FortiGate & NGFW9 Temmuz 202611 dakika okuma

FortiDeceptor Nedir? Saldırganları Tuzağa Düşüren Aldatma Teknolojisi

FortiDeceptor, ağınızda sahte varlıklar (decoy) oluşturarak saldırganları tuzağa çeken ve lateral movement'ı gerçek zamanlı tespit eden Fortinet'in aldatma tabanlı güvenlik platformudur. Honeypot'tan farkı, kurumsal entegrasyonu ve nasıl çalıştığı.

FortiDeceptorDeception TechnologyHoneypotLateral MovementFortinetSiber GüvenlikTehdit TespitiSecurity Fabric

FortiDeceptor Nedir?

FortiDeceptor, Fortinet'in aldatma tabanlı tehdit tespiti (deception technology) platformudur. Ağınızın içine gerçekmiş gibi görünen sahte sunucular, iş istasyonları, ağ cihazları ve kimlik bilgileri yerleştirerek saldırganları bu tuzaklara çeker. Bir saldırgan bu sahte varlıklarla etkileşime geçtiği anda — henüz gerçek bir zarar vermeden — anında tespit edilir ve otomatik yanıt tetiklenir.

Geleneksel güvenlik araçları (firewall, IPS, EDR) bilinen tehditleri engeller. FortiDeceptor ise farklı bir strateji izler: bilinmeyen saldırganları aktif olarak avlar. Çünkü meşru bir kullanıcının sahte varlıklara erişmesi için hiçbir nedeni yoktur — etkileşim başlı başına bir tehdit göstergesidir.

Geleneksel Honeypot ile Farkı

ÖzellikEski Nesil HoneypotFortiDeceptor
Kurulum karmaşıklığıManuel, zaman alıcıMerkezi yönetim, şablon tabanlı
ÖlçeklenebilirlikSınırlıBinlerce decoy, çoklu VLAN
Entegrasyonİzole çalışırSecurity Fabric, FortiGate, FortiSIEM
Otomatik yanıtYokOtomatik karantina, politika bloklama
Decoy türleriGenellikle tek tip (SSH/HTTP)Windows, Linux, IoT, OT, ICS, SCADA
Sahte kimlik bilgileriYokActive Directory breadcrumb desteği
Fidye yazılımı tespitiÇok sınırlıÖzel ransomware decoy'ları

FortiDeceptor Nasıl Çalışır?

1. Decoy (Sahte Varlık) Oluşturma

FortiDeceptor, gerçek ağınızın bir kopyasını simüle eder. Sahte varlıklar (decoy) şunları içerebilir:

  • Sahte sunucular: Windows Server, Linux, web server, veritabanı sunucusu
  • Sahte ağ cihazları: Router, switch, IP kamera, yazıcı simülasyonları
  • OT/ICS/SCADA decoy'ları: Endüstriyel kontrol sistemleri simülasyonu
  • Sahte kimlik bilgileri (breadcrumb): Gerçek iş istasyonlarına yerleştirilen sahte şifreler, kayıtlı RDP bağlantıları, tarayıcı geçmişi — saldırgan bunları kullanmaya çalışınca yakalanır
  • Ransomware decoy dosyaları: Fidye yazılımlarının şifrelemeye başladığı anda tetiklenen sahte dosyalar

2. Breadcrumb (Ekmek Kırıntısı) Teknolojisi

FortiDeceptor'ın en güçlü özelliklerinden biri breadcrumb desteğidir. Gerçek iş istasyonlarına ve sunuculara sahte iz bilgileri yerleştirilir:

  • Tarayıcıda kayıtlı sahte şifreler (FortiDeceptor'a işaret eder)
  • Windows Credential Manager'da sahte domain hesabı
  • Ağ sürücüsü olarak eşlenmiş sahte paylaşım klasörü
  • SSH known_hosts dosyasında sahte sunucu girişleri

Saldırgan çalışan bir bilgisayarı ele geçirdiğinde bu breadcrumb'ları keşfeder ve FortiDeceptor tuzağına yönlendirilir.

3. Tespit ve Otomatik Yanıt

Bir saldırgan decoy ile etkileşime geçtiği anda:

  1. FortiDeceptor gerçek zamanlı alarm üretir
  2. Saldırganın IP, MAC adresi, kullanıcı adı ve davranışı loglanır
  3. Security Fabric entegrasyonu ile FortiGate'e otomatik karantina komutu gönderilir
  4. FortiSIEM/FortiAnalyzer'a olay kaydı iletilir
  5. E-posta, SMS veya webhook ile güvenlik ekibi uyarılır

Hangi Tehditleri Tespit Eder?

