Siber Güvenlik22 Mayıs 20268 dakika okuma

Kurumsal Ağ Güvenliğinde Yapılan 7 Kritik Hata

Büyük ölçekli siber saldırıların büyük çoğunluğu sıfır gün açıklarından değil, temel güvenlik hatalarından kaynaklanıyor. Kurumsal ağlarda en sık yapılan 7 hatayı ve bunların nasıl önleneceğini gerçek senaryolarla ele alıyoruz.

Ağ GüvenliğiSiber GüvenlikBest PracticesKurumsalGüvenlik Hataları

Verizon'un yıllık Data Breach raporuna göre büyük siber saldırıların %82'si insan hatası veya temel güvenlik eksikliği ile başlıyor. Çığır açan sıfır gün açıkları değil, fark edilmemiş basit hatalar şirketleri çökertir. İşte kurumsal ağlarda en sık karşılaştığımız 7 kritik hata.

Hata 1: Yaması Yapılmamış Sistemler

Gerçek senaryo: 2017'de WannaCry fidye yazılımı, dünyanın dört bir yanındaki şirketleri felç etti. Saldırı, Microsoft'un 2 ay önce yamasını yayınladığı EternalBlue açığını kullanıyordu. Güncellemeyi erteleyen on binlerce sistem çöktü.

Neden yapılmıyor? "Çalışan sisteme dokunma" kültürü, test ortamı yokluğu, güncellemenin kesinti yaratacağı endişesi.

Çözüm:

  • Kritik yamalar (CVSS 9.0+) için 72 saat içinde uygulama kuralı koyun
  • Patch yönetimi için WSUS, SCCM veya üçüncü taraf araç kullanın
  • Test → Staging → Production pipeline'ı oluşturun
  • Güncelleme penceresi (maintenance window) takvimini önceden planlayın

Hata 2: Zayıf ve Tekrar Kullanılan Şifreler

Gerçek senaryo: Bir şirketin VPN'i ele geçirildi. Saldırgan tek bir çalışanın şifresini (başka bir sitede sızdırılmış) credential stuffing ile denedi. Şifre "Sifre123!" idi ve aynı zamanda kurumsal hesapta da kullanılıyordu.

İstatistik: HaveIBeenPwned veri tabanında 12 milyardan fazla sızdırılmış şifre bulunuyor. Saldırganlar bu listeleri otomatik deniyor.

Çözüm:

  • Kurumsal parola politikası: minimum 14 karakter, karmaşıklık zorunlu, 90 günde bir değişim
  • Tüm kritik sistemlerde MFA (çok faktörlü kimlik doğrulama) zorunlu kılın
  • Parola yöneticisi kullanımını teşvik edin (Bitwarden, 1Password vb.)
  • Active Directory'de "Password Spray" saldırısına karşı account lockout politikası uygulayın

Hata 3: Ağ Segmentasyonu Yapmamak

Gerçek senaryo: Bir hastane ağında muhasebe bilgisayarı zararlı yazılım kaptı. Ağ düz (flat) yapıda olduğu için zararlı yazılım hasta kayıt sistemlerine, tıbbi cihazlara ve sunuculara yayıldı. Otel Wi-Fi'ına bağlanan misafirler de kurumsal sunuculara erişebiliyordu.

Çözüm:

  • VLAN segmentasyonu: Sunucular, istemciler, misafirler, IoT cihazları ayrı segmentlerde
  • Her segment arası trafik firewall politikasından geçmeli
  • Kritik sistemler (ERP, finansal, tıbbi) izole segment veya DMZ'de
  • Misafir WiFi kesinlikle kurumsal ağdan ayrı

Hata 4: Aşırı Geniş Erişim Yetkileri

Gerçek senaryo: Bir şirkette her çalışan aynı domain admin yetkisine sahipti — "kolaylık olsun diye." Bir çalışanın phishing e-postasına tıklaması tüm domain'in ele geçirilmesiyle sonuçlandı.

İlke: En Az Ayrıcalık (Least Privilege) — her kullanıcı ve sistem yalnızca işini yapabilmesi için gereken minimum yetkiye sahip olmalı.

Çözüm:

  • Domain Admin hesabı sayısını minimuma indirin (2-3 kişi, günlük işler için kullanılmasın)
  • Günlük işler için standart kullanıcı hesabı, yönetimsel işler için ayrı admin hesabı
  • Dosya sunucularında klasör bazlı yetki revizyonu yapın
  • Servis hesaplarına minimum yetki, belirli IP kısıtlaması
  • PAM (Privileged Access Management) çözümü değerlendirin

Hata 5: Yedek Almak ama Test Etmemek

Gerçek senaryo: Bir firma 3 yıldır düzenli yedek alıyordu. Fidye yazılımı saldırısından sonra restore etmeye çalıştılar — yedekler bozuktu. Yedek sistemi kurulmuş ama hiç test edilmemişti.

İstatistik: Gartner'a göre yedeklerini test etmeyen kurumların %23'ü kurtarma sırasında başarısız oluyor.

Çözüm:

  • 3-2-1 kuralı: 3 kopya, 2 farklı medya, 1 offsite (uzak lokasyon)
  • Ayda en az bir kez restore testi yapın
  • Yedekler ağdan izole edilmeli — fidye yazılımı yedeklere de bulaşabilir
  • RTO (Recovery Time Objective) ve RPO (Recovery Point Objective) hedefleri belirleyin ve test edin

Hata 6: Kullanıcı Güvenlik Farkındalığı Eğitimi Vermemek

Gerçek senaryo: Bir şirkete yapılan phishing simülasyonunda çalışanların %67'si sahte giriş sayfasına kullanıcı adı ve şifresini girdi. BT altyapısı mükemmeldi ama insanlar en zayıf halkaydı.

İstatistik: IBM Security'e göre veri ihlallerinin %95'inde insan hatası faktör olarak yer alıyor.

Çözüm:

  • Yılda en az 2 kez güvenlik farkındalığı eğitimi
  • Phishing simülasyon testleri — tıklayan kullanıcılar otomatik eğitime yönlendirilsin
  • Şüpheli e-posta raporlama butonu (Outlook eklentisi)
  • CEO fraud / BEC (Business Email Compromise) senaryoları için özel eğitim

Hata 7: Güvenlik Olaylarını İzlememek

Gerçek senaryo: Bir şirkette saldırgan ağda 287 gün boyunca fark edilmeden kaldı. Bu sürede veriyi yavaş yavaş sızdırdı. Log'lar vardı ama kimse bakmıyordu.

İstatistik: IBM Security'nin 2023 raporuna göre bir veri ihlalinin tespit edilmesi ortalama 204 gün sürüyor.

Çözüm:

  • Merkezi log yönetimi: FortiAnalyzer, SIEM veya ELK Stack
  • Temel alert kuralları: başarısız giriş denemeleri, gece saatlerinde admin erişimi, büyük veri transferleri
  • Güvenlik ekibinin log'lara günlük bakma alışkanlığı
  • Bütçe varsa MDR (Managed Detection & Response) servisi veya SOC hizmeti

Sonuç: Temel Doğru Yapıldığında %80 Korunulur

Siber güvenlik karmaşık görünür ama gerçekte büyük saldırıların çoğu temel önlemlerle önlenebilirdi. Yamalar, güçlü şifreler, segmentasyon, en az ayrıcalık, test edilmiş yedek, kullanıcı eğitimi ve izleme — bu 7 temel uygulandığında kurumlar saldırıların büyük bölümüne karşı korunmuş olur. Lider Network olarak kurumsal ağ güvenliği denetimi, sızma testi ve güvenlik politikası tasarımında yanınızdayız.

İlgili Makaleler

Siber Güvenlik

Ransomware Saldırılarına Karşı Şirketler Nasıl Korunmalı?

Oku Siber Güvenlik

Zero Trust Güvenlik Modeli: Hiçbir Şeye Güvenme, Her Şeyi Doğrula

Oku Siber Güvenlik

DDoS Saldırısı Nedir? Türleri, Nasıl Çalışır ve Korunma Yöntemleri

Oku
Tüm MakalelerÜcretsiz Altyapı Analizi