Arda Sütçü, SearchInfırm Teknik Destek Mühendisi

Geçtiğimiz günlerde küresel bir teknoloji şirketinde ortaya çıkarılan siber güvenlik ve dolandırıcılık vakası, şirket içinden gelen tehditlerin ve yetkili erişimlerin kötüye kullanılmasının ne kadar büyük finansal ve itibari riskler barındırdığını bir kez daha gözler önüne serdi.

Amerika Birleşik Devletleri Adalet Bakanlığı (DOJ), 36 yaşındaki bir yazılım mühendisini, gizli şirket verilerini kullanarak bir tahmin piyasasında haksız avantaj elde etmek ve içeriden öğrenenlerin ticareti (insider trading) yapmakla suçladı. İddialara göre bu çalışan, şirketinin 2025 yılı trendleriyle ilgili henüz yayımlanmamış iç veri tabanlarına yetkisiz bir şekilde erişerek, piyasada gerçekleşme olasılığı çok düşük görülen sonuçlara yüksek miktarda bahis yaptı ve milyonlarca dolarlık haksız kazanç elde etti.

Sızdırılan ve haksız kazanç için kullanılan bu veriler, şirketin en kritik iş sırlarından birini oluşturuyordu. Yetkililere göre bu olay, ayrıcalıklı sistem erişimlerinin ve API anahtarlarının kişisel finansal kazanç amacıyla nasıl kötüye kullanılabileceğini açıkça göstermektedir.

MODERN BİLGİ GÜVENLİĞİ MİMARİSİNDE ÇOK KATMANLI SAVUNMA

Bu vaka, bir çalışanın meşru kimlik bilgilerini kullanarak görev tanımı dışındaki hassas verilere ulaşıp, bunları dış platformlarda kendi çıkarı için kullanmasının en çarpıcı örneklerinden biridir. Sadece ağ çevresi güvenliğine odaklanan geleneksel yaklaşımlar bu tür iç tehditlerde yetersiz kalır. Bu karmaşık suistimalleri önlemek için siber güvenlik mimarisinde "Sıfır Güven" prensibine dayalı; veriyi, kimliği ve uç nokta işlemlerini ağ ve çekirdek seviyesinde denetleyen ürün gruplarının entegre biçimde çalışması gerekir.

YAPILANDIRILMIŞ VE YAPILANDIRILMAMIŞ VERİLERİN KEŞFİ VE İZOLASYONU

Kritik arama trendleri ve şirket sırları gibi yapılandırılmış veya yapılandırılmamış veriler, merkezi sunucularda saklanır. SearchInform çözümleri; SMB (NFS), FTP(S), SFTP ve WebDAV protokolleri üzerinden yerel bilgisayarlar, ağ klasörleri ve bulut depolama alanlarındaki dosyaların içindeki gizli verileri tarayabilir ve tespit edebilir. Sistem, metin, kelime kökü, düzenli ifadeler (regular expressions) ve sözlük aramaları kullanarak otomatik veri sınıflandırması gerçekleştirir. Entegre Optik Karakter Tanıma (OCR) motorları sayesinde grafik formatlardaki metinler dahi ayrıca analiz edilebilir. Böylece stratejik verilere yönelik her türlü yetkisiz I/O işlemi, veri dışarı sızmadan önce loglanıp denetim altına alınır. 

DERİN PAKET İNCELEME (DPI) VE UÇ NOKTA TRAFİK KONTROLÜ

Çalışanın elde ettiği verilerle harici platformlarda işlem yapması, uç nokta ve ağ seviyesindeki derin paket inceleme (Deep Packet Inspection) süreçlerinin önemini gösterir. Modern DLP ve ağ güvenliği çözümleri, ağ seviyesinde SPAN yani port aynalama teknolojisini kullanarak veya ICAP protokolü üzerinden proxy sunucuları ile entegre çalışarak HTTP/HTTPS trafiğindeki GET ve POST isteklerini analiz edebilir. Sertifika değişimi yöntemiyle SSL/TLS ile şifrelenmiş trafik dahi güvenlik politikaları kapsamında çözümlenerek incelenebilir. Uç nokta ajanı seviyesinde ise panoya kopyalama, sürükle-bırak işlemleri ve USB diskler gibi ortamlara yönelik veri aktarımları, dosya içeriği ve güvenlik politikalarına göre engellenebilir; gerekli durumlarda gölge kopyaları oluşturulabilir.

ROL TABANLI ERİŞİM (RBAC) VE KRİPTOGRAFİK YETKİLENDİRME (IAM / PAM)

İç tehditlerin engellenmesinde en kritik adımlardan biri, Rol Tabanlı Erişim Kontrolü (RBAC) ve "En Az Yetki Prensibi"nin (Least Privilege) katı bir şekilde uygulanmasıdır. Kimlik ve Erişim Yönetimi (IAM) ile Ayrıcalıklı Erişim Yönetimi (PAM) çözümleri, bu tür vakalarda savunmanın ilk hattını oluşturur. Bir yazılım mühendisinin, iş tanımıyla doğrudan ilgisi olmayan üretim veri tabanlarına veya raporlama sunucularına erişimi bu sistemlerle kriptografik olarak sınırlandırılabilir. PAM çözümleri sayesinde, hassas sunuculara güvenli protokoller üzerinden bağlanan ayrıcalıklı kullanıcıların oturumları anlık olarak izlenir, tuş vuruşları kaydedilir ve yetki aşımı veya kural dışı bir komut satırı girdisi durumunda oturum otomatik olarak sonlandırılabilir.

MAKİNE ÖĞRENMESİ DESTEKLİ İSTATİSTİKSEL ANOMALİ TESPİTİ (UEBA)

Çalışanın sistemdeki meşru yetkilerini kötüye kullanarak olağandışı verileri taraması, tipik bir istatistiksel anomali durumudur. Kullanıcı ve Varlık Davranış Analizi (UEBA) çözümleri, makine öğrenmesi algoritmaları kullanarak çalışanların ağ üzerindeki dijital alışkanlıklarının normal davranış profilini çıkarır. Eğer bir yazılım mühendisi normalde erişmediği sunucularda büyük çaplı sorgular yürütmeye veya mesai saatleri dışında olağandışı hacimde veri aktarmaya başlarsa, UEBA sistemleri bu davranışsal sapmayı anında “şüpheli iç tehdit faaliyeti” olarak etiketler.

MERKEZİ LOG KORELASYONU VE OLAYLARA HIZLI MÜDAHALE

Bu tür siber güvenlik olaylarında müdahale süresi, sistemin göreceği zararın boyutunu belirler. DLP, PAM ve UEBA loglarının merkezi bir SIEM sisteminde korelasyona tabi tutulması kritik önem taşır. Modern bilgi güvenliği çözümleri, oluşturulan güvenlik politikaları doğrultusunda tespit edilen ihlalleri üçüncü taraf SIEM sistemlerine aktarabilir. Güvenlik Operasyon Merkezleri (SOC), bu log entegrasyonu sayesinde çok katmanlı alarmları tek bir konsoldan izleyerek olası bir veri sızıntısı durumunda ağ bağlantılarını kesmek, kullanıcı oturumlarını sonlandırmak veya uç noktayı izole etmek gibi hızlı müdahale adımlarını başlatabilir.

INFOSEC MİMARİSİNDE PROAKTİF KONTROLLERİN GEREKLİLİĞİ

Yaşanan bu son vaka, bilgi güvenliğinin sadece ağ katmanını dışarıdan gelen saldırılara kapatmakla sağlanamayacağını; saldırı vektörlerinin sistemlere doğrudan erişimi olan ve kimlik doğrulaması yapmış kullanıcılardan gelebileceğini hatırlatmaktadır. Kurumların fikri mülkiyetlerini ve stratejik varlıklarını güvence altına alabilmeleri için veri sınıflandırması, uygulama katmanı engellemesi, kriptografik kimlik yetkilendirmesi ve yapay zeka destekli davranış analizi sunan modern güvenlik mimarilerini ve sistemlerini iş süreçlerinin merkezine konumlandırmaları şarttır.