Veri Sızıntı Simülasyonu: Beş Adımda Kanıt Odaklı Siber Dayanıklılık
Dijital dönüşüm ve bulut çağında en değerli varlık veri. Bu rehber, klasik kontrollerin ötesine geçip veri sızıntısını uçtan uca simüle ederek savunmanızı nasıl ölçüp güçlendireceğinizi anlatır.
Siber güvenlik artık yönetim kurulu gündemi. Amaç, yalnızca kapıları kilitlemek değil; saldırgan içerdeyken veri çıktısını erken tespit ve hızlı müdahale ile durdurabilmek.
Geleneksel yaklaşımlar bilinen tehditlere karşı pasif savunma ve periyodik kontrol sağlar. Ancak sosyal mühendislik, içeriden tehdit, kimlik avı ve tedarik zinciri zafiyetleri, en sağlam teknik savunmaları dahi aşabilir. Bu boşluğu, veri sızıntı simülasyonu kapatır: saldırganın nihai hedefi olan veriyi gerçekçi biçimde hedefleyerek, kontrollerin ve ekiplerin bütünsel etkinliğini ölçer.
1) Sızma Senaryosu Oluşturma
Rastgele testler yerine kurumunuza özgü bir “tehdit hikâyesi” yazın. Senaryo üç omurgadan oluşur:
• Hedef sistemin belirlenmesi
CRM müşteri listeleri, finansal raporlar, Ar‑Ge kaynak kodları veya İK’daki özel nitelikli veriler gibi iş ve uyum etkisi yüksek varlıklar önceliklenmelidir. Varlığın konumu (on‑prem, bulut, SaaS) teknik taktikleri belirler.
• Saldırgan profili
Finans motivasyonlu grup, APT, kötü niyetli içeriden kişi veya kazara iç kullanıcı… Profil, simülasyonun taktik ve zamanlamasını belirler.
• Saldırı vektörü
Spear‑phishing, internetten ulaşılan zafiyetler, fiziksel vektörler (USB, shoulder surfing) veya yetki suistimali. Örnek senaryo: “Hayal kırıklığına uğramış bir analist, yöneticisinin kimlik bilgileriyle CRM’den müşteri listesini kişisel buluta yavaşça aktarır.”
2) İçeriden Saldırgan Bakış Açısı
İç tehditler hem kasıtlı (veri satışı, yetki suistimali) hem de kazara (phishing’e düşme, yanlış paylaşım) olabilir. Simülasyon, UEBA/DLP gibi davranışsal kontrollerin, en az ayrıcalık ilkesinin ve offboarding süreçlerinin etkinliğini pratikte sınar.
Kontrol listesi: Olağandışı saatlerde toplu erişim, alışılmadık paylaşımlar, beklenmeyen bulut yüklemeleri, kişisel e‑postaya veri çıkışı, yönetici dışı hesaplarda yönetici davranışları.
3) Simülasyon Araçları ve Metodolojiler
MITRE ATT&CK taktik‑teknik haritası ile yapılandırılmış bir senaryo yürütün; adımlar tekrarlanabilir ve kanıtlanabilir olsun.
- Çerçeve: ATT&CK (Initial Access → Execution → Persistence → PrivEsc → Defense Evasion → Credential Access → Discovery → Lateral Movement → Collection → C2 → Exfiltration)
- Araç örnekleri: Metasploit, Cobalt Strike, PowerShell tabanlı teknikler, DNS/ICMP tünelleme, özel betikler.
- İcra: Sessiz keşif, EDR/AV atlatma, veriyi parçalayıp şifreleyerek HTTPS/DNS gibi normal trafiğe gömme.
4) Simülasyon Sonucunu Analiz Etme
Kırmızı takım günlükleri ile SIEM/EDR/DLP loglarını tek zaman çizelgesinde birleştirin. Aşağıdaki metriklerle performansı ölçün:
- TTD – Time to Detect: İlk etkinlikten ilk uyarıya kadar geçen süre.
- TTR – Time to Respond: Uyarıdan ilk containment aksiyonuna kadar geçen süre.
- Kontrol etkinliği: E‑posta ağ geçidi, EDR, DLP, ağ segmentasyonu, MFA vb.
Yönetici özeti ipucu: Teknik jargonu iş etkisine çevirin: “Müşteri DB’si sızdırılabilir → tahmini ceza X TL + itibar/gelir kaybı”.
5) Güçlendirme Adımları
Bulgu → Aksiyon → Sahip → Hedef tarih → Başarı ölçütü. Üç katmanda ilerleyin:
- Teknoloji: MFA zorunlu, e‑posta ATP, EDR geçişi, ağ segmentasyonu, DLP politikalarının şifreli trafik/davranış analizi ile güçlendirilmesi, hızlı yama yönetimi.
- Süreç: IRP güncelleme ve tatbikat; erişim gözden geçirmeleri; otomatik offboarding; parola/maksimum rol hijyeni.
- İnsan: Senaryo temelli farkındalık; oltalama simülasyonları; “güvenlik şampiyonları” programı.
Canlı Vaka: “Global Lojistik A.Ş.”
Hedef: FinSys ERP’de fatura ve sevkiyat verisi. Vektör: Finans Direktörü’ne spear‑phishing. Sonuç: Kimlik bilgileri ele geçirildi, VPN ile içeri giriş; geniş yetkilerle DB erişimi; veri 10MB’lık şifreli parçalar hâlinde, 443 üzerinden yavaşça exfil.
- Tespit: SIEM’de 48 saat sonra geriye dönük anomalide fark edildi.
- Zafiyetler: MFA yok; aşırı yetkiler; EDR/DLP atlatıldı; e‑posta filtresi yetersiz; IRP senaryosu eksik.
- Güçlendirme: MFA zorunlu; ATP aktif; DLP & segmentasyon; erişimlerin “en az ayrıcalık”a göre temizlenmesi; yönetici eğitimi & phishing tatbikatları.
Sonuç
Veri sızıntı simülasyonu bir “test”ten fazlasıdır; sürekli iyileştirme döngüsünün (test → analiz → güçlendir → tekrar test) başlangıcıdır. Amaç suçlu aramak değil, kanıt tabanlı dayanıklılık inşa etmektir. En iyi sonuç, kırmızı takımın hedefe ulaşamamasıdır.

