsüz erişim kanalları oluşturarak büyük bir güvenlik riski teşkil eder.

🧩 Uygulama ve Yazılım Zafiyetleri

Bu tehditler, web uygulamaları ve yazılım bileşenlerindeki hatalardan kaynaklanır.

* Sunucu Taraflı İstek Sahteciliği (SSRF - Server-Side Request Forgery): Saldırganların, sunucu üzerinden yetkisiz istekler yapmasına olanak tanıyan bir zafiyettir. Örneğin, CVE-2026-34428 ile Vvveb yazılımında tespit edilen bir SSRF açığı, kimlik doğrulaması yapmış bir kullanıcının `file://` protokolü ile sunucudaki rastgele dosyaları okumasına veya iç ağdaki servisleri keşfetmesine olanak tanımaktadır.

* Güvensiz Dosya Yükleme (Unrestricted File Upload): Saldırganların, sunucuya kötü amaçlı dosyalar yüklemesine izin veren bir zafiyettir. CVE-2026-40487 ile Postiz aracında tespit edilen bu açık, kimlik doğrulaması yapmış kullanıcıların `Content-Type` başlığını manipüle ederek kötü amaçlı dosya tiplerini yüklemesine ve depolanmış XSS saldırıları düzenlemesine olanak tanımaktadır.

* Deserializasyon Zafiyetleri ve Kaynak Tüketimi (DoS): Uygulamaların güvenilmez verileri doğrulamadan işlemesi sonucu oluşur. CVE-2026-23869 ile React Server Bileşenlerinde tespit edilen bir zafiyet, özel hazırlanmış ağ istekleriyle sunucunun CPU'sunu dakikalarca %100 kullanmasına ve hizmet veremez hale gelmesine (DoS) neden olabilmektedir.

⛓️ Tedarik Zinciri ve Altyapı Tehditleri

Bu tehditler, doğrudan hedef alınan sistemden ziyade, ona bağımlı olan bileşenleri hedef alır.

* Yazılım Tedarik Zinciri Saldırıları: Saldırganlar, doğrudan bir kurumu hedeflemek yerine, onun kullandığı açık kaynak kütüphaneleri (NPM, PyPI), derleme sistemlerini (CI/CD) veya yazılım güncelleme mekanizmalarını hedef alır. Bu sayede tek bir başarılı saldırı ile binlerce kurumu etkileyebilirler.

* Sanal Ortam ve Konteynır Zafiyetleri: İş yüklerinin büyük kısmı sanal makineler ve konteynırlar üzerinde çalıştığı için, hipervizör (hypervisor) ve konteynır runtime'larındaki zafiyetler kritik önem taşır. Bu katmanlardaki bir açık, saldırganın konteynırdan kaçarak tüm fiziksel sunucuyu ve üzerindeki tüm diğer konteynırları ele geçirmesine olanak tanır.

* Bulut Kimlik ve Yetki Yönetimi Zafiyetleri: Aşırı yetkilendirilmiş bulut kimlikleri (service account'lar, roller), saldırganların yatay hareketlilik yapması ve bulut ortamında daha fazla yetki elde etmesi için sıkça kullanılan bir yöntemdir.

🧰 Meşru Araçların ve Protokollerin Kötüye Kullanımı

Saldırganlar, tespit edilmekten kaçınmak için sistemde zaten var olan meşru araçları kullanmayı tercih eder.

* "Living-off-the-Land" (LotL) Saldırıları: Saldırganlar, kötü amaçlı yazılım yüklemek yerine, sunucuda zaten bulunan PowerShell, `certutil.exe`, `curl` gibi meşru sistem araçlarını kullanarak kötücül işlemleri gerçekleştirir. Bu, geleneksel antivirüs yazılımlarının tespit etmesini oldukça zorlaştırır.

*Uzaktan Yönetim Araçlarının (RMM) Kötüye Kullanımı: ScreenConnect, AnyDesk, TeamViewer gibi IT ekiplerinin uzaktan destek için kullandığı meşru araçlar, saldırganlar tarafından da ele geçirilen sistemlere kalıcı erişim sağlamak ve manuel operasyonlar yapmak için kullanılır.

* Eski ve Göz Ardı Edilen Protokollerin İstismarı: Finger protokolü gibi günümüzde nadiren kullanılan ancak hala bazı sistemlerde açık olan protokoller, saldırganlar tarafından keşif (reconnaissance) amacıyla kullanılabilir.

📝 Finger protokolü (RFC 1288), bir ağ üzerindeki kullanıcılar veya sistemler hakkında bilgi (oturum açma durumu, e-posta, tam ad vb.) almak için kullanılan, basit ve eski bir TCP/IP tabanlı sorgulama protokolüdür
Genellikle 79 numaralı portu kullanır ve kullanıcıların sistemdeki varlığını kontrol etmek veya belirli verileri otomatik çekmek (döviz kuru gibi) amacıyla kullanılabilir

🛡️ Savunma Stratejileri (Ne Yapmalısınız?)

Bu tehditlere karşı savunmak için katmanlı bir yaklaşım şarttır:

* Modern Kimlik Doğrulama: Koşulsuz Çok Faktörlü Kimlik Doğrulama (MFA) zorunlu kılın. En Az Ayrıcalık (Least Privilege) ilkesini uygulayın. Çalınan bir şifrenin tek başına bir fayda sağlamamasını garanti eder ve olası bir ihlalin yayılmasını sınırlandırır.

* Sürekli Yama Yönetimi: Güvenlik güncellemelerini (patch) programlı periyotlar yerine, yüksek önem dereceli zafiyetler için sürekli entegrasyon/sürekli dağıtım (CI/CD) yaklaşımıyla yayınlayın. Saldırganların yama yayınlandıktan saatler içinde istismar kodları geliştirebildiği gerçeğine karşı kritik öneme sahiptir.

* Sıfır Güven (Zero Trust) Mimarisi: "Asla güvenme, her zaman doğrula" ilkesini benimseyin. Tüm erişim isteklerini, konumundan bağımsız olarak doğrulayın. Geleneksel ağ çevre güvenliğinin yetersiz kaldığı, hibrit çalışma ve bulut çağında olmazsa olmazdır.

* Tedarik Zinciri Güvenliği: Kullanılan tüm açık kaynak kütüphaneleri ve üçüncü taraf bileşenleri düzenli olarak tarayın. Yazılım faturası (SBOM) kullanın. Saldırganların en kolay hedefi, doğrudan sizin sisteminiz değil, onun bağımlı olduğu bileşenlerdir.

* AI ve Otomasyon Kullanımı: Yapay zeka destekli tehdit algılama ve yanıtlama (EDR/XDR) çözümleri kullanın. AI ajanlarının faaliyetlerini izleyin ve sınırlandırın. AI destekli saldırıların hızına ve karmaşıklığına ancak yine AI destekli savunmalarla yanıt verilebilir.

* Gelişmiş Zararlı Yazılım Koruması: İmza tabanlı antivirüslerin yetersiz kaldığı dosyasız (fileless) saldırıları ve bellek içi çalışan zararlıları tespit edebilen çözümler kullanın. DesckVB RAT gibi zararlılar, diskte dosya bırakmadan doğrudan bellekte çalışarak tespitten kaçabilmektedir.

📝 Özetle, 2026 yılında bir sunucunun güvenli olduğunu düşünmek, artık yalnızca bir güvenlik duvarı veya antivirüs yazılımı kurmakla mümkün değildir. Savunma stratejinizi, kimlik, yapay zeka ve tedarik zinciri odaklı, Sıfır Güven prensipleriyle yeniden yapılandırmanız ve sürekli bir iyileştirme döngüsü içinde olmanız gerekmektedir.

#cyber threats, #Ağ güvenliği, #Uç Nokta Güvenliği, #Web uygulama Güvenliği, #E-posta güvenliğ, #Kablosuz Ağ güvenliği,

#Sunucu güvenliği