FortiDeceptor Nedir?
FortiDeceptor, Fortinet'in aldatma tabanlı tehdit tespiti (deception technology) platformudur. Ağınızın içine gerçekmiş gibi görünen sahte sunucular, iş istasyonları, ağ cihazları ve kimlik bilgileri yerleştirerek saldırganları bu tuzaklara çeker. Bir saldırgan bu sahte varlıklarla etkileşime geçtiği anda — henüz gerçek bir zarar vermeden — anında tespit edilir ve otomatik yanıt tetiklenir.
Geleneksel güvenlik araçları (firewall, IPS, EDR) bilinen tehditleri engeller. FortiDeceptor ise farklı bir strateji izler: bilinmeyen saldırganları aktif olarak avlar. Çünkü meşru bir kullanıcının sahte varlıklara erişmesi için hiçbir nedeni yoktur — etkileşim başlı başına bir tehdit göstergesidir.
Geleneksel Honeypot ile Farkı
| Özellik | Eski Nesil Honeypot | FortiDeceptor |
|---|---|---|
| Kurulum karmaşıklığı | Manuel, zaman alıcı | Merkezi yönetim, şablon tabanlı |
| Ölçeklenebilirlik | Sınırlı | Binlerce decoy, çoklu VLAN |
| Entegrasyon | İzole çalışır | Security Fabric, FortiGate, FortiSIEM |
| Otomatik yanıt | Yok | Otomatik karantina, politika bloklama |
| Decoy türleri | Genellikle tek tip (SSH/HTTP) | Windows, Linux, IoT, OT, ICS, SCADA |
| Sahte kimlik bilgileri | Yok | Active Directory breadcrumb desteği |
| Fidye yazılımı tespiti | Çok sınırlı | Özel ransomware decoy'ları |
FortiDeceptor Nasıl Çalışır?
1. Decoy (Sahte Varlık) Oluşturma
FortiDeceptor, gerçek ağınızın bir kopyasını simüle eder. Sahte varlıklar (decoy) şunları içerebilir:
- Sahte sunucular: Windows Server, Linux, web server, veritabanı sunucusu
- Sahte ağ cihazları: Router, switch, IP kamera, yazıcı simülasyonları
- OT/ICS/SCADA decoy'ları: Endüstriyel kontrol sistemleri simülasyonu
- Sahte kimlik bilgileri (breadcrumb): Gerçek iş istasyonlarına yerleştirilen sahte şifreler, kayıtlı RDP bağlantıları, tarayıcı geçmişi — saldırgan bunları kullanmaya çalışınca yakalanır
- Ransomware decoy dosyaları: Fidye yazılımlarının şifrelemeye başladığı anda tetiklenen sahte dosyalar
2. Breadcrumb (Ekmek Kırıntısı) Teknolojisi
FortiDeceptor'ın en güçlü özelliklerinden biri breadcrumb desteğidir. Gerçek iş istasyonlarına ve sunuculara sahte iz bilgileri yerleştirilir:
- Tarayıcıda kayıtlı sahte şifreler (FortiDeceptor'a işaret eder)
- Windows Credential Manager'da sahte domain hesabı
- Ağ sürücüsü olarak eşlenmiş sahte paylaşım klasörü
- SSH known_hosts dosyasında sahte sunucu girişleri
Saldırgan çalışan bir bilgisayarı ele geçirdiğinde bu breadcrumb'ları keşfeder ve FortiDeceptor tuzağına yönlendirilir.
3. Tespit ve Otomatik Yanıt
Bir saldırgan decoy ile etkileşime geçtiği anda:
- FortiDeceptor gerçek zamanlı alarm üretir
- Saldırganın IP, MAC adresi, kullanıcı adı ve davranışı loglanır
- Security Fabric entegrasyonu ile FortiGate'e otomatik karantina komutu gönderilir
- FortiSIEM/FortiAnalyzer'a olay kaydı iletilir
- E-posta, SMS veya webhook ile güvenlik ekibi uyarılır
Hangi Tehditleri Tespit Eder?
Lateral Movement (Yanal Hareket)
Saldırganların ağ içinde bir sistemden diğerine geçme sürecini tespit etmek, geleneksel araçlarla son derece zordur. FortiDeceptor, saldırganın decoy'a ilk dokunuşunda lateral movement'ı yakalar — gerçek bir zarar vermeden önce.
Ransomware Erken Uyarısı
Fidye yazılımları sistematik olarak dosyaları tarar ve şifreler. FortiDeceptor'ın yerleştirdiği sahte dosya dizinleri, ransomware aktivitesini ilk saniyelerinde tespit eder. Güvenlik ekibi diğer sistemler etkilenmeden önce müdahale edebilir.
Kimlik Bilgisi Hırsızlığı
Pass-the-Hash, Kerberoasting ve AD credential dumping saldırıları breadcrumb'lar sayesinde anında yakalanır.
OT/ICS Saldırıları
Endüstriyel ortamlarda SCADA ve PLC sistemlerini taklit eden decoy'lar, bu kritik altyapılara yönelik saldırıları güvenli şekilde tespit eder.
Deployment Modelleri
Donanım Appliance
- FDC-100G: Küçük ve orta ölçekli işletmeler için, 1GbE portlu kompakt form
- FDC-1000G: Kurumsal ortamlar, yüksek yoğunluklu decoy kapasitesi
Sanal Makine (VM)
VMware vSphere, Microsoft Hyper-V ve KVM üzerinde sanal appliance olarak kurulabilir. Mevcut sanallaştırma altyapısına entegre edilebilir.
Çoklu Segment Desteği
FortiDeceptor, tek bir yönetim noktasından onlarca VLAN segmentine decoy dağıtabilir. Her VLAN için ayrı decoy profili tanımlanabilir: örneğin IT ağında Windows Server, OT ağında PLC simülasyonu.
Security Fabric Entegrasyonu
FortiDeceptor, Fortinet Security Fabric'in kritik bir parçasıdır:
- FortiGate: Tespit edilen saldırgan IP'si otomatik olarak engellenir veya karantinaya alınır
- FortiAnalyzer: Tüm decoy etkileşimleri merkezi log yönetimine iletilir
- FortiSIEM: SIEM korelasyon kurallarına FortiDeceptor olayları dahil edilir
- FortiSOAR: Playbook otomasyonu ile müdahale süreci otomatikleştirilir
- FortiEDR: Uç nokta tespiti ile FortiDeceptor alarmları çapraz korelasyon
Kurumsal Kullanım Senaryoları
Senaryo 1: Fidye Yazılımı Erken Uyarı Sistemi
Dosya sunucularına ve kritik iş istasyonlarına sahte dizinler ve dosyalar eklenir. Ransomware bu dosyaları şifrelemeye başladığı anda alarm tetiklenir, etkilenen sistem izole edilir.
Senaryo 2: İçeriden Tehdit Tespiti
Yetkili bir kullanıcının erişmesi için hiçbir meşru nedeni olmayan decoy'lar, insider threat senaryolarında kritik kanıt üretir.
Senaryo 3: Penetrasyon Testi Sınır Belirleme
Pentest ekipleri için de değerli — saldırganların ağda ne kadar ilerlediğini ve hangi sistemlere ulaştığını somut olarak gösterir.
Kimler Kullanmalı?
FortiDeceptor özellikle şu sektörler için kritiktir:
- Finans ve bankacılık: BDDK uyumu ve APT koruması
- Sağlık: HIPAA uyumu, hasta verisi koruması
- Üretim/OT: SCADA ve ICS sistemleri koruması
- Kamu kurumları: Devlet ağlarında APT tespiti
- Kritik altyapı: Enerji, telekomünikasyon, ulaşım
Sonuç
FortiDeceptor, güvenlik mimarisindeki en kritik boşluğu kapatır: ağ içine sızmış saldırganın tespiti. Firewall saldırganı dışarıda tutar; ama içeri girdiğinde FortiDeceptor onu yakalar. Sıfır yanlış pozitif alarmı, gerçek zamanlı müdahale ve Security Fabric entegrasyonu ile kurumsal güvenlik olgunluk seviyesini bir üst basamağa taşır.
Lider Network olarak FortiDeceptor tasarımı, decoy stratejisi ve Security Fabric entegrasyonunda danışmanlık hizmeti sunuyoruz.