MODÜL 2 — Metodolojiler, Tehdit Modelleme & Senaryo Kurgusu

Modül Teması

Bu modül, Red Team & Pentest çalışmalarını "tek tek tekniklerin toplamı" olmaktan çıkarıp uçtan uca tasarlanmış, ölçülebilir ve denetlenebilir bir güvenlik değerlendirmesine dönüştürür. Modül 1'de kurduğunuz yönetişim/RoE iskeletini burada metodoloji seçimi, tehdit modelleme ve hedef odaklı (objective-based) senaryo kurgusu ile "iş hedefi + ölçüm" diline taşır; belirsizliği yönetmeyi, iddiaları kanıt standardında paketlemeyi ve yöntem seçimini trade-off'larıyla gerekçelendirmeyi merkezine alır.

İleri seviyede fark yaratan şey "doğru aracı bilmek" değil; hangi yaklaşımı neden seçtiğinizi, hangi varsayımlar altında geçerli olduğunu, hangi karşı kanıtın fikrinizi değiştireceğini ve sonucun nasıl denetlenebilir bir çıktıya dönüşeceğini gösterebilmektir.

1) Metodoloji: "işi yapmak" değil, "işi denetlenebilir yapmak"

Metodoloji, operasyonu süsleyen bir şablon değildir; karar kalitenizi ve çıktının denetlenebilirliğini taşıyan iskelettir. İyi bir iskelet, belirsizlik yükseldiğinde sizi "kanıtsız hız" ile "gösterişli ama ölçümsüz hareket" arasında kaybolmaktan korur.

1.1. Yaşam döngüsü tasarımı: planlama → icra → raporlama → iyileştirme

Birçok çerçeve aynı omurgayı paylaşır: planla, uygula, sonucu kanıta bağla, iyileştirmeye çevir. NIST'in test ve değerlendirme yaklaşımı da bu döngüyü yapılandırmaya yarar; kritik nokta, her fazın "kanıt + karar kaydı" ile taşınmasıdır.

• Planlama: hedefler, başarı ölçütleri, risk/yan etki sınırları, iletişim-deconfliction düzeni ve "durma koşulları".
• İcra: hipotez temelli ilerleme; her iddiayı bağımsız kanıtla destekleme; gereksiz gürültü ve gereksiz veri temasından kaçınma.
• Raporlama: gözlem-yorum ayrımı; varsayımlar ve karşı kanıt arayışı; güven düzeyi (confidence) diliyle tutarlı anlatım.
• İyileştirme: bulguyu savunma kontrollerine bağlayıp yol haritasına dönüştürme; bir sonraki döngü için ölçüm metriklerini taşıma.

Örnek: "Erişim kontrolü zayıf" tek cümlelik bir iddia olarak kalırsa, yönetilebilir bir karar üretmez. Aynı iddia; hangi iş sürecini etkilediği, hangi kontrol varsayımının kırıldığı, hangi gözlemle desteklendiği, hangi şartlarda değişeceği ile paketlenirse, rapor "iddialar listesi" olmaktan çıkar, denetlenebilir bir karar dokümanına dönüşür.

Dikkat: Metodoloji, belirsizlik yükseldiğinde "daha çok dene" refleksini değil, "yanlış yola erken dur" disiplinini tetiklemelidir. Hızın bedeli kanıt zinciri kırılıyorsa, o hız genellikle borçtur.

1.2. Kalite kapıları: ileri seviyenin ayrıştırıcısı

İleri seviye süreç, "devam etmek" üzerine değil, yanlışı büyümeden kesmek üzerine kurulur. Bu yüzden her önemli dönemeçte kalite kapıları tanımlanır:

• Kapsam kapısı: Bu adım/varlık RoE içinde mi, onaylı mı? (Modül 1 ile uyum)
• Kanıt kapısı: Bu iddia hangi gözleme dayanıyor? Alternatif açıklamalar ve karşı kanıt arandı mı?
• Risk kapısı: Aynı sonuca giden daha düşük yan etkili/ daha düşük veri teması içeren yöntem var mı?
• Belirsizlik kapısı: Varsayımlar yazılı mı? Varsayım kırılırsa plan nasıl değişecek?
• Ölçüm kapısı: Bu faaliyet neyi ölçüyor? Başarı/başarısızlık neye göre okunacak?

İpucu: Kalite kapılarını "bürokrasi" gibi değil, maliyet sigortası gibi düşünün. Bir karar "kanıt kapısı"ndan geçmiyorsa, raporda "kesin" cümle kurmak yerine gözlemi doğru tarif ederek güven dilini koruyun.

1.3. Ölçüm planı: senaryonun omurgası

Objective-based bir çalışmada ölçüm, sonradan eklenen süslü bir tablo değil; senaryonun omurgasıdır. Sağlam bir ölçüm planı şunları netleştirir:

• Başarı kriteri: "Neyi başardık?" sorusunun ölçülebilir karşılığı
• Başarısızlık kriteri: "Neyi başaramadık, bu neyi gösterir?"
• Gözlenebilirlik: Sonuç hangi telemetriyle görülecek? (SOC/EDR gerçekliği - modül 12 ile doğal bağ)
• Zaman uyumu: ölçüm penceresi, vardiya/operasyon saatleri, deconfliction gerçekliği
• Confidence dili: Bu sonuca ne kadar güveniyoruz, hangi koşulda değişir?

İpucu: Ölçümü "not tutma" değil, deney tasarımı gibi kurun. Deneyin ölçümü bozuksa, en doğru teknik hareket bile yanlış sonuca bağlanabilir.

2) Tehdit modelleme: teknik liste değil, iş hedefi haritası

Tehdit modelleme "hangi saldırılar var?" sorusundan önce "neyi koruyoruz, neden değerli?" sorusunu cevaplar. Buradaki hedef, saldırganı romantize etmek değil; saldırı patikalarını iş etkisi ile hizalamaktır.

2.1. Crown jewels, veri sınıfları ve güven sınırları

• Crown jewels: kaybı en yüksek iş etkisini doğuracak varlıklar (veri/sistem/süreç).
• Veri sınıfı: gizlilik/bütünlük/erişilebilirlik beklentisi farklı olan veri kategorileri.
• Güven sınırı (trust boundary): güvenin/yetkinin değiştiği geçiş noktaları; bu sınırlar tehdit modellemede "dikkat" bölgeleridir. Microsoft'un tehdit modelleme rehberleri, güven sınırlarının veri akışları üzerinde özellikle işaretlenmesini ve bu sınırları geçen çağrıların kimlik doğrulama/yetkilendirme gereksinimlerinin düşünülmesini vurgular.

Örnek: Bir üretim tesisinde "üretim sürekliliği" kritik olabilir; ama modellemede asıl değer "hangi rol/akış üzerinden hangi güven sınırları aşılınca" bu kritikliğe erişildiğini görmektir. Senaryo, tek bir "hedef sistem" etrafında değil; yetki zinciri + veri akışı + güven sınırı etrafında yazılır.

2.2. Modelleme yaklaşımı seçimi: bağlama göre çerçeve

İleri seviyede tek bir "doğru" model yoktur; doğru bağlama doğru çerçeve vardır. Aynı problem için farklı çerçevelerin maliyeti/riski değişir:

• STRIDE: tehdit kategorilerini sistematik düşünmeye yardımcı olur; özellikle veri akış diyagramı ve güven sınırları üzerinden tehditleri sınıflandırmayı kolaylaştırır.
• PASTA: süreç odaklı, saldırı simülasyonu ve analiz hattını yapılandırmaya çalışan bir threat modeling yaklaşımıdır; "analizi adımlara bölerek" tutarlılık sağlar, ancak kurumdan veri/katılım/operasyonel zaman ister.
• OCTAVE: kurumun siber risk yönetimine yaklaşım sağlayan, varlık-tehdit-zafiyet ilişkisini organizasyon bağlamında ele alan bir yaklaşımdır.
• DREAD (ve benzeri skorlamalar): hızlı önceliklendirme sağlar; ancak sayısal skorun "kesinlik" hissi üretmesine dikkat etmek gerekir-skor, kanıt değildir; kanıtı özetleyen bir araçtır.

Burada kritik olan, çerçeve adını ezberlemek değil; şu üç soruya cevap vermektir:

1. Bu çerçeve, hangi tür belirsizliği yönetmeme yardım ediyor?
2. Bu çerçeve, kanıt zincirini daha mı güçlendiriyor yoksa "etiketleme" kolaylığı mı sağlıyor?
3. Operasyonel yük/noise/FP maliyeti ve paydaş koordinasyonu açısından en az yan etkiyle hangi seçimi yapabilirim?

2.3. Kontrol varsayımları: "kontrol var" bir iddiadır

Kurumlar çoğu zaman farkında olmadan "varsayımlar" taşır:

• "MFA varsa hesap ele geçirilmez."
• "Segmentasyon varsa yatay hareket olmaz."
• "Log var, görüyoruz."

Bu cümleler şartlı olabilir. İleri seviye yaklaşım, şartları görünür kılar ve ölçer:

• Kontrol hangi davranışı engellemeli/tespit etmeli?
• Bu davranışın hangi telemetride görünmesi beklenir?
• Görünmüyorsa boşluk nerede: log üretimi mi, toplama mı, korelasyon mu, triage mı?

Dikkat: "Kontrol var" demek, doğrulanmamış bir iddiadır. İleri seviye dil, kontrolün adını değil; kontrolün beklenen etkisini ve bu etkinin gözlenebilirliğini taşır.

2.4. Hipotez temelli ilerleme: karşı kanıtı arayan plan

Tehdit modelleme iyi bir senaryoda "tek doğru yol" üretmez; hipotezler üretir. Hipotez, doğrulanabilir bir iddiadır: "Şu güven sınırında şu kontrol boşluğu olabilir."

Hipotezi kanıt standardına çeviren akış:

• Gözlem: Ne gördük?
• Yorum: Bu ne anlama geliyor?
• Varsayım: Hangi şartlarda geçerli?
• Karşı kanıt: Bunu yanlışlayacak ne olabilir?
• Güven düzeyi: Neden bu seviyede; hangi koşulda değişir?

İpucu: "Doğru çıkarsa ne olur?" kadar "yanlış çıkarsa ne öğrenirim?" sorusunu da yazın. Bu, başarısızlık planlarını güçlendirir ve operasyonu teknik şovdan ölçüme çeker.

3) MITRE ATT&CK: ortak TTP dili, kapsama boşluğu ve zincirleme düşünme

MITRE ATT&CK, gerçek dünyadaki saldırgan davranışlarını "taktikler ve teknikler" olarak sınıflayan, savunma planlama ve ölçüm için kullanılan bir bilgi tabanıdır. İleri seviye kullanımı "hangi kutucuklar işaretli?" sorusundan çok "bu davranışlar nasıl bağlanıyor, hangi kontrol katmanı test ediliyor, kanıt nerede?" sorusuna dayanır.

3.1. Taktik-teknik-prosedür ayrımı

• Taktik: amaç kategorisi (neden?)
• Teknik: davranış sınıfı (ne tür davranış?)
• Prosedür: bu ortamda davranışın gözlenen tezahürü (kuruma özgü)

İleri seviyede ATT&CK, raporda "etiket süsü" değil; gözlem → sınıflandırma → kontrol/telemetri bağı kuran bir çeviri katmanıdır (modül 17'de raporlama diliyle birleşir).

3.2. Coverage gap ve "ısı haritası" mantığı

Haritalama iyi yapıldığında şu çıktıları üretir:

• "Bu davranış nerede görünmeliydi?"
• "Hangi kontrol devreye girmeliydi?"
• "Görünmediyse boşluk nerede: üretim mi, toplama mı, korelasyon mu?"

ATT&CK Navigator gibi araçlar, katman (layer) mantığıyla coverage/gap analizlerini görselleştirmeyi kolaylaştırır; aynı zamanda "hangi davranış ailesi hiç test edilmemiş?" sorusuna hızlı yanıt verir.

Dikkat: Navigator katman dosyaları, içerikleri itibarıyla hassas olabilecek veriler taşıyabilir; hassas dosyaları paylaşma/saklama politikaları ve çalışma biçimi senaryo tasarımının bir parçası olmalıdır.

3.3. Kanıt standardı: etiketlemek kolay, doğrulamak zor

ATT&CK etiketleri "kesinlik" hissi üretebilir. Bu yüzden disiplin şudur:

• Bir tekniği "uygulandı" diye yazmadan önce kanıtını ve alternatif açıklamaları düşün.
• Kesin değilse, etiketi "dayatmak" yerine gözlemi doğru kur:
• "Şu davranış gözlendi; şu teknik ailesiyle tutarlı olabilir; şu karşı kanıt görülürse değerlendirme değişir."

4) Objective-based senaryo kurgusu: iş riskini merkeze alan tasarım

Geleneksel testlerde "yetki kazanmak" başarı gibi algılanabilir; objective-based yaklaşımda yetki çoğu zaman araçtır, amaç değildir. Pusula, crown jewels ve iş etkisidir.

4.1. Senaryo ile "attack plan" arasındaki fark

• Senaryo: iş hedefi, tehdit hikâyesi, ölçüm, sınırlar, varsayımlar ve kanıt standardını taşıyan üst seviye kurgudur.
• Teknik icra planı: senaryonun nasıl uygulanacağına dair ayrıntıların alanıdır; bu eğitim formatında operasyonel "how-to" verilmez.

Bu ayrım, hem etik sınırı korur hem de raporlamada "neden/neyi ölçtük?" anlatısını güçlendirir.

4.2. Objective tanımı: ölçülebilirlik + sınır disiplini

İyi objective tanımı şu parçaları taşır:

• Hedef varlık/süreç: neyi test ediyoruz?
• Başarı kriteri: nasıl anlayacağız?
• Sınırlar: minimum zarar, veri minimizasyonu, kapsam çizgileri
• Ölçüm: hangi sinyallerle/telemetriyle ölçüyoruz?
• Belirsizlik: hangi varsayımlarda geçerli, hangi durumda revize?

Örnek: "Kritik verilere erişim mümkün mü?" fazla geniştir. Daha iyi bir kurgu, belirli bir iş rolü/iş akışı üzerinden "yetkisiz görüntüleme riskinin" ölçülmesine odaklanır; kanıt üretimi veri içeriğini taşımadan, yalnızca gerekli minimum göstergelerle yapılır (ör. erişimin gerçekleştiğini gösteren izlenebilir kayıtlar ve maskeleme ilkeleri).

4.3. Başarı kriteri: metrik + ispat + yorum

İleri seviyede başarı kriteri üç katmanda ayrıştırılır:

• İspat (kanıt): gözlemler ve izlenebilirlik
• Metrik: süre, kapsama, tespit/yanıt kalitesi gibi ölçüler (kuruma göre)
• Yorum: iş etkisi ve öncelik (varsayımlar ve karşı kanıtla birlikte)

Bu ayrım "ölçtüm" ile "yorumladım" çizgisini netleştirir; raporun denetlenebilirliğini artırır.

4.4. Senaryo paketi: denetlenebilirlik için asgari parçalar

• Objective + başarı/başarısızlık kriterleri
• Varsayımlar + değişim şartları
• Ölçüm planı + zaman penceresi
• İletişim/deconfliction düzeni (Modül 1'e uyum)
• Kanıt standardı, gizlilik ve veri minimizasyonu kuralları
• Durma koşulları (risk kapısı tetikleyicileri)
• Rollback/temiz bırakma planı

5) Alternatif patikalar, "assume breach" ve başarısızlık planları

Gerçek hayatta planlar nadiren kusursuz işler. Bu modülde ileri seviye bakış, "tek yol" yerine patika portföyü üretmek; belirsizliği panikle değil tasarımla yönetmektir.

5.1. Aynı hedef, farklı maliyetler: yöntem seçimi

Bir hedefe giden yolların maliyetleri farklıdır:

• Noise: savunmayı gereksiz alarm bombardımanına boğma riski
• Yan etki: iş sürekliliği ve veri teması riski
• Operasyonel yük: koordinasyon, iz yönetimi, raporlama karmaşıklığı
• OPSEC/etik sınır: ölçümü bozacak veya riski büyütecek davranışlar
• FP riski: yanlış pozitif sinyallerin "başarı" gibi yorumlanması

İleri seviye seçim çoğu zaman "en hızlı" değil, en az yan etkili ve en denetlenebilir yoldur; çünkü hedef yalnız sonuç değil, sonucu öğretilebilir bir çıktıya dönüştürmektir.

5.2. Başarısızlık planı: başarısızlık da veri üretmelidir

Başarısızlık planı "başaramazsak bitti" değildir; "başaramazsak hangi kontrolün güçlü çıktığını veya hangi varsayımın yanlış olduğunu kanıtlayacağız?" demektir:

• Varsayım kırılırsa senaryo nasıl revize edilir?
• Hangi noktada durulur ve kapsam yeniden netleştirilir?
• Ölçümü korumak için hangi alternatif objective/ölçüm devreye girer?
• Kanıt zinciri bozulmadan nasıl devam edilir?

Örnek: Bir patika erken "dur" gerektiriyorsa bu her zaman başarısızlık değildir; çoğu zaman RoE ve minimum zarar disiplininin doğru çalıştığını gösterir. Asıl çıktı, durma kararının kanıtı, gerekçesi ve ölçüm etkisidir.

5.3. "Assume breach": savunma dayanıklılığı için gerçekçi varsayım

"Assume breach", tek bir çevre kontrolüne aşırı güvenmek yerine katmanlı savunma düşüncesini besleyen bir ilkedir; "bazı kontrollerin aşılabileceğini varsayarak" iç katmanların tespit/yanıt kabiliyetini de ölçmeye zorlar. Bu, özellikle dış çevrenin beklenenden güçlü çıktığı veya zaman penceresinin daraldığı durumlarda, onaylı başlangıç noktaları ile senaryonun ölçüm hedefini korumaya yarar-ama her durumda RoE, paydaş onayı ve minimum zarar ilkeleri belirleyicidir.

Terimler Sözlüğü

Kendini Değerlendir

Bu Modülde Kazanılan Yetkinlikler

• Metodolojinin, belirsizlik yükseldiğinde kararları kanıt standardında tutan bir "süreç iskeleti" olduğunu; kalite kapılarıyla yanlış maliyeti büyümeden kesmeyi.
• Tehdit modellemenin, crown jewels ve güven sınırları üzerinden iş hedefi + kontrol varsayımı dilinde kurulması gerektiğini.
• STRIDE/PASTA/OCTAVE gibi çerçeveleri ezberlemekten çok, bağlama göre yöntem seçmenin trade-off'larını (noise/FP/operasyonel yük/etik) düşünmeyi.
• ATT&CK'nin TTP dilini kanıtla birleştirip coverage/gap analizine dönüştürmeyi; etiketi "kesinlik" yerine "izlenebilirlik" için kullanmayı.
• Objective-based senaryoda hedef-ölçüm-sınır-belirsizlik yönetimini tek pakette tutmayı; alternatif patika ve başarısızlık planlarıyla öğrenmeyi sürdürmeyi.

MODÜL 3 — Gelişmiş Recon ve OSINT

Modül Teması

Recon ve OSINT, ileri seviye Red Team & Pentest'te "daha çok veri toplama" yarışı değildir; doğru soruyu doğru kanıtla cevaplama disiplinidir. Modül 2'de kurulan senaryo, tehdit modelleme ve hedef odaklı yaklaşım; bu modülde pasif sinyaller üzerinden doğrulanmış, izlenebilir ve raporlanabilir bir saldırı yüzeyi envanterine dönüşür. Amaç, sonraki aşamalara (özellikle modül 4'teki scanning/enumeration kararlarına) gürültü üretmeden yön verebilen, belirsizliği doğru yöneten ve savunma iyileştirmesine bağlanabilen bir keşif çıktısı üretmektir.

1) Recon'u ileri seviyeye taşıyan zihniyet: "bulgu" değil, "kanıtlanmış iddia"

İleri seviye Recon, küçük bir araştırma projesi gibi yürür: hipotez kurarsın, veri toplarsın, karşı kanıt ararsın, ardından sonucunu gerekçeli bir confidence diliyle paketlersin. Burada kritik ayrım şudur:

• Kaynak: Sinyalin geldiği yer (kamu kaydı, arşiv, sertifika izi, ilan, teknik doküman vb.)
• İddia: "Şu varlık hedefe aittir / şu bağımlılık vardır / şu risk varsayımı zayıftır" gibi yorum
• Kanıt: İddiayı destekleyen ve denetlenebilir şekilde izlenebilen sinyaller bütünü

Örnek: "Müşteri portalı kritik" ise soru "neresi açık?" değildir. Daha olgun soru şudur: "Bu portalın kimlik akışı ve üçüncü taraf bağımlılıkları dışarıdan hangi kanıtlarla anlaşılabilir; hangi güven sınırları var; bu varsayımlar hangi riskleri doğuruyor?"

Dikkat: "Bir yerde okudum" ileri seviyede kanıt değildir. Eski/bağlamı kopmuş içeriklerle yanlış pozitif üretmek kolaydır; yanlış pozitif, sonraki modüllerde gereksiz aktivite, gereksiz görünürlük ve güven kaybı demektir.

2) Kalite kapıları: Recon'u gürültüye boğmadan yönetmek

İleri seviyede en büyük risk, Recon'un "sonsuz araştırma"ya dönmesidir. Bunu engelleyen şey, her adımda çalışan kalite kapılarıdır:

• İddia kapısı: "Tam olarak ne iddia ediyorum?"
• Kanıt kapısı: Aynı iddia en az iki bağımsız sinyalle destekleniyor mu?
• Karşı kanıt kapısı: Bu iddiayı yanlışlayacak alternatif açıklamalar neler, aradım mı?
• Tazelik kapısı: Sinyal güncel mi, bağlamı bugüne taşınıyor mu?
• Yan etki kapısı: Bu bilgiye ulaşmanın daha düşük riskli yolu var mı?
• Sınır kapısı: Scope / etik / OPSEC çizgisi korunuyor mu?

İpucu: "Zaman damgası" refleksini bir alışkanlık gibi uygula. Tarihi belirsiz sinyaller, en fazla düşük confidence ile taşınır; aksi halde rapor "kesin" konuşur ama dayanağı zayıf kalır.

3) Pasif-yarı pasif-aktif çizgisi: yöntem seçimi ve sınırlar

Recon/OSINT, çoğu zaman "pasif" diye düşünülür; oysa pratikte bir spektrum vardır. Bu spektrum, sadece teknik değil operasyonel bir karardır:

• Tam pasif: Arşivler, kamu kayıtları, indeksler, daha önce toplanmış veri setleri üzerinden çalışma. Hedef altyapıyla doğrudan etkileşim beklenmez.
• Yarı pasif: Normal internet trafiğine benzeyen, düşük yoğunluklu etkileşimler (ör. sıradan isim çözümleme davranışına benzeyen sorgular). Burada kritik kırılma noktası yoğunluk ve desendir: normalin dışına çıktıkça iz bırakma/noise artar.
• Aktif: Hedefle doğrudan etkileşimi artıran, savunma ekiplerince kolay etiketlenebilen faaliyetler. Bu tür adımların tradecraft'i modül 4'te strateji düzeyinde ele alınır; bu modülde amaç, aktif taramaya "ne zaman ve neden" karar verileceğini temellendirmektir.

Örnek: Bir teknolojiyi anlamak için iki yol düşün:

• Bir yol, hedefe dönük daha görünür teknik etkileşimler gerektirebilir (yüksek noise/OPSEC maliyeti).
• Diğer yol, geçmiş kayıtlar, kamu metaverileri veya bağımlılık izleri üzerinden çıkarım yapabilir (daha sessiz ama bazen daha az derin).

İleri seviye yaklaşım, "en hızlı"yı değil, en doğru maliyet/riski seçer.

İpucu: Yöntem seçimini bir "maliyet tablosu" gibi düşün: doğruluk kazancı ↔ operasyonel yük ↔ false positive riski ↔ noise/OPSEC maliyeti. En iyi seçenek, her hedefte aynı olmaz.

4) Dış saldırı yüzeyi envanteri: liste değil, ilişki grafiği

Bu modülde amaç, varlıkları "tek tek saymak" değil; varlıklar arasında ilişki kurmaktır. Çünkü modern kurumlar izole adalar değildir: birleşme/satın alma, taşeronlar, SaaS/PaaS ve kampanya varlıkları yüzeyi sürekli genişletir.

4.1. Yatay ve dikey keşif: sadece "alt alan adı" değil

Geleneksel yaklaşım dikey keşfe (ör. api.example.com, dev.example.com) takılı kalabilir. İleri seviyede buna ek olarak yatay keşif de gerekir:

• İştirak/bağlı şirket alan adları
• Satın alınmış şirketlerin kalıntı varlıkları
• Kampanya/mikrosite alan adları
• Departmanların BT onayı dışında kullandığı gölge BT izleri

Bu, "saldırı yüzeyi büyüdü" demekten daha önemlidir: savunmanın kontrol varsayımlarını test eder. Örneğin, merkez BT sıkıysa bile bir kampanya varlığı zayıf süreçle açılmış olabilir.

4.2. Varlık ilişkilendirme (asset attribution): iddiayı kanıtla bağlamak

Bir alan adı, IP veya servis izi bulmak tek başına bir şey ispatlamaz. İleri seviye disiplin, "bu hedefe ait" iddiasını kanıt zinciriyle kurar. Kullanılan kanıt sınıfları şunlardır (tamamı "tek başına değil", birlikte anlamlıdır):

• Ağ sahipliği/rota kümelenmesi (ASN gibi) göstergeleri: İpucu verir ama özellikle bulut/CDN çağında tek başına güçlü kanıt değildir.
• Sertifika kimliği (SSL/TLS): Sertifika alanları (ör. SAN) bazen bir servisin hangi alan adlarıyla ilişkilendiğine dair güçlü sinyal üretir; yine de bağlam/tazelik kontrolü gerekir.
• Kayıt/tescil ilişkileri (reverse WHOIS/DNS mantığı): Ortak tescil temaları veya yönetim izleri ilişkilendirmeyi güçlendirebilir; ancak gizlilik/proxy kullanımında zayıflayabilir.
• Uygulama parmak izi benzerliği (ör. favicon hash gibi): Tek başına "kesin" değil; tutarlılık göstergesi olarak değerlidir.

Dikkat: Bulut ve CDN dünyasında "IP adresine dayalı ilişkilendirme" yüksek hata oranına açıktır. Aynı IP bloğu farklı müşterilere dinamik tahsis edilebilir. İleri seviye uzman, IP'yi değil servisin kimliğini ve ilişkilendirme kanıtlarını tartar.

4.3. Pasif teknoloji izleri: port taraması olmadan çıkarım (kavramsal)

Bir kurumun teknoloji ekosistemi bazen dışarıdan "sistemle doğrudan etkileşmeden" de anlaşılabilir:

• İş ilanları, içerideki süreçler ve kullanılan platformlar için güçlü sinyal üretir; ama "%100 kesin" diye raporlamak yerine, ilanların tazeliği ve kapsamıyla confidence ayarlanmalıdır.
• Geliştirici topluluk izleri (ör. kod ekosistemi, teknik yazılar) teknoloji tercihleri hakkında ipucu verir; ancak kişisel veri minimizasyonu ve yanlış çıkarım riskine dikkat edilmelidir.

5) OSINT kaynakları: birincil-ikincil sinyal, tazelik ve çapraz doğrulama

OSINT'te sorun çoğu zaman "kaynak yokluğu" değil, fazla kaynaktır. Bu yüzden iki refleks sürekli çalışır:

1. — Birincil sinyali aramak: resmî metinler, kamu kayıtları, mekanik izler (sertifika şeffaflığı kayıtları gibi).
2. — İkincil sinyali "ipucu" olarak görmek: blog derlemeleri, haber tekrarları, yorumlar. Bunlar tek başına bulgu sayılmaz; doğrulama ister.

5.1. Arşiv ve tarihsel izler: bugün görünmeyeni dün gösteren pencere

Arşiv kaynakları, kurumların "silsek de iz kalır" gerçeğini yansıtır. Burada ileri seviye değer; güncel açık aramak değil, tarihsel yüzey üzerinden süreç zafiyetlerini anlamaktır.

Örnek: Bir arşiv kaydında görülen eski bir sayfa/rehber, bugün yayında olmayabilir; ancak kurumun geçmişte hangi varsayımlarla hareket ettiğini ve hangi kontrolleri ihmal etmiş olabileceğini gösterebilir. Bu, savunma için "kontrol sürekliliği" dersidir.

6) Sızıntı verisi ve kimlik izi analizi: "girmek için değil, riski kanıtlamak için"

Sızıntı verileri saldırganlar için fırsat olabilir; profesyonel ve izinli değerlendirmede ise amaç kimlik ve erişim riskini modellemektir. İleri seviyede üç şey birlikte ele alınır:

6.1. Veri kalitesi: gerçek mi, güncel mi, bağlamı ne?

• Tazelik: Eski bir sızıntıdaki parolanın bugün geçerli olma olasılığı düşebilir; ama parola politikası ve kullanıcı alışkanlıkları hakkında sinyal üretebilir.
• Yapı: Parola verisi düz metin mi, hash mi? Hash ise tuzlama (salt) var mı? Bu, kurumun geçmiş kriptografik hijyenine dair çıkarım üretir; fakat "kırılamaz" gibi kesin sonuçlar yazılmaz.
• Karşı kanıt: Veri seti manipüle edilmiş olabilir; örneklem tutarlılığı, format ve kaynak soyu sorgulanır.

