Siber Güvenlik, Malware ve EDR Yaklaşımları

Giriş: Dijital Çağın Güvenlik Mimarisi

Günümüzün hyper-connected dünyasında, siber güvenlik artık sadece bir BT departmanının sorumluluğu değil; kurumsal varoluşun temel bir parçası haline gelmiştir. 2024 yılı, siber saldırılar açısından kötü bir rekor yılı olarak tarihe geçmiştir. Malwarebytes’in ThreatDown State of Malware 2025 Raporu‘na göre, bir önceki yıla kıyasla %13 daha fazla saldırı gerçekleşmiştir. Cybersecurity Ventures’ın öngörüsüne göre, 2025 yılında siber suçların küresel maliyeti 12 trilyon doları bulacak ve her iki saniyede bir şirket, tüketici veya cihaz siber saldırıya uğrayacaktır.

Bu bağlamda, geleneksel güvenlik yaklaşımlarının ötesine geçmek, proaktif savunma mekanizmaları geliştirmek ve modern tehditlere karşı bütüncül çözümler üretmek kaçınılmaz hale gelmiştir. Bu araştırma sayfasında, siber güvenliğin temel prensiplerinden, zararlı yazılım (malware) ekosisteminin derinliklerine, Uç Nokta Tespit ve Müdahale (EDR) çözümlerinin teknik altyapısından, geleceğin güvenlik mimarisine kadar kapsamlı bir inceleme sunulmaktadır.

12T$

2025 Yılı Siber Suç Maliyeti

%13

Siber Saldırı Artışı (2024)

75M$

En Büyük Fidye Ödemesi

2 sn

Saldırı Sıklığı

1. Siber Güvenliğin Temel Prensipleri

1.1 CIA Üçgeni: Güvenliğin Sac Ayakları

Siber güvenliğin temelini oluşturan CIA Üçgeni (Confidentiality, Integrity, Availability – Gizlilik, Bütünlük, Erişilebilirlik), bilgi güvenliğinin üç temel unsurunu tanımlar. Bu prensipler, tüm güvenlik stratejilerinin ve kontrollerinin tasarımında rehber olarak kullanılır.

🔒 Gizlilik (Confidentiality)

Bilginin yetkisiz erişimden korunmasını sağlar. Şifreleme, erişim kontrol listeleri (ACL), kimlik doğrulama mekanizmaları ve veri maskeleme teknikleri ile uygulanır. Özellikle kişisel veriler, finansal bilgiler ve ticari sırlar için kritik öneme sahiptir.

✓ Bütünlük (Integrity)

Bilginin yetkisiz değişikliklere karşı korunmasını ve doğruluğunun garanti altına alınmasını ifade eder. Hash fonksiyonları (SHA-256, MD5), dijital imzalar, versiyon kontrol sistemleri ve veri doğrulama mekanizmaları ile sağlanır.

⚡ Erişilebilirlik (Availability)

Yetkili kullanıcıların bilgiye ve sistemlere ihtiyaç duyduklarında erişebilmelerini garanti eder. Yedekleme sistemleri, yük dengeleme (load balancing), DDoS koruma mekanizmaları ve felaket kurtarma planları ile desteklenir.

1.2 Zero Trust Güvenlik Modeli

Zero Trust (Sıfır Güven) modeli, geleneksel ağ güvenliği yaklaşımlarının aksine “içeride olan her şeye güven” prensibini reddeder ve “asla güvenme, her zaman doğrula” (never trust, always verify) felsefesini benimser. ABD Ulusal Güvenlik Ajansı (NSA), Zero Trust’ı şöyle tanımlar: “Geleneksel ağ sınırlarının içinde ve dışında tehditlerin var olduğunun kabulüne dayanan, örtük güveni ortadan kaldıran bir güvenlik modeli.”

Zero Trust’un Temel Prensipleri:

1. Açık Doğrulama (Verify Explicitly): Tüm erişim talepleri, kimlik doğrulama ve yetkilendirme süreçlerinden geçirilir. Çok faktörlü kimlik doğrulama (MFA), cihaz sağlığı kontrolü ve risk tabanlı erişim politikaları kullanılır.
2. En Az Ayrıcalık İlkesi (Least Privilege Access): Kullanıcılara ve uygulamalara, görevlerini yerine getirmeleri için gereken minimum yetki verilir. Just-In-Time (JIT) ve Just-Enough-Access (JEA) prensipleri uygulanır.
3. İhlal Varsayımı (Assume Breach): Sistemin zaten ihlal edilmiş olduğu varsayımıyla hareket edilir. Mikro-segmentasyon, uçtan uca şifreleme ve sürekli izleme ile hasar alanı (blast radius) minimize edilir.

💡

Zero Trust’un Gerçek Dünya Faydaları

Finans sektöründe uygulanan bir Zero Trust mimarisi, birinci yıl içinde güvenlik olaylarını %60 oranında azaltmıştır. Sağlık sektöründe ise HIPAA uyumluluğu kolaylaştırılmış ve kimlik bilgileri çalındığında bile yetkisiz erişim engellenmiştir.

1.3 Güncel Siber Tehdit Ortamı (2024-2025)

2024-2025 dönemi, siber tehditlerin hem hacim hem de karmaşıklık açısından önemli bir evrim geçirdiği bir dönem olarak öne çıkmaktadır. Geleneksel tehditlerin yanı sıra yapay zeka destekli saldırılar, kuantum hesaplama riskleri ve IoT tabanlı tehditler güvenlik gündeminin üst sıralarına yerleşmiştir.

2025’in Öne Çıkan Siber Tehditleri:

Tehdit Türü	Açıklama	Etki	Önleme Stratejisi
Yapay Zeka Destekli Saldırılar	AI/ML kullanarak kendini geliştiren, antivirüslerden kaçan, sosyal mühendislik saldırılarını otomatikleştiren zararlı yazılımlar	Sosyal mühendislik saldırılarının %35-37’sini oluşturuyor, ortalama maliyet 4.88M$	AI destekli EDR/XDR çözümleri, davranış analizi
Deepfake Dolandırıcılığı	Ses ve görüntü sentezleme teknolojisi ile yapılan kimlik taklitleri	2025’te %300 artış, WhatsApp üzerinden yayılım	Biyometrik doğrulama, çok faktörlü onay süreçleri
Kripto Cüzdan Avcıları	Seed phrase toplama amaçlı sahte siteler, uygulamalar ve destek ekipleri	MetaMask ve Trust Wallet kullanıcıları hedefte, 1.4 milyar $ kayıp	Donanım cüzdanları, çok imzalı cüzdanlar
Fidye Yazılımları (Ransomware)	Çift extortion (çifte fidye) modeli: veri şifreleme + veri sızdırma tehdidi	Sağlık, lojistik, e-ticaret sektörleri hedefte	EDR, immutable backup, ağ segmentasyonu
Kuantum Tehdidi	Kuantum bilgisayarların mevcut şifreleme algoritmalarını kırma potansiyeli	RSA ve ECC algoritmaları risk altında	Kuantum dirençli şifreleme (PQC) geçişi
IoT ve Bulut Tehditleri	Akıllı cihazlara ve bulut yapılandırmalarına yönelik saldırılar	IoT saldırıları %35 arttı, bulut ihlallerinin %83’ü kimlik yönetimi zafiyetinden	Zero Trust Network Access (ZTNA), cihaz yönetimi

2. Zararlı Yazılımlar (Malware): Tanım, Sınıflandırma ve Analiz

2.1 Malware Nedir?

Malware (Malicious Software – Zararlı Yazılım), bilgisayar sistemlerine, ağlara veya cihazlara zarar vermek, hassas verileri çalmak, kullanıcı aktivitelerini izlemek veya sistemin normal işleyişini bozmak amacıyla tasarlanmış her türlü yazılımı ifade eder. Malware terimi, virüsler, solucanlar, truva atları, fidye yazılımları, casus yazılımlar ve daha birçok tehdit türünü kapsayan genel bir üst kavramdır.

⚠️

Malware İstatistikleri

Günümüzde her gün ortalama 560.000 yeni malware örneği keşfedilmektedir. Mobil cihazlara yönelik malware saldırıları son 5 yılda %50 artış göstermiştir. Kurumsal ağlara bulaşan malware’lerin %92’si e-posta yoluyla yayılır.

2.2 Malware Türleri ve Teknik Özellikleri

2.2.1 Virüsler (Viruses)

Virüsler, kendini çoğaltabilen ve başka programlara, dosyalara veya boot sektörlerine bulaşan zararlı kod parçacıklarıdır. Aktif hale gelmek için bir host programına ihtiyaç duyarlar ve bu program çalıştırıldığında belleğe yüklenerek sistemde yayılırlar.

Virüs Çalışma Mekanizması:

Bulaşma (Infection): Virüs, hedef dosyaya kendi kodunu ekler ve dosyanın başlangıç adresini değiştirerek önce kendisinin çalışmasını sağlar.
Tetiklenme (Trigger): Belirli bir koşul gerçekleştiğinde (tarih, sistem olayı, kullanıcı eylemi) virüs aktif hale gelir.
Yük (Payload): Virüsün asıl zarar verici kısmı devreye girer; dosya silme, sistem bozma, veri çalma gibi eylemler gerçekleştirir.
Dağılım (Propagation): Virüs, ağ paylaşımları, e-posta, çıkarılabilir medya gibi yollarla diğer sistemlere yayılır.

Virüs Türleri:

Dosya Virüsleri: .exe, .com, .sys gibi çalıştırılabilir dosyalara bulaşır
Makro Virüsleri: Microsoft Office dosyalarının makro özelliklerini kullanır
Boot Sektör Virüsleri: Sabit disk veya çıkarılabilir medyanın boot sektörünü hedef alır
Çok Parçacıklı Virüsler (Multipartite): Hem boot sektörüne hem de dosyalara bulaşabilir
Stealth Virüsler: Antivirüs yazılımlarından kaçınmak için kendini gizler
Polimorfik Virüsler: Her bulaşmada şifreleme anahtarını değiştirerek imza tabanlı tespiti zorlaştırır

2.2.2 Solucanlar (Worms)

Solucanlar, virüslerden temel bir farkla ayrılırlar: Bağımsız çalışabilirler ve herhangi bir host programa ihtiyaç duymadan kendi kendine yayılırlar. Ağ protokollerini ve sistem zafiyetlerini kullanarak hızla yayılırlar ve ağ trafiğini şişirerek hizmet kesintilerine neden olabilirler.

Ünlü Solucan Örnekleri:

Morris Worm (1988): İnternetin ilk büyük solucanı, 6.000’den fazla bilgisayarı etkileyerek internetin %10’unu çökertti.

Stuxnet (2010): İran’ın uranyum zenginleştirme santrifüjlerini hedef alan, ilk bilinen siber silah olarak kabul edilir.

WannaCry (2017): NSA’nın EternalBlue exploit’ini kullanarak 150’den fazla ülkede 200.000’den fazla bilgisayarı etkiledi.

2.2.3 Truva Atları (Trojans)

Truva Atları (Trojan Horses), zararsız veya faydalı bir program gibi görünen ancak arka planda kötü niyetli faaliyetler gerçekleştiren zararlı yazılımlardır. Kullanıcının bilgisi dışında uzaktan erişim sağlar, ek malware yükler veya hassas verileri çalar.

Truva Atı Kategorileri:

🔑 Keylogger’lar

Klavye girişlerini kaydederek şifreler, kredi kartı numaraları ve kişisel bilgileri ele geçirir.

🖥️ RAT (Remote Access Trojan)

Saldırganlara uzaktan tam sistem kontrolü sağlar; ekran görüntüsü alma, dosya transferi, kamera/mikrofon erişimi mümkündür.

💰 Banking Trojan’lar

Finansal işlemleri hedef alır; tarayıcıda oturum çalar, işlem bilgilerini değiştirir, sahte banka sayfaları gösterir.

🎭 Downloader Trojan’lar

Sisteme başka malware’ler indirip kurar; genellikle çok aşamalı saldırıların ilk adımıdır.

2.2.4 Fidye Yazılımları (Ransomware)

Fidye yazılımları, kurbanın dosyalarını şifreleyerek erişilemez hale getiren ve dosyaların geri alınması için fidye talep eden en zararlı malware türlerinden biridir. Modern ransomware saldırıları “çift extortion” (çifte fidye) modelini kullanır: dosyalar şifrelenir ve aynı zamanda çalınan verilerin yayınlanacağı tehdidi yapılır.

🚨

Ransomware Etkisi

2024 yılında “Dark Angels” hacker grubu, şimdiye kadar bilinen en büyük fidye ödemesi olan 75 milyon dolar aldı. Sağlık sektöründe bir ransomware saldırısının ortalama maliyeti 10.93 milyon dolar‘dır.

Ransomware Yayılma Vektörleri:

Phishing E-postalar: Kötü amaçlı ekler veya bağlantılar içeren sosyal mühendislik e-postaları
RDP Saldırıları: Zayıf veya çalınan uzak masaüstü protokolü kimlik bilgileri
Yazılım Zafiyetleri: Eski işletim sistemleri ve uygulamalardaki güvenlik açıkları
Tedarik Zinciri Saldırıları: Güvenilir yazılım güncellemeleri aracılığıyla yayılma
Malware İndiriciler: Önceden bulaşmış Trojan’lar aracılığıyla ransomware indirme

2.2.5 Casus Yazılımlar (Spyware) ve Adware

Casus yazılımlar (Spyware), kullanıcının farkında olmadan kişisel bilgilerini, internet geçmişini, giriş bilgilerini ve diğer hassas verileri toplayan ve bu bilgileri üçüncü taraflara ileten yazılımlardır. Adware ise, kullanıcıya istenmeyen reklamlar gösteren ve genellikle kullanıcı davranışlarını izleyen yazılımlardır.

Spyware Türleri:

Keylogger: Klavye girişlerini kaydeder
Password Stealer: Tarayıcı ve uygulamalarda kayıtlı şifreleri çalar
Info Stealer: Kripto cüzdanları, oturum çerezleri, sistem bilgilerini çalar
Banking Trojan: Finansal işlemleri manipüle eder
Infostealer: Discord token’ları, Steam oturumları, VPN kimlik bilgilerini hedef alır

2.2.6 Gelişmiş Sürekli Tehditler (APT – Advanced Persistent Threats)

APT’ler, belirli bir hedefe yönelik, uzun vadeli, sürekli ve son derece sofistike siber saldırı kampanyalarıdır. Devlet destekli hacker grupları veya iyi organize olmuş siber suç örgütleri tarafından gerçekleştirilirler. APT saldırılarının temel özellikleri:

Gelişmişlik (Advanced): Sıfır gün açıkları, özel malware araçları, karmaşık teknikler kullanılır
Kalıcılık (Persistent): Hedef sistemde uzun süre (aylar, yıllar) gizli kalma amacı güder
Hedef Odaklılık: Belirli bir kuruluş, sektör veya ülkeye özel saldırılar düzenlenir
Amaca Yönelik: Hassas veri hırsızlığı, endüstriyel casusluk veya kritik altyapıya zarar verme

APT Saldırı Yaşam Döngüsü:

1

Keşif

Hedef hakkında bilgi toplama (OSINT, sosyal medya, web siteleri)

2

İlk Erişim

Phishing, zafiyet istismarı veya kimlik bilgisi çalma ile sızma

3

Kurulum

Arka kapılar, rootkit’ler ve kalıcılık mekanizmaları kurulumu

4

C2

Komuta ve Kontrol sunucuları ile iletişim kurma

5

Yanal Hareket

Ağ içinde ilerleyerek daha fazla sisteme erişim sağlama

6

Veri Sızdırma

Hedeflenen verilerin toplanması ve dışarı aktarılması

2.3 Malware Analiz Yöntemleri

Malware analizi, zararlı yazılımların davranışlarını, yeteneklerini ve yayılma mekanizmalarını anlamak için kullanılan teknik süreçler bütünüdür. İki temel analiz yaklaşımı vardır: Statik Analiz ve Dinamik Analiz.

2.3.1 Statik Analiz

Statik analiz, malware örneğinin çalıştırılmadan incelenmesini içerir. Dosya yapısı, kod yapısı ve metadata analiz edilir.

Statik Analiz Araçları ve Teknikleri:

Hash Analizi: MD5, SHA-1, SHA-256 hash değerleri hesaplanarak tehdit istihbaratı veritabanlarında arama yapılır
Dizassembly/Decompilation: IDA Pro, Ghidra, x64dbg ile makine kodu assembly diline dönüştürülür
Dize Analizi (String Analysis): Dosya içindeki metin dizileri çıkarılarak IP adresleri, URL’ler, dosya yolları tespit edilir
Packing/Obfuscation Tespiti: UPX, Themida gibi packer’lar ve kod karıştırma teknikleri belirlenir
PE Header Analizi: Windows Portable Executable dosya formatının başlık bilgileri incelenir

2.3.2 Dinamik Analiz (Davranışsal Analiz)

Dinamik analiz, malware örneğinin kontrollü bir ortamda (sandbox) çalıştırılarak davranışlarının gözlemlenmesini içerir.

Dinamik Analiz Süreci:

Sanal Ortam Hazırlığı: VMWare, VirtualBox veya özel sandbox ortamı oluşturulur
Sistem Anlık Görüntüsü: Analiz öncesi sistem durumu kaydedilir
İzleme Araçları: Process Monitor, Wireshark, Regshot gibi araçlar kurulur
Malware Çalıştırma: Örnek çalıştırılır ve davranışları kaydedilir
Değişiklik Analizi: Dosya sistemi, kayıt defteri, ağ bağlantıları ve bellek değişiklikleri incelenir
Bellek Analizi: Volatility ile RAM dump’ı analiz edilir

2.3.3 Hafıza Analizi (Memory Forensics)

Bellek analizi, çalışan sistemin RAM’inin dump edilerek incelenmesini içerir. Dosyasız (fileless) malware’ler ve gelişmiş tehditler için kritik öneme sahiptir.

Bellek Analizi ile Tespit Edilebilenler:

Çalışan süreçler ve gizli süreçler (hidden processes)
Ağ bağlantıları ve soketler
Yüklenen DLL’ler ve kernel modülleri
Registry hive’ları
Şifreleme anahtarları ve oturum bilgileri
Injected kod ve hook’lar

3. Uç Nokta Tespit ve Müdahale (EDR) Sistemleri

3.1 EDR Nedir?

EDR (Endpoint Detection and Response – Uç Nokta Tespit ve Müdahale), uç noktalardaki (bilgisayarlar, sunucular, mobil cihazlar, IoT cihazları) faaliyetleri gerçek zamanlı olarak izleyen, bu verileri analiz eden, tehditleri tespit eden ve gerektiğinde otomatik veya manuel müdahale gerçekleştiren gelişmiş bir siber güvenlik çözümüdür.

Geleneksel antivirüs çözümleri, yalnızca bilinen tehdit imzalarını tanıyabildiği için APT’ler, sıfır gün açıkları ve dosyasız (fileless) saldırılar karşısında etkisiz kalmaktadır. EDR, bu boşluğu doldurarak proaktif bir “dijital bağışıklık sistemi” sunar.

📊

EDR Pazar Büyüklüğü

Global EDR pazarı 2024 yılında 3.5 milyar dolar değerindeydi ve 2030 yılına kadar yıllık %25 büyüme oranı ile 13.5 milyar dolara ulaşması öngörülüyor.

3.2 EDR’in Temel Bileşenleri

Bileşen	Açıklama	Öne Çıkan Özellikler
Uç Nokta Veri Toplama	Her uç noktada kurulu yazılım ajanları sayesinde sistem olayları, ağ aktiviteleri, işlem kayıtları, dosya hareketleri gibi veriler gerçek zamanlı olarak toplanır	• Gerçek zamanlı veri akışı • Merkezi/bulut tabanlı veri gönderimi • Düşuk sistem kaynak kullanımı
Veri Analizi	Toplanan veriler; algoritmalar, makine öğrenimi ve davranış analizleriyle incelenir. Anormallikler ve şüpheli aktiviteler belirlenir	• Anomali tespiti • Öğrenilebilir davranış profilleri • Tehdit istihbaratı ile ilişkilendirme
Tehdit Avı (Threat Hunting)	Güvenlik analistleri, şüpheli aktiviteler için proaktif arama yapar. Tehditlerin kaynağını belirlemek ve etkisiz hale getirmek için detaylı analiz gerçekleştirir	• Manuel analiz imkanı • Tehdit davranışları takibi • Gelişmiş uyarı yönetimi
Otomatik Yanıt	Tespit edilen tehditlere karşı otomatik eylemler alınır. Uç noktanın ağdan izole edilmesi, zararlı sürecin sonlandırılması veya dosyanın karantinaya alınması	• Hızlı müdahale süresi • Politika tabanlı otomasyon • Ağ izolasyonu, işlem sonlandırma

3.3 EDR Nasıl Çalışır?

3.3.1 Veri Toplama ve Sürekli İzleme

EDR sistemleri, uç nokta güvenliğinin temel taşını oluşturan sürekli izleme mekanizmalarıyla çalışır. Bu sistemler, siber tehditlerin erken tespiti için kritik öneme sahip verileri toplar ve analiz eder.

Kapsamlı Endpoint İzleme:

Süreç İzleme: PowerShell, WMI, CMD gibi sıklıkla kötüye kullanılan araçların kullanımı yakından takip edilir
Kayıt Defteri İzleme: Zararlı yazılımların sistemde kalıcılık sağlamak amacıyla yaptığı registry değişiklikleri özenle izlenir
Dosya Sistemi İzleme: Şüpheli dosya oluşturma, silme, şifreleme aktiviteleri kayıt altına alınır
Ağ Trafiği Analizi: Command & Control (C2) sunucularına yönelik olağandışı bağlantılar tespit edilir
Bellek İzleme: Process injection, DLL injection gibi bellek tabanlı saldırılar izlenir

3.3.2 Davranışsal Analiz ve Anomali Tespiti

EDR sistemleri, geleneksel imza tabanlı yöntemlerin ötesine geçerek davranış analizine dayalı tespit mekanizmaları kullanır. Sistem, normal davranış kalıplarını öğrenir ve bu kalıplardan sapmaları anında tespit eder.

Önemli Davranış Göstergeleri (IOB – Indicator of Behavior):

LSASS Bellek Dump’ı: Kimlik bilgisi hırsızlığı için kullanılan teknik
Parent-Child Process Anomalileri: Explorer.exe üzerinden başlatılan şüpheli cmd.exe zinciri
Office Uygulamalarından Şüpheli Çalıştırma: Word/Excel’den PowerShell veya CMD başlatma
Karmaşıklaştırılmış (Obfuscated) Kod: Base64, XOR veya özel algoritmalarla gizlenmiş komutlar
Olağandışı Ağ Bağlantıları: Bilinmeyen IP’lere veya yüksek portlara bağlantı

3.3.3 Tehdit Tespiti: Çok Katmanlı Savunma

EDR sistemleri, etkili tehdit tespiti için birbirini tamamlayan üç temel yaklaşımı bir arada kullanır:

1. İmza Tabanlı Tespit

Bilinen kötü amaçlı yazılımların hash değerleri, dosya imzaları ve IOC’ler (Indicator of Compromise) ile eşleştirme yapılır. Hızlı ve etkili ancak bilinmeyen tehditlere karşı yetersizdir.

2. Davranış Analizi

Süreçlerin bellek kullanımı, ağ aktiviteleri ve sistem etkileşimleri izlenir. IOB (Indicator of Behavior) ile şüpheli teknik davranışlar tespit edilir.

3. Tehdit İstihbaratı

OSINT ve ticari tehdit istihbaratı kaynaklarıyla sürekli veri alışverişi yapılır. Bilinen C2 sunucuları, saldırgan IP’ler ve TTP’ler takip edilir.

3.3.4 Otomatik Yanıt ve Müdahale

EDR sistemleri, tehdit tespitinin ardından insan müdahalesi gerektirmeden otomatik savunma mekanizmalarını devreye sokar. Bu süreçte üç temel müdahale yöntemi öne çıkar:

Otomatik Müdahale Eylemleri:

Karantina: Zararlı dosyaların çalışmasını engelleme, izole edilmiş bir konuma taşıma
Process Sonlandırma: Aktif tehditleri anında durdurma, şüpheli süreçleri sonlandırma
Ağ İzolasyonu: Cihazı ağdan ayırarak yayılmayı önleme (Network Quarantine)
Kayıt Defteri Temizliği: Kalıcılık mekanizmalarını kaldırma
Kullanıcı Hesabı Askıya Alma: Ele geçirilmiş hesapları geçici olarak devre dışı bırakma

3.4 EDR, XDR ve MDR Karşılaştırması

Modern siber güvenlik ekosisteminde EDR’nin yanı sıra XDR (Extended Detection and Response) ve MDR (Managed Detection and Response) çözümleri de öne çıkmaktadır. Bu üç yaklaşımın farklarını anlamak, doğru güvenlik stratejisini seçmek için kritik öneme sahiptir.

Kriter	EDR	XDR	MDR
Veri Kapsamı	Sadece Uç Noktalar (PC, Sunucu)	Uç Nokta + Ağ + Bulut + E-posta	Tüm güvenlik araçlarının verileri
Temel Amacı	Cihaz bazlı tehdit yakalama	Karmaşık saldırı zincirini çözme	7/24 kesintisiz operasyon ve yanıt
Teknoloji mi, Hizmet mi?	Yazılım/Teknoloji	Yazılım/Platform	Yönetilen Hizmet Modeli
Siber Uzman İhtiyacı	Yüksek (Ekibiniz analiz etmeli)	Çok Yüksek (Korelasyon uzmanlığı)	Düşük (Uzmanlık dışarıdan sağlanır)
Tepki Süresi (MTTR)	Ekip mesaisine bağlı	Otomasyon sayesinde hızlı	7/24 Gerçek zamanlı ve anında
Tipik Kullanıcı	Güçlü BT ekibi olan yapılar	Hibrit/Bulut odaklı büyük kurumlar	Güvenlik ekibi kısıtlı işletmeler
Entegrasyon	SIEM ile entegrasyon gerekir	Native SIEM, SOAR entegrasyonu	Genellikle kendi platformunu kullanır
Maliyet Yapısı	Lisans başına ücretlendirme	Kapsamlı lisans ve altyapı maliyeti	Abonelik tabanlı hizmet modeli

✓

Karar Rehberi: Hangi Çözüm Size Uygun?

EDR’yi Seçin Eğer: Sadece uç noktalarınızı korumak önceliğinizse ve alarmları inceleyebilecek deneyimli bir ekibiniz varsa.

XDR’yi Seçin Eğer: Ağınızda çok sayıda IoT, bulut sunucusu ve SaaS uygulaması varsa ve farklı güvenlik araçlarından gelen veriyi birleştirmek istiyorsanız.

MDR’yi Seçin Eğer: Siber güvenlik uzmanı istihdam etmekte zorlanıyorsanız veya 7/24 nöbetçi bir SOC ekibi istiyorsanız.

3.5 EDR ile Entegre Çalışan Sistemler

3.5.1 SIEM (Security Information and Event Management)

SIEM, güvenlik bilgilerini ve olaylarını gerçek zamanlı olarak izleyen, analiz eden ve loglayan teknolojidir. EDR’den gelen verileri merkezi bir platformda toplar, korelasyon kurar ve kurumsal çapta güvenlik olaylarını yönetir.

SIEM Temel İşlevleri:

Güvenlik Olaylarının Toplanması: Güvenlik duvarları, IDS/IPS, EDR, sunucu logları gibi çoklu kaynaklardan veri toplama
Korelasyon ve Analiz: Farklı kaynaklardan gelen olayları ilişkilendirerek anlamlı güvenlik olayları oluşturma
Uyarı ve Raporlama: Şüpheli aktiviteler için uyarı üretme ve uyumluluk raporları oluşturma
Forensic Analiz: Güvenlik olaylarının ardışık analizi ve kök neden analizi

3.5.2 SOAR (Security Orchestration, Automation and Response)

SOAR, güvenlik operasyonlarını otomatikleştiren ve farklı güvenlik araçlarını bir arada çalıştıran platformdur. EDR ile entegrasyonu, tehditlere karşı otomatik ve hızlı yanıt verilmesini sağlar.

SOAR Playbook Örneği (Ransomware Tespiti):

EDR ransomware aktivitesi tespit eder
SOAR otomatik olarak playbook’u başlatır
Etkilenen cihaz ağdan izole edilir
İlgili kullanıcı hesabı askıya alınır
Yedekleme sistemi tetiklenir (son yedekleme kontrolü)
SIEM’e olay kaydı oluşturulur
Güvenlik ekibine otomatik bildirim gönderilir
İcra raporu oluşturulur

3.5.3 MITRE ATT&CK Framework Entegrasyonu

MITRE ATT&CK (Adversarial Tactics, Techniques, and Common Knowledge), siber saldırganların kullandığı taktik, teknik ve prosedürleri (TTP) kategorize eden küresel bir bilgi tabanıdır. EDR sistemleri, tespit ettikleri saldırıları ATT&CK framework’ü ile eşleştirerek daha anlamlı uyarılar üretir.

MITRE ATT&CK Kullanım Alanları:

Tehdit Modelleme: Saldırganların kullandığı teknikleri anlama ve savunma stratejileri geliştirme
Güvenlik Değerlendirmesi: Mevcut güvenlik kontrollerinin hangi ATT&CK tekniklerine karşı etkili olduğunu belirleme
Red Team Egzersizleri: Simüle edilmiş saldırı senaryoları oluşturma
Tehdit Avı: Belirli ATT&CK tekniklerinin izlerini arama
Raporlama: Güvenlik olaylarını standart bir dilde iletme

4. EDR Uygulama ve Optimizasyon Stratejileri

4.1 EDR Dağıtım Planlaması

Başarılı bir EDR implementasyonu, dikkatli planlama ve aşamalı dağıtım gerektirir. Aşağıdaki adımlar, EDR projesinin başarılı bir şekilde hayata geçirilmesini sağlar:

1

Varlık Envanteri

Tüm uç noktaların (workstation, sunucu, VM, IoT) tespiti ve sınıflandırılması

2

Gereksinim Analizi

İş kritiklik seviyeleri, uyumluluk gereksinimleri ve risk değerlendirmesi

3

Pilot Dağıtım

Sınırlı bir grup cihazda test, performans ve uyumluluk kontrolü

4

Kural ve Politika Yapılandırması

Tespit kuralları, otomatik yanıt politikaları ve entegrasyon ayarları

5

Tam Dağıtım

Tüm uç noktalara yaygınlaştırma ve sürekli izleme

6

Sürekli İyileştirme

Yanlış pozitif azaltma, kural optimizasyonu ve tehdit avı

4.2 EDR Yapılandırma En İyi Uygulamaları

4.2.1 Tespit Kuralları Optimizasyonu

Varsayılan Kuralları İnceleyin: EDR satıcısının sağladığı varsayılan kuralları ortamınıza göre özelleştirin
Yanlış Pozitif Yönetimi: Güvenilir uygulamalar ve iş süreçleri için whitelist’ler oluşturun
Risk Tabanlı Yaklaşım: Yüksek riskli kullanıcılar ve kritik sistemler için agresif tespit kuralları
Özel Kural Geliştirme: Kuruma özel tehditler ve IOC’ler için özel detection kuralları

4.2.2 Otomatik Yanıt Politikaları

Otomatik Müdahale Seviyeleri:

Düşük Risk: Sadece uyarı, manuel inceleme gerektirir
Orta Risk: Otomatik karantina, kullanıcı bilgilendirme
Yüksek Risk: Otomatik ağ izolasyonu, süreç sonlandırma
Kritik Risk: Anında sistem kapatma, SOC ekibine acil bildirim

4.3 EDR Performans Optimizasyonu

EDR ajanları, uç noktaların performansını etkileyebilir. Bu etkiyi minimize etmek için aşağıdaki stratejiler uygulanabilir:

CPU ve Bellek Optimizasyonu

Tarama zamanlamalarını yoğun olmayan saatlere ayarlama
CPU kullanım limitleri belirleme
Öncelikli tarama (sadece yeni/değişen dosyalar)
Önbellek mekanizmalarını kullanma

Ağ Bant Genişliği Optimizasyonu

Veri sıkıştırma ayarlarını optimize etme
Yerel önbellek ve delta senkronizasyonu
Kritik olmayan verilerin toplanma sıklığını azaltma
Ofis dışı kullanıcılar için optimize edilmiş profiller

4.4 Tehdit Avı (Threat Hunting) Programı

EDR sistemlerinin sunduğu verileri proaktif olarak kullanarak, tespit edilmemiş tehditleri bulmak için Threat Hunting programları geliştirilmelidir.

Tehdit Avı Metodolojisi:

Hipotez Oluşturma: “Saldırgan X tekniğini kullanmış olabilir” şeklinde bir varsayım belirleme
Veri Toplama: EDR konsolundan ilgili verileri çıkarma (process tree, network connections, file activity)
Analiz: Toplanan verileri inceleme, anormallikleri tespit etme
Tespit ve Müdahale: Tehdit tespit edilirse kontaminasyon analizi ve temizleme
Detection Kuralı Oluşturma: Benzer tehditlerin otomatik tespiti için kural geliştirme

Tehdit Avı Sorgu Örnekleri:

# PowerShell ile şüpheli indirme aktivitesi ProcessName = “powershell.exe” AND CommandLine CONTAINS (“Invoke-WebRequest” OR “wget” OR “curl”) AND DestinationIP NOT IN (TrustedDomains) # LSASS bellek erişimi (Mimikatz indicator) ProcessName != “lsass.exe” AND TargetProcess = “lsass.exe” AND Operation = “ReadMemory” # Office uygulamasından şüpheli çalıştırma ParentProcess IN (“winword.exe”, “excel.exe”, “powerpnt.exe”) AND ChildProcess IN (“cmd.exe”, “powershell.exe”, “wscript.exe”) # Bilinmeyen imzaya sahip çalıştırılabilir FileType = “PE” AND DigitalSignature = “Invalid” OR DigitalSignature = “NotSigned” AND FileAge < 24h

5. Geleceğin Siber Güvenlik Mimarisi

5.1 Yapay Zeka ve Makine Öğrenimi

Geleceğin siber güvenlik sistemleri, yapay zeka ve makine öğrenimi teknolojileriyle daha da güçlenecektir. User and Entity Behavior Analytics (UEBA), derin öğrenme tabanlı anomaly detection ve otonom tehdit müdahale sistemleri yaygınlaşacaktır.

🤖 AI Destekli Savunma

Büyük dil modelleri (LLM) ile tehdit analizi
Otonom olay müdahalesi ve düzeltme
Predictive threat intelligence
Doğal dil sorgulama ile tehdit avı

⚠️ AI Destekli Saldırılar

Deepfake tabanlı sosyal mühendislik
AI ile oluşturulmuş polymorphic malware
Otonom botnet’ler ve saldırı koordinasyonu
Adversarial machine learning saldırıları

5.2 Kuantum Güvenli Şifreleme

Kuantum bilgisayarların gelişimi, mevcut RSA ve ECC şifreleme algoritmalarını tehdit etmektedir. Post-Quantum Cryptography (PQC) standartlarına geçiş, 2025-2030 döneminde kritik öneme sahip olacaktır.

⚡

Kuantum Tehdidi Zaman Çizelgesi

NIST, 2024 yılında ilk PQC standartlarını yayınladı. Kuruluşların 2030 yılına kadar kuantum dirençli şifrelemeye geçiş yapmaları önerilmektedir. “Harvest now, decrypt later” saldırılarına karşı, hassas verilerin şimdiden kuantum güvenli algoritmalarla korunması gerekmektedir.

5.3 Extended Detection and Response (XDR) Evrimi

EDR’den XDR’e geçiş, siber güvenlik operasyonlarının doğal evrimidir. Gelecekte XDR platformları, bulut güvenliği, IoT güvenliği, kimlik güvenliği ve uygulama güvenliğini tek bir bütünleşik platformda birleştirecektir.

XDR’in Gelecek Özellikleri:

Cloud-Native XDR: Container ve Kubernetes güvenliği entegrasyonu
Identity-Centric XDR: Kimlik tabanlı tehdit tespiti ve müdahale
Autonomous XDR: Minimum insan müdahalesiyle otonom güvenlik operasyonları
Open XDR: Farklı satıcıların çözümlerinin entegre edilebildiği açık mimari

5.4 Sonuç ve Öneriler

Siber güvenlik, statik bir hedef değil, sürekli evrim geçiren bir disiplindir. Geleneksel imza tabanlı güvenlik çözümlerinin yerini, davranış analizi, tehdit istihbaratı ve otomatik müdahale yeteneklerine sahip modern platformlar almaktadır.

Kuruluşlar İçin Temel Öneriler:

Zero Trust Mimarisine Geçiş: “Asla güvenme, her zaman doğrula” prensibini benimseyin
EDR/XDR Yatırımı: Geleneksel antivirüs çözümlerini modern EDR/XDR platformlarıyla değiştirin
Sürekli İzleme: 7/24 güvenlik operasyon merkezi (SOC) veya MDR hizmeti kullanın
Tehdit Avı Programı: Proaktif tehdit avı faaliyetleri ile tespit edilmemiş tehditleri bulun
Personel Eğitimi: Siber güvenlik farkındalığı eğitimleri ile insan faktörünü güçlendirin
Yedekleme ve Felaket Kurtarma: Immutable backup çözümleri ve düzenli kurtarma testleri
Tehdit İstihbaratı: OSINT ve ticari tehdit istihbaratı kaynaklarından yararlanın
MITRE ATT&CK Framework: Güvenlik değerlendirmelerinizi ATT&CK framework’ü ile yapın

🎯

Stratejik Bakış Açısı

Siber güvenlik artık sadece bir maliyet merkezi değil, iş sürekliliğinin ve dijital dönüşümün temel enabler’ıdır. Doğru güvenlik yatırımları, sadece risk azaltmakla kalmaz, aynı zamanda müşteri güveni, marka itibarı ve rekabetçi avantaj sağlar. Unutmayın: “Bir saldırının olup olmayacağı değil, ne zaman gerçekleşeceği önemlidir.”