Lateral Movement (Yanal Hareket)

Saldırganların ağ içinde bir sistemden diğerine geçme sürecini tespit etmek, geleneksel araçlarla son derece zordur. FortiDeceptor, saldırganın decoy'a ilk dokunuşunda lateral movement'ı yakalar — gerçek bir zarar vermeden önce.

Ransomware Erken Uyarısı

Fidye yazılımları sistematik olarak dosyaları tarar ve şifreler. FortiDeceptor'ın yerleştirdiği sahte dosya dizinleri, ransomware aktivitesini ilk saniyelerinde tespit eder. Güvenlik ekibi diğer sistemler etkilenmeden önce müdahale edebilir.

Kimlik Bilgisi Hırsızlığı

Pass-the-Hash, Kerberoasting ve AD credential dumping saldırıları breadcrumb'lar sayesinde anında yakalanır.

OT/ICS Saldırıları

Endüstriyel ortamlarda SCADA ve PLC sistemlerini taklit eden decoy'lar, bu kritik altyapılara yönelik saldırıları güvenli şekilde tespit eder.

Deployment Modelleri

Donanım Appliance

  • FDC-100G: Küçük ve orta ölçekli işletmeler için, 1GbE portlu kompakt form
  • FDC-1000G: Kurumsal ortamlar, yüksek yoğunluklu decoy kapasitesi

Sanal Makine (VM)

VMware vSphere, Microsoft Hyper-V ve KVM üzerinde sanal appliance olarak kurulabilir. Mevcut sanallaştırma altyapısına entegre edilebilir.

Çoklu Segment Desteği

FortiDeceptor, tek bir yönetim noktasından onlarca VLAN segmentine decoy dağıtabilir. Her VLAN için ayrı decoy profili tanımlanabilir: örneğin IT ağında Windows Server, OT ağında PLC simülasyonu.

Security Fabric Entegrasyonu

FortiDeceptor, Fortinet Security Fabric'in kritik bir parçasıdır:

  • FortiGate: Tespit edilen saldırgan IP'si otomatik olarak engellenir veya karantinaya alınır
  • FortiAnalyzer: Tüm decoy etkileşimleri merkezi log yönetimine iletilir
  • FortiSIEM: SIEM korelasyon kurallarına FortiDeceptor olayları dahil edilir
  • FortiSOAR: Playbook otomasyonu ile müdahale süreci otomatikleştirilir
  • FortiEDR: Uç nokta tespiti ile FortiDeceptor alarmları çapraz korelasyon

Kurumsal Kullanım Senaryoları

Senaryo 1: Fidye Yazılımı Erken Uyarı Sistemi

Dosya sunucularına ve kritik iş istasyonlarına sahte dizinler ve dosyalar eklenir. Ransomware bu dosyaları şifrelemeye başladığı anda alarm tetiklenir, etkilenen sistem izole edilir.

Senaryo 2: İçeriden Tehdit Tespiti

Yetkili bir kullanıcının erişmesi için hiçbir meşru nedeni olmayan decoy'lar, insider threat senaryolarında kritik kanıt üretir.

Senaryo 3: Penetrasyon Testi Sınır Belirleme

Pentest ekipleri için de değerli — saldırganların ağda ne kadar ilerlediğini ve hangi sistemlere ulaştığını somut olarak gösterir.

Kimler Kullanmalı?

FortiDeceptor özellikle şu sektörler için kritiktir:

  • Finans ve bankacılık: BDDK uyumu ve APT koruması
  • Sağlık: HIPAA uyumu, hasta verisi koruması
  • Üretim/OT: SCADA ve ICS sistemleri koruması
  • Kamu kurumları: Devlet ağlarında APT tespiti
  • Kritik altyapı: Enerji, telekomünikasyon, ulaşım

Sonuç

FortiDeceptor, güvenlik mimarisindeki en kritik boşluğu kapatır: ağ içine sızmış saldırganın tespiti. Firewall saldırganı dışarıda tutar; ama içeri girdiğinde FortiDeceptor onu yakalar. Sıfır yanlış pozitif alarmı, gerçek zamanlı müdahale ve Security Fabric entegrasyonu ile kurumsal güvenlik olgunluk seviyesini bir üst basamağa taşır.

Lider Network olarak FortiDeceptor tasarımı, decoy stratejisi ve Security Fabric entegrasyonunda danışmanlık hizmeti sunuyoruz.

FortiDeceptor Nedir? Saldırganları Tuzağa Düşüren Aldatma Teknolojisi | Lider Network Blog | Lider Network