6.2. Kimlik izi (identity pattern): standartlar ve risk varsayımları

Kurumların kullanıcı adı/e-posta standartları çoğu zaman tahmin edilebilir kalıplara sahiptir. Bu, profesyonel raporda "saldırıya nasıl çevrilir" diye anlatılmaz; bunun yerine şu şekilde değerlendirilir:

• Kurumsal kimlik standardı dışarıdan kolay çıkarım üretiyor mu?
• Bu standardın görünürlüğü, kimlik doğrulama kontrolleri ve kullanıcı eğitimleriyle dengelenmiş mi?
• Aynı kullanıcıların farklı ekosistemlerde tekrar eden alışkanlıkları, hangi risk varsayımlarını zayıflatıyor?

Örnek: <ad.soyad@example.com> gibi bir standardın dışarıdan görünür olması tek başına "zafiyet" değildir; risk, bunu dengeleyen kontroller (MFA zorunluluğu, anomali tespiti, parola hijyeni) zayıfsa artar. Bu bağ, modül 12'deki tespit perspektifine de doğal köprü kurar.

Dikkat: Sızıntı verisiyle ilgili her ifade, etik ve yasal sınırlar içinde kalmalı; kişisel veri minimizasyonu yapılmalı ve gereksiz detay rapora taşınmamalıdır.

7) Tedarik zinciri ve üçüncü taraf bağımlılıkları: dolaylı risk vektörleri

Modern kurumun saldırı yüzeyi, kendi alan adının dışına taşar. Bu modülde hedef; "hangi sağlayıcıyı kullanıyorlar?" listesinden çok, hangi akışlar üçüncü tarafa dayanıyor ve hangi varsayımlar riskli? sorusunu kanıt zinciriyle cevaplamaktır.

7.1. Bağımlılık haritalama: işaretler ve yorum disiplini

• E-posta altyapısı, isim sunucuları ve web üzerindeki üçüncü taraf kaynak çağrıları; kurumun tedarik zinciri bağımlılıklarına dair ipuçları üretebilir.
• Bu ipuçları "kanıt" değildir; iddiayı güçlendirmek için farklı sınıftan sinyallerle doğrulanır.

Örnek: Bir bağımlılık iddiasını "yüksek confidence" seviyesine taşımak için, tek bir işaret yerine (örn. bir yönlendirme izi) bunu destekleyen başka sinyallerin de tutarlı olması beklenir.

7.2. Neden önemli: kontrol sınırı nerede bitiyor?

Üçüncü taraf bağımlılıklar, kontrolün bir kısmını kurum dışına taşır. Bu durum:

• olay müdahalesi/iletişim süreçlerini,
• kimlik yönetimi varsayımlarını,
• izleme/telemetri erişimini doğrudan etkiler.

Bu nedenle Recon çıktısı, savunmaya "hangi bağımlılıklar için hangi iz/telemetri şart?" diye geri besleme vermelidir.

8) Bulut ayak izi OSINT: tenant izleri ve pasif misconfiguration sinyalleri (kavramsal)

Bulut sağlayıcıları IP bloklarını yayımlar; fakat hangi IP'nin hangi müşteriye ait olduğunu doğrudan söylemez. İleri seviye yaklaşım, aktif tarama yapmadan tenant izlerini anlamaya çalışır ve yalnızca anlamlı sinyaller üzerinde doğrulama kurar.

8.1. İsimlendirme ve doğrulama: "varlık var mı?" sorusuna temkinli yaklaşım

Bulut depolama ve servis uçları bazen kurumsal isimlendirme kalıpları taşır. Burada kritik nokta şudur: isim kalıbı tek başına kanıt değildir; ancak bazı yanıt sınıfları "varlık mevcut olabilir" sinyali verebilir.

Örnek: Yetkisiz bir isteğin "varlık yok" ile "varlık var ama yetki yok" arasında farklı yanıt ürettiği senaryolarda, bu ayrım salt teknik bir ayrıntı değil; varlık keşfi ile yetki analizi arasındaki sınırın nerede başladığını gösterir. Yetki analizi ve operasyonel takip, kapsam gereği daha sonraki modüllerin karar alanıdır.

8.2. Federasyon ve doğrulama kayıtları: kimlik yönetimi nerede?

Bazı kurumlar bulut kimlik/federasyon doğrulaması için DNS üzerinde doğrulama kayıtları bırakabilir. Bu tür izler, kimlik yönetiminin buluta taşınmış olabileceğine dair birincil sınıfa yakın sinyal üretir; yine de tazelik ve bağlam doğrulamasıyla rapora girer.

8.3. Sertifika şeffaflığı (CT) kayıtları: erken sinyal, erken hata riski

Sertifikalar çoğu zaman servisler tam görünür hale gelmeden önce alınabilir. CT kayıtları bu nedenle "erken uyarı" sinyali üretebilir; ama erken sinyal, aynı zamanda erken yanlış pozitif riskini de taşır. İleri seviye yaklaşım:

• sinyali tek başına "bulgu" yapmaz,
• başka sinyallerle tutarlılık arar,
• confidence'ı buna göre ayarlar.

İpucu: Bulut izlerinde en sessiz yaklaşım, "geniş arama" yerine "bulunan sinyali doğrulama"dır. Böylece gürültü (noise) artmaz, iş yükü kontrol edilir ve rapor denetlenebilir kalır.

9) Yanıltma, gürültü ve veri zehirleme: OSINT'in "karşı taraf gerçekliği"

OSINT alanı temiz değildir: eski altyapı kalıntıları, kopyalanmış içerikler, sahte profiller ve kasıtlı yanlış bilgi; Recon'u kolayca yanlış yöne sürükleyebilir. Bu yüzden iki refleks hayati:

• Alternatif açıklama üret: "Bu sinyal başka ne anlama gelebilir?"
• Karşı kanıt ara: "Hangi işaret bunu yanlışlar?"

Örnek: Bir sertifika izi "servis var" gibi görünebilir; ancak bu, test ortamı kalıntısı, devre dışı bir uç nokta veya üçüncü taraf otomasyonunun yan ürünü de olabilir. Bu alternatifler elenmeden "kritik yüzey" diye raporlamak, raporu zayıflatır.

Dikkat: OSINT'te en pahalı hata yalnızca yanlış negatif değildir; yanlış pozitif de operasyonel yükü şişirir, gereksiz risk yaratır ve güven aşındırır.

10) Çıktıyı sonraki aşamalara bağlamak: modül 4'e temiz girdi, modül 12'ye telemetri, modül 17'ye rapor dili

Bu modülün "başarılı" çıktısı, şu üç şeye aynı anda hizmet eder:

1. — Modül 4 için karar filtresi: Hangi hipotezler aktif doğrulamaya değer, hangileri daha fazla pasif kanıt istiyor?
2. — Savunma için iyileştirme hattı: Hangi varsayımlar zayıf ve hangi telemetri/izlenebilirlik eksik?
3. — Rapor standardı: Gözlem-yorum ayrımı, izlenebilirlik, tazelik ve confidence gerekçesi.

10.1. Kanıt paketi şablonu: basit ama sert bir standart

Her bulgu, aşağıdaki bileşenlerle taşınır:

• Gözlem: ham sinyal + zaman bağlamı
• Yorum: risk varsayımıyla ilişkilendirilmiş çıkarım
• Varsayımlar: hangi şartlarda geçerli?
• Karşı kanıt: fikri ne değiştirir?
• Confidence: neden bu seviyede?

10.2. Durma ve yeniden çerçeveleme: olgunluğun işareti

Recon'un durması gerektiği anlar vardır:

• Objective ile bağ kopuyorsa
• Yeni veri yalnız gürültü üretiyorsa
• Etik/OPSEC riski artıyorsa
• Varsayımlar kırıldıysa ve senaryo yeniden kurulmalıysa (modül 2'deki yaklaşımı hatırla)

Terimler Sözlüğü

Kendini Değerlendir

Bu Modülde Kazanılan Yetkinlikler

• Recon/OSINT'in değeri "çoklukta" değil; kanıt zinciri, karşı kanıt ve confidence gerekçesi ile üretilen doğrulukta yatar.
• Saldırı yüzeyi, yalnızca ana alan adının etrafında değil; yatay ilişkilerde (iştirak/satın alma/kampanya/gölge BT) büyür ve bu büyüme savunma varsayımlarını doğrudan etkiler.
• Pasif-yarı pasif-aktif çizgisi teknik bir sınıflama değil; noise/FP/OPSEC/etik maliyeti olan bir yöntem seçimi problemidir.
• Sızıntı verisi ve kimlik izleri, izinli ve savunma odaklı yaklaşımda "giriş" için değil; risk modellemek ve kontrol yeterliliğini tartmak için değerlendirilir.
• Üçüncü taraf ve bulut bağımlılıkları, kontrol sınırını değiştirir; Recon çıktısı bunu savunma telemetrisine ve rapor diline bağlayabildiği ölçüde değerlidir.

MODÜL 4 — Scanning ve Enumeration Stratejisi

>

Modül Teması

Modül 3'te pasif sinyallerle kurduğun saldırı yüzeyi haritası ve hipotezler, bu modülde kontrollü, ölçülebilir ve denetlenebilir doğrulama faaliyetlerine dönüşür. İleri seviyede scanning/enumeration; bir aracı çalıştırıp çıktı beklemek değil, ağ trafiğini, servis yanıtlarını ve protokol davranışlarını yorumlayarak hedef ortamın "dijital parmak izini" güvenilirlik (confidence) diliyle ortaya koyma disiplinidir. Buradaki başarı ölçütü, kapsamı rastgele büyütmek değil; doğru kapsamı doğru yöntemle seçmek, yanlış pozitifleri erken ayıklamak, belirsizliği dürüstçe yönetmek ve çıktıyı modül 5-7'deki kararları besleyecek şekilde kanıt standardında paketlemektir.

1) Scanning ve enumeration'ı "keşif" değil "kanıt üretimi" olarak kurgulamak

İleri seviyede scanning/enumeration, "ne bulursam kâr" yaklaşımıyla ilerlemez. Önce soruyu netleştirir, sonra soruyu cevaplayacak kadar veri toplar, ardından bu veriyi kanıt zinciri içinde taşır. Burada kilit ayrım şudur: bulgu dediğin şey, yalnızca bir işaret değil; o işaretin nasıl doğrulandığı, hangi koşulda yanlışlanabileceği ve hangi risk varsayımlarına bağlandığıdır.

1.1. Objective → hipotez → test sorusu dönüşümü

Modül 3'te üretilen her güçlü hipotez, bu modülde "test sorusu"na çevrilir. İleri seviye test sorusu şu parçaları doğal biçimde içerir:

• Sinyal: Ne arıyorum (ne görürsem "var" derim)?
• İddia: Bu sinyal neyi gösteriyor olabilir?
• Karşı kanıt: Neyi görürsem iddiam zayıflar / çöker?
• Maliyet: Bu doğrulamanın noise/OPSEC ve operasyonel yük maliyeti nedir?
• Durma koşulu: Hangi eşikte "yeter" deyip ilerleyeceğim veya yeniden çerçeveleyeceğim?

Örnek: Modül 3'te "dış yüzeyde kimlik akışının bir aracı katmana dayandığına dair izler var" hipotezi çıktıysa, hedef "hangi ürün?" merakı değil; "kimlik akışı hangi güven sınırına dayanıyor, bu sınır hangi savunma varsayımlarını gerektiriyor ve elimdeki kanıt bunu ne ölçüde destekliyor?" sorusudur.

1.2. Kapsamı matris gibi yönetmek: genişleme/daralma uçlarına düşmemek

İleri seviyede iki yaygın hata:

• Kör genişletme: Her yere bakmak → noise artar, değerlendirme yükü patlar, kanıt kalitesi düşer.
• Aşırı daraltma: Sadece bildiğine bakmak → kritik yüzey kaçabilir.

Bunu yönetmek için kapsamı "liste" gibi değil, öncelik kuyruğu gibi düşünmek işe yarar. Kuyruğa giriş ölçütleri görünür olmalı:

• Varlık sınıfı (alan adları, uygulama uçları, ağ segmentleri, aracı katmanlar, üçüncü taraf bağımlılık izleri)
• Yöntem sınıfı (düşük yan etkili geniş görünüm ↔ hedefli derin doğrulama)
• Risk maliyeti (OPSEC/noise, minimum zarar)
• Beklenen değer (objective'e katkı)

İpucu: "Kapsam kayması (scope creep)" genelde meraktan değil, kanıt kalitesinin zayıflamasından doğar. Yeni bir alt yüzeye geçmeden önce "bu veri, hangi kararı değiştirecek?" sorusunu kendine sordur.

1.3. Kalite kapıları ve durma koşulları

Olgun scanning/enumeration, "daha çok denemek" değil doğru anda durabilmek demektir:

• Objective ile bağ koptuysa dur; modül 2'deki senaryo/tehdit modeliyle yeniden hizalan.
• Yeni veri yalnız gürültü üretiyorsa dur; yöntemi veya kapsamı değiştir.
• OPSEC/etik/minimum zarar sınırı geriliyorsa dur; daha düşük yan etkili yaklaşıma dön.
• İddia güçlü bir karşı kanıtla zayıfladıysa ısrar etme; hipotezi güncelle.

2) Yöntem seçimi: aynı sorunun birden fazla cevabı vardır; maliyetini bilmeden seçemezsin

İleri seviyede yöntem seçimi bir "araç seçimi" değil, bir tradecraft kararıdır: doğruluk kazancı ↔ görünürlük/noise ↔ false positive maliyeti ↔ operasyonel yük ↔ OPSEC/etik sınır

2.1. "Sessiz tarama yoktur": OPSEC gerçekliği

Her paket bir iz bırakabilir; "sessizlik" iddiası çoğu zaman gerçeği yansıtmaz. Daha doğru çerçeve şudur: belirli bir faaliyetin normal trafiğe benzerliği ve savunma sistemlerinin korelasyon kabiliyeti.

• Yoğunluk ve desen, tespit riskini çoğu zaman "hangi teknik"ten daha fazla etkiler.
• Tek bir kaynaktan sürekli, düzenli ve yüksek hacimli davranış; korelasyon için davetiyedir.
• Dağıtık yaklaşım bazı durumlarda görünürlüğü azaltabilir; ancak aynı zamanda yönetişim/izlenebilirlik ve "minimum zarar" denetimini zorlaştırabilir.

Dikkat: "İzinli çalışıyoruz" ifadesi, "sınırsız görünürlükle hareket edebiliriz" anlamına gelmez. İzinli olmak çerçeveyi kurar; kaliteyi sağlayan şey, OPSEC, minimum zarar ve ölçülülük prensipleridir.

2.2. Geniş görünüm mü, derin doğrulama mı?

• Geniş görünüm (coverage): yüzeyi hızlı çerçeveler; ama false positive ve gürültü riski artabilir.
• Derin doğrulama (depth): doğruluğu artırır; ama maliyet (zaman/OPSEC/iş yükü) büyür, ayrıca dar kalma riski doğurabilir.

Olgun yaklaşım bunu bir "ya/ya da" değil, aşamalı doğrulama olarak kurar:

1. — Düşük yan etkili geniş görünüm
2. — Kalite kapılarıyla eleme (yanlış pozitifleri ayıklama)
3. — Kalan hipotezlerde hedefli derin doğrulama

Bu, herkese aynı tetkiki istemek yerine, bulgu ihtimaline göre hedefli doğrulama yapan doktor yaklaşımına benzer.

İpucu: "Yan etki bütçesi" belirlemek kararları otomatikleştirir: kabul edilebilir alarm riski, kabul edilebilir operasyonel yük, kabul edilebilir tekrar sayısı. Bütçeyi aşınca yöntem değişir veya durulur.

2.3. Karmaşık ağ gerçekliği: firewall/IPS/VLAN ve "sonuç çıkmıyor" yanılgısı

Gerçek ortamlarda segmentasyon ve güvenlik cihazları nedeniyle scanning sonuçları "eksik" görünebilir. Buradaki ileri seviye refleks:

• "Yanıt yok" → "yok" demek değildir.
• "Gördüğüm IP" → "hedefin gerçek bileşeni" demek olmayabilir (özellikle bulut/CDN/ara katman etkisi).
• "Tek ölçüm" → "kesin hüküm" değildir: zaman uyumu, farklı koşullarda tutarlılık ve karşı kanıt arayışı gerekir.

Örnek: 198.51.100.0/24 bloğunda görülen bir uç nokta, hedefin gerçek uygulaması değil; bir aracı katmanın parçası olabilir. Bu durumda iddia "hedefin uygulaması" ise, o iddiayı güçlendiren/çürüten bağımsız işaretler aranır; aksi halde confidence düşürülür.

3) Servis tabanlı enumeration: Port "kapı"dır, içeride kim var?

Port taraması yalnız "kapı açık mı?" sorusunu cevaplar. Enumeration ise "kapının arkasında ne var, hangi kimlik ve yetki varsayımlarıyla çalışıyor, hangi bağımlılıklara dayanıyor?" sorusunu netleştirir. Buradaki stratejik akış şudur: Servis → Kimlik → Yetki

3.1. Banner'ın ötesi: davranışsal sinyaller ve yanıltıcı parmak izleri

Bir servis kendini belirli bir yazılım/sürüm olarak tanıtabilir; ama bu bilgi değiştirilebilir, yanıltıcı olabilir. Bu yüzden ileri seviyede:

• Banner gibi sinyaller gözlem olarak kaydedilir.
• Servisin protokol davranışı, hata biçimi, yanıt tutarlılığı gibi unsurlar daha güvenilir davranışsal işaretler üretebilir.
• Aynı iddiayı farklı sınıftan kanıtla desteklemeden "yüksek confidence" yazılmaz.

Örnek: Bir web servisi kendini belirli bir ürün ailesi gibi tanıtıyor görünürken, hata sayfalarının yapısı ve yanıt tutarlılığı başka bir aileye işaret edebilir. Bu durumda "etiketleme" yerine, iki olasılığı da taşıyan ve hangi kanıtın hangisini güçlendirdiğini açıklayan bir paket hazırlanır.

3.2. Kimlik ve yetki ayrımı: "giriş var mı?" ile "neye izin var?" aynı şey değildir

Enumeration sırasında en sık yapılan hata, kimliği (identity) yetkiyle (authorization) karıştırmaktır. İleri seviyede şunlar ayrıştırılır:

• Kimlik doğrulama akışı hangi güven sınırında gerçekleşiyor?
• Yetkilendirme hangi katmanda, hangi varsayımla uygulanıyor?
• Bağımlılıklar (harici kimlik sağlayıcı, ara servisler, API katmanı) hangi riskleri taşıyor?

Bu ayrım, modül 5 (initial access) ve modül 6 (web/API) için "saldırı patikası" modellemesinde kritik girdi üretir; ancak burada amaç "nasıl yapılır"a gitmek değil, risk ve doğrulama standartlarını inşa etmektir.

3.3. Minimum zarar ve "Safe Checks" zihniyeti

Bazı servisler-özellikle eski/özel amaçlı sistemler-beklenmedik şekilde kırılgan olabilir. İleri seviye yaklaşım:

• Doğrulama yaparken sistemi bozma olasılığını ayrıca risk olarak ele alır.
• "Güvenli kontroller" prensibiyle, agresif doğrulamaları sınırlı ve ölçülü tasarlar.

Dikkat: Üretim benzeri yüzeylerde "doğru bulgu" kadar "doğru süreç" de önemlidir. Bulguyu doğrularken hizmet kesintisi doğurmak, testin güvenilirliğini ve kurumsal güveni zedeler.

4) Otomatik tarama çıktısını doğrulanabilir bulguya dönüştürmek

Otomatik tarayıcılar vazgeçilmezdir; ama çıktıları çoğu zaman birer iddiadır. İleri seviye profesyonellik, bu iddiayı rapora taşımadan önce kanıt standardına yükseltmeyi gerektirir.

4.1. False positive / false negative dengesi

• False positive (yanlış pozitif), erken dönemde en pahalı hatadır: yanlış yöne yatırım, gereksiz risk/noise, paydaş güveni kaybı.
• False negative (kaçırma), uzun vadede risk taşır: görünmeyen yüzeyler, eksik saldırı patikası.

Bu yüzden standart refleksler:

• Otomatik çıktı → manuel akıl süzgeci
• Tek sinyal → bağımsız doğrulama
• Benzerlik → alternatif açıklama üretimi

İpucu: "Tek sınıftan kanıtla hüküm verme" alışkanlığı, yanlış pozitifi büyütür. Aynı iddiayı farklı türde kanıtlarla (farklı kaynak tipi) destekleyemiyorsan iddiayı küçült; confidence'ı düşür; hangi kanıtla yükseleceğini açıkça yaz.

4.2. "Sürüm eski" bulgu değildir: risk odaklı kanıt

Bir bileşenin eski sürümde olması, tek başına yayınlanabilir bulgu kalitesine yetmez. Yayınlanabilir bulgu:

• iddianın kapsamını açıklar (hangi bileşen, hangi bağlam),
• etki varsayımını belirtir (hangi şartlarda risk),
• doğrulama yaklaşımını ve belirsizliği yönetir,
• savunma iyileştirmesine bağlanır (hangi kontrol/telemetri, hangi sertleştirme ilkesi).

4.3. Otomasyonun göremediği yer: bağlamsal ve iş mantığı riskleri

İmzaya dayalı otomasyon, bağlam gerektiren hataları kaçırabilir. İleri seviye enumeration çıktısı, yalnız "bilinen imza"ya değil; akış, yetki ayrımı ve güven sınırlarının tutarlılığına bakarak risk modellemesini derinleştirir. Bu, modül 6'daki ileri web/API değerlendirmesine "kör noktalar" listesi üretir.

5) Dizin servisleri ve yönetim protokolleri: görünmeyen yüzeyleri kaçırmamak

Kurumsal ağlarda değerli bilgiler çoğu zaman "dosya"dan çok dizin servisleri ve yönetim protokolleri etrafında toplanır. Bu modülde odak, "sızmak" değil; yanlış yapılandırmaların hangi tür bilgi sızıntısı riskleri doğurabileceğini görmek ve bunu kanıt standardında rapora dönüştürmektir (modül 10'a sağlam zemin).

• Bazı ortamlarda, kimlik doğrulama olmadan veya düşük yetkili bağlamda, sınırlı dizin/varlık metaverisi açığa çıkabilir.
• Yönetim protokolleri yanlış yapılandırıldığında, topolojiye dair çıkarımlar yapılmasını kolaylaştıran veriler üretebilir.
• Bu yüzeyler, "standart web bakışıyla" kolay kaçabilir; çünkü protokole özel davranış ve izler taşır.

Örnek: Bir kurumda yanlış yapılandırılmış bir yönetim arayüzü, ağ bileşenleri arasındaki ilişkilere dair ipuçları veriyorsa, bulgu "şu protokol var" diye değil; "bu yapılandırma, şu tür topoloji bilgisinin açığa çıkmasına yol açabilir; şu kontrol varsayımlarını zayıflatır; tespit/telemetri şuralarda güçlendirilmeli" biçiminde paketlenir.

Dikkat: Bu sınıf yüzeylerde doğrulama yaklaşımı özellikle ölçülü olmalıdır. "Bilgi toplamak" ile "operasyonel riski büyütmek" arasındaki çizgi ince olabilir; minimum zarar ilkesi burada daha da kritik hale gelir.

6) Kanıt paketi ve saldırı yüzeyi grafiği: veriyi karara dönüştürmek

Bu modülün çıktısı, "ham tarama raporu" değildir. Çıktı, modül 5-7'deki zincirleme düşünmeyi ve modül 12-17'deki tespit/raporlama hattını besleyecek şekilde saldırı yüzeyi grafiği üretir:

• Düğümler: varlıklar, servisler, kimlik akışları, aracı katmanlar, kritik bağımlılıklar
• Kenarlar: güven sınırları, bağımlılık ilişkileri, erişim/akış varsayımları
• Ağırlık/etiket: confidence seviyesi, belirsizlik notu, karşı kanıt koşulları
• Savunma bağlantısı: hangi telemetri/log bu varsayımı doğrular; hangi sertleştirme/segmentasyon ilkesi riski düşürür (modül 12'ye köprü)

Bu yapı, "bulgu listesi"ni karar destek çıktısına çevirir.

Terimler Sözlüğü

Kendini Değerlendir

Bu Modülde Kazanılan Yetkinlikler

• Scanning/enumeration'ı "keşif" değil, kanıt üreten doğrulama hattı olarak tasarlamayı
• Kapsamı "öncelik kuyruğu" ve kalite kapılarıyla yöneterek scope creep riskini azaltmayı
• Yöntem seçimini OPSEC/noise, operasyonel yük ve doğruluk kazancı arasında trade-off olarak yönetmeyi
• Servis kimliğini "etiketlemek" yerine davranışsal işaretler ve bağımsız doğrulamayla confidence dili kurmayı
• Otomatik tarama çıktısını, belirsizlik ve karşı kanıt dahil yayınlanabilir bulgu standardına yükseltmeyi
• Çıktıyı saldırı yüzeyi grafiğiyle modül 5-7'ye, telemetri ve raporlama bağlantılarıyla modül 12-17'ye taşımayı

MODÜL 5 — Initial Access Tradecraft (Yüksek Seviye)

Modül Teması

Modül 4'te çıkardığın saldırı yüzeyi grafiği ve kanıt paketleri, burada "ilk temas" kararlarına dönüşür: Hangi giriş hipotezi hangi maliyetle test edilmeli, hangi sinyal yalnızca olasılık düzeyinde kalmalı, hangisi kanıt standardına yükseltilebilir? Bu modülde initial access'i "bir yerden içeri girmek" anlatısından çıkarıp; kimlik/erişim mimarisindeki güven sınırlarını ölçen, minimum zarar ve izinli kapsam içinde doğrulanan, belirsizliği dürüstçe yöneten ve çıktısı modül 6-7 (web/API ve zincirleme tasarım), modül 12 (tespit perspektifi) ve modül 17 (raporlama) hattına denetlenebilir biçimde bağlanan bir disiplin olarak ele alacağız.

1) Initial access'in ileri anlamı: "vektör" değil, "varsayım testi"

Temel seviyede initial access çoğu zaman "hangi açık var?" sorusuyla ilerler. İleri seviyede ise asıl soru şudur: Hangi savunma varsayımı zayıf olabilir ve bunu ölçülebilir sinyallerle nasıl doğrularım?

Bu yüzden iyi bir initial access planı üç parçayı birlikte taşır:

• İddia: "Şu giriş yolu, şu güven sınırı varsayımına dayanıyor."
• Kanıt: "Bu iddiayı destekleyen/çürüten bağımsız işaretler neler?"
• Sınırlar: "Bu iddiayı test etmenin noise/OPSEC/etik/minimum zarar maliyeti nedir?"

1.1. Modül 4'ten Modül 5'e: test sorusunu "giriş hipotezi"ne çevirmek

Modül 4'teki çıktılar (envanter, yüzey haritası, sinyaller) burada hipotez cümlelerine dönüşür. İyi bir hipotez:

• Hangi varlık/akış üzerinden konuştuğunu net söyler (kimlik akışı, uzak erişim, üçüncü taraf entegrasyon izi, public-facing servis vb.).
• "Ne görürsem fikrim değişir?" sorusunu içerir (karşı kanıt).
• Teknik işaretleri, operasyonel maliyetle birlikte değerlendirir (üretime yakınlık, alarm riski, iş kesintisi riski, koordinasyon ihtiyacı).

Örnek: example.com altında tek bir portal sinyalinden "ürün X var" diye kesinlemek yerine, "kimlik akışındaki güven sınırı şu noktada daralıyor olabilir; bunu doğrulamak için şu kanıt sınıflarına ihtiyaç var; şu karşı kanıt çıkarsa iddia zayıflar; testin minimum zarar profili budur" şeklinde yazarsın.

1.2. Başarı kriteri: "erişim" değil, "doğru karar dosyası"

İleri seviyede başarıyı yalnız "erişim elde etmek" ile ölçmek yanıltıcıdır. Daha güçlü kriterler:

• Yanlış pozitif üretmeden, bir güven sınırı varsayımını kanıt standardında doğruladın mı?
• Belirsizliği saklamadan, "şu şartlarda fikrim değişir" diyebildin mi?
• Çıktı savunma tarafında telemetri + kontrol aksiyonuna dönüşebilir mi (modül 12 ve 17'ye taşınabilir mi)?

Dikkat: İzinli kapsam "her şeyi dene" serbestliği değildir. Initial access'te küçük bir yanlış seçim (yanlış zaman, yanlış yüzey, yanlış yoğunluk) hem üretim riskini artırır hem de ölçümün güvenilirliğini bozar. Minimum zarar ilkesi burada sadece etik değil, aynı zamanda ölçüm kalitesi meselesidir.

2) İlk erişim vektörlerini sınıflandırmak: "ne"den önce "neden"

Bu modül bir tekniği adım adım uygulatmaz. Bunun yerine, initial access vektörlerini sınıflandırır ve her sınıf için karar mantığını, sınırları ve doğrulama yaklaşımını görünür kılar.

2.1. Public-facing uygulama / servis yüzeyi: "zafiyet sinyali" ≠ "giriş yolu"

Modül 4'te görülen sürüm işaretleri, konfigürasyon izleri veya zafiyet şüpheleri doğrudan "giriş vektörü" değildir. İleri seviye disiplin:

• Sinyali önce iddia düzeyinde tutar,
• Alternatif açıklamaları listeler (ara katman, reverse proxy/WAF davranışı, yanlış eşleşen sürüm izi, yanıltıcı banner vb.),
• Kanıt kalitesi yükselmeden riskli doğrulama kararlarına koşmaz.

Bu yaklaşım, modül 6'daki web/API değerlendirmesine "temiz girdi" sağlar; modül 7'de zincir kurarken de yanlış patikaya yatırım riskini düşürür.

2.2. Kimlik tabanlı giriş: kimlik ≠ yetki

Modern kurumsal dünyada çevre duvarları kadar kimlik katmanı da "sınır"dır. Bu nedenle initial access çoğu zaman kimlik akışları etrafında şekillenir. Kritik ayrım şudur:

• Kimlik doğrulama (identity) başka, yetkilendirme (authorization) başkadır.
• "Giriş oldu" sinyali otomatik olarak "yüksek etki" demek değildir; etki, yetki kapsamı ve güven bölgeleri ile ölçülür.

Doğrulama yaklaşımında güçlü olan, tek bir işarete yaslanmamak ve farklı kanıt sınıflarıyla tutarlılık aramaktır: oturum politikası izleri, hata davranışları, adım yükseltme (step-up) noktaları, istisnalar, cihaz/konum koşulları, telemetri tutarlılığı.

Örnek: Bir uzaktan erişim yüzeyinde ek doğrulama katmanları görülüyorsa "güvenli" diye kapanış yapmak yerine, "step-up hangi koşulda devreye giriyor, hangi istisnalar var, bunu bağımsız olarak hangi log/telemetri doğrular?" soruları kanıt paketine girer.

2.3. İnsan etkileşimi ve istemci tarafı riskleri: "kullanıcı hatası" yerine "kontrol derinliği"

İnsan etkileşimi içeren patikalarda ileri seviye rapor, odağı "kullanıcı tıkladı" cümlesine sıkıştırmaz. Asıl soru şudur: Kullanıcı hatası varsayımı gerçekleştiğinde, bunu telafi edecek teknik kontroller zinciri çalıştı mı?

Burada değerlendirme; e-posta/mesajlaşma geçitleri, tarayıcı/OS kontrolleri, uç nokta koruması, web proxy, içerik izolasyonu, kimlik politikaları gibi katmanların "derinlik" kalitesine bağlanır. (Bu bakış modül 12 ve modül 17'de özellikle değerlidir.)

2.4. Konfigürasyon ve dış uzak servisler: "gölge BT" gerçeğini hesaba katmak

Kurumsal yüzey sadece "bilinen" sistemlerden ibaret değildir. Özellikle gölge BT (envantere girmemiş uzaktan erişimler, unutulmuş yönetim yüzeyleri, geçici test ortamları) initial access riskini büyütür. Burada tradecraft'in görevi:

• Önce kapsam ve sahiplik çizgisini netleştirmek,
• Sonra sinyali kanıt standardına taşımak (envanter/CMDB tutarlılığı, DNS/sertifika/akış izleri, log korelasyonu vb.).

2.5. Üçüncü taraf / tedarik zinciri izi: kontrol alanı ve koordinasyon

Kimlik sağlayıcılar, yönetilen hizmetler, CDN'ler, e-posta altyapısı, dış destek firmaları gibi bağımlılıklar initial access kararını doğrudan etkiler. Burada kritik olan:

• Kapsam netliği: Hangi varlık, hangi kontrol alanı?
• Deconfliction: Aynı anda yapılan testlerin çakışmasını önleme, yanlış alarm üretmeme
• Veri minimizasyonu: Toplanan kanıtın sahipliği, saklama sınırları ve mahremiyeti

İpucu: Üçüncü taraf izi gördüğünde ilk refleks "derine gitmek" değil; "bu iz hangi kontrol alanına ait, hangi paydaşla koordine edilmeli, hangi kanıt eşiği 'yeterli' sayılır?" sorularını netleştirmektir. Bu, hem etik/hukuki uyumu hem de karar kalitesini yükseltir.

3) "Kimlik yeni sınır" gerçekliği: MFA, oturum ve legacy akışlar

Çok faktörlü doğrulama (MFA) güvenlik maliyetini artırır; fakat "aşılmaz duvar" değildir. Risk; çoğu zaman mimarideki istisnalar, legacy akışlar ve oturum yaşam döngüsü üzerinden şekillenir.

3.1. MFA ekosisteminde tipik kırılganlık sınıfları (how-to olmadan)

İleri seviye analiz, "MFA var/yok" ikiliğine sıkışmaz; şu tür mimari boşlukları sorgular:

• Legacy authentication akışları: Modern koşullu erişim/MFA politikalarının tam uygulanmadığı eski protokoller veya temel kimlik doğrulama modelleri, kurumsal politikaya rağmen bir "arka kapı hissi" yaratabilir. Bu nedenle modern kimlik mimarileri, mümkünse legacy akışları azaltmayı veya modern doğrulamaya taşımayı hedefler.
• MFA istem yorgunluğu (push fatigue) gibi sosyal-teknik riskler: Sürekli doğrulama istemleri, kullanıcı davranışını zayıflatabilir; savunma tarafında sayı eşleştirme, oran sınırlama, anomali tespiti ve kullanıcının doğrulama bağlamını görmesi gibi kontroller önem kazanır.
• Araya giren kimlik avı (AiTM) benzeri proxy tabanlı senaryolar: Bazı modern oltalama türleri, kullanıcıdan yalnız parola değil, oturum açma sürecinden çıkan oturum belirteçlerini ele geçirip "oturum ele geçirme" riskini yükseltebilir. Bu nedenle "parola değişti → risk bitti" varsayımı her zaman geçerli değildir; oturum ve token hijyeni kritik olur.

3.2. Oturum ve token yaşam döngüsü: "erişim"in etkisi buradan okunur

Bir kimlik sinyali gördüğünde, ileri seviye soru şudur: Bu sinyal ne kadar süre, hangi kapsamla ve hangi koşullarda geçerli?

• TTL / ömür: Oturumların ne kadar yaşadığı, yeniden doğrulama gereksinimi, riskli oturumların iptali
• Scope / yetki kapsamı: Erişim belirtecinin hangi kaynaklara, hangi işlemlere izin verdiği
• Koşullu erişim: Cihaz durumu, konum, risk skoru, uygulama türü gibi bağlam sinyalleri

Burada amaç "daha derine inmek" değil; güven sınırı varsayımlarını kanıtlayacak telemetriyi ve iyileştirme kaldıraçlarını netleştirmektir (modül 12'ye köprü).

İpucu: "Giriş sinyali" gördüğünde hemen "etki büyük" yazma. Önce şu ayrımı yap: kimlik doğrulama sinyali mi görüyorum, yoksa yetkilendirme sınırı mı aşılıyor? Bu iki şey aynı cümlede birleştiğinde raporlar genellikle yanlış kesinlik üretir.

4) İstemci tarafı kontrol gerçekliği: MOTW ve "konteyner" davranışları

İstemci tarafı risklerde savunma dünyası, dosyanın "ne olduğu" kadar "nereden geldiğini" de önemser. Bu bağlamda Mark of the Web (MOTW) gibi işaretler, bazı uygulamalarda daha kısıtlayıcı güvenlik davranışlarını tetikler; örneğin internet kökenli dosyalarda makro gibi riskli yeteneklerin varsayılan olarak kısıtlanması, kurumların saldırı yüzeyini azaltmayı hedeflediği önemli bir eksendir.

İleri seviye tradecraft açısından kritik nokta şudur:

• "Kontrol var" demek için kontrolün tüm zincirde tutarlı çalıştığını göstermelisin (geçit → dosya işaretleme → uygulama davranışı → uç nokta tespiti).
• Bazı "konteyner"/paket formatları ve taşıma yöntemleri, organizasyondan organizasyona değişen tarama/politika boşlukları üretebilir. Bu, bir "bypass reçetesi" değil; savunma açısından standardizasyon ve politika sertleştirme ihtiyacıdır.

Örnek: Bir organizasyonda e-posta geçidi belirli ek türlerini içeriğine kadar inceleyemiyor veya riskli dosya işaretlerinin zincirde kaybolduğu gözleniyorsa, raporda "kullanıcı tıkladı" cümlesi yerine "geçit-istemci-uç nokta kontrol zincirinde şu halkada doğrulanabilir bir zayıflık var" ifadesi değer üretir.

5) Kontrollü doğrulama: zarar vermeden "kanıt" üretmek

Red Team/pentest bağlamında "başarı" zarar vermek değildir; zarar verebileceğini, güvenli ve denetlenebilir şekilde kanıtlamaktır. Bu yüzden ileri seviye doğrulama tasarımı:

• Gerçek zararlı davranışı taklit etmek yerine, zararsız ve tek amaçlı sinyallerle (ör. yalnızca "çalıştı" bilgisini üreten, veri taşımayan) ölçüm yapmayı tercih eder,
• Üretim etkisini sınırlayacak fail-safe prensiplerine dayanır (zaman penceresi, etki yarıçapı, paydaş koordinasyonu).

Buradaki kritik zihniyet değişimi: "daha güçlü teknik" değil, daha güçlü kanıt standardı.

5.1. "Antivirüs engelledi" bir başarısızlık mı?

Hayır. Bu, çoğu durumda savunmanın çalıştığına dair değerli bir bulgudur: hangi katman engelledi, ne kadar sürede tespit edildi, hangi telemetri üretildi? İleri seviye raporlar bu tür sonuçları "boşa gitti" diye silmez; aksine ölçüm kalitesinin parçası yapar (modül 12 ve 17'ye doğrudan bağlanır).

5.2. Kanıt paketi şablonu: "nasıl bildin?"

Her kritik bulgu için şu ayrım net olmalıdır:

• Gözlem: Ne görüldü? (ham sinyal, zaman bağlamı, kaynak notu)
• Yorum: Bu sinyal ne anlama gelebilir? (risk ve güven sınırı ilişkisi)
• Varsayım: Hangi koşullarda geçerli?
• Karşı kanıt: Neyi görürsen yorum zayıflar/değişir?
• Confidence: Neden bu seviyede? Hangi boşluklar var?
• İzlenebilirlik: Hangi log/telemetri ile doğrulanır? (modül 12)

İpucu: "İddiayı büyütme" ile "kanıtı büyütme" farklıdır. Kanıt büyümüyorsa iddiayı büyütme; confidence'ı düşür, hangi ek kanıtın gerektiğini yaz ve doğru zaman/zeminde geri dön.

6) Go/No-Go kapıları: ne zaman ilerlenir, ne zaman durulur?

Initial access'te yöntem seçimi, modül 4'teki tarama kararlarının daha hassas bir versiyonudur; çünkü yanlış kararın bedeli daha ağır olabilir: yanlış alarm, kullanıcı etkisi, üretim riski, güven kaybı.

İleri seviyede her hipotez, en az şu üç kapıdan geçmeden "ilerleme" kararı almamalıdır:

1. — Kapsam kapısı: İzinli scope ve RoE ile tam uyum var mı? (modül 1'e bağ)
2. — Kanıt kapısı: İddia, en az iki bağımsız işaretle destekleniyor mu? Karşı kanıt listesi var mı?
3. — Risk kapısı: Minimum zarar profili kabul edilebilir mi? Üretim etkisi ve operasyonel yük bütçesi tanımlı mı?

Örnek: 203.0.113.0/24 içinde üretime yakın bir yüzeyde belirsiz bir sinyal varsa, "hemen doğrula" refleksi yerine; bakım penceresi, paydaş koordinasyonu ve telemetri hazırlığı gibi şartlar sağlanmadan ilerlememek ileri seviye olgunluktur.

6.1. False positive'in initial access'e özel maliyeti

False positive burada yalnız zaman kaybı değildir:

• Savunma ekiplerini yanlış yöne sürükleyebilir,
• Paydaş güvenini zedeler,
• Modül 7'de yanlış zincire yatırım yaptırır.

Bu yüzden initial access'te çoğu zaman profesyonel olan, iddiayı büyütmek değil iddianın sınırlarını doğru çizmek ve kanıt standardını yükseltmektir.

6.2. OPSEC ve görünürlük: test, sonucu bozmasın

Bazı test türleri savunma sistemlerini "olağanüstü moda" sokabilir: erişimler kapanır, kullanıcı davranışı değişir, tespit sistemleri farklı eşiklerle çalışmaya başlar. İleri seviye yaklaşım:

• Görünürlük maliyetini "kabul edilebilir etki" bütçesine bağlar,
• Sonucun "normal koşullarda mı, test koşullarında mı" geçerli olduğunu kanıt paketinde ayırır.

7) Savunma iyileştirmesine bağlamak: modül 12 ve 17 hattı

Initial access çıktısı savunma tarafında şu üç soruya cevap vermelidir:

• Hangi güven sınırı varsayımı zayıf görünüyor?
• Bunu doğrulamak/izlemek için hangi telemetri nerede güçlendirilmeli? (modül 12)
• Önceliklendirme nasıl yapılmalı; hangi hipotezler modül 6-7'ye taşınmalı?

Bu bağ kurulmadığında initial access, "kırmızı takım başarısı" hikâyesi olarak kalır. Bağ kurulduğunda ise kurum için kalıcı güvenlik çıktısına dönüşür: politika sertleştirme, izleme kapsamı, tespit kuralı, kontrol boşluğu kapatma, risk kabul gerekçesi.

Terimler Sözlüğü

Kendini Değerlendir

Bu Modülde Kazanılan Yetkinlikler

• Initial access'i "teknik deneme" değil, varsayım testi + karar dosyası üretimi olarak kurgulamayı
• Modül 4 bulgularını hipoteze çevirirken karşı kanıt, bağımsız doğrulama ve confidence dili kullanmayı
• Kapsam-kanıt-risk üçlüsüyle go/no-go kapıları kurarak ölçülü ilerlemeyi
• Kimlik sinyali ile etki iddiasını ayırıp, yetkilendirme sınırları üzerinden değerlendirmeyi
• False positive maliyetini azaltmak için "iddiayı büyütme" yerine kanıtı büyütme refleksini
• Çıktıyı telemetri ve kontrol önerileriyle modül 12-17 iyileştirme hattına bağlamayı

MODÜL 6 — İleri Web Uygulama ve API Pentest

Modül Teması

Bu modül, web ve API güvenliğini "tek tek zafiyet yakalama" refleksinden çıkarıp yetki sınırları, akış tutarlılığı ve zincir kurulabilir tasarım kusurları üzerinden okumayı öğretir. İleri seviyede hedef; bir sinyali aceleyle "yüksek etki" diye etiketlemek değil, kanıt standardında doğrulamak, belirsizliği doğru yönetmek ve bulguyu iş etkisine bağlayacak şekilde paketlemektir. Bu bakış, Modül 7'deki zincirleme saldırı tasarımının temelini; Modül 12'deki tespit perspektifinin ise "ne görünür, ne görünmeli?" köprüsünü oluşturur.

1) Yetkilendirme kırılmaları: "Kimsin?" değil "Ne yapabilirsin?"

Web/API değerlendirmelerinde en pahalı kusurların önemli bir kısmı, kodun "teknik hatası"ndan çok tasarım kusuru kaynaklı Broken Access Control sınıfında toplanır; OWASP Top 10'da bu risk alanı uzun süredir en üst sıralarda yer alır.

1.1. Nesne düzeyi erişim kontrolü: IDOR/BOLA mantığı (object boundary)

API dünyasında klasik "IDOR" refleksi, daha genel bir dille BOLA (Broken Object Level Authorization) olarak düşünülür. OWASP API Security Top 10'da bu konu en kritik risklerden biri olarak ayrı ele alınır. İleri seviye bakışta mesele "ID'nin tahmin edilebilirliği" değil; sunucu tarafında sahiplik/rol/tenant gibi kuralların tutarlı uygulanıp uygulanmadığıdır.

• İddia kurma (dar ve test edilebilir): "Bu nesneye erişim, bağlama göre tutarlı bir policy enforcement ile korunmuyor olabilir."
• Kanıt üretimi (minimum veri): İddiayı; farklı rol/bağlamlarda aynı kuralın aynı sonucu üretip üretmediğini gösteren minimal kanıtlarla güçlendirirsiniz. Kanıt, "ne gördüm?" kısmını (gözlem) "ne anlama geliyor?" kısmından (yorum) ayırır.
• Karşı kanıt arama: Tutarlı "access denied" davranışı, policy enforcement log izleri, farklı istemci türlerinde (web/mobil) aynı kararın üretilmesi gibi sinyaller iddianızı zayıflatabilir.
• UUID yanılsaması: Nesne kimlikleri tahmin edilemez formatta olsa bile, eğer kimlik başka bir akıştan sızıyor veya yanlış bağlamda yeniden kullanılabiliyorsa nesne düzeyi yetkilendirme yine kırılabilir. "UUID var → erişim kontrolü var" sonucu çıkarılmaz.

Örnek: example.org üzerinde "sipariş detay" akışında bir tutarsızlık sezdiğinizde, "veri sızıntısı" iddiasını büyütmek yerine; farklı rol bağlamlarında aynı nesneye ilişkin kararın tutarlılığını gösteren, kişisel veri minimizasyonu gözeten bir kanıt paketi üretirsiniz (gözlem: davranış; yorum: kural tasarımı zayıf olabilir; karşı kanıt: policy enforcement tutarlıysa iddia daralır).

1.2 İşlem/fonksiyon düzeyi yetkilendirme: BFLA (action boundary)

Bazı sistemlerde "nesneye erişim" doğruyken, aksiyon sınırları yanlış çizilir: onay/iptal/iade/rol atama gibi işlemler doğru rol + doğru durum (state) koşullarına bağlanmamış olabilir.

İleri seviye doğrulama yaklaşımı şunları arar:

• State machine tutarlılığı: Aksiyonun hangi ön koşullarla mümkün olduğu, hangi sırayla ilerlediği, hangi adımda hangi yetki kontrolünün devreye girdiği
• Belirsizliği yönetme: "Bazen oluyor" gibi sinyallerde; cache, replica, eventual consistency veya yarış durumlarını alternatif açıklama olarak düşünmek
• İzlenebilirlik: İsteğin zamanı, bağlamı, rol bilgisi ve karar noktalarının kanıt zincirine bağlanması

Dikkat: Yetkilendirme bulgularında en büyük hata, tek gözlemi doğrudan "yüksek etki" ilan etmektir. İleri seviye bulgu; kanıt + etki argümanı + tekrar üretilebilir doğrulama mantığı ister. Etkiyi ölçemiyorsanız iddiayı daraltın ve confidence seviyesini gerekçeli biçimde düşürün.

1.3. Erişim kontrolü matrisi: dikey/yatay düşünme

Yetkilendirme testini "endpoint listesi" gibi değil, bir yetki matrisi gibi düşünmek kaliteyi yükseltir:

• Dikey erişim: Düşük yetkili rolün yüksek yetkili fonksiyonlara erişimi
• Yatay erişim: Aynı seviyedeki roller arasında izolasyonun bozulması (kullanıcılar arası sınır)

İpucu: Yetkilendirmeyi bir "yetki grafı" olarak modelleyin: Rol → kaynak → aksiyon ilişkisini çizdiğinizde, hangi kontrolün nerede eksik olabileceği görünür hale gelir. Bu kas, Modül 10'daki kimlik/graf düşüncesiyle aynıdır.

1.4. Kalite kapıları: false positive maliyeti ve minimum zarar

Yetkilendirme hatalarında false positive maliyeti yüksektir: ürün ekibini yanlış iyileştirmeye iter, güven kaybettirir. Bu yüzden:

• Tek seferlik sapmaları (geçici tutarsızlıklar) "kanıt" diye şişirmeyin
• Kanıt paketine "fikrim hangi koşulda değişir?" bölümünü ekleyin
• Veri minimizasyonu uygulayın: kanıt, gereksiz ifşa yaratmamalı

2) SSRF / XXE / Deserialization: "tek bug" değil "güven sınırı kırılması"

Bu risk sınıflarının ortak paydası, uygulamanın girdi, erişim veya işleme sırasında yanlış bir "güven varsayımı" yapmasıdır. İleri seviye raporlama dili "tekniği yaptım" değil; hangi varsayım kırılıyor, iş etkisi ne, hangi kontrol önlemeli, hangi telemetri yakalamalı şeklinde olmalıdır (Modül 12'ye köprü).

2.1. SSRF: uygulamanın "kendi adına istek atması" risk modeli

SSRF değerlendirmesinde odak:

• Uygulamanın erişebildiği ağ bölgeleri (iç servisler, yönetim arayüzleri, bulut servislerine ait link-local uçlar vb.)
• Egress kontrolü ve allowlist/proxy politikaları
• "İstek gerçekten uygulama adına mı çıktı?" sorusuna yanıt veren izlenebilir kanıt (uygulama/ağ telemetrisiyle ilişkilendirilebilir)

Bazı SSRF türlerinde uygulama yanıtı doğrudan görünmeyebilir (kör/blind davranışlar). Bu durumda ileri yaklaşım, "sonuç gördüm" demek yerine, sistemin dış dünyayla kurduğu etkileşimi zararsız ve izinli doğrulama sinyalleriyle kanıt standardına taşımayı hedefler (RoE ve OPSEC sınırları içinde).

2.2. XXE: XML işleme zincirinde "girdi güveni" yanılgısı

XXE riski, modern JSON ağırlıklı sistemlerde daha az görünse de; legacy entegrasyonlar, belge işleme, eski servis protokolleri gibi alanlarda hâlâ çıkabilir. İleri seviye yaklaşım:

• XML işleme nerede devrede (yükleme, entegrasyon, dönüşüm hattı)?
• Parser konfigürasyonu ve dış kaynak çözümleme politikası nasıl?
• Doğrulama, saldırı adımı üretmeden; davranışı ölçen ve telemetriye bağlanabilen kanıtlarla yapılır.

2.3. Deserialization: "veri nesneye dönüşürken sınır kaybı"

Güvensiz deserialization'da risk, güvenilmeyen verinin bütünlük/bağlam doğrulaması olmadan "çalışan nesne" formuna taşınmasıyla doğar. İleri seviye doğrulama ve raporlama:

• Veri hangi katmanda nesneye dönüşüyor?
• İmzalama/bağlam doğrulaması var mı?
• Üretimde yan etki riski nedeniyle kanıt üretimi non-destructive olmalı; amaç "zarar vermeden doğrulama"dır.

İpucu: SSRF/XXE/deserialization bulgularını yazarken "RCE olabilir" gibi genellemeler yerine, varsayım → kontrol boşluğu → ölçülebilir kanıt → olası iş etkisi hattını kurun. Bu, savunma ekiplerinin doğru kontrolü doğru yere koymasını sağlar.

3) API güvenliği: authn/authz, abuse senaryoları ve ölçülebilir kanıt

API'lerde en pahalı problemler çoğu zaman klasik enjeksiyonlardan değil; iş mantığı abuse, yetkilendirme kırılması ve tasarımsal yüzey özelliklerinden gelir.

3.1. Authn ≠ Authz: "token var" demek "yetkili" demek değildir

Kimlik doğrulama başarılı olabilir; ancak yetkilendirme yanlış tasarlanmışsa risk büyür. İleri seviye doğrulamada:

• Token'ın varlığından çok bağlamına bakılır: scope, audience, tenant, client türü
• "İstek kabul edildi" gözlemi, otomatik olarak "policy'ye uygun" yorumu haline getirilmez
• Farklı rol/tenant/istemci bağlamlarında tutarlılık ve karşı kanıt aranır

3.2. REST / GraphQL: yüzey farkı, riskin şekli

Burada amaç "şu kötü" ezberi değil; yüzeyin risk profilini okumaktır.

• REST: Endpoint sınırları belirgindir; risk çoğunlukla kaynak/aksiyon düzeyinde yetkilendirme ve iş akışı tutarlılığında yoğunlaşır.
• GraphQL: Tek uçtan çoklu veri seçimi; risk çoğunlukla aşırı veri ifşası, alan bazlı yetki tutarsızlığı ve sorgu karmaşıklığının doğurduğu kaynak tüketimi senaryolarında belirginleşir (tasarıma bağlı).
• Keşif özellikleri: Bazı şema keşif mekanizmaları doğru yönetilmezse saldırı yüzeyini görünür kılabilir; bu "doğrudan exploit" değil ama savunma için önemli bir maruziyettir.

3.3. Mass Assignment ve model bağlama riskleri (tasarım kusuru)

Bazı sistemlerde gelen alanlar "nesne modeline" kontrolsüz bağlanabilir. İleri seviye analizde odak:

• Hangi alanlar kullanıcı girdisi olmalı, hangileri sunucu tarafından türetilmeli?
• Yetki/rol gibi alanlar istemci girdisiyle taşınabiliyor mu?
• Kanıt, gereksiz zarar vermeden "model bağlama kontrolü eksik" iddiasını doğrular.

3.4. Abuse senaryoları: oran/akış/iş kuralı kırılması

İleri API değerlendirmesi "tek istek"ten çok akış okur:

• Rate limiting / kota politikaları, iş hedefiyle uyumlu mu?
• Idempotency, tekrar deneme ve hata durumları iş etkisini artırıyor mu?
• HTTP seviyesinde "1 istek" görünen ama uygulama seviyesinde "N operasyon"a dönüşebilen desenlere karşı kontrol noktaları doğru mu?

İpucu: Abuse analizinde başarı, yüksek gürültüyle "bir şeyler oldu" demek değil; düşük gürültüyle iş kuralı zayıflığını kanıt standardında gösterebilmektir. OPSEC ve minimum zarar bütçesini en başta tanımlayın.

4) OAuth / OIDC yanlış konfigürasyonları: protokol ezberi değil güven varsayımları

OAuth/OIDC doğru tasarlanırsa güçlü bir kimlik çerçevesi sunar; yanlış tasarlanırsa kimlik ve yetki çizgilerini bulanıklaştırır. İleri seviye yaklaşım, tipik yanlışları kategori olarak tanır ve doğrulama mantığını kanıt zincirine bağlar.

4.1. Sık görülen yanlış konfigürasyon kategorileri

• Audience / scope modelleme hataları: Token "kime" ve "neye" yetkili?
• Redirect URI ve client policy tutarsızlıkları: Güven sınırı nerede başlar/nerede biter?
• Token yaşam döngüsü: süre, yenileme, iptal, oturum yönetimi
• Çoklu tenant / çoklu ortam sızıntıları: dev/stage/prod arası politika bulaşması

4.2. State parametresi ve oturum bağlama: belirsizliği azaltan kontrol

OAuth/OIDC akışlarında "state" gibi mekanizmalar, istemci isteğiyle yanıtı ilişkilendirerek bazı saldırı sınıflarına karşı koruma sağlar; pratikte özellikle CSRF riskini azaltmak için yaygın bir kontrol olarak kullanılır. İleri seviye raporlama dili:

• Gözlem: Hangi bağlamda hangi token/claim davranışı görüldü?
• Yorum: Hangi yanlış varsayıma işaret ediyor olabilir?
• Karşı kanıt: Enforcement logları ve farklı istemcilerde tutarlılık var mı?
• Confidence: Hangi veri eksik, hangi koşulda fikrim değişir?

5) Thick client ve modern istemciler: saldırı yüzeyi okuryazarlığı (zincir düşüncesiyle)

Modern sistemlerde istemci yalnız tarayıcı değildir: mobil uygulamalar, masaüstü istemciler, embedded webview, background sync ve offline cache yüzeyi genişletir.

İleri seviye bakış:

• İstemci tarafını "güven sınırı" olarak değil, kanıt kaynağı olarak konumlandırır
• Yetkilendirme kararının nerede verildiğini netleştirir (sunucu mu, istemci mi?)
• Yerel depolama alanlarında token/secret gibi varlıkların tutulması riskini, iş etkisi ve savunma kontrolüyle birlikte değerlendirir
• Trafik görünürlüğünü engelleyen mekanizmalar (ör. certificate pinning) söz konusuysa, bunun yönetimi RoE, test ortamı ve minimum zarar ilkeleriyle ele alınır; amaç "bypass tarifi" değil, görünürlük gereksinimi ve savunma iyileştirmesi çıkarmaktır.

Örnek: example.net'in mobil istemcisinde iki farklı akışın aynı backend kaynağına farklı güven varsayımlarıyla eriştiği şüphesinde; iddiayı büyütmeden, akış tutarlılığı ve rol/tenant bağlamını kanıt zincirine bağlayıp zincirlenebilir risk olarak paketlemek.

Terimler Sözlüğü

Kendini Değerlendir

Bu Modülde Kazanılan Yetkinlikler

• Web/API'de en kritik alanın yetkilendirme sınırları olduğunu ve etkiyi bu sınırlar üzerinden okuma disiplinini kurdun.
• IDOR/BOLA ve BFLA sınıflarında, sinyali gözlem-yorum-karşı kanıt zinciriyle kanıt standardına taşımayı öğrendin.
• SSRF/XXE/deserialization risklerini "how-to"ya girmeden, güven varsayımı ve ölçülebilir doğrulama perspektifiyle değerlendirdin.
• API'lerde authn/authz ayrımı, REST/GraphQL yüzey farkları, abuse senaryoları ve rate limiting tasarımının kritik noktalarını minimum zarar çerçevesinde ele aldın.
• OAuth/OIDC yanlış konfigürasyonlarını "protokol ezberi" yerine yetki modeli + token bağlamı + belirsizlik yönetimi ile raporlayabilir hale geldin.
• Thick client ve modern istemci yüzeyinde bulguları, zincir düşüncesine uygun biçimde ve savunma iyileştirmesine bağlayarak paketlemeyi pekiştirdin.

MODÜL 7 — Exploitation Stratejisi & Zincirleme Saldırı Tasarımı

Modül Teması

Bu modül, "exploitation"ı tek bir teknik hamle olarak değil; karar kalitesi, iş sürekliliği, operasyonel sınırlar (RoE), kanıt standardı ve zincir tasarımı üzerinden ele alır. Modül 6'da web/API kaynaklı bulguların nasıl üretildiğini konuşmuştuk; burada odak, bu bulguları kanıta dayalı bir patikaya dönüştürmek, her adımın yan etkisini ve tespit maliyetini ölçmek ve sonucu Modül 17'deki raporlama standardına uygun şekilde iş etkisine bağlamaktır. Bir sonraki adım olan Modül 8'de (post-exploitation) "erişimden sonra" neyin nasıl değerlendirileceğini ele alacağız; bu modül ise o kapıya girmeden önce, kapıyı hangi şartlarda ve hangi kanıtla açtığını olgunlaştırır.

1) Exploitation kararını stratejiye çevirmek: go/no-go mantığı

İleri seviyede exploitation, "zafiyet var → deneriz" refleksi değildir. Canlı (production) ortamlarda doğru yaklaşım, bir tetiği çekmeden önce merminin nereye gideceğini ve namlunun ısınıp ısınmayacağını hesaplamaktır: aynı teknik hamle, bir ortamda masum bir doğrulama iken başka bir ortamda kesinti riski yaratabilir.

1.1. Karar matrisi: güvenilirlik, yan etki, geri dönüş, hedef önceliği

Bir sinyali değerlendirmeden "ilerlemek" yerine, kararını şu eksenlerde kurarsın:

• Doğrulama kalitesi: Sinyal gerçekten neye dayanıyor? "Sürüm/baner" gibi tekil ipuçları yerine davranışsal kanıt aramak, yanlış yönlenmeyi azaltır.
• Güvenilirlik (stability/reliability): Aynı koşullarda tekrarlanabilir mi, yoksa zamanlama/bağlam değişince kırılıyor mu?
• Yan etki (blast radius): Servisi bozma, veri tutarsızlığı, alarm fırtınası, operasyonel ekiplerle çakışma riski var mı?
• Geri dönüş (rollback): Beklenmeyen bir etki olursa zarar büyümeden durdurma ve sistemi stabilize etme planın var mı?
• Hedef önceliği: Bu adım, senaryonun iş hedefiyle gerçekten bağlantılı mı; yoksa sadece "yapılabiliyor" diye mi cazip?

Dikkat: "İzin var" demek, "kesinti riski kabul edilebilir" demek değildir. İleri seviye disiplin, teknik merakı iş sürekliliğinin altına koyar; aksi, bulguyu güçlendirmek yerine itibarsızlaştırır.

1.2. Exploit olgunluğu: tek atımlık mı, tekrarlanabilir mi?

Bazı yöntemler "bir kere" çalışsa bile operasyonel kumar olabilir: koşullar değişince çalışmayan, çalışmadığında hizmeti kararsızlaştıran veya tek denemede ortamı bozup tekrar denemeyi anlamsızlaştıran yaklaşımlar, özellikle kritik sistemlerde tercih edilmez. Burada olgunluk ölçütü, "etkiyi maksimize etmek" değil; en az gürültüyle en güçlü kanıtı üretmektir.

Örnek: Kamuya mal olmuş bazı kritik zafiyetlerde, teorik olarak çok yüksek etki mümkün olsa bile, pratikte "deneme"nin servis kesintisi riski taşıdığı bilinir. İleri yaklaşım, bu riski büyütmek yerine zafiyetin varlığını zararsız doğrulama sinyalleri ve laboratuvar/benzer ortam kanıtı ile raporlamaya odaklanır.

1.3. Karar ağaçları: karmaşık sistemlerde kontrolü kaybetmemek

İleri ortamlar tek tip değildir: farklı node'lar, farklı konfigürasyonlar, trafik yükü, cache davranışları... Burada "tek adımlı karar" yetmez; karar ağacı yaklaşımı gerekir.

• Karmaşık sistemlerde dallı karar ağaçları, confidence'ı artırır; çünkü her düğüm, "bunu görürsem şuna inanırım" mantığını zorlar.
• Basit senaryolarda lineer akış operasyonel yükü azaltır; ancak esneklik düşer.

İpucu: Karar ağacında her düğüme şu soruyu ekle: "Beni yanlış çıkaracak karşı kanıt nedir?" Bu küçük alışkanlık, FP'yi dramatik biçimde azaltır.

2) Zincirleme saldırı tasarımı: küçük kırılmadan iş etkisine giden patika

Zincirleme düşünme, tek bir "büyük açık" bulamadığında yapılan teselli değildir; çoğu gerçek olayda etki, birden fazla küçük zayıflığın doğru sırayla birleşmesiyle doğar. İleri seviye tasarımın hedefi, zinciri "havalı" yapmak değil; kanıtlanabilir, kapsam içinde, minimum zararla ve iş hedefiyle ilişkili kurmaktır.

2.1. Zincirin anatomisi: misconfig → kimlik → yetki → hedef varlık

Zincirler çoğunlukla şu kontrol düzlemleri arasında akar:

• Konfigürasyon düzlemi: yanlış güven varsayımları, eksik kısıtlar
• Kimlik düzlemi: oturum/rol/tenant bağlamı, token sınırları
• Yetki düzlemi: erişim kontrolü matrisi, ayrıcalık sınırları
• Varlık düzlemi: kritik süreç ve "crown jewel" varlıklar

Bu ayrım "teori" değildir; doğrudan şu soruyu netleştirir: "Bu geçişi mümkün kılan güven varsayımı neydi ve bunu engellemesi gereken kontrol hangisiydi?"

Örnek: example.net üzerinde "düşük risk" görünen bir yapılandırma kusuru, tek başına sadece bilgi sızıntısı gibi görünebilir. Ancak bu sızıntı kimlik bağlamına (ör. yanlış kapsamlandırılmış bir erişim anahtarı) temas ediyorsa, zincirin ikinci halkası doğar. Ardından yetki sınırlarının zayıf olduğu bir noktaya bağlandığında, "küçük" bir bulgu, iş hedefiyle ilişkili bir patikaya dönüşebilir. Bu dönüşümün değerini belirleyen şey, iddia değil kanıt zinciridir.

2.2. Zinciri kurarken kalite kapıları: kanıt büyüdükçe iddia büyür

Zincirlemede en tehlikeli hata, ilk sinyali görünce "sonuca varmak"tır. Olgun yaklaşım tersidir:

• Önce dar iddia (ne biliyorum?)
• Sonra bağımsız doğrulama (bunu başka ne destekliyor?)
• Sonra etki argümanı (bu neden önemli?)
• Her adımda karşı kanıt (hangi bulgu çıkarsa bu halka düşer?)

Burada "kaynak-iddia-kanıt" ayrımı kritik bir temizlik sağlar:

• Kaynak: log, telemetri, uygulama davranışı, konfigürasyon gözlemi
• İddia: bunun ne anlama geldiği (hipotez)
• Kanıt: hipotezi destekleyen ve tekrarlanabilir biçimde gösterilebilen doğrulama

İpucu: Zinciri tasarlarken "Bu bağlantıyı hangi değişken kırar?" sorusunu sor. Konfigürasyon değişikliği mi, ağ sınırı mı, rol ayrımı mı? Cevap, hem belirsizliği yönetir hem de savunma iyileştirmesine doğrudan girdi olur.

2.3. Sıralı mı paralel mi? Yöntem seçimi ve sınırlar

Aynı zinciri modellemenin birden fazla yolu olabilir:

• Sıralı model: OPSEC açısından daha kontrollüdür; fakat derinlik ve hız sınırlanabilir.
• Paralel model: ilişkileri daha görünür kılar; ancak noise ve FP riski artabilir, etik yük yükselir.

Seçim, "hangisi daha güçlü?" değil; "hangisi bu ortamda daha az riskle daha net kanıt üretir?" sorusuyla yapılır.

2.4. Modüler entegrasyon: zinciri parçalarla yönetmek

Zincir bileşenlerini modüler düşünmek (her halkayı ayrı doğrulama paketi gibi ele almak) esneklik sağlar: bir halka düşerse tüm zincir "çöp" olmaz; fail-soft yaklaşımıyla daha düşük riskli doğrulama adımlarına geri dönersin. Entegre/akış bazlı yaklaşım ise operasyonel yükü düşürebilir; fakat uyarlama esnekliği azalır.

3) Doğrulama, belirsizlik ve "confidence" dili

İleri seviye bir uzmanı ayırt eden şey, "doğruyu bulmak" kadar, doğruyu hangi eminlikle söylediğini yönetmesidir. Burada amaç belirsizliği saklamak değil; belirsizliği kontrollü bir değişken haline getirmektir.

3.1. Gözlem-yorum ayrımı ve izlenebilirlik

Kanıt paketinde şu disiplin görünür olmalı:

• Gözlemi, yorumdan ayırmak
• Zaman uyumunu korumak (hangi olay ne zaman oldu?)
• İzlenebilir bağlam sunmak (hangi rol/tenant, hangi akış adımı?)
• Tekrarlanabilirliği mümkün kılmak (aynı koşullarda aynı sinyal)

Zaman uyumsuz sinyaller (ör. farklı katmanlardan gelen tutarsız zaman damgaları) confidence'ı düşürür; ileri yaklaşım bunu "görmezden gelmek" yerine, iddiayı daraltarak ve ek doğrulama arayarak yönetir.

3.2. Tekil vektör mü çoklu kombinasyon mu?

• Tekil vektör, operasyonel yükü azaltır; ancak yanlış pozitif riski büyüyebilir.
• Çoklu kombinasyon, confidence'ı yükseltir; fakat OPSEC ve erken tespit riski artar, ayrıca etik sınırların yönetimi zorlaşır.

Bu nedenle "daha çok dene" değil, "daha iyi doğrula" yaklaşımı tercih edilir.

4) Kanıt üretimi ve raporlama hattı: teknik başarıdan iş etkisine

Birçok teknik bulgu, yönetim tarafında "anlam" üretmez. Bu, bulgunun değersiz olduğu anlamına gelmez; çeviri eksiktir. Exploitation sonrasında doğru iş, "ne kadar ileri gidebilirim?" değil, "neyi ispatladım ve bu neden önemli?" sorusunu kanıtla cevaplamaktır.

4.1. PoC ve silahlaştırma ayrımı: minimum kanıt, maksimum netlik

İzinli değerlendirme bağlamında çoğu senaryoda hedef, zafiyetin kullanılabilir olduğunu kanıtlamaktır; sistemi "tam ele geçirme" yönünde agresifleşmek, gereksiz risk doğurabilir. Kanıt, şu nitelikleri taşıdığında güçlüdür:

• Gereksiz veri ifşası yok (minimum veri)
• İnkar edilemezlik (bağlam net, tutarlılık yüksek)
• Tekrar üretilebilirlik (koşullar tarif edilebilir)
• Etik sınırlar korunur (veriyi "görmek" ile "yaymak/değiştirmek" ayrılır)

Örnek: example.com üzerinde kritik bir veri alanına erişim riskini göstermek için, gerçek kişisel veriyi topluca çekmek yerine; yalnızca erişim kontrolünün kırıldığına dair asgari ve bağlamsal kanıt üretmek, hem etik hem operasyonel olarak daha olgundur.

4.2. İş etkisini kurmak: risk dili + kontrol hedefi

İş etkisi, "felaket senaryosu" yazmak değildir. İleri seviye etki anlatımı şunları netleştirir:

• Etkilenen iş süreci (yetkisiz işlem, yanlış karar, uyum riski vb.)
• Etkinin koşulları (hangi rol/bağlam, hangi ön koşullar)
• Etkiyi azaltan/engelleyen mevcut kontroller (varsa karşı kanıt)
• Önerinin biçimi: "şunu çalıştır" değil, kontrol hedefi + doğrulama kriteri

Bu hat, Modül 17'deki profesyonel raporlama ve paydaş iletişimiyle doğrudan birleşir.

4.3. Zincir diyagramı mı, özet tablo mu?

Raporlamada yöntem seçimi de tradecraft'tır:

• Detaylı zincir diyagramları, belirsizliği azaltır ve yanlış anlaşılmayı önler; ancak hazırlama maliyeti ve operasyonel yük artabilir.
• Özet risk tabloları, karar vericiyi hızlandırır; fakat derinlik kaybı riski taşır.

Olgun yaklaşım, ikisini birlikte kullanır: "hikâyeyi" diyagramla kurar, "kararı" tabloda kolaylaştırır.

5) Güvenli durdurma ve kapsam koruma: disiplinin asıl testi

Exploitation başarılı olduğunda adrenalin artar ve "scope creep" riski büyür. Bu an, ileri seviye olgunluğun en net ölçüldüğü andır.

5.1. İlk dakikalar: dur, bağlamı doğrula, stabilize et

• Nerede olduğunu ve bunun RoE kapsamına ait olup olmadığını netleştir
• Ortam kararlı mı, beklenmeyen yan etki var mı?
• Gerekirse yetkili irtibat (white card) üzerinden kontrollü koordinasyon sağla
• Kapsam dışı yüzeylere (iş ortağı ağları, üçüncü taraf sistemler gibi) "görünüyor" diye ilerleme: kapsam dışı her adım, teknik olmaktan çıkar, hukuki probleme dönüşür

5.2. Temiz bırakma ve izlerle ilişki: loglar "düşman" değil kanıttır

Test sonunda ortam "temiz" bırakılmalıdır; fakat bu, savunma verisini tahrip etmek anlamına gelmez. İleri seviye pratikte:

• Operasyon sırasında bırakılmış geçici artefaktlar ve değişiklikler kontrol altında geri alınır
• Sistem kayıtları/izleri kurcalanmaz; aksine tespit değerlendirmesi için hangi sinyallerin nerede oluştuğu raporlanır (Modül 12 ile uyum)

Dikkat: İzleri "silmek", izinli değerlendirmede sahte bir başarı hissi üretir. Asıl değer, savunmanın neyi görüp neyi kaçırdığını kanıtla göstermek ve iyileştirmeyi tetiklemektir.

Terimler Sözlüğü

Kendini Değerlendir

Bu Modülde Kazanılan Yetkinlikler

• Exploitation'ı "teknik hamle" değil go/no-go kararı olarak ele almayı; güvenilirlik-yan etki-geri dönüş dengesini kurmayı
• Zinciri "uzatmak" yerine, misconfig → kimlik → yetki → hedef varlık hattını kanıtla kurmayı; karşı kanıt aramayı alışkanlık haline getirmeyi
• Belirsizliği saklamadan yönetmeyi: gözlem-yorum ayrımı, izlenebilirlik, zaman uyumu ve confidence dili
• Tekil vektör / çoklu kombinasyon ve sıralı / paralel model tercihlerini noise-FP-OPSEC-etik sınırlarla birlikte değerlendirmeyi
• Kanıtı minimum zarar prensibiyle üretip, çıktıyı Modül 12 (tespit perspektifi) ve Modül 17 (raporlama/iletişim) hattına bağlamayı

MODÜL 8 — Post-Exploitation: Privilege, Credential, Persistence

Modül Teması

İlk erişim ve exploitation sonrası "içeride olmak", otomatik olarak yetkili, kalıcı ya da operasyonel hedeflere hazır olmak demek değildir. Bu modül, post-exploitation aşamasını bir "yapılacaklar listesi" gibi değil; kanıt standardı, kapsam disiplini, minimum zarar ilkesi, OPSEC/noise yönetimi ve savunma iyileştirmesine dönüşen çıktılar olarak ele alır. Modül 7'de kurduğun zincir mantığı burada devam eder; Modül 9 (lateral movement/pivoting) ve Modül 10 (kurumsal kimlik patikaları/AD) için güvenli ve denetlenebilir bir köprü kurar. Modül 12'deki tespit perspektifi ve Modül 17'deki raporlama/purple teaming hattına "temiz" veri taşımayı hedefler.

1) Post-exploitation zihniyeti: "İçeri girdim" değil, "Neyi kanıtladım?"

Post-exploitation'da en yaygın sapma, erişim sağlanınca hedefin flu hale gelmesi ve "mümkün olanı yapmak" ile "gerekli olanı kanıtlamak"ın karışmasıdır. İleri seviye yaklaşımda her adımın:

• bir amacı,
• bir kanıt çıktısı,
• bir de durdurma/geri dönüş kriteri

olur. Bunlardan biri yoksa, adım çoğu zaman operasyonel risk üretir.

Sürekli masada kalan üç soru:

• Doğrulama: Bu iddia/sinyal hangi gözleme dayanıyor? Bunu en az yan etkiyle nasıl doğrularım?
• Karşı kanıt: Beni yanlış çıkaracak işaret ne olur? Hangi kontrol/koşul iddiayı düşürür?
• Sınırlar: Noise/FP maliyeti, etik-RoE sınırı, OPSEC riski ve operasyonel yük ne?

Dikkat: Post-exploitation sırasında "scope creep" en hızlı bu aşamada büyür. Yeni yüzeyler göründüğünde her görünen "hedef" değildir; disiplin zayıflarsa teknik hata olmaktan çıkar, yönetişim/etik ihlale dönüşebilir.

1.1. Kanıt zinciri: gözlem-yorum ayrımı, izlenebilirlik ve zaman uyumu

Denetlenebilirlik için "kanıt"ı doğru paketlemek gerekir:

• Gözlem: sistem davranışı, yetki bağlamı, politika etkisi, erişim denemelerinin sonucu
• Yorum: gözlemin ne anlama geldiğine dair hipotez
• Karşı kanıt: alternatif açıklamalar, çevresel etkiler, kısıtlar
• Confidence: ne kadar eminsin, neden; hangi koşul değişirse fikrin değişir?

Dağıtık ortamlarda zaman uyumu kritik bir kalite kapısıdır. Log gecikmeleri, saat farkları ve farklı katmanların zaman damgaları, yanlış kesinlik üretmeye çok elverişlidir. Çoklu kaynaktan korelasyon yapabilmek için sistem saatlerinin senkron tutulmasının önemi, adli ve olay inceleme bağlamında özellikle vurgulanır.

Örnek: example.org üzerinde "yetki genişledi" iddian varsa, tek bir ekran görüntüsü yerine; rol/oturum bağlamını, zaman çizelgesini ve iddiayı çürütebilecek kısıtları gösteren bir kanıt paketi kurarsın. Zaman damgaları çelişiyorsa "kesin" dili yerine, iddiayı daraltıp hangi şartlarda güçleneceğini yazarsın.

1.2. "İlk 10 dakika" disiplini: stabilize et, sonra derinleş

İleri pratikte ilk refleks "devam etmek" değil, stabilize etmektir:

• Bulunduğun varlık gerçekten kapsamda mı?
• Yan etki var mı? Servis/iş sürekliliği etkileniyor mu?
• Minimum ama yeterli kanıt üretildi mi?
• Bir sonraki adım Modül 9'daki hareketliliğe mi gidiyor, yoksa burada durmak mı daha doğru?

İpucu: Post-exploitation'ı "merdiven" değil, kalite kapıları olan kontrol noktaları zinciri gibi düşün. Her kapıda şu üçlü yoksa geçme: (1) doğrulanmış iddia, (2) karşı kanıt değerlendirmesi, (3) stop/geri dönüş kriteri.

2) Privilege: yetkiyi büyütmek değil, yetkiyi anlamlandırmak

Yetki (privilege) konusu "daha yüksek hak" hedefiyle daraltılırsa hem savunma çıktısı zayıflar hem de risk büyür. İleri seviyede privilege; hangi güven sınırının nerede ihlal edilebildiğini, bunun iş etkisine nasıl bağlandığını ve hangi kontrollerin bunu engellemesi gerektiğini netleştirmek için ele alınır.

2.1. Yetki türleri ve güven sınırları: "hak" her zaman aynı şey değildir

• Yerel (local) yetki bağlamı: tek varlıkta etki; kanıt üretimi net, blast radius sınırlı
• Kimlik/rol yetkisi: uygulama/kimlik sağlayıcı bağlamı; iş etkisine bağlamak daha doğrudan
• Kurumsal (domain/tenant) etki: kapsam genişler; yanlış adımın blast radius'u büyür (Modül 10'da derinleşir)

Bu noktada yöntem seçimi devreye girer: Aynı hedefi iki yolla gösterebiliyorsan, çoğu senaryoda daha düşük blast radius + daha yüksek izlenebilirlik sunanı seçmek olgun yaklaşımdır.

2.2. Yetki iddiasını doğrulama: "göründü" ile "sahip oldum" ayrımı

Yetki iddiası yanıltıcı sinyallerle karışabilir: arayüzde görünen rol etiketi, cache'lenmiş oturum, bağlama duyarlı kısıtlar... İleri seviye doğrulama:

• Yetkinin hangi eylem sınıflarını mümkün kıldığını zarar üretmeden kanıtlamayı,
• İddiayı düşürecek karşı kanıtları (koşullu politika, ikinci kontrol katmanı, ağ/segment kısıtı) aramayı,
• Sonucun bağlama duyarlı olup olmadığını (bazı oturumlarda var, bazılarında yok) raporlamayı hedefler.

Örnek: example.com üzerinde "yönetici yetkisi" iddiasını, gerçek kullanıcı verisine dokunmadan; sadece "kritik eylem sınıfı"na dair izin/engel mantığını denetlenebilir biçimde göstererek doğrularsın. Aynı rol bazı bağlamlarda işe yarıyor bazı bağlamlarda yaramıyorsa, "deterministik" diye yazmak yerine bağlamı tarif edip confidence'ı buna göre kurarsın.

2.3. OS perspektifiyle privilege modelleme: Windows/Linux prensip farkları

Bu modül "nasıl yapılır" tarifine girmez; ama modelleme dili doğru kurulmazsa rapor da iyileştirme önerileri de zayıflar.

• Windows: Yetkilendirme bağlamı çoğu zaman "erişim belirteci/token" mantığıyla okunur; ayrıcalıklar, süreçlerin ve hesapların hangi güven sınırlarını aşabileceğini belirler. Bu tür iddialarda kanıt üretimi, çoğu zaman "hangi izin/ayrıcalık + hangi kısıt" çerçevesinde paketlenir.
• Linux: Yetki modeli büyük ölçüde dosya izinleri ve çekirdek yetenekleri/capabilities üzerinden anlaşılır; "konfigürasyon ve izin ilişkisi" kanıtlanabilirliği artırır.

İpucu: Üretim ortamlarında yüksek riskli ve istikrarsız sonuç üretebilecek yollar (ör. sistem kararlılığını etkileyebilecek çekirdek düzeyi senaryolar) genelde son çaredir. Önce daha düşük yan etkili, daha denetlenebilir konfigürasyon/izin boşlukları üzerinden kanıt üretmek hem etik hem de operasyonel olarak daha sağlıklıdır.

2.4. "Devam etmek" her zaman doğru değil: durdurma kriterleri

Yetki artışı sinyali görüldüğünde olgun hareket bazen durmaktır:

• Kapsam dışı yüzeye geçiş riski doğuyorsa
• Yan etki (performans, kesinti, alarm fırtınası) ihtimali yükseliyorsa
• Kanıt kalitesi düşüyor, belirsizlik artıyorsa
• RoE/etik sınır, "kanıt" üretimini "zarar" üretimine yaklaştırıyorsa

3) Credential access: kimlik materyalini anlamak, belirsizliği yönetmek

Credential access, kötüye kullanıma en açık alanlardan biridir. Bu modülde odak "nasıl elde edilir" değil; hangi kimlik materyalleri vardır, neyi temsil eder, hangi riskleri taşır, nasıl doğrulanır ve nasıl raporlanır sorularıdır.

3.1. Kimlik materyali türleri: aynı şey değiller

• Parola/secret (cleartext): doğrudan kimlik doğrulama malzemesi; risk/etki yüksek
• Hash/türev değer: her zaman "parolanın kendisi" değildir; bağlama göre risk değişir
• Ticket (Kerberos bağlamı): süre/kapsam/yenilenebilirlik gibi parametreleri vardır; bazı senaryolarda parola değişse bile mevcut biletler ömürleri boyunca etkisini koruyabilir (ortam politikasına bağlı)
• Token / session artefact: oturum yetkisini taşır; süre, kapsam ve iptal edilebilirlik değişkendir (özellikle bulut/SSO bağlamı)
• API key / servis kimliği: insan hesabı gibi davranmayabilir; erişim kapsamı konfigürasyona bağlıdır

Bu ayrım yöntem seçimini belirler: Aynı iş etkisini göstermek için en hassas veriye koşmak yerine, çoğu senaryoda en az hassas ama en net kanıt üreten yol seçilir.

3.2. "Geçerli" demek ne demek? Doğrulama + karşı kanıt

Bir materyalin varlığı tek başına sonuç değildir. İleri seviye doğrulama soruları:

• Bu materyal hangi kapsamda geçerli? (rol/tenant/servis/segment)
• Süresi ve iptal edilebilirliği nedir?
• İş etkisi iddiasını destekliyor mu, yoksa yanlış bağlam mı?
• Karşı kanıt: materyal gerçek olsa bile kullanılamaz kılan kontrol var mı? (ağ kısıtı, koşullu politika, ikinci doğrulama, kaynak kısıtı)

Örnek: example.net üzerinde bir servis anahtarına dair sinyal gördüğünde, bunu "kritik ele geçirme" diye etiketlemek yerine; anahtarın kapsamını, hangi eylem sınıflarına izin verdiğini ve hangi kontrollerin bunu sınırladığını kanıta dayalı değerlendirirsin. Ağ kısıtı nedeniyle doğrulama yapılamıyorsa, iddiayı "geçersiz" diye kapatmak yerine belirsizliği doğru kurar; hangi koşul sağlanırsa görüşünün değişeceğini yazarsın.

3.3. Minimum zarar ve veri minimizasyonu: "kanıt" ile "ifşa" çizgisi

Kimlik materyalleri konusunda en kritik sınır, kanıt üretiminin veri ihlaline dönüşmemesidir:

• Gereksiz materyal toplamayı reddet
• Kanıtı "kontrol boşluğu ve kapsam aşımı" üzerine kur
• Hassas veriyi çoğaltma; raporda maskelenmiş/özetlenmiş bağlam kullan
• "Ne buldum?" yerine "Hangi güven varsayımı kırıldı?" sorusunu merkeze al

Dikkat: Kimlik materyali üretim/taşıma/çoğaltma riskinin yükseldiği yerde, en doğru profesyonel karar çoğu zaman kanıtı daraltmak ve "savunma kontrol doğrulaması" seviyesinde bırakmaktır.

4) Persistence: kalıcılığı "kontrollü simülasyon" olarak tasarlamak

Persistence, izinli değerlendirmede yanlış anlaşılmaya en açık konulardandır. Bu modülde persistence; "uzun süre kalmak" değil, savunmanın dayanıklılığını ölçen, süre/kapsam sınırlı, geri dönüşü planlı bir simülasyondur.

4.1. Neden persistence? Savunma değerini netleştirmek

Persistence'in savunma açısından değeri:

• Yetkisiz kalıcılık girişimlerinin tespit edilebilirliği (Modül 12'ye bağlantı)
• Kimlik/rol yönetimi boşluklarının görünürleşmesi (Modül 10'a köprü)
• IR/DFIR olgunluğu: geri alma, iz sürme, etki analizi
• "Tek seferlik ihlal" ile "süreğen risk" ayrımının kanıtlanması

4.2. Dosyalı-dosyasız modeller: tespit yüzeyi ve adli karşılığı

Kalıcılık mekanizmaları, pratikte iki uç arasında düşünülür:

• Dosya tabanlı yaklaşımlar: klasik ve genellikle daha görünür; tespit yüzeyi geniş
• Dosyasız (fileless) yaklaşımlar: yapılandırma depoları ve sistem bileşenleri üzerinden kalıcılık kurguları; tespiti çoğu zaman daha uzmanlık gerektirir

Windows Management Instrumentation (WMI) üzerinden kalıcılık gibi örüntüler, literatürde ayrı bir teknik aile olarak ele alınır ve savunma tarafı için özel görünürlük/denetim gerektirir.

İpucu: Persistence tasarımında "Bu mekanizma hangi güncelleme/politika değişikliğinde etkisizleşir?" sorusunu erkenden sor. Bu, belirsizliği doğru yönetir ve raporu aksiyonlanabilir yapar.

4.3. Sınırlı ve geri dönüşlü tasarım: süre, kapsam, stop koşulları

Olgun persistence simülasyonunda üç şey net olmalı:

• Süre sınırı: ne kadar yaşayacak, ne zaman bitecek?
• Kapsam sınırı: hangi varlıklarda, hangi rol/hak bağlamında?
• Stop koşulları: beklenmeyen etki veya kapsam riski doğduğunda nasıl durdurulacak?

Buradaki kanıt standardı "kuruldu" iddiasından çok, kurulabilirliği mümkün kılan kontrol boşluğu ve bunun savunma telemetrilerinde nasıl göründüğüdür.

4.4. "Stealth" yanılgısı: görünmez olmak başarı değildir

İzinli değerlendirmede başarı "hiç iz bırakmamak" değildir. Doğru başarı metriği:

• gereksiz gürültü üretmeden,
• denetlenebilir kanıtla,
• savunma iyileştirmesine dönüşen çıktı üretmektir.

5) Living-off-the-land: araç değil, risk ve kontrol perspektifi

"Living off the land", dışarıdan yeni araç taşımak yerine, işletim sisteminde zaten bulunan imzalı/yerleşik bileşenlerin kötüye kullanılabilmesidir. Bu, savunma açısından kritik bir gerçektir: yerleşik bileşenleri tamamen engellemek çoğu zaman iş süreçlerini kırar; bu yüzden tespit çoğunlukla davranış ve bağlam üzerinden yapılır.

Örnek: Bir ortamda PowerShell'in varlığı tek başına "kötü" değildir; fakat çalıştırma bağlamı, komut içeriğinin kaydı, süreç ilişkileri ve zaman çizelgesi, şüpheyi belirleyen parçalar olur. PowerShell Script Block Logging gibi mekanizmalar, yürütülen içeriklere dair görünürlük sağlayabilir.

İpucu: LOL/LOLBins tartışmasını "hangi binary kötü?" seviyesinde değil, "hangi davranış/bağlam anomali?" seviyesinde kur. Böylece rapor, savunmanın uygulayabileceği gerçek kontrol hedeflerine (log politikası, allowlist/denetim, korelasyon kuralları) bağlanır.

6) Artifact/iz yönetimi ve adli görünürlük: "iz bırakmamak" değil, izleri yönetmek

İleri seviye bir red teamer, attığı her adımın sistemde nerede iz bırakacağını bilir. Ama hedef "iz bırakmamak" değil; gereksiz ve anomali üreten izlerden kaçınmak, elde ettiği bulguyu da bu telemetri gerçekliğiyle birlikte paketlemektir.

Windows tarafında kimlik doğrulama ve log silme gibi olaylar, denetim kayıtlarında belirli event'lerle izlenebilir (ör. başarılı/başarısız oturum açma ve audit log temizlenmesi). Ayrıca Sysmon gibi telemetri kaynakları süreç oluşturma, ağ bağlantısı, süreç erişimi ve dosya zaman damgası değişiklikleri gibi davranışları olaylaştırarak korelasyon imkânı sağlar.

6.1. Timestomping: zaman çizelgesini yanıltma girişimlerine dair sınırlar

Zaman damgası manipülasyonu (timestomping) bir teknik aile olarak bilinir; ancak dosya sistemi metaverisinin birden fazla kaynakta tutulması nedeniyle "naif" manipülasyonlar çoğu zaman tutarsızlık üretir ve derin analizde yakalanabilir.

6.2. Log silme neden "yüksek gürültü"dür?

Log temizleme, savunma açısından doğrudan bir alarm tetikleyicisi olarak ele alınır ve saldırgan davranışları arasında sınıflandırılır. İzinli bir çalışmada bile bu tür eylemler, hem etik/uyum riskini büyütür hem de değerlendirmeyi "savunma kontrol testi" çizgisinden çıkarabilir.

Dikkat: "İzleri temizlemek" çoğu zaman bulguyu güçlendirmez; tam tersine, savunmanın en kolay korele ettiği davranışlardan birini üretir. İleri seviye yaklaşım, izleri yok etmek değil; kanıtı denetlenebilir ve minimum yan etkili tutmaktır.

7) Bulguyu rapora dönüştürmek: minimal ama güçlü kanıt paketi

Modül 7'deki zincir mantığını sürdür: privilege / credential / persistence bulguları, tek tek "başlık" olmak yerine bir risk patikasının halkalarıdır. Her halka için minimal ama güçlü bir paket:

• Bağlam: varlık sınıfı, rol/oturum/tenant, zaman uyumu
• Gözlem: ne görüldü?
• Yorum: ne anlama gelebilir?
• Karşı kanıt: hangi koşulda düşer?
• Confidence: neden; hangi şartlarda değişir?
• Savunma çıktısı: hangi kontrol hedefi güçlenmeli; Modül 12 perspektifinde tespit/iyileştirme önerisi
• Sınırlar: kapsam, yan etki, noise/FP riski, geri dönüş kriteri

Bu paket, Modül 9'da hareketlilik başladığında "hangi doğrulanmış hakla nereye gidilebilir?" sorusuna cevap verir; Modül 10'da ise kimlik patikalarının güven sınırlarını netleştirmeye hizmet eder. Modül 17'de raporlama ve purple teaming oturumlarında ise tartışmayı "kanıt" üzerinden yürütülebilir kılar.

Terimler Sözlüğü

Kendini Değerlendir

Bu Modülde Kazanılan Yetkinlikler

• Post-exploitation'ı "daha çok ilerleme" değil, kanıt standardı + kapsam disiplini olarak yönetmeyi
• Privilege konusunu "daha fazla güç" yerine güven sınırı + iş etkisi odağıyla okumayı; iddiaları karşı kanıt ve stop kriteriyle olgunlaştırmayı
• Kimlik materyallerini türlerine göre sınıflandırıp kapsam/süre/iptal edilebilirlik üzerinden belirsizliği yönetmeyi
• Persistence'ı kontrollü simülasyon olarak tasarlayıp süre/kapsam/geri dönüş planı kurmayı
• LotL/LOLBins ve artefact gerçekliğini "araç" değil, davranış-telemetri-korelasyon ekseninde raporlamayı

Modül 9 — Lateral Movement, Pivoting ve Segment Geçişi

Bu modül, "yatay hareket"i araç/teknik listesi olarak değil; kimlik-yetki-güven ilişkileri üzerinden okunan bir patika modelleme problemi olarak ele alır. Modül 8'de elde edilen post-exploitation çıktıları burada "hareket edilebilir yol"a dönüştürülür; Modül 10'da derinleşecek kurumsal kimlik patikaları (özellikle dizin servisleri) için zemin hazırlanır. Yazılı formatın sınırlarına sadık kalarak, doğrulama disiplini, kanıt standardı ve yöntem seçiminin maliyetleri (noise/FP, operasyonel yük, etik/OPSEC sınırı) üzerinde durulur.

1) Lateral movement mantığı: kimlik, yetki ve güven ilişkileri

Lateral movement, bir ortamda bir varlıktan diğerine ilerleme ihtimalini ifade eder; ileri seviyede kritik soru "hangi port açık?"tan önce gelir: Hangi kimlik bağlamıyla, hangi aksiyon sınıfı mümkün? Ağ yolu açık olsa bile, kimlik politikaları, koşullu kurallar, rol kapsamı ve yönetim düzlemi ayrıştırması bu ihtimali ya sınırlar ya da büyütür.

1.1. Ulaşılabilirlik ≠ Kimlik ≠ Yetki/iş etkisi

İleri seviye değerlendirmede iddia türünü baştan netleştirmek, raporun omurgasını belirler:

• Ulaşılabilirlik iddiası: İki nokta arasında trafik mümkün görünüyor.
• Kimlik iddiası: Belirli bir kimlik/rol ile bir servise erişim mümkün görünüyor.
• Yetki/iş etkisi iddiası: Bu erişim, iş açısından anlamlı bir aksiyon sınıfını (ör. yapılandırma değişikliği, veri bütünlüğü etkisi) mümkün kılıyor.

Burada en sık hata, "dokunabildim" sinyalini "ele geçirdim" iddiasına çevirmektir. Olgun yaklaşım, iddiayı en küçük gerekli kanıt ile sınırlar ve "iş etkisi"ni ancak kanıt taşıyorsa büyütür.

İpucu: İddianı tek cümlede kur: "Şu kimlik bağlamıyla, şu varlık sınıfında, şu zaman penceresinde, şu aksiyon sınıfı mümkün görünüyor." Bu cümlede dolduramadığın her alan, confidence'ı düşüren bir boşluktur.

1.2. Güven ilişkilerini haritalama: "kim kime, neden güveniyor?"

Güven ilişkileri çoğu zaman "gizli arka kapılar" değil, meşru operasyonel bağımlılıklar üzerinden doğar. Lateral patikaları anlamlandırırken özellikle şu sınıflar öne çıkar:

• Ortak kimlik kullanımı: servis hesapları, otomasyon kimlikleri, paylaşılan yönetim rolleri
• Yönetim düzlemi bağımlılıkları: merkezi izleme, yedekleme, dağıtım, uzaktan yönetim kanalları
• Yetkilendirme zincirleri: bir sistemdeki rolün başka bir sistemde dolaylı yetki doğurması
• Hijyen ve tekrar kullanımlar: aynı yerel yönetici parolasının/rol kapsamının geniş yüzeye yayılması gibi mimari borçlar

Bu haritalama, "hangi varlıklar kritik?" sorusuna ek olarak "hangi varlıklar geçiş düğümü?" sorusunu da cevaplar.

Örnek: 192.0.2.0/24 içindeki "Uygulama Sunucuları" segmentinde çalışan bir otomasyon kimliği, 198.51.100.0/24 içindeki "Dosya Hizmetleri" üzerinde belirli bir role sahiptir. Olgun raporlama "dosya sunucusu ele geçirilir" demez; rolün kapsamını (hangi işlemler, hangi kaynaklar, hangi zaman penceresi) ve bunun hangi iş etkisine bağlanabileceğini dar bir çerçevede kanıtlamayı hedefler.

1.3. Doğrulama: "göründü" ile "gerçekten mümkün" ayrımı

Lateral movement iddialarında doğrulama iki katmanlıdır:

1. — Bağımsız doğrulama: Tek bir sinyale yaslanma. Bir katmanda gördüğünü (ör. kimlik/rol ilişkisi) mümkünse farklı bir katmanda (farklı log kaynağı, farklı telemetri, farklı zaman penceresi) çapraz kontrol et.
2. — Karşı kanıt arama: İddiayı çürütecek koşulları bilerek ara. Örneğin:

• Ağ yolu var ama politika/koşul engelliyor olabilir.
• Kimlik geçerli görünüyor ama aksiyon "read-only" sınıfında kalıyor olabilir.
• Zaman uyumsuzluğu/telemetri boşluğu, "kesinlik" iddiasını taşımayabilir.

Belirsizlik varsa saklamak yerine daralt: "Kesin geçiş" yerine "bu koşullarda olası/kanıtlı" dilini kullan; hangi veri gelirse fikrinin değişeceğini açık yaz.

Dikkat: "Yeni bir hedef gördüm" refleksi, scope creep'in başlangıcıdır. Kapsam dışına taşan hareket, teknik hata olmaktan çıkar; hukuki/etik ihlale dönüşür. İleri seviye disiplin, kanıt üretmeyen adımları reddedebilmektir.

1.4. Kanıt zinciri: bulguyu denetlenebilir paketlemek

"Yaptık/yapamadık" ikiliği, lateral movement bulgularını taşımaya yetmez. Denetlenebilir bir paket şunları içerir:

• Bağlam: segment/varlık sınıfı, kimlik bağlamı, zaman uyumu
• Gözlem: hangi sinyal görüldü?
• Yorum: bunun olası anlamı nedir? (patika hipotezi)
• Karşı kanıt: hangi koşulda hipotez düşer?
• Confidence: neden bu seviyede? hangi veri gelirse değişir?
• Savunma çıktısı: hangi kontrol hedefi güçlenmeli?

Bu yapı, Modül 12'deki tespit perspektifine de temiz bağ kurar: savunma tarafı "neyi loglamalı / neyi korele etmeli?" sorusunu doğrudan buradan çıkarır.

2) Pivoting: jump noktasıyla erişim kapsamını genişletmek

Pivoting, iki güven bölgesi arasında doğrudan erişim yokken (veya doğrudan erişim uygun değilken) ara bir nokta üzerinden gözlem/erişim kapsamını genişletme fikridir. İleri seviyede pivot, "tünel açma marifeti" değil; jump noktasının risk profili ve kanıt üretim kalitesi ile değerlendirilir.

2.1. Jump noktası seçimi: karar matrisiyle düşün

İyi pivot noktası "en güçlü sistem" değil, en yönetilebilir risk demektir. Değerlendirmen gereken temel eksenler:

• Kapsam uyumu: gerçekten scope içinde mi?
• Blast radius: hata olursa kaç sistemi etkiler?
• Operasyonel yük: izleme, geri dönüş, koordinasyon maliyeti
• Noise/FP riski: normal dışı trafik/oturum hareketi ne kadar görünür?
• İzlenebilirlik: sonradan "ne oldu?" sorusunu net cevaplayabilir misin?
• Rollback: beklenmeyen etki oluşursa güvenli durdurma/geri alma planın var mı?

İpucu: Pivot seçimini bir "kredi" gibi düşün. Noise ve riskle harcadığın krediyi takip etmiyorsan, borç birikir; en kötü anda "alarm faizi" ödersin.

Örnek: 192.0.2.0/24'teki bir yönetim sunucusu ile 198.51.100.0/24'teki uygulama segmenti arasında meşru bir yönetim akışı vardır. Burada amaç "geçişi büyütmek" değil; akışın neden var olduğunu, hangi koşullarda çalıştığını ve savunmanın bunu nasıl ölçebileceğini (hangi kontrol noktaları, hangi kayıtlar) kanıt standardında netleştirmektir.

2.2. "Dar kanıt" mı "geniş kapsama" mı? Yöntem seçimi ve sınırlar

Pivoting tasarımlarının ortak riski şudur: Kapsam genişledikçe karmaşıklık ve belirsizlik artar; bu da hem izahı hem geri dönüşü zorlaştırır.

• Dar kapsamlı yaklaşım: belirli bir servis/akıș için daha ölçülebilir, daha kolay açıklanır; kanıt zinciri daha nettir.
• Geniş kapsamlı yaklaşım: daha esnek görünür; fakat gecikme, korelasyon zorluğu ve görünürlük maliyeti artar.

Bazı ağ ölçüm/doğrulama yaklaşımları "tam TCP bağlantısı" mantığıyla yürürken, bazıları ham paket üretimi gibi daha düşük seviyeli yeteneklere dayanır. Ham paket gerektiren yaklaşımlar, araya uygulama-katmanı bir yönlendirme/proxy girdiğinde doğasını kaybeder; dolayısıyla "gördüğüm sonuç ne kadar güvenilir?" sorusu daha kritik hale gelir.

2.3. Pivot iddiasını doğrulamak: koşullar + görünürlük

Pivoting iddiası iki soruyu birlikte cevaplamalıdır:

• Hangi koşullarda çalışır? (zaman penceresi, politika, kimlik kapsamı, segment kuralı)
• Savunma görünürlüğü nedir? (hangi telemetri katmanlarında iz bırakır; hangi kontrol bunu engeller/tespit eder)

Burada "çalışmıyor/engelleniyor" sinyali de değerlidir: segmentasyonun nerede gerçekten işe yaradığını kanıtlar ve raporu daha dürüst kılar.

2.4. Stop/rollback: pivot "kalıcı köprü" değildir

İzinli değerlendirmede pivot, geçici ve geri alınabilir bir değerlendirme aracı olmalıdır. Stop kriterleri örneğin şunlara bağlanabilir:

• beklenmeyen performans/kararlılık etkisi
• kapsam dışı yüzeye temas riski
• kanıt kalitesinin düşmesi (belirsizlik artışı)
• RoE/etik sınırın "kanıt"tan "zarar"a kayma riski

3) Tünelleme ve tali kanallar: görünürlük ve kontrol noktaları

Bu başlık, tekniğin "nasıl"ına değil, savunma görünürlüğüne ve kontrol noktalarına odaklanır. Tünelleme genel olarak trafiği bir taşıyıcı içinde kapsülleyerek farklı bir yoldan taşıma fikridir; tali kanallar ise kurumsal süreçler nedeniyle açık kalan ikincil iletişim yollarını (proxy/çıkış altyapısı, uygulama katmanı akışları, DNS vb.) kapsar.

3.1. Nerede iz bırakır, nerede kaybolur?

Bir kanalın riski sadece "açık" olması değildir; izlenebilirlik kalitesi belirleyicidir:

• Egress kontrolleri: çıkış kuralları, izin listeleri, proxy zorlamaları
• Kimlik bağlamı: trafik bir kimlikle/varlıkla ne kadar ilişkilendirilebilir?
• Şifreli trafik: içerik görünmeyebilir; ama meta-veri (sıklık, hedef, hacim) çoğu zaman görünür kalır
• Meşru gürültü etkisi: bazı kanallar, normal iş trafiği içinde anomaliyi saklamaya daha elverişli olabilir; bu savunma için tasarım borcudur

3.2. DNS üzerinden anomali düşünmek: "içerik değil, davranış"

DNS tünelleme riskinde savunmanın en pratik kaldıraçlarından biri, içerikten çok davranışsal anomali aramaktır. Tipik göstergeler; olağandışı yüksek sorgu hacmi, çok sayıda benzersiz alt alan adı, uzun/entropisi yüksek etiketler, sıra dışı kayıt türlerinin yoğunluğu ve başarısız çözüm oranlarındaki artış gibi örüntülerdir.

İpucu: "Görünmez olmak" başarı metriği değildir. Doğru hedef, gereksiz gürültü üretmeden savunmanın hangi kontrol boşluğunu kapatması gerektiğini gösterecek kadar denetlenebilir kanıt üretmektir.

3.3. Yöntem seçimi: basit yol varken karmaşığı seçmemek

Aynı "segment geçişi" iddiasını göstermek için birden fazla yol tasarladığında şunu unutma:

• Karmaşıklık arttıkça belirsizlik artar (neden-sonuç zor açıklanır).
• Karmaşıklık arttıkça operasyonel yük artar (iz sürme, geri dönüş, koordinasyon).
• Bazı kanallar RoE/etik açıdan daha hassas sayılabilir (iş süreçlerine etki riski).

Bu yüzden ileri seviye karar, çoğu zaman "en zekice" değil; en ölçülebilir, en düşük riskli ve en iyi izah edilebilir olanı seçmektir.

4) Ağ segmentasyonu ve güvenlik sınırları: neyi gerçekten engeller?

Segmentasyon, pratikte bir "duvar"dan çok bir kontrol hedefleri setidir: yetkisiz doğu-batı trafiğini azaltmak, kritik varlıkların etki alanını daraltmak, kimlik temelli erişimi kısıtlamak ve görünürlüğü artırmak. Ancak kimlik ve yönetim düzlemi doğru ayrıştırılmadıysa, "firewall var" cümlesi gerçek koruma kalitesini tek başına anlatmaz.

4.1. Segmentasyonun tipik kör noktaları

• Kimlik temelli geçiş: ağ yolu kısıtlı olsa bile, yetkili kimlik yanlış yerde fazla güçlü olabilir
• Yönetim düzlemi istisnaları: "her yere erişmesi gereken" servisler/araçlar segmentasyonu delik deşik edebilir
• Dual-homed (çift bacaklı) sistemler: iki güven bölgesine aynı anda bağlı varlıklar, tasarım gereği geçiş düğümü olur
• İzleme boşluğu: kontrol var ama kayıt yoksa, doğrulama zayıflar; rapor da zayıflar

Örnek: Kritik veri segmenti ağ kuralı ile korunur; fakat yedekleme altyapısı bu segmente geniş erişim taşır. Bulgu "segmentasyon yok" değildir; segmentasyonun istisnalarının kimlik ve yetkiyle nasıl risk büyüttüğüdür.

4.2. "Geçiş var" iddiasını nasıl kanıt standardında daraltırsın?

• Ulaşılabilirlik kanıtını, yetki/aksiyon sınıfı kanıtıyla karıştırma.
• Zaman uyumsuzluğu veya kayıt gecikmesi varsa, iddiayı daralt ve belirsizliği yönet.
• Karşı kanıt olarak "engellendi" sinyallerini de topla: segmentasyonun nerede işe yaradığını gösterir.

Dikkat: Segmentasyon doğrulamasında geniş, rastgele denemeler "daha çok veri" üretir gibi görünse de çoğu zaman sadece noise üretir ve denetlenebilirliği düşürür. İleri seviye yaklaşım, iddiayı taşıyacak minimum ve ölçülebilir kanıta odaklanır.

4.3. Savunma iyileştirmesine bağlamak: kontrol hedefi dili

Bu modülün çıktısı teknik "hareket anlatısı" değil; savunmanın aksiyona dökebileceği kontrol hedefleridir:

• yönetim düzlemi ayrıştırması, asgari yetki
• segment istisnalarının azaltılması ve gerekçelendirilmesi
• kimlik hijyeni (servis hesapları/rol kapsamı/tekrar kullanım riskleri)
• doğu-batı görünürlüğünün artırılması (kimlik + ağ telemetrisi korelasyonu)
• kritik varlıklar için ikinci kontrol katmanı (koşullu erişim, ek doğrulama, sıkı egress)

Terimler Sözlüğü

Kendini Değerlendir

Bu Modülde Kazanılan Yetkinlikler

• Yatay hareketi "daha çok sistem" hedefiyle değil, kimlik-yetki-güven ilişkileri üzerinden okunan bir patika olarak kurma
• Segment geçişi iddialarında ulaşılabilirlik / kimlik / yetki-iş etkisi ayrımını yapma ve iddiayı bağımsız doğrulama + karşı kanıtla daraltma
• Pivoting kararlarını kapsam, blast radius, izlenebilirlik, rollback, noise/FP kriterleriyle yönetme
• Tünelleme ve tali kanalları "yöntem tarifi" yerine görünürlük ve kontrol noktaları üzerinden savunma odaklı modelleme
• Bulguları gözlem-yorum ayrımı, izlenebilirlik ve confidence diliyle denetlenebilir ve aksiyonlanabilir hale getirme

MODÜL 10 — İleri Active Directory & Kurumsal Kimlik Patikaları

Modül Teması

Kurumsal ortamlarda "yayılma" çoğu zaman kablo ve portlardan değil, kimlik ve yetki mimarisinden geçer. İleri seviye Red Teaming'de Active Directory (AD), zafiyeti aranan tekil bir yazılım gibi değil; nesneler, izinler, güven ilişkileri ve kontrol düzlemlerinden oluşan dinamik bir ilişki grafı gibi ele alınır. Bu modül, "Domain Admin olma" gibi tek hedefli düşünmenin ötesine geçerek; ACL tabanlı patikaları, Kerberos ve delegasyon mimarisinin risk geometrisini, sertifika altyapısındaki (AD CS) tasarım hatalarını, trust/forest sınırlarının gerçek etkisini, GPO'nun kontrol düzlemi rolünü ve SQL/uygulama bağımlılıklarının kimlik grafına nasıl "gizli köprü" eklediğini tutarlı bir çerçevede birleştirir. Odak, araç ezberi değil; doğrulama, kanıt zinciri, belirsizlik yönetimi ve yöntem seçimi ile "karmaşık yetki matrisini" savunma değeri üreten bir bulgu setine dönüştürmektir.

1) Kimlik grafı bakışı: Nesneler, izinler ve "gizli patikalar"

Geleneksel soru "Domain Admin grubuna kim üye?" iken, ileri seviye soru şudur: "Bu üyeliği kim dolaylı olarak etkileyebilir?" veya "Bu yetkili kimliğin oturum açtığı yüzeyler nereler?". Çünkü AD'de güç, sadece "rollerde" değil; ACL/ACE gibi ince taneli izinlerde, iç içe gruplarda, servis hesaplarında, politika bağlarında ve topoloji kararlarında birikir.

1.1. Düğümler ve kenarlar: grafın sözlüğü

• Düğümler: kullanıcılar, gruplar, bilgisayar hesapları, servis hesapları, GPO'lar, sertifika şablonları, yönetim sunucuları, kritik uygulama/DB sunucuları
• Kenarlar: üyelikler (nested dahil), ACL yetkileri, delegasyon ilişkileri, trust ilişkileri, "uygulama bağımlılığı" (kim hangi servise hangi bağlamda erişir)

Bu bakış, tek bir zayıflığı "tek başına kritik" diye etiketlemek yerine, onu graf içinde konumlandırır: "Hangi kombinasyonlar Tier-0'a yaklaşan kısa yollar üretir?"

1.2. ACL/ACE analizi: "yetki" nerede saklanır?

AD'de yetki çoğu zaman şu bileşenlerin bileşimidir:

• Kimlik tanımlayıcıları ve grup üyelikleri (doğrudan + iç içe)
• Nesne izinleri (ACL/ACE)
• Etkili izinler (effective access): bir kimliğin, tüm üyelikleri ve devralınan izinleriyle toplamda ne yapabildiği

İleri seviye değerlendirmede sık görülen kritik izin sınıfları şunlardır (tek başına "sömürü talimatı" değildir; risk ve kontrol hedefi anlatımı için bir dil sağlar):

• Tam kontrol / geniş yazma yetkisi (nesnenin davranışını kökten değiştirebilen)
• İzinleri değiştirme yetkisi (bir nesnenin güvenlik modelini yeniden yazabilen)
• Parola etkisi üreten yetkiler (kimliği "devralma"ya giden kapılar)

Örnek: Düşük yetkili bir kullanıcı, bir grup nesnesi üzerinde geniş yazma yetkisine sahiptir. Bu grup, bir politika nesnesini yönetebiliyor; o politika da kritik bir OU'ya bağlı. Burada tek tek parçalar "maksimum yetki" gibi görünmeyebilir; ama zincir halinde, kontrol düzlemine yaklaşan bir patika üretir. Bu iddia raporda ancak kapsam (hangi OU/hangi varlık sınıfı) ve sınırlayıcı koşullar (tiering, link kapsamı, izleme, değişiklik yönetimi) ile birlikte anlam kazanır.

PS> AD-Audit # Düşük yetkili kullanıcıdan başlayan ilişki zinciri
PS> Get-ADUser -Identity user.helpdesk -Properties MemberOf | Select-Object -ExpandProperty MemberOf
CN=Ops-Support,OU=Groups,DC=example,DC=local

PS> AD-Audit # Grup nesnesindeki etkili yazma yetkilerini özetle
PS> Get-Acl "AD:\CN=Ops-Support,OU=Groups,DC=example,DC=local" | Select-String "WriteProperty|WriteDacl"
Allow  EXAMPLE\user.helpdesk  WriteProperty

PS> AD-Audit # Grup ile kritik OU etkisini bağlayan kısa kanıt
PS> .\path-summary.ps1 -Source user.helpdesk -TargetOU "OU=Tier0,DC=example,DC=local"
path_found=True  hops=3  confidence=medium  note="requires change-control bypass"

İpucu: Bir "patika" cümlesini rapora yazmadan önce, aynı paragrafta üç şeyi birlikte ver:

1. Kaynak sinyal: hangi izin/ilişki gözlemlendi?
2. İddia: bu sinyal hangi etkiye yol açabilir?
3. Karşı kanıt: hangi koşullarda bu etki doğmaz veya sınırlanır?

1.3. Doğrulama: graf çıktısı "bulgu" değildir

Graf görselleştirme araçları (ör. BloodHound gibi) güçlü bir başlangıç sağlar; ama ileri seviye kalite kapısı şudur: Grafın söylediğini, dizinin "yetki gerçeği" ile çakıştırmak.

• İddia "X, Y üzerinde etkili" ise: bu etki hangi izinlerden geliyor?
• Bu izinler doğrudan mı, yoksa nested üyelik/OU mirası gibi dolaylı mekanizmalarla mı?
• Bu etki operasyonel olarak anlamlı mı, yoksa "kâğıt üzerinde" kalıyor mu? (örn. uygulanmayan politika, izole edilmiş yönetim sunucusu, kısıtlı erişim yolu)

Dikkat: "Bir izin ilişkisi var" ile "bu ilişki iş etkisine dönüşür" arasına kanıt koymadığında, raporun en büyük riski yanlış kesinlik olur. Yanlış kesinlik, yanlış güvenlik kararına dönüşür.

2) Kerberos ve delegasyon: meşru akışların risk geometrisi

Kerberos'u ileri seviyede önemli kılan, "bilet hilesi" anlatısı değil; bilet yaşam döngüsü ve delegasyonun tasarım varsayımlarıdır. Burada hedef; teknikleri öğretmek değil, hangi tasarım kararının hangi riski doğurduğunu ve bu riske dair kanıt standardını kurmaktır.

2.1. Bilet yaşam döngüsü: neden risk üretir?

Kerberos'ta biletler, kimliğin belirli bir süre ve bağlamda "yetki taşımasına" aracılık eder. Risk çoğunlukla şuralardan doğar:

• servis hesaplarının gereğinden yüksek yetkiyle çalışması,
• biletlerin/oturum bağlamlarının beklenmedik sistemlere taşınması,
• kritik anahtarların/hesapların güvenlik varsayımının zayıflaması (bilet temelli "sahte kimlik" senaryolarını mümkün kılan sınıf riskler)

Bu noktada doğru dil, "şu yapılır" değil; "şu koşullar oluşursa bilet güvencesi zayıflar" dilidir.

2.2. Delegasyon modelleri: aynı hedef, farklı maliyetler

Delegasyon, bir servisin kullanıcı adına başka bir servise erişebilmesi için tasarlanmıştır. Ancak kapsam genişledikçe kimlik sınırları bulanıklaşır:

• Kısıtlamasız delegasyon (unconstrained): risk genellikle en yüksektir; çünkü servis üzerinde oluşan oturum bağlamı, beklenmeyen kimlikleri "taşıyabilir".
• Kısıtlı delegasyon (constrained): erişim hedefleri belirli servis kimlikleriyle sınırlandığında risk geometrisi değişir; doğrulama, "sınır gerçekten sınır mı?" sorusuna odaklanır.
• Kaynak tabanlı kısıtlı delegasyon (RBCD): yetkilendirme mantığı "merkez" yerine hedef kaynağın kendisine yakın bir yerde tanımlandığında, kontrol noktaları da değişir; patika analizi, yetkiyi kimin nerede tanımlayabildiği sorusuna yoğunlaşır.

Örnek: Aynı iş ihtiyacını (web → DB) üç farklı delegasyon modeliyle çözen iki kurum düşün. Kağıt üzerinde "iş çalışıyor" aynıdır; ama denetim izi, yanlış yapılandırma ihtimali ve "beklenmedik kimlik taşınması" riski bambaşka bir profile dönüşür.

PS> Kerberos-Review # Delegasyon yapılarını özetle
PS> .\compare-delegation.ps1 -Service "WEBAPP01$" -Backend "MSSQL01$"
model=unconstrained   audit_visibility=low    identity_spill_risk=high
model=constrained     audit_visibility=medium identity_spill_risk=medium
model=rbcd            audit_visibility=high   identity_spill_risk=medium

PS> Kerberos-Review # Kanıt paketi için kısa karar satırı üret
PS> .\delegation-brief.ps1 -System WEBAPP01
decision="prefer constrained or RBCD with strict scope"
preconditions="tiering discipline + monitored service accounts"
next_review="30d"

2.3. Önkoşullar ve belirsizlik: risk "kendiliğinden" doğmayabilir

Delegasyon temelli risklerde sık yapılan hata, bulguyu önkoşulları yazmadan "kritik" ilan etmektir. Örneğin, bazı senaryolarda riskin gerçekleşmesi için:

• belirli kimliklerin belirli servislere gerçekten bağlanması,
• yönetim sunucularının tiering prensibine aykırı şekilde kullanılması,
• izleme/uyarı kontrollerinin yetersiz kalması gibi koşullar gerekebilir.

İpucu: Delegasyon bulgusunu yazarken şu cümleyi zorunlu gör: "Bu riskin etkili olabilmesi için şu önkoşullar gerekir; şu kontrol/alışkanlıklar varsa etkisi düşer." Bu, hem doğruluğu artırır hem Modül 12'de tespit stratejisini doğrudan besler.

Dikkat: Kimliği "bağlanmaya zorlayan" davranış sınıfları, gerçek hayatta yüksek anomali üretme ve kurum operasyonunu etkileme riski taşır. İzinli çalışma çerçevesinde bile, bu tür yaklaşımlar OPSEC/etik sınır ve "minimum zarar" ilkesiyle değerlendirilmeden masaya konmamalıdır.

3) AD CS ve sertifika temelli kimlik: görünmeyen ikinci kontrol düzlemi

Birçok kurum AD'yi sıkılaştırırken, PKI/sertifika altyapısını "varsayılanlar" ile uzun süre yaşatır. Oysa sertifika temelli kimlik, yanlış tasarlandığında yetki grafında beklenmeyen kısa yollar üretebilir.

3.1. Şablonlar ve yetkiler: riskin iki kilidi

Sertifika riskleri çoğu zaman iki parçanın birlikte oluşmasıyla anlam kazanır:

1. Şablonun neye izin verdiği (hangi kullanım amaçları/kimlik doğrulama senaryoları)
2. Kimin talep edebildiği (enrollment/başvuru yetkisi ve bunun kapsadığı gruplar)

Bu nedenle "şablon tehlikeli" demek yetmez; şablon özellikleri + yetkilendirme kapsamı birlikte kanıtlanmalıdır.

Örnek: Bir şablon, kimlik doğrulamada kullanılabiliyordur; fakat bu şablonu yalnızca çok dar bir yönetim grubunun talep edebilmesi sağlanmıştır. Burada risk profili, "geniş kitle açık" senaryosundan tamamen farklıdır. Aynı şablon özelliği, farklı yetki kapsamıyla bambaşka sonuç verir.

3.2. Kanıt zinciri: "sömürülebilirlik" iddiası nasıl güvenli ifade edilir?

Bu modülün dili, "nasıl yapılır" dili değildir. Ama güvenli ve denetlenebilir bir rapor dili şunları içerir:

• Şablonun kritik özelliklerinin özeti
• Yetkilendirme kapsamı (hangi gruplar/hangi prensipler)
• Olası etki (hangi kimlik senaryolarında risk büyür)
• Karşı kanıtlar (ek kontroller, izleme, kısıtlar)
• Confidence gerekçesi (konfigürasyonun deterministik oluşu, replike olma, log/denetim izleri vb.)

4) Trust ve forest: "sınır" sandığın şey gerçekten sınır mı?

Trust'lar çoğu zaman organizasyonel ihtiyacın sonucudur: birleşme, satın alma, iş ortaklığı, hizmet ayrımı... Ancak trust, yanlış varsayımlarla kurulursa kimlik grafını beklenmedik şekilde büyütür.

4.1. Trust türleri: aynı isim, farklı sonuçlar

• Parent-child ilişkileri: genellikle geçişken güven varsayımları taşır; sınır algısı kolay bozulur.
• External trust: kapsam ve geçişkenlik tercihleri risk geometrisini belirler.
• Forest trust: iki orman arasında kimlik akışı doğurur; burada "güvenlik sınırı" tartışması en kritiktir.

İleri seviye yaklaşım, "trust var → kritik" gibi ezberlemez; şunu sorar: "Trust, hangi kimliklerin hangi kaynaklara hangi koşullarla erişim varsayımı taşımasına izin veriyor?"

4.2. SID History ve filtreleme: geçiş kolaylığı mı, yetki enflasyonu mu?

SID History gibi mekanizmalar, göç/migrasyon süreçlerinde yardımcı olabilir; ama yanlış yönetildiğinde "yetki enflasyonu" riskini büyütebilir. Bazı trust senaryolarında filtreleme/karantina mekanizmaları bu riski azaltmayı hedefler; ancak kurumun tasarım ve ayarlarına göre görünüm değişebilir. Bu yüzden rapor dili varsayım değil kanıt üretmelidir: "Filtreleme vardır/yoktur" iddiası, gözlemlenebilir konfigürasyon kanıtıyla desteklenmeden kesinleştirilmemelidir.

Dikkat: "Domain sınırı güvenlik sınırıdır" varsayımı çoğu ortamda yanıltıcıdır. Gerçek izolasyonun nerede başladığı, trust topolojisi, yönetim modeli ve tiering disiplininin birlikte değerlendirilmesiyle anlaşılır.

5) GPO: merkezi rahatlık, merkezi risk

Group Policy Objects (GPO), AD'nin sinir sistemidir: binlerce sistemin güvenlik duruşunu tek yerden şekillendirir. Bu güç, yanlış delegasyon veya zayıf değişiklik yönetimiyle birleştiğinde çok geniş etki alanına sahip bir kontrol düzlemi riskine dönüşür.

5.1. "GPO'yu kontrol eden neyi kontrol eder?"

Bir GPO'nun risk değeri iki şeyin çarpımıdır:

• Yazma/yönetim yetkisi (kim değiştirebiliyor?)
• Etkilediği kapsam (hangi OU/site/domain'e bağlı, nerede uygulanıyor?)

Bu yüzden "GPO üzerinde yetki var" bulgusu tek başına yetmez. Aynı yetki, etkisiz bir GPO'da düşük; kritik OU'ya bağlı bir GPO'da yüksek risk doğurur.

5.2. Kanıt standardı: "bağlı mı, uygulanıyor mu?"

Denetlenebilir rapor şu unsurları birlikte taşır:

• GPO üzerindeki yetki ilişkisi (somut)
• Link/kapsam bilgisi (somut)
• Etkilenen varlık sınıfı (DC'ler, yönetim sunucuları, kullanıcı uç noktaları vb.)
• Sınırlayıcı kontroller (tiering, değişiklik onayı, izleme, ayrı yönetim hesapları)

6) Uygulama ve SQL bağımlılıkları: kimlik grafına eklenen gizli köprüler

AD, sadece Windows sunucularından ibaret değildir. Uygulamalar ve veri katmanı, kimlik grafına "gizli kenarlar" ekler: servis hesapları, entegre kimlik doğrulama, sunucular arası güven tanımları...

6.1. Linked Server ve zincirleme güven: "kolaylık" maliyeti

Veritabanları arası bağlantılar, operasyonel kolaylık sağlar; fakat yüksek yetkili kimliklerle kurulmuş güven tanımları, bir noktadaki bozulmanın başka noktalara taşınmasına zemin hazırlayabilir. Burada ileri seviye analiz:

• bağlantının hangi kimlik bağlamıyla çalıştığını,
• yetkinin nerede "şiştiğini",
• izleme/denetim eksikliği olup olmadığını

kanıt standardında ortaya koyar.

6.2. SPN'ler ve servis hesapları: kimlik kırılganlığı nerede büyür?

Servis hesapları genellikle SPN'lerle ilişkilidir ve bu hesapların parola politikaları/rotasyonu zayıfsa risk artar. Bazı Kerberos senaryolarında, meşru bilet mekanizmasının doğası gereği, servis hesabı parolalarına yönelik çevrimdışı tahmin riskleri gündeme gelir. Bu konu, Modül 8'deki "credential access" çerçevesiyle kesişir; bu modülde ise asıl hedef şudur:

• "Hangi servis hesabı yüksek yetkiye yakın?"
• "Parola hijyeni ve rotasyon disiplininde zayıflık var mı?"
• "Bu riskin savunma çıktısı nedir?" (asgari yetki, ayrı servis kimlikleri, güçlü parola/rotasyon, izleme)

Terimler Sözlüğü

Kendini Değerlendir

Bu Modülde Kazanılan Yetkinlikler

• AD'yi "kullanıcı dizini" değil, yetki ve kontrol düzlemlerinin grafı olarak okuyabilme
• Patika iddiasını kanıt standardında yazma: kaynak-iddia-kanıt + karşı kanıt + confidence
• Kerberos ve delegasyonu "teknik numara" değil, meşru akışların risk geometrisi olarak değerlendirme
• AD CS/PKI dünyasında riskin şablon + yetkilendirme kapsamı birleşiminde doğduğunu netleştirme
• Trust/forest ve GPO gibi alanlarda, "sınır" varsayımlarını ölçülebilir kontrollerle test etme

MODÜL 11 — C2 Mimarisi, Altyapı Tasarımı & OPSEC

Modül Teması

İleri seviye Red Team çalışmalarında C2 (Command & Control), "bir bağlantı almak"tan çok daha fazlasıdır: operasyonun kontrol düzlemidir. Süreklilik, minimum zarar ilkesi, tespit gerçekliğiyle uyum ve kanıt üretimi; bu düzlemin ne kadar iyi tasarlandığına bağlıdır. Bu modülde C2'yi "şunu kur, bunu çalıştır" gibi uygulanabilir talimatlara indirgemeden; mimari kararlar, trade-off'lar, OPSEC disiplini, doğrulama mantığı ve savunmaya çevrilebilir çıktılar üzerinden ele alıyoruz. Modül 10'daki kimlik/izin patikaları ile Modül 12'deki tespit perspektifini aynı resmin içine alıp, C2 ve altyapı kararlarının nasıl kanıt standardında raporlanacağını ve nasıl iyileştirme backlog'una dönüşeceğini konuşuyoruz.

1) C2: "bağlantı" değil, kontrol düzlemi

C2; sahadaki ajan/implant ile operatör arasındaki iletişimi sağlayan mimaridir. İleri seviyede mesele "iletişim var mı?" değil; iletişim nasıl yönetiliyor, risk nasıl kontrol ediliyor, ölçüm nasıl yapılıyor? sorularıdır.

1.1. C2'nin bileşenleri ve roller

İleri seviye pratikte C2, çoğunlukla şu roller etrafında düşünülür:

• Agent / Implant: Uç sistemde çalışan, komutları alıp sonuçları ileten bileşen.
• Listener / Endpoint: Agent'ın konuştuğu, dışarıya açık veya erişilebilir iletişim ucu.
• Team Server: Operasyon yönetimi, görevleme ve kayıtların tutulduğu merkez; "beyin" rolündedir.
• Redirector / Relay: Trafiği araya alıp yönlendiren katman; görünürlük ve risk yönetiminde "kalkan" görevi görür.
• Operatör yüzeyi: Konsol/arayüz ve insan süreçleri; OPSEC hatalarının en sık üretildiği yer burasıdır.

Bu modülde amaç, bu parçaları tek tek "kurmayı" öğretmek değil; her parçanın hangi güvenlik varsayımına dayandığını, hangi telemetri izlerini üretebileceğini ve hangi sınırlar içinde kullanılması gerektiğini netleştirmektir.

1.2. Kontrol düzlemi ve veri düzlemi: denetlenebilirlik nerede başlar?

• Kontrol düzlemi (control plane): "Kim, neyi, ne zaman, hangi yetkiyle yaptı?" sorusunun cevabını üreten katmandır.
• Veri düzlemi (data plane): Taşınan içerik ve iş sonuçlarıdır (çıktılar, kanıtlar, envanter parçaları vb.).

İleri seviye profesyonellik; kontrol düzlemini izlenebilir, denetlenebilir ve asgari veri ilkesiyle yönetilebilir tutmaktır: kritik kararlar gerekçelendirilir, beklenmeyen davranışlar için güvenlik freni düşünülür, kanıtlar "yeniden okunabilir" ve "tartışılabilir" formatta paketlenir.

Dikkat: "Kolaylık" refleksi çoğu zaman iki risk üretir: (1) gereksiz gürültü ve yanlış pozitif yükü, (2) kapsam/etik sınırların fark edilmeden aşılması. İleri seviye başarı, daha çok şey yapmakta değil; daha doğru, ölçülebilir ve kanıtlı şey yapmakta ölçülür.

1.3. Gereksinim çıkarımı: C2 tasarımı senaryodan doğar

Modül 1'deki RoE ve yönetişim çerçevesi burada belirleyicidir. C2 mimarisi senaryonun hedefleriyle uyumsuzsa ya risk üretir ya ölçümü bozar. Örneğin hedef "SOC korelasyon kabiliyetini ölçmek" ise "tam görünmezlik" saplantısı yanlış ölçüm doğurabilir; hedef "minimum operasyonel etki" ise gereksiz gürültü yanlış olur. Doğru soru şudur:

"Bu mimari, hangi savunma kontrolünü ölçmeme ve hangi kanıtı üretmeme yardım ediyor?"

2) İletişim kanalı tasarımı: yöntem seçimi ve trade-off'lar

C2 mimarisinde tek doğru yoktur; ancak her seçimin bir bedeli vardır: gürültü, tespit, operasyonel yük, etik/OPSEC riski ve raporlanabilirlik.

2.1. Short-haul ve long-haul: hız mı, sessizlik mi?

• Short-haul (kısa menzil / interaktif): Düşük gecikme, yüksek etkileşim ihtiyacına uygun düşünülür. Avantajı hız; riski görünürlük ve gürültüdür.
• Long-haul (uzun menzil / süreklilik): Düşük bant genişliği, daha seyrek temas mantığıyla ele alınır. Avantajı daha düşük "ritim izi"; riski gecikme ve sınırlı etkileşimdir.

Burada ileri seviye yaklaşım, "hangisi daha gizli?" değil; "hangi hedef için hangi risk kabul edilebilir?" sorusudur. Modül 13'teki "zarar vermeden etki" yaklaşımıyla uyumlu olarak, uzun menzil kanallar çoğu zaman minimum etki hedefiyle daha kolay hizalanır; ancak ölçüm hedefi (ör. tespit/korelasyon) farklı bir seçimi gerektirebilir.

Örnek: Kurgusal bir kurumda egress filtreleri sadece belirli iş kategorilerine izin veriyor. Bir kanal seçimi yapılacaksa "başarı ihtimali" ile "operasyonel iz" birlikte değerlendirilir; daha pahalı/zahmetli olan seçenek bazen daha yüksek güvenilirlik (confidence) üretebilir, bazen de ölçümü bulanıklaştırır. Bu nedenle karar, senaryodaki ölçüm hedefleriyle birlikte yazılı gerekçeye bağlanır.

$ pt-c2-review # Egress kısıtlarını ve aday kanalları karşılaştır
$ python compare_channels.py --policy egress-policy.yaml
channel=http-short   success_prob=0.68  opsec_risk=0.52  detection_noise=high
channel=https-long   success_prob=0.74  opsec_risk=0.31  detection_noise=medium
channel=dns-fallback success_prob=0.41  opsec_risk=0.60  detection_noise=high

$ pt-c2-review # Ölçüm hedefine göre öneri üret
$ python channel_decision.py --goal "soc-correlation-quality"
recommended=https-long
rationale="lower noise + better traceability for correlation testing"

2.2. Beaconing davranışı ve "ritim izi": düzenlilik çoğu zaman alarm üretir

Ağ trafiği içerik olarak şifreli olsa bile; zamanlama aralıkları, paket boyutları ve iletişim ritmi "makine düzenliliği" üretebilir. Bu yüzden ileri seviyede "beaconing behavior" şöyle okunur:

• Düzenlilik arttıkça tespit edilebilirlik artabilir (özellikle davranışsal/anomali odaklı sistemlerde).
• Rastgelelik (jitter) arttıkça düzenlilik azalır; ancak komut gecikmesi ve operasyonel kontrol maliyeti artabilir.
• Aşırı karmaşıklık, doğrulama ve raporlama kalitesini düşürebilir: "ne oldu?" sorusu zorlaşır.

İpucu: Zamanlama kararlarını "operasyon ritmi" ile eşleştir. Kurumun çalışma saatleri, haftalık yoğunluk döngüleri ve değişiklik pencereleri; tespit açısından çoğu zaman protokolden daha belirleyicidir.

2.3. Trafik profili ve "normal davranış taklidi": taklit edilebilir olanla edilemeyeni ayır

"Malleable C2 profile" yaklaşımı, trafiğin görünüşünü kurumda yaygın olan örüntülere benzetmeyi hedefler. Burada kritik nüans şudur: bazı yüzeyler taklit edilebilir, bazıları ise doğrulama için 'sabit' kalır.

• Taklit edilebilir yüzeyler: bazı HTTP başlık örüntüleri, istek biçimleri, içerik türleri gibi "kozmetik" katmanlar.
• Doğrulama için sabit kalan yüzeyler: hedefin gerçekten kim olduğu, sertifika/alan adı bağlam tutarlılığı, ağ topolojisindeki "olması mümkün mü?" sorusu gibi unsurlar.

Örnek: Bir trafik, yüzeyde popüler bir içerik dağıtım servisini andırabilir; ancak analist "gidebileceği yer" ve "bağlam tutarlılığı" üzerinden ayrıştırma yapar. Raporda doğru ifade şu şekildedir: "Şu benzerlikler gözlendi" (gözlem) ve "Şu tutarsızlıklar ayrıştırdı" (karşı kanıt).

Dikkat: "Tespit edilemez profil" diye bir güvence dili kullanmak ileri seviye raporlama için zayıftır. En doğru yaklaşım: hangi koşullarda daha az sinyal ürettiğini, hangi koşullarda riskin arttığını ve hangi veriler gelirse fikrinin değişeceğini açıkça yazmaktır.

2.4. "Kavramsal teknikler"in ömrü: değişen savunma gerçekliği

Bazı yaklaşımlar zaman içinde sağlayıcılar ve güvenlik kontrolleri tarafından kısıtlanır veya davranışsal olarak daha görünür hale gelir. Bu nedenle ileri seviyede amaç, tek bir "hile"ye bel bağlamak değil; rotasyon, doğrulama ve ölçüm disiplinini kurmaktır. Modül 12'de göreceğiniz gibi, savunma tarafı sadece "imza" ile değil; bağlam ve davranış ile de çalışır. Bu yüzden her mimari karar, "bugün çalışıyor gibi görünse bile" yarın değişebilir varsayımıyla ele alınır.

3) Katmanlı (tiered) altyapı: dayanıklılık ve izolasyon

Profesyonel bir kurguda hedef sistem, doğrudan Team Server ile konuşacak şekilde tasarlanmaz. Arada feda edilebilir katmanlar bulunur; amaç "her şeyi gizlemek" değil, riskin dağıtılması ve ana varlıkların korunmasıdır.

3.1. Redirector neden "sigorta"dır?

• Team Server operasyonun kalbidir: kayıtlar, görevleme ve kontrol burada toplanır.
• Redirector ise "feda edilebilir" katmandır: bir engelleme/bloklama durumunda kaybı daha yönetilebilir olur; ana varlıklar doğrudan görünür olmaz.

Bu, Modül 9'daki pivot/segment geçişi düşüncesine benzer bir prensibi altyapıya uygular: tek nokta kırılganlığını azaltmak.

3.2. Burn & build (kullan-at) zihniyeti: süreklilik için yeniden üretilebilirlik

"Burned infrastructure" (tespit edilmiş/engellenmiş altyapı) gerçeği, Red Team operasyonlarında kaçınılmaz bir risk olarak görülür. Burada olgunluk ölçütü şudur: "Bir parça yandığında, bunu yönetilebilir şekilde değiştirip ölçümü sürdürebiliyor musun?"

Bu nokta, otomasyon (IaC) yaklaşımıyla doğrudan bağlantılıdır (bir sonraki bölüm).

İpucu: "Yedek altyapı" fikrini yalnızca operasyonel devamlılık için değil; kanıt zinciri için de kullan. Bir değişiklik yapıldığında, değişikliğin etkisini ayrı bir zaman diliminde ölçmek rapor kalitesini yükseltir.

3.3. Doğrulama: "İddia-kanıt-karşı kanıt" diliyle çalışmak

Katmanlı altyapıda sık yapılan hata, "çalışıyor" hissini kanıt yerine koymaktır. İleri seviye doğrulama şu çerçevede ilerler:

• İddia: "Redirector, Team Server'ı doğrudan görünür olmaktan koruyor."
• Kanıt arayışı: Dış yüzeydeki servis parmak izleri, beklenen/istenen görünürlük, gereksiz açıkların olmadığını gösteren gözlemler.
• Karşı kanıt arayışı: "Bir şey ters yapılandırılmış olabilir mi? Yanlış bir işaret/iz sızıyor mu? Farklı bir telemetri kaynağı bunu doğruluyor mu?"

Bu yaklaşım, Modül 17'deki raporlama standardına doğrudan taşınır: gözlem-yorum ayrımı netse, bulgu tartışılabilir ve denetlenebilirdir.

4) Altyapı otomasyonu: IaC zihniyeti ve tekrar üretilebilirlik

Manuel kurulumlar, insan hatasına açıktır; üstelik "yanan" bir parçayı hızlı değiştirmek gerektiğinde operasyonel yük artar. "Infrastructure as Code (IaC)" yaklaşımı, bu riski azaltan bir mühendislik refleksidir.

4.1. IaC neden OPSEC ile ilgilidir?

IaC'nin OPSEC'e katkısı "hız"dan çok standartlaştırmadır:

• Her kurulumda aynı güvenlik önlemlerinin tutarlı uygulanması
• Konfigürasyon sapmalarının azalması
• Denetlenebilirlik: "ne değişti?" sorusuna daha net yanıt üretme

Dikkat: Otomasyon, kötü kararları da hızlı uygular. Bu yüzden IaC; RoE, deconfliction ve güvenlik freni kararlarıyla birlikte ele alınmadıkça "risk çarpanı"na dönüşebilir.

4.2. Erişim yönetimi ve sır yönetimi: operatör hatası en büyük risk

Altyapı erişiminde olgun yaklaşım; ayrı kimlikler, asgari yetki, oturum kayıtları, MFA gibi ek kontroller ve sır yönetimi disiplinleriyle ilerler. Burada kritik olan teknik detay değil, operasyon kalitesidir:

• "Kim, hangi amaçla, hangi süreyle erişti?" sorusunun izlenebilir olması
• Operatör yüzeyinin (konsol/erişim noktaları) risklerinin bilinçli yönetilmesi
• Gereksiz yetkilerin ve gereksiz kalıcılığın azaltılması

4.3. Hosting / coğrafi / hukuki çerçeve: sadece teknik değil

Altyapı kararı; performansın ötesinde uyumluluk ve delil yönetimi konusudur:

• Kayıtların nerede tutulduğu (log saklama, erişim yetkileri)
• Üçüncü taraf riskleri (servis kesintileri, politika değişimleri)
• RoE ile uyum ve gerektiğinde operasyonu durdurma mekanizması

5) OPSEC: görünmezlik değil, iz yönetimi ve minimum zarar disiplini

OPSEC çoğu zaman "saklanmak" gibi anlatılır; oysa ileri seviye OPSEC; izlerin bilinçli yönetimi, sınırların korunması ve kanıt üretiminin sağlıklı yapılması demektir.

5.1. Attribution (ilişkilendirilebilirlik) ve izolasyon: korelasyon riskini yönetmek

En ciddi OPSEC kazaları, teknik bir zafiyetten değil; ilişkilendirilebilirlikten doğar:

• Aynı altyapının farklı müşterilerde/engagement'larda yeniden kullanılması, IOC korelasyonu riskini artırır.
• Bir yerde "yanan" gösterge, başka bir yerde operasyonu başlamadan bitirebilir.
• Bu nedenle izolasyon, "konfor" değil; güvenlik gereğidir.

Bu konu, Modül 1'deki yönetişim ve Modül 17'deki raporlama sorumluluğuyla birleşir: izolasyon kararları raporda "risk kaydı" ve "gerekçe" olarak izlenebilir olmalıdır.

5.2. Alan adı itibarı ve kategorizasyon: "uncategorized" neden sorun?

Kurumsal güvenlik kontrolleri çoğu zaman "bilinmeyen/kategorisiz" alanları daha riskli görür. Bu yüzden alan adı itibarı ve kategorizasyon, yalnızca "görünüm" değil; erişilebilirlik ve ölçüm güvenilirliği konusudur.

Örnek: Kurgusal bir senaryoda, example.net altında bir alt alan kullanıldığında kurum proxy'si "kategorisiz" etiketiyle trafiği kısıtlayabilir. Bu durumda rapor, "başarısızlık" diye kestirmeden yazmak yerine; kontrol politikasının ölçüme etkisini ve bu etkinin hangi telemetriyle doğrulandığını anlatır.

$ opsec-check # Alan kategorisi ve proxy kararını doğrula
$ jq '.domain,.category,.policy_action' proxy_events/example-net.json
"node1.example.net"
"uncategorized"
"restricted"

$ opsec-check # Aynı zaman aralığında egress etkisini ölç
$ python traffic_diff.py --before 15m --after 15m --domain node1.example.net
blocked_requests=42
allowed_requests=3
confidence=medium

$ opsec-check # Rapor notu üret
$ echo "policy impact confirmed: category-based restriction affected channel reliability"
policy impact confirmed: category-based restriction affected channel reliability

Not: Kurumlar, alan adı itibarı/kategorisi için çeşitli kaynaklar kullanabilir (ör. VirusTotal, IBM X-Force, Symantec Site Review gibi). Bu tür kaynaklar "kanıt" değil; bağlam sinyali olarak ele alınmalı ve mümkünse kurum içi telemetriyle çapraz doğrulanmalıdır.

5.3. Zamanlama: kurum ritmine aykırı davranış çoğu zaman en güçlü sinyaldir

Bir kurumun çalışma saatleri ve operasyon ritmi, anomali üretiminde belirleyicidir. Aynı davranış mesai içinde "gürültüye karışırken", gecenin bir vakti "bıçak gibi keskin" görünebilir. Bu yüzden yöntem seçimi; hız/etki kadar zaman uyumu üzerinden de değerlendirilir.

6) Tespit gerçekliği: doğrulama döngüsü ve belirsizlik yönetimi

C2 kararları, ancak "gözlenebilir çıktılar" üretiyorsa değerlidir. Bu bölümde, Modül 12'ye giden köprüyü kuruyoruz: savunma ekipleri neyi, nereden görür?

6.1. Savunma C2'yi nerede görür?

Genellikle görünürlük üç katmanda toplanır:

• Ağ: DNS, proxy, firewall, TLS inceleme, IDS/IPS
• Uç nokta: süreç davranışı, bağlantı örüntüleri, imza/heuristic sinyaller
• Kimlik: oturum açma örüntüleri, yetki değişimleri, koşullu erişim politikaları

Şifreli trafik bile "el sıkışma" ve parmak izi benzeri izler bırakabilir (ör. JA3 gibi TLS istemci parmak izleri). Burada önemli olan, bir terimi bilmekten çok şu ayrımı yapmaktır: "Varsayıyorum" mu diyorsun, yoksa "gözledim" mi diyorsun?

6.2. Hipotez-gözlem-karşı kanıt-confidence: olgun doğrulama dili

İleri seviye raporlama dili şu sırayı doğal biçimde taşır:

• Hipotez: "Şu davranış şu loglarda şu tip sinyal üretir."
• Gözlem: "Şu zaman aralığında şu sinyaller görüldü."
• Karşı kanıt: "Bu sinyal normal trafikle de açıklanabilir mi? Alternatif açıklamalar test edildi mi?"
• Confidence: "Kaç bağımsız kaynaktan destek var? Hangi veri gelirse fikrim değişir?"

Dikkat: "Alarm yoktu" tek başına başarı değildir. Alarm yokluğu; telemetri eksikliği, yanlış ölçüm tasarımı, tespit kuralı boşluğu veya yanlış varsayım gibi birçok anlama gelebilir. Bu nedenle "alarm yok" ifadesi ancak karşı kanıt arayışıyla güçlenir.

6.3. Metrikler: "derinlik" değil, "ölçüm kalitesi" takip edilir

Bu modülde metrikler, saldırı başarısını yüceltmek için değil; ölçüm kalitesini göstermek için kullanılır:

• Tespit kapsaması: hangi katmanda kör nokta var?
• Gürültü maliyeti: hangi davranış SOC/IT yükünü artırıyor?
• Gecikme ve zaman pencereleri: korelasyon ne kadar sürede çalışıyor?
• Operasyonel sınırlar: minimum zarar ilkesi nerede devreye girdi?

7) Savunmaya çevrilebilir çıktılar: C2 bulgusu iyileştirmeye nasıl dönüşür?

İleri seviye çıktı, "hangi aracı kullandık?" değil; "hangi kontrol hedefi güçlenmeli?" sorusuna yanıt verir. C2 ve altyapı bulguları genellikle şu iyileştirme başlıklarına bağlanır:

• Egress kontrolü ve segmentasyon (nereden nereye çıkış olmalı?)
• DNS/proxy görünürlüğü ve anomali kuralları (hangi ritimler, hangi eşikler?)
• TLS görünürlüğü politikaları (kurumsal denge ve mahremiyet sınırlarıyla)
• Uç nokta telemetri kalitesi ve davranış temelli tespit
• Değişiklik yönetimi ve ayrı yönetim yüzeyi (kimlik/erişim katmanlarıyla uyumlu)

Bu bölüm, Modül 17'de "bulgu → öneri → öncelik → doğrulama planı" hattına dönüşür; Modül 12 ile ise "sinyal → tespit mantığı" köprüsünü kurar.

Terimler Sözlüğü

Kendini Değerlendir

Bu Modülde Kazanılan Yetkinlikler

• C2'yi "iletişim" değil, kontrol düzlemi olarak modelleme ve bileşenlerin rol/risklerini doğru konumlandırma
• Short-haul/long-haul, jitter ve trafik profili gibi kararların trade-off mantığını kurma: hız-gürültü-ölçüm kalitesi dengesi
• Katmanlı altyapı ve "burn & build" zihniyetiyle dayanıklılık ve izolasyon düşünme
• OPSEC'i görünmezlik değil; iz yönetimi, deconfliction, minimum zarar ve ilişkilendirilebilirlik disiplini olarak ele alma
• Doğrulama ve kanıt zinciri dili: hipotez-gözlem-karşı kanıt-confidence yaklaşımını rapora taşımaya hazır hale gelme

MODÜL 12 — EDR/SOC Gerçekliği & Güvenli Evasion Çerçevesi

Modül Teması

İleri seviye bir Red Team çalışmasında "başarı", sessiz kalmak ya da hiç alarm üretmemek değildir; kurumun gerçekte neyi gördüğünü, neyi kaçırdığını ve bunun nedenini kanıt standardında ortaya koyabilmektir. Modern savunma mimarileri (EDR/XDR, SIEM, SOC süreçleri) birer "sensör ağı" gibi davranır: bazı şeyleri çok iyi yakalar, bazı şeylerde ise gecikme, kapsam dışı kalma veya bağlam eksikliği nedeniyle kör noktalar üretir. Bu modül, "evasion"ı bir kaçış tarifi olarak değil; görünürlük ve tespit boşluklarını güvenli sınırlar içinde doğrulama, ölçülebilir hale getirme ve Purple Team çıktısına dönüştürme disiplini olarak ele alır.

1) Telemetriyi "gerçek dünya" gibi okumak: süreç / ağ / kimlik / dosya

EDR ve SIEM tarafında en kritik refleks şudur: "Bu iddiam hangi telemetriyle doğrulanır?" Aynı davranış bir katmanda görünmezken diğerinde iz bırakabilir; ya da log üretilir ama retention kısa olduğu için geriye dönük kanıt üretilemez. İleri seviye ölçüm, "sanırım görünür" varsayımını bırakır; görünürlüğü kanıtlar.

1.1. Süreç telemetrisi: davranışın mekanik izi ve süreç ağacı

Süreç telemetrisi; bir uç noktada hangi işlemlerin hangi bağlamda çalıştığına (ebeveyn-çocuk ilişkileri, bağlamsal alanlar, imza/itibar bilgileri gibi) dair izlerdir. Burada değer, tek bir olayın kendisi değil; olasılık dışı ilişki örüntüleridir.

Örnek: Bir ofis uygulamasının başlattığı alt süreç zinciri kısa sürede ağ bağlantıları açıyorsa, tek bir "bağlantı var" kaydı yerine "hangi süreç ağacı bunu doğurdu?" sorusu çok daha güçlü bir kanıt üretir. Bu tür ilişkiler, savunma tarafında hem tespit kuralı tasarımına hem de triage hızına doğrudan katkı verir.

1.2. Ağ telemetrisi: egress gerçeği, şifreleme ve kaynak çeşitliliği

Ağ tarafı; DNS, proxy, güvenlik duvarı, IDS/IPS, akış (flow) kayıtları ve bazı ortamlarda TLS inceleme gibi kaynaklarla şekillenir. Kritik nüans: ağ kaynağı çoktur ama her kaynak aynı doğrulukta ve aynı bağlamda değildir. Uç nokta ajanları çoğu zaman bağlantının "meta verisini" (hedef, port, hacim gibi) daha iyi görür; içeriğin görünürlüğü ise kurumun ağ mimarisine (proxy/TLS inceleme vb.) bağlıdır.

Örnek: Uydurma bir senaryoda 203.0.113.0/24 bloğunda barındırılan example.net alt alanına düzenli istekler gözleniyor. "Düzenli istek" iddiası, tek bir kaynaktan değil; mümkünse DNS + proxy/egress + uç nokta ağ olayı gibi çapraz doğrulama ile güçlenir. Tek kaynağa yaslanmak, yanlış korelasyon ve yanlış güven düzeyi üretir.

1.3. Kimlik telemetrisi: "kim, ne zaman, hangi koşulla?"

Kimlik telemetrisi; oturum açma kalıpları, token/oturum yaşam döngüsü, koşullu erişim kararları, yetki değişimleri ve servis hesap davranışları gibi izlerdir. İleri seviye ölçümde kimlik sinyali, "şüpheli bir hareket"i iş bağlamına oturtur: rutin bakım mı, rol gereği mi, yoksa sıra dışı bir yükseliş mi?

Örnek: Kısa sürede art arda başarısız oturum açma tek başına "saldırı" demek değildir. Aynı zaman penceresinde cihaz risk sinyali, konum tutarsızlığı, beklenmedik yetki değişimi veya sıra dışı kaynak erişimi var mı sorusu karşı kanıt arayışının parçasıdır.

1.4. Dosya / konfig / değişiklik telemetrisi: "ne değişti"yi kanıtlamak

Dosya, kayıt/konfig ve sistem değişikliği telemetrisi; "ne değişti?" sorusunun kanıtıdır. İleri seviyede amaç "ne kadar iz bıraktım" değil; minimum değişiklikle ölçülebilir sinyal üretmek ve bunu denetlenebilir şekilde paketlemektir. Bu yaklaşım, hem etik-OPSEC sınırlarını korur hem de raporun güvenilirliğini yükseltir.

1.5. Telemetri olgunluğu: kapsama, doğruluk, gecikme, retention

Bir kurum "EDR var" dediğinde bunun "her şeyi görüyor" anlamına gelmediğini varsaymak gerekir. Ölçümün omurgası dört kalite kapısıdır:

• Kapsama: Hangi varlıklar izleniyor (uç nokta/sunucu/özel segment/uzak kullanıcı)?
• Doğruluk: Kayıtlar bağlam içeriyor mu, yoksa yalnızca özet mi?
• Gecikme: Toplama→merkezileştirme→korelasyon hattında gecikme var mı?
• Retention: Loglar ne kadar saklanıyor; geriye dönük kanıt üretilebilir mi?

Dikkat: "Alarm yok" gözlemi, tek başına "tespit edilemedik" anlamına gelmez. Alarm yokluğu; telemetri yokluğu, gecikme, yanlış korelasyon kuralı, kapsam dışı varlık, erişim yetkisi kısıtı veya senaryonun yanlış kurgulanması gibi birden fazla açıklama taşır. İleri seviye rapor, bu alternatifleri tek tek eleyerek ilerler.

İpucu: Telemetriyi bir bina güvenlik kamerası gibi düşün. Kamera sayısı fazla olabilir; ama kör nokta varsa "kamera var" cümlesi güvence değildir. Kör noktayı kanıtlamak için "kamera çalışıyor mu, açısı doğru mu, kayıtlar saklanıyor mu, görüntüye erişim var mı?" sorularını sistematik sor.

2) Tespit mantığı: imza, davranış, anomali ve "puanlama" gerçeği

"Tespit hangisiyle daha iyi yapılır?" sorusu bağlamdan bağımsız cevaplanamaz. Doğru soru şudur: "Hangi hedef için, hangi maliyetle, hangi yan etkiyi kabul ederek?" Çünkü tespit mühendisliği bir anlamda bütçe yönetimidir: FP maliyeti SOC'u boğarsa, gerçek olaylar kaçırılabilir.

2.1. İmza tabanlı tespit: kesinlik yüksek, kapsam sınırlı

İmza; bilinen bir örüntüyü yakalar (IOC'ler, bilinen hash/alan adı kalıpları, bilinen sabit parmak izleri vb.). Gücü, düşük belirsizlikle karar verebilmesidir; zayıf yanı, yenilik ve varyasyon karşısında kırılgan kalabilmesidir. İleri seviye ölçümde imza alarmları, "yakalandı/yakalanmadı" tartışmasından çok, kapsam ve sürdürülebilirlik tartışması üretir.

2.2. Davranış tabanlı tespit: bağlamla güçlenir, FP riski taşır

Davranış tespiti tek bir belirteç yerine olaylar arası ilişki kurar (süreç zinciri + ağ olayı + kimlik sinyali gibi). Doğru tasarlanırsa dayanıklıdır; ancak bağlam zayıfsa FP artar ve SOC'un operasyonel yükü büyür. Bu yüzden ileri seviye yaklaşım, "çok kural yazalım" değil; doğru bağlamı ekleyelim yaklaşımıdır.

2.3. Anomali / UEBA: "alışılmadık" sinyali ve açıklanabilirlik sınavı

Anomali yaklaşımları normdan sapmaları arar. Buradaki kalite kapısı "buldu" demek değil; açıklanabilirliktir. Eğer anomali alarmı, analistin doğrulayabileceği kanıtlara bağlanamıyorsa üretim ortamında gürültüye dönüşür.

Örnek: "Olağandışı saat/konum" sinyali tek başına anlamlı değildir. Vardiya, bakım penceresi, rol, cihaz durumu ve aynı pencerede eşlik eden başka sinyaller var mı gibi sorular cevaplanmadan "kesin" dil kullanılmaz.

2.4. Çoklu sinyal ve eşik mantığı: tek olay değil, birikimli risk

Modern sistemlerde "tek bir şüpheli hareket" her zaman alarm üretmez; çoğu ortamda puanlama/threshold benzeri bir yaklaşım vardır: imza + davranış + anomali sinyalleri birlikte değerlendirildiğinde eşik aşılınca alarm üretilir. Bu gerçek, iki önemli sonuç doğurur:

• Ölçüm tasarımı "tek sinyal"e değil, sinyal kombinasyonlarına bakmalıdır.
• Sonuç analizi "alarm yok" durumunda bile görünürlük var mı, sinyal birikti mi, eşik nerede kaldı sorularını sormalıdır.

İpucu: Her senaryo adımı için küçük bir "sinyal matrisi" çıkar: (i) beklenen telemetri kaynakları, (ii) beklenen korelasyon ilişkileri, (iii) kabul edilebilir gürültü seviyesi, (iv) durdurma koşulları. Bu matris, Modül 11'deki OPSEC disiplinini tespit ölçümüne taşır.

3) "Güvenli evasion" çerçevesi: kaçış değil, tespit haritalama

Bu modül "evasion" kelimesini sahadaki dili yakalamak için kullanır; fakat çerçeve nettir: amaç EDR'ı devre dışı bırakmak veya "bypass tarifi" vermek değildir. Amaç, savunmanın görünürlük boşluklarını (telemetry gaps) ve tespit boşluklarını (detection gaps) kanıt standardında ortaya koymaktır.

3.1. Evasion'ı yeniden tanımlamak: "görünmez olmak" yerine "neye, nasıl yakalanırım?"

Güvenli çerçevede başarı kriteri, alarmın çıkıp çıkmaması değildir. Asıl başarı şu soruların cevaplanabilmesidir:

• Hangi telemetri gerçekten vardı, hangisi yoktu?
• Alarm çıktıysa hangi sinyale dayandı; çıkmadıysa hangi alternatif açıklamalar mümkün?
• Tespit gecikmesi nedir; olay-alarm zaman uyumu tutarlı mı?
• Bu değerlendirme kuruma hangi ölçülebilir iyileştirmeyi öneriyor?

Bu yaklaşım Red Team'i "yenmek" oyunundan çıkarıp, kurumu "güçlendirmek" hedefiyle hizalar.

3.2. RoE, minimum zarar ve deconfliction: "yapılabilir" ile "yapılması doğru"yu ayırmak

Modül 1'deki RoE ve Modül 11'deki OPSEC çizgisi burada ölçüm etiğine dönüşür. Güvenli çerçeve, aşağıdaki sınırları doğal kabul eder:

• Üretim ortamında gereksiz risk doğuran denemelerden kaçınma
• İş sürekliliğini etkileyebilecek davranışlarda net durdurma eşikleri (kill-switch mantığı)
• SOC/IR ekipleriyle çakışmayı büyütmeyecek koordinasyon (deconfliction)
• Veri minimizasyonu: ölçüm için gereken kadar veri, fazlası değil

Dikkat: "Bir şey daha deneyelim" refleksi ileri seviye değildir. İleri seviye, denemeyi önce ölçülebilir hipoteze çevirir; hipotez ölçülemiyorsa deneme yapılmaz.

3.3. Mimari sınırlar: sensörler nereden veri toplar, nerede zorlanır?

EDR/XDR ürünleri mimari olarak farklılaşır: bazıları kullanıcı modu sensörlerine daha çok yaslanır, bazıları çekirdek seviyesinde bileşenleri daha yoğun kullanır; çoğu karma bir yaklaşım izler. Bu nedenle "EDR şunu görür/görmez" gibi kesin cümleler yerine, şu doğrulama mantığı aranır:

• Toplanan sinyal, işletim sisteminin hangi mekanizmalarına dayanıyor?
• Yük altında olay düşürme (event dropping) yaşanıyor mu, gecikme artıyor mu?
• Aynı davranış farklı telemetry kaynaklarında tutarlı mı?

Bu bölümde sık duyulan teknik kavramlar (ör. ETW, hook'lar, kernel callback benzeri veri toplama yöntemleri) "uygula şunu" düzeyinde değil, görünürlük analizi düzeyinde ele alınmalıdır: savunma, veri toplama katmanlarını çeşitlendirerek kör noktaları azaltır; ölçüm ise bu çeşitliliğin gerçekten çalışıp çalışmadığını doğrular.

3.4. Doğrulama döngüsü: hipotez → gözlem → karşı kanıt → confidence

Güvenli ölçüm, raporlamada en çok değer üreten kası geliştirir: doğrulama.

• Hipotez: "Bu davranış süreç + ağ telemetrisi ilişkisi üretecek."
• Gözlem: "Şu zaman aralığında, şu varlık sınıfında bu ilişki görüldü/görülmedi."
• Karşı kanıt: "Benzer ilişki normal süreçlerde de oluşuyor mu? Bakım/otomasyon var mı? Telemetri akışı kesilmiş olabilir mi?"
• Confidence: "Tek kaynağa mı yaslandım, çapraz doğrulama var mı? Hangi veri gelirse fikrim değişir?"

Örnek: Uydurma bir kurumda anomali motoru "olağandışı etkinlik" alarmı üretiyor. Bu alarmı "kesin saldırı" diye yazmak yerine; vardiya/bakım penceresi/rol bağlamı gibi karşı kanıtlar test edilmeden confidence yüksek yazılmaz. Bu disiplin, raporu "yorum"dan arındırıp "denetlenebilir bulgu"ya yaklaştırır.

PS> Detection-Lab # Alarmı başlangıç hipotezi olarak kaydet
PS> .\validate-alert.ps1 -AlertId ALRT-2026-4421
hypothesis="unusual_activity_may_indicate_compromise"
initial_confidence=low

PS> Detection-Lab # Karşı kanıt: vardiya, bakım penceresi, rol
PS> .\collect-counterevidence.ps1 -Window "2026-04-28T18:00:00Z/2026-04-28T19:00:00Z"
maintenance_window=True
oncall_role=True
device_risk=low

PS> Detection-Lab # Güncellenmiş karar dili
PS> .\update-confidence.ps1 -AlertId ALRT-2026-4421
revised_assessment="suspicious but explainable by maintenance context"
confidence=medium-low
next_data_needed="independent endpoint anomaly outside maintenance window"

4) Görünürlük-tespit ayrımı ve kanıt standardı: log/artefakt yönetimi

Tespit perspektifi raporlama kalitesiyle birleşmediğinde "iyi hikâye" olur ama "denetlenebilir bulgu" olmaz. Bu başlık Modül 17'ye giden hattın temelidir: kanıt zinciri, izlenebilirlik, tekrar üretilebilirlik ve güven düzeyi.

4.1. Görünürlük (visibility) ≠ tespit (detection)

• Görünürlük: Ham log/sinyal oluştu mu ve toplanabildi mi?
• Tespit: Bu sinyal üzerine kural/analitik çalıştı mı, alarm üretildi mi, doğru sınıflandırıldı mı?

Örnek: Bir olayın Windows güvenlik günlüğünde süreç oluşturma kaydı bulunabilir; aynı olay SIEM'de ham log olarak görülebilir; fakat kural yoksa veya eşik/bağlam zayıfsa alarm oluşmayabilir. Bu durumda "görünürlük var, tespit yok" şeklinde net ayrım yapılır.

4.2. Kaynak-iddia-kanıt ayrımı: aynı cümlede karıştırmamak

• Kaynak: EDR olayı, SIEM ham logu, kimlik sağlayıcı kaydı, proxy kaydı, Sysmon gibi uç nokta logları vb.
• İddia: "Bu davranış şu katmanda görünür olmalıydı / alarm üretmeliydi."
• Kanıt: Kaynağın iddiayı destekleyen, zaman uyumlu ve doğrulanabilir kısmı.

Kanıt zayıfsa confidence düşer; bu dürüstçe yazılır. "Kesin yakalanmadı" demek yerine "mevcut erişim/retention doğrulanamadığı için orta güven düzeyi" demek, daha yayınlanabilir ve daha doğrudur.

4.3 Zaman uyumu ve korelasyon: "aynı olay"ı yanlış bağlamamak

EDR→toplama→SIEM→korelasyon→alarm zincirinde gecikmeler ve saat senkronu sorunları olabilir. Kanıt zinciri, halkaları görünür kılar: olay zamanı, log zamanı, SIEM'e düşüş zamanı, kural çalışması ve alarm açılışı ayrı ayrı değerlendirilir. Böylece rapor "alarm geç geldi" gibi muğlak cümlelerden kurtulur.

4.4 "Kör nokta" ile "kural boşluğu"nu ayırmak

Kontrol boşluğu analizi yaparken iki farklı durum sık karışır:

• Telemetri boşluğu: Log yok; sensör yok/kapalı/kapsam dışı/retention yetersiz.
• Kural/analitik boşluğu: Log var; ama korelasyon yok, eşikler/bağlam zayıf, triage yanlış sınıflandırmış.

Bu ayrım, Purple Team oturumunda "ne düzeltmeliyiz?" sorusunun cevabını doğrudan belirler.

4.5. Çalışma izleri (artifacts) ve "yakalanma fırsatı"nı tasarlamak

İleri seviye ölçümde hedef, sistemde gereksiz iz bırakmak değildir; fakat hiçbir iz bırakmamak da denetlenebilirliği düşürür. Bu yüzden çalışma, RoE ve minimum zarar ilkesiyle uyumlu şekilde, savunmaya ölçülebilir yakalanma fırsatları sunacak kontrollü senaryoları tercih eder: amaç "yakalanmamak" değil, savunmanın hangi koşulda yakaladığını ve nerede kaçırdığını anlamaktır.

İpucu: Karmaşık zincirler yerine, mümkün olduğunda küçük ve izole "kontrollü doğrulama adımları" tasarla. Böylece hangi adımın görünür, hangisinin görünmez olduğu daha net ayrışır ve Purple Team iyileştirmesi hızlanır.

5) Red Team'den Purple Team'e: tespit boşluğunu aksiyona çevirmek

"Evasion" bir başarı hikâyesi değil, bir iyileştirme girdisi olmalıdır. Bu yüzden her bulgu, Purple Team backlog'una düşecek şekilde paketlenir:

• Telemetri boşluğu: izlenmeyen varlık sınıfı / kapalı log kaynağı / retention yetersizliği
• Kural boşluğu: sinyal var ama korelasyon yok; eşikler/bağlam eksik
• Kalite boşluğu: FP çok yüksek; analist yükü artıyor; sınıflandırma net değil
• Süreç boşluğu: triage akışı yavaş; sahiplik belirsiz; erişim/rollendirme sorunlu

Bu yaklaşım, "EDR'yi yendik" gibi kısa ömürlü bir anlatıyı; "kontrol şu kabul kriteriyle güçlendirilmeli" gibi sürdürülebilir bir çıktıya dönüştürür. Burada MITRE gibi taksonomilerin dili yardımcı olabilir: teknikleri adlandırmak değil, savunma kapsamını haritalamak ve "hangi kontrol hangi teknik sınıfını ne kadar kapsıyor?" sorusunu somutlaştırmak.

Terimler Sözlüğü

Kendini Değerlendir

Bu Modülde Kazanılan Yetkinlikler

• EDR/SIEM görünürlüğünü "var/yok" yerine kapsama-doğruluk-gecikme-retention kalite kapılarıyla değerlendirebilme
• İmza/davranış/anomali tespitlerinin maliyetlerini (FP/FN, operasyonel yük) gerçekçi biçimde tartabilme
• "Alarm yok" durumunda hipotez-gözlem-karşı kanıt döngüsüyle kanıt standardında sonuca gidebilme
• "Güvenli evasion"ı kaçış tarifi olmadan, RoE ve minimum zarar sınırlarında tespit haritalama olarak uygulayabilme
• Visibility-detection ayrımını koruyarak kaynak-iddia-kanıt zinciri kurabilme ve confidence dilini doğru yönetebilme
• Tespit boşluklarını Purple Team backlog'una dönüştürecek şekilde ölçülebilir ve önceliklendirilebilir hale getirebilme

MODÜL 13 — Exfiltration ve Etki Simülasyonu

Modül Teması

Saldırı zincirinin son halkası çoğu zaman "teknik sızma"dan "iş riski"ne geçiş anıdır: erişim elde etmek tek başına anlamlı değildir; hangi veri sınıfına hangi koşullarda erişilebildiğini, bunun nerede görünür / nerede görünmez kaldığını ve kurumun bu riski nasıl azaltıp doğrulayabileceğini kanıt standardında gösterebildiğinde operasyon değer üretir. Bu modül, exfiltration ve etki (impact) konularını "hasar verme" perspektifinden değil, güvenli doğrulama + denetlenebilir kanıt + iyileştirme hattı perspektifinden ele alır. Modül 2'deki "crown jewels" hedeflemesiyle çerçeve kurar; Modül 12'deki telemetri/tespit gerçekliğine dayanır; Modül 17'deki raporlama ve Purple Team çıktısına bağlanır.

1) Exfiltration'ı doğru problem olarak tanımlamak

Exfiltration, "kopyaladım ve çıktı" cümlesiyle biten bir eylem değildir. İleri seviyede asıl soru şudur:

Hangi veri sınıfına, hangi yol üzerinden, hangi görünürlük ve engelleme olasılığıyla erişilebildi; bunu neyle kanıtlıyoruz?

Bu soru seni otomatik olarak üç şeye zorlar: (i) veri sınıfı, (ii) hazırlama (staging) ve hareket, (iii) kanal sınıfları ve kontrol yüzeyi. Böylece değerlendirme "heyecanlı bir aksiyon" olmaktan çıkar, "kontrol tasarımının testi" haline gelir.

1.1. Veri sınıfları: "değer" ve "zarar" her zaman aynı şey değildir

Aynı veri bir kurum için önemsiz, başka bir kurum için varoluşsal olabilir. Bu yüzden ileri seviye yaklaşım veri sınıfını sadece "gizli/özel" etiketleriyle bırakmaz; iş etkisi ve uyum/regülasyon boyutuyla ele alır:

• Yüksek iş etkisi: strateji dokümanları, fiyatlandırma, kaynak kodu, kritik sözleşmeler.
• Uyum riski: kişisel veriler, finansal kayıtlar, sağlık verileri gibi düzenlemeye tabi kümeler.
• Operasyonel risk: erişim anahtarları, sertifika/secret, token gibi kimlik materyali.

Örnek: Uydurma bir şirkette "ürün yol haritası" ile "test ortamı logları" karşılaştırılıyor. Yol haritası rekabet etkisi taşır. Test logları düşük değerli gibi görünür; ama içinde kimlik materyali kalıntıları varsa risk sınıfı bir anda yükselir. Bu dönüşüm raporda "varsayım" olarak değil, kanıtlanmış bir risk zinciri olarak yazılmalıdır.

Dikkat: "En değerli veri"yi aramak kadar, "düşük değerli görünen verinin yüksek etkiye dönüşme koşullarını" yakalamak kritiktir. Bu noktada acele kesinlik yerine, karşı kanıt arayan bir dille ilerlemek kalite göstergesidir.

1.2. Staging: aktarım öncesi görünmez risk katmanı

Staging, verinin kurum dışına çıkmadan önce toplandığı/özetlendiği/paketlendiği ara evredir. Bu evreyi önemli yapan şey şudur: pek çok kurumda kontroller "çıkış"a odaklanır; staging ise içeride olup biter ve yanlış güven varsayımlarının olduğu alanlarla çakışabilir (paylaşımlı depolar, senkronizasyon dizinleri, geçici çalışma klasörleri, rapor üretim alanları, CI/CD artefakt depoları gibi).

Bu modülde staging'in "nasıl yapılacağı" anlatılmaz. Anlatılan şey, staging'in neden ölçülmesi gerektiği ve ölçümün minimum zarar prensibiyle nasıl tasarlanacağıdır: "gereksiz veri biriktirmeden", "kurumu riske sokmadan", "kanıt standardını koruyarak".

İpucu: Staging'i bir "teknik aşama" gibi değil, bir "kontrol hipotezi" gibi yaz: "Bu kurumda şu tip ara depolarda görünürlük/retention zayıf olabilir." Sonra hipotezi doğrulamak için hangi telemetriye bakacağını ve hangi bulgunun hipotezi çürüteceğini önceden tanımla.

1.3. Kanal sınıfları: "kolay yol" değil, "ölçülebilir yol" düşüncesi

Kanal seçimi, ileri seviyede "hangi yöntemle çıkılır" sorusu değildir; "hangi kanal sınıfı, hangi kontrol yüzeyiyle test edilebilir" sorusudur. Kanal sınıflarını şu başlıklarda düşünmek işlevseldir:

• Uygulama katmanı kanalları: e-posta, dosya paylaşımı, kurumsal iş uygulamaları üzerinden veri akışları.
• Ağ katmanı kanalları: egress trafiği, proxy/DNS/TLS gibi noktalarda görünürlük üreten/üretmeyen akışlar.
• Bulut/hibrit kanalları: SaaS senkronizasyonu, API tabanlı veri hareketi, tenantlar arası kopyalama riskleri (Modül 14 ile doğal bağ).
• Süreç/iş mantığı kanalları: kurumun zaten izin verdiği "meşru veri yolları" (ör. dış bordro sağlayıcısı, dış raporlama süreci) üzerinden doğan riskler.

Burada kritik olan, "teknik bir atlatma"yı tarif etmek değil; iş sürecinin, kontrol kararlarını nasıl şekillendirdiğini görmek. Bazı akışlar "güvenilir hedef" kabul edildiği için içerik denetimi daha gevşek olabilir; bazı akışlarda ise tam tersi, iş sürekliliği için istisnalar tanımlanmıştır. İleri seviye değerlendirme bu istisnaları "suistimal edilebilir" diye yazıp geçmez; neden böyle tasarlandığını ve hangi ek kontrollerle dengelenebileceğini tartışır.

Dikkat: Kanal sınıflarını saymak bulgu değildir. Bulgu, kanal sınıfının bu kurumda hangi log kaynaklarında göründüğünü, hangi kontrollerin devreye girdiğini ve bunun iş riskine nasıl bağlandığını kanıtlayabildiğinde oluşur.

1.4. Doğrulama döngüsü: hipotez-gözlem-karşı kanıt-confidence

"Proxy'de görmedik, demek ki olmadı" veya "DLP alarm verdi, demek ki engelledi" gibi kestirmeler ileri seviyede risklidir. Çünkü hem telemetri hem de kontrol davranışı bağlama bağımlıdır. Bu yüzden exfiltration değerlendirmesi bir doğrulama döngüsüyle yürür:

• Hipotez: "Şu veri sınıfı, şu akış sınıfı üzerinden taşınabilir görünür."
• Gözlem: "Şu zaman penceresinde, şu kontrol noktalarında şu sinyal görüldü/görülmedi."
• Karşı kanıt: "Benzer akış normal iş süreçlerinde var mı? Retention yeterli mi? Başka log kaynağında iz var mı? Kontrol davranışı 'fail-open' olabilir mi?"
• Confidence: "Bu iddianın güven düzeyi nedir; hangi ek kanıt gelirse yükselir/düşer?"

2) DLP'yi "kural seti" değil, "karar mekanizması" olarak okumak

DLP'yi ileri seviyede anlamak, "hangi ürün var" değil, "hangi sinyalle karar veriyor" sorusunu sormaktır. DLP'ler kurumdan kuruma değişse de karar mekanizmaları çoğunlukla şu sınıflara ayrılır:

• İçerik örüntüsü (pattern) ve regex: belirli veri formatlarını yakalama (ör. kimlik numarası formatları).
• Parmak izi / içerik tanıma (fingerprinting): bilinen belge/şablonları benzetimle eşleme.
• Metaveri ve bağlam: dosya etiketi/sınıflandırma, kanal, hedef, kullanıcı rolü, zaman, iş süreci gibi sinyaller.

Bu çerçeve, DLP'nin "kör noktalarını" (daha doğrusu kapsama sınırlarını) tartışmayı mümkün kılar-ama amaç "bypass nasıl yapılır" değildir. Amaç, savunma açısından doğru soruyu sormaktır:

• İçerik denetimi ne zaman mümkün değil? (ör. içerik okunamaz hale geldiğinde)
• Sistem bu durumda fail-closed (engelle) mi davranıyor, yoksa fail-open (izin ver) mı?
• İş sürekliliği nedeniyle izin verilen istisnalar, hangi ek kontrollerle dengeleniyor?

İpucu: DLP değerlendirmesini "tek kural" düzeyinde raporlama. Her bulguyu şu üçlüyle paketle: (1) hangi sinyalle karar verildi, (2) bu sinyal hangi koşullarda zayıflıyor, (3) bu zayıflık iş sürecinde hangi veri sınıfını riske sokuyor. Bu format, Modül 17'deki remediation backlog'unu doğrudan besler.

2.1. "Okunamaz içerik" problemi: şifreleme ve denetim sınırı

Bazı akışlarda veri, denetim noktasına geldiğinde içerik olarak görülemez (şifreli arşivler, uçtan uca şifreli kanal vb.). Burada kritik nokta "şifreleme kötü" gibi yüzeysel bir çıkarım değildir; kritik nokta şudur: kontrol mekanizması, içerik okuyamadığında nasıl karar veriyor ve bunun yanlış alarm/iş kesintisi maliyeti nedir?

• Eğer her okunamaz içeriği engellersen, iş süreçlerini durdurabilirsin.
• Eğer okunamaz içeriğe geniş izin verirsen, DLP'nin kapsama alanını fiilen daraltabilirsin.

İleri seviye rapor, bu dengeyi "ya hep ya hiç" yerine risk eşiği + bağlam + telafi edici kontroller olarak tartışır (ör. hedef/kanal kısıtları, sınıflandırma zorunluluğu, ek izleme/uyarı gibi).

2.2. "Düşük ve yavaş" (low-and-slow) ve eşik mantığı

Kurumsal kontrollerin bir kısmı hacim/ hız eşikleriyle çalışır (ani büyük hareketleri yakalamak kolaydır; küçük parçalı hareketleri yakalamak zordur). Bu noktada bu modül bir teknik uygulama öğretmez; fakat savunma perspektifinden şu soruyu görünür kılar:

• Kontrol yalnızca "tek seferde büyük hacim"e mi bakıyor, yoksa zaman içinde biriken küçük hareketleri de korele edebiliyor mu?
• Bu korelasyon yapılacaksa bunun SOC üzerindeki gürültü maliyeti nedir?

2.3. "Format değişimi" ve sınıflandırma sürekliliği

Veri, farklı temsil biçimlerine dönüştüğünde kontrollerin bir kısmı bağlamı kaybedebilir. Burada ileri seviye okuryazarlık şu farkı bilir: "veri kaybolmadı; temsil biçimi değişti." Bu nedenle güvenli değerlendirme, sınıflandırmanın ve bağlamın akış boyunca korunup korunmadığını ölçer.

Dikkat: Bu başlıklar "şöyle yaparsan geçersin" listesi değildir. Bu modülün çıktısı, kontrol tasarımını iyileştirmek için hangi zayıf varsayımların bulunduğunu ve bunların iş etkisini kanıt standardında göstermektir.

3) Etki simülasyonu: yıkım üretmeden ikna edici kanıt üretmek

Etki (impact) simülasyonu, "sistemi durdurmak" veya "gerçek veri ihlali yaratmak" değildir. Etki simülasyonu, iş sahibinin anlayacağı biçimde şu soruyu yanıtlar:

Bu yetki seviyesiyle, bu sistem ve süreçlerde hangi zarar gerçekleşebilirdi; bunu zarar vermeden nasıl kanıtlıyoruz?

Bu yaklaşım, özellikle fidye yazılımı riskini (erişilebilirlik ve bütünlük etkisi) güvenli biçimde ölçmek için kritiktir.

3.1. "Yapabilirim" kanıtı: eylemi yapmak yerine kabiliyeti doğrulamak

• Erişilebilirlik (availability): hizmeti gerçekten düşürmeden, hizmetin kritik yapılandırma/çalışma bileşenlerinde değişiklik yapabilecek yetkinin varlığını kanıtlamak.
• Bütünlük (integrity): veri tahribatı yapmadan, "değiştirebilme" kabiliyetini minimum, geri alınabilir ve izlenebilir bir kanıtla göstermek.
• Fidye yazılımı benzeri risk: "dosyalara yazabiliyorum" gibi kabiliyet göstergelerini, gerçek şifreleme/yıkım yapmadan kanıtlamak (benign simulation).

Burada kalite kapısı şudur: kanıt ikna edici olacak; ama kurumda kalıcı değişiklik veya iş kesintisi yaratmayacak.

İpucu: Etki kanıtını tasarlarken önce "geri dönüş planı" yaz: Ne değişirse geri alacağız? Kim onaylayacak? Hangi telemetriyle doğrulayacağız? Bu, Modül 1'deki RoE ve kill-switch mantığını etki simülasyonuna taşır.

3.2. Kanıtın dili: dramatik anlatı yerine ölçülebilir ifade

İleri seviye raporda "felaket olabilirdi" cümlesi tek başına değer taşımaz. Bunun yerine kanıt dili şu üçlüyü korur:

• Kapsam: Hangi sistem/veri sınıfı/iş süreci?
• Koşul: Hangi yetki seviyesi ve hangi kontrol davranışı altında mümkün?
• Doğrulama: Bunu hangi log/sinyal ve hangi karşı kanıt arayışıyla destekliyoruz?

Örnek: Uydurma bir senaryoda kritik bir dosya alanında "yazma yetkisi" kanıtlandıysa, rapor bunu "şifreleyebilirdik" gibi bir iddia cümlesiyle bitirmez; bunun yerine "Bu alanda bütünlük/erişilebilirlik etkisi doğurabilecek kabiliyet doğrulandı; şu kontrollerin görünürlük/engelleme davranışı şu kanıtlarla ölçüldü." şeklinde ölçülebilir yazar.

3.3. Yöntem seçimi ve sınırlar: aynı etkiyi kanıtlamanın birden fazla yolu vardır

Aynı iş etkisini kanıtlamak için farklı yollar olabilir. İleri seviye seçim, şu maliyetleri birlikte tartar:

• Üretime etki riski ve geri dönüş zorluğu
• Gürültü/yanlış alarm maliyeti (SOC yükü)
• Etik/OPSEC sınırı ve RoE uyumu
• Tekrar üretilebilirlik ve denetlenebilirlik

4) Güvenli kapanış: "hiç olmamış gibi" değil, "tartışmasız teslim" gibi

Profesyonel kapanışın hedefi, adli izleri yok etmek (anti-forensics) değildir. Hedef, operasyonun ürettiği operasyonel artıkları temizlemek ve mavi takımın test ile gerçeği ayırt edebilmesini sağlayacak değişiklik günlüğünü teslim etmektir.

4.1. Cleanup disiplini: ortamda "çöp" bırakmamak

Kapanışta tipik iş kalemleri (komut/araç tarifi olmadan, prensip düzeyinde):

• Test sırasında bırakılmış geçici dosyalar/artefaktlar
• Geçici erişimler, test amaçlı açılan istisnalar
• Operasyon için oluşturulan kullanıcı/rol/erişim öğeleri
• Kanıt paketinde yer almaması gereken ham materyaller

Dikkat: "Temizlik" ile "kanıt yakma"yı karıştırmak en büyük profesyonellik hatalarından biridir. Temizlik, testin bıraktığı operasyonel yükü kaldırır; denetim için gerekli olan kanıtı ortadan kaldırmaz.

4.2. Güvenli silme ve veri minimizasyonu

Standart silme işlemleri her zaman veri geri kazanımını imkânsız kılmaz; bu nedenle kurum politikaları ve RoE'ye uygun şekilde güvenli imha ve veri minimizasyonu yaklaşımı benimsenmelidir. Burada amaç teknik tarif vermek değil, doğru prensibi yerleştirmektir: test için toplanan her şeyin neden toplandığı, nerede saklandığı, ne zaman ve hangi onayla imha edildiği izlenebilir olmalıdır.

4.3. Değişiklik günlüğü: deconfliction'ın somut çıktısı

Mavi takımın test sırasında "hayalet avlamaması" için değişiklik günlüğü kritik bir teslimat kalemidir. Günlük şu soruları yanıtlar:

• Hangi sistemlerde, hangi zaman aralığında, hangi test kaynaklı değişiklikler oldu?
• Bu değişiklikler hangi amaçla yapıldı ve nasıl geri alındı?
• Mavi takım loglarında neyi "test artefaktı" olarak beklemeli?

Bu günlük, Modül 1'deki deconfliction mantığını pratikte mümkün kılar ve Modül 17'deki Purple Team oturumunda ortak gerçeklik zemini oluşturur.

Terimler Sözlüğü

Kendini Değerlendir

Bu Modülde Kazanılan Yetkinlikler

• Exfiltration'ı "kanal" ezberinden çıkarıp veri sınıfı + kontrol yüzeyi + ölçüm tasarımı üçlüsüyle düşünmeyi.
• Staging'i, içerideki varsayım ve görünürlük boşluklarını yakalayan kritik bir risk katmanı olarak okumayı.
• DLP'yi kural listesi değil, karar mekanizması olarak ele alıp fail-open/fail-closed ve telafi edici kontrol mantığını kurmayı.
• Etki simülasyonunu zarar vermeden, benign ama denetlenebilir kanıtlarla iş diline çevirmeyi.
• Kaynak-iddia-kanıt ayrımı, karşı kanıt arayışı ve confidence diliyle kanıt standardını yükseltmeyi.
• Güvenli kapanışı; cleanup, erişim kaldırma, veri minimizasyonu ve değişiklik günlüğüyle tartışmasız teslim haline getirmeyi.

Modül 14 — Cloud ve Hybrid Red Teaming: Saldırı Patikası Perspektifi

Geleneksel ağ güvenliğinde "kale ve hendek" (segmentasyon, güvenlik duvarı, DMZ) metaforu işe yarar; bulutta ise güven sınırı çoğu zaman kimliktir. Çünkü bulut ortamının gerçek topolojisi, sunucu listesinden çok kimlikler-roller-politikalar-servisler arasındaki ilişki grafıdır. Hibrit yapılarda (on-prem ↔ bulut) bu ilişki grafı iki dünyanın güven varsayımlarını birbirine bağlar; tek bir istisna veya fazla yetki, beklenmedik bir saldırı patikasına dönüşebilir. Bu modül, teknik "sızma" adımlarına girmeden; Control Plane (yönetim düzlemi) ile Data Plane (veri düzlemi) ayrımı, IAM mantık hataları, hibrit kimlik köprüleri ve görünürlük/tespit boşlukları üzerinden saldırı patikası modelleme disiplinini ileri seviyede ele alır.

1) Bulutta saldırı yüzeyinin yeniden tanımı: Kimlik perimetresi ve API gerçekliği

Bulutta "erişim" çoğu zaman bir makinenin ağına girmekten ziyade, bir kimliğin hangi kaynaklarda hangi eylemleri yapabildiğini anlamaktır. Bu nedenle ileri seviye keşif ve analiz, envanteri "VM/Storage/DB listesi" gibi değil; kimlik grafı gibi okur: kullanıcılar, servis/otomasyon kimlikleri, roller, politikalar, grup üyelikleri, federasyon bağları ve bunların bağlandığı kaynaklar.

1.1. Control Plane ve Data Plane: aynı olayın iki farklı yüzü

• Data Plane, verinin kendisiyle ilgili akışları kapsar: uygulama trafiği, dosya/nesne erişimi, sorgular, servis çağrıları gibi.
• Control Plane, altyapıyı yöneten yönetim/API katmanıdır: kaynak oluşturma, konfigürasyon değiştirme, yetki atama, güvenlik kuralı güncelleme gibi.

Bu ayrım, saldırı patikası düşüncesini keskinleştirir: Data Plane'deki bir zayıflık bazen yalnızca "yerel" bir etki doğurur; fakat aynı bağlam Control Plane'e temas edebilen bir kimliğe bağlanıyorsa etki, altyapının tamamına yayılabilecek bir risk sınıfına çıkar.

Örnek: Uydurma bir senaryoda, uygulama katmanındaki bir kusur "tek sunucu" etkisi gibi görülür. Ancak bu iş yüküne atanmış yönetilen kimlik/rol, yönetim düzleminde geniş yetkilere sahipse; risk, uygulama verisiyle sınırlı kalmayıp "altyapı değişebilir" sınıfına yükselir. Bu iddiayı kurarken hedef "ne yapılır" anlatmak değil; hangi güven ilişkisi hangi iş varlığına patika açıyor sorusunu kanıt standardında cevaplamaktır.

İpucu: Control Plane riskini anlatırken "bulutu hacklemek" gibi muğlak ifadeler yerine, "hangi kimlik hangi yönetim eylemlerini yapabiliyor; bu eylemler hangi iş varlığına dokunuyor?" çizgisinde somutlaştır. Savunma ekibinin aksiyon alabilmesi için patika, "kimlik → yetki → kaynak → iş etkisi" sırasını net göstermeli.

1.2. İnsan, servis ve otomasyon kimlikleri: aynı yetki, farklı risk

• İnsan kimlikleri bağlam kontrollerine (MFA, koşullu erişim, cihaz uyumu, lokasyon/oturum risk skoru vb.) daha çok bağlıdır.
• Servis kimlikleri genellikle "sessiz ve sürekli" çalışır; yanlış yetki verilirse risk daha istikrarlı ve çoğu zaman düşük gürültüyle akar.
• Otomasyon kimlikleri (CI/CD, IaC, bakım iş akışları) küçük bir yanlışla geniş etki üretebilir; çünkü çoğu otomasyon "yönetim düzlemi"ne dokunur.

Aynı izin seti, kimliğin doğası nedeniyle farklı risk profili üretir. Bu noktada ileri seviye yaklaşım, yalnızca "yetki geniş" demekle yetinmez; bu yetki neden var, gerçekten kullanılıyor mu, kullanılmıyorsa neden hâlâ duruyor, hangi patikayı mümkün kılıyor sorularını doğrulama-karşı kanıt döngüsüyle ele alır.

Dikkat: Bulut ortamında "kanıt üretmek" ile "davranış üretmek" arasındaki çizgi çok incedir. Üretim ortamında geri dönüşü zor değişiklikler, geniş kapsamlı denemeler veya geri alma planı olmayan doğrulamalar, etik ve minimum zarar ilkesiyle çelişir. İleri seviye doğrulama, en düşük etkili sinyallerle başlar; yalnızca gerektiğinde ve kapsamı daraltarak derinleşir.

1.3. "Doğrulama" nasıl görünür olur? İddia-gözlem-karşı kanıt-confidence

Bulutta iddia kurmak kolaydır ("şu rol şunu yapabilir"), ama yayınlanabilir bir rapor için bu iddianın kanıta çevrilmesi gerekir:

• İddia: Yetkinin varlığını ve kapsamını açık ifade et.
• Gözlem: Rol/policy tanımı, atama/bağlılık (attachment), bağlam şartları, kaynak tarafı kısıtları gibi sinyalleri birleştir.
• Karşı kanıt: "Kağıt üstünde var ama pratikte engel var mı?" sorusunu sistematik ele.
• Confidence dili: "Ne kadar eminim, hangi veriyle, hangi şartlarda fikrim değişir?"

İpucu: "Policy'de izin var" tek başına "etki var" demek değildir. Kaynak tarafı kısıtlar, koşullu erişim kararları, onay iş akışları ve log/retention sınırları gibi unsurlar, iddiayı zayıflatabilir veya güçlendirebilir. Bu yüzden raporda, iddiayı destekleyen sinyaller kadar karşı kanıt arayışını da görünür kıl.

2) IAM yanlışları ve ayrıcalık zincirleri: Mantık hatasından patikaya

Bulutta kritik risklerin önemli bir bölümü "kod açığı"ndan ziyade yanlış yapılandırma ve yetkilendirme mantığı kaynaklıdır. İleri seviye farkı, bu yanlışları tekil "kötü policy" olarak değil; ayrıcalık zinciri olarak okumaktır: küçük yetkilerin birleşimiyle daha yüksek iş etkisine giden yol.

2.1. Aşırı yetkilendirme (over-permissive) nasıl sınıflanır?

Yetkileri üç pratik sınıfta düşünmek, etkiyi berraklaştırır:

• Okuma (Read): gizlilik/uyum ve rekabet etkisi (hangi veri okunuyor?)
• Yazma (Write): bütünlük etkisi (yanlış veri, bozulmuş iş akışı, zehirlenmiş çıktı)
• Yönetme (Manage): kontrol düzlemi etkisi (başka kimliklerin ve kaynakların kontrolünü etkileyebilir)

Örnek: Uydurma bir ekip "sadece okuma yetkisi var, risk düşüktür" der. Ancak okunan içerik, konfigürasyon/bağlantı parametreleri veya yetki dağıtımına dolaylı kapı aralayan bilgiler içeriyorsa; "okuma" düşük risk varsayımı hızla çöker. İleri seviye rapor, "okuma"yı otomatik düşük risk saymaz; okunan şeyin türü ve bunun iş etkisine bağını kanıtlar.

2.2. Zincir düşünmek: "yetki dağıtım noktaları"nı yakalamak

Ayrıcalık zinciri çoğu zaman "tek büyük izin"den değil; yetki dağıtım noktalarına temas edebilen küçük izin kümelerinden doğar. İleri seviye analiz şu sorularla yürür:

• Bu kimlik hangi kaynakları değiştirebilir ve bu değişiklik kimlerin erişimini etkiler?
• Bu kimlik, rol/policy/grup üyeliği gibi "yetki üretim" mekanizmalarına temas ediyor mu?
• Patika boyunca hangi halkalar görünür, hangileri kör (telemetri/retention/erişim kısıtları) kalır?

İpucu: Zinciri anlatırken "büyük kelimeler" yerine ara halkaları göster: "Bu yetki → şu yönetim eylemine temas → şu iş varlığı üzerinde dolaylı kontrol ihtimali." Savunma tarafı için en değerli çıktı, bu patikanın hangi kontrolle kırılacağıdır (guardrail, onay akışı, least privilege, izleme kuralı vb.).

2.3. Kanıt zinciri: "var" demek yetmez, "bağlı" olduğunu göstermek gerekir

Bir policy'nin geniş olması tek başına kritik bulgu olmayabilir. Kritik soru: Bu yetki kimde? (kullanıcı/rol/grup/servis) ve aktif mi? (bağlılık/atama ve kullanım bağlamı).

• "Yetim" (unattached) policy çoğu zaman doğrudan operasyonel risk değildir; ama kurumsal hijyen problemidir ve ileride risk üretmeye adaydır.
• "Bağlı ve aktif" bir geniş yetki, daha yüksek confidence ile raporlanabilir; çünkü saldırı patikasını "varsayım" yerine "izlenebilir ilişki" ile kurarsın.

Dikkat: Kanıt kalitesi yükseldikçe, raporun dili de daha dikkatli olmalı: "kesin" ifadeler yalnızca zincirin halkaları bağımsız sinyallerle doğrulandığında kullanılmalı; aksi halde "orta/yüksek olasılık" gibi doğru bir confidence dili tercih edilmelidir.

3) Hibrit kimlik köprüleri: On-prem ↔ bulut güven ilişkisinin anatomisi

Hibritte asıl risk "iki farklı ortam" değil; iki ortam arasındaki güven ilişkisidir. Bu köprüler doğru tasarlanırsa güvenliği artırır, yanlış varsayımlarla işletilirse güven sınırlarını silikleştirir.

3.1. Köprü türleri ve risk sınıfları

• Eşitleme (sync) odaklı köprüler: yerel dizin bilgileri buluta taşınır; "kimliğin kaynağı" ve "değişikliklerin yetkisi" kritikleşir.
• Federasyon odaklı köprüler: kimlik doğrulama bir tarafta yapılır, bulut tarafı bu karara güvenir; istisnalar ve imza/güven materyali riski büyür.
• Servis kimliği/entegrasyon köprüleri: otomasyon bağlantıları; düşük görünürlükle yüksek etki doğurabilir.

Bu noktada isimlerden ziyade şu soru belirleyicidir: Köprü hangi varsayımlarla güvenli sayılıyor? "Her federe oturum MFA'lıdır", "istisnalar dar ve süreli kalır", "senkronizasyon hesabının yetkisi sıkı kontrol edilir", "sertifika/anahtar yönetimi olgundur" gibi varsayımlar; gerçek hayatta en çok sızdıran yerlerdir.

Örnek: Uydurma bir kurum "kurumsal cihaz şartı" koyar; fakat "acil iş" gerekçesiyle istisnalar açılır ve zamanla genişler. İleri seviye rapor, istisnayı sadece belirtmez: kapsamını, gerekçesini, telafi edici kontrolleri (izleme, zaman kısıtı, onay), bu kontrollerin gerçekten çalıştığına dair kanıtları ve belirsizlikleri birlikte yazar.

3.2. "Köprü var" ile "etki var" arasına kanıt koymak

Hibrit bulguların en yaygın hatası, bağlantıyı otomatik etkiye bağlamaktır. Doğru disiplin:

• Köprünün varlığını doğrula (teknik ilişki/işletim modeli).
• Yetkilendirme kararlarının ve istisna setlerinin bu köprü üzerinden risk üretip üretmediğini kanıtla.
• Telemetri ve saklama (retention) sınırlarını açıkça yaz; "görünürlük yok"u "olmadı" diye yorumlama.

İpucu: Hibritte tek bir "ayar düzeltmek" çoğu zaman yetmez; güven ilişkisinin işletimi düzeltilmelidir: istisna yönetimi, periyodik yetki gözden geçirme, log erişimi ve saklama politikası, sahiplik (kim onaylıyor?) ve acil durum süreçleri. Bu yaklaşım, Modül 17'deki aksiyon backlog'unu gerçekçi ve denetlenebilir yapar.

4) Bulut görünürlüğü ve loglama: "Ne loglanır, ne kaçırılır?"

Bulut sağlayıcı "bulutun güvenliği" (altyapı katmanı) tarafında sorumluluk taşırken; müşteri "bulut içindeki güvenlik"ten (konfigürasyon, kimlik, veri ve izleme) sorumludur. Bu paylaşım, görünürlüğün varsayılan olarak "tam" olacağı anlamına gelmez.

4.1. Yönetim olayları ve veri olayları: görünürlük boşluğu nerede doğar?

• Yönetim olayları (management-type): kaynak oluşturma/silme, rol/policy değişimleri, konfigürasyon hareketleri.
• Veri olayları (data-type): nesne/dosya erişimi, bazı veri düzlemi okumaları/yazmaları ve servis-özel işlemler.

Birçok kurumda veri olaylarının görünürlüğü, maliyet/performans ve operasyonel karmaşıklık nedeniyle sınırlı tutulur. Bu da şu soruyu doğurur: "Bir olay olduysa, iz nerede oluşur; oluşmuyorsa bunu nasıl ve ne kadar confidence ile söyleyebilirim?"

4.2. Görünürlük ≠ tespit ≠ engelleme

• Görünürlük: izin/sinyalin bir yerde oluşması
• Tespit: sinyalleri bağlamlı korelasyonla anlamlı alarmlara dönüştürmek
• Engelleme: guardrail/policy ile riskli eylemi önlemek

Örnek: Uydurma bir ortamda yönetim olayları kayıt altındadır; fakat "yüksek riskli rol ataması" gibi kritik desenler için tespit kuralı yoktur. "Log var" denebilir ama "tespit var" denemez. İleri seviye rapor, "kural yazın" demekle kalmaz; hangi sinyallerle, hangi bağlamda, hangi eşiğin FP/noise maliyetiyle yönetileceğini kabul kriteri şeklinde tarif eder.

Dikkat: "Alarm yok" ifadesi kanıt değildir. Alarm yokluğu; yanlış kural, yanlış eşik, gecikme, retention boşluğu, erişim kısıtı veya gerçekten olay yokluğu gibi birden fazla açıklamaya sahip olabilir. Bu yüzden rapor dili aceleci kesinlikten kaçınmalı; karşı kanıt arama adımı açıkça görünmelidir.

Terimler Sözlüğü

Kendini Değerlendir

Bu Modülde Kazanılan Yetkinlikler

• Bulutta saldırı yüzeyini, kimlik ve yetkilendirme ilişkileri üzerinden "graf" gibi okuyabildin.
• Control Plane ve Data Plane ayrımını, riskin stratejikleştiği noktaları gerekçelendirmek için kullandın.
• IAM yanlışlarını tekil bulgu olarak değil, ayrıcalık zinciri ve iş etkisi patikası olarak modelledin.
• Hibrit kimlik köprülerinde varsayımları, istisnaları ve güven ilişkisi kırılmalarını sistematik değerlendirdin.
• Loglama/görünürlük konusunu "var/yok" düzeyinden çıkarıp tespit/engelleme ve belirsizlik yönetimi perspektifiyle ele aldın.
• Bulguları kanıt zinciriyle paketleyip, confidence dili ve yöntem seçimi maliyetlerini (noise/FP, operasyonel yük, etik sınır) rapora taşıdın.

MODÜL 15 — Container ve Kubernetes Saldırı Yüzeyi

Modül Teması

Container ve Kubernetes ekosisteminde "saldırı yüzeyi", tek tek sunuculardan çok; imaj tedarik zinciri, runtime izolasyonu, orkestrasyon kontrol düzlemi ve kimlik/yetki ilişkilerinin birleşiminden doğar. Özellikle Kubernetes, uygulamaları yönetirken aynı zamanda en kritik güven sınırını-API tabanlı kontrol düzlemi-oluşturur: küçük gibi görünen bir RBAC aşırılığı, fazla yetkili bir servis hesabı veya denetimsiz bir admission akışı, iş etkisine giden patikayı sessizce açabilir. Bu modül, "nasıl suistimal edilir?" ayrıntısına girmeden; saldırı patikası perspektifiyle okuma, iddia-kanıt-karşı kanıt disiplini ve raporlanabilir bulgu üretme standardı kazandırır.

1) Container tehdit modeli: izolasyon varsayımlarını doğru kurmak

"Container = küçük VM" varsayımı, en pahalı yanlışlardan biridir. Container'lar çoğu zaman aynı host üzerinde aynı kernel'i paylaşan izole süreçlerdir; izolasyon, katmanlı ama "mutlak" değil "tasarımsal"dır. İleri seviyede hedef, bu varsayımları ezberden değil; kanıtlayarak/çürüterek yönetmektir.

1.1. İmaj-runtime-kernel ayrımı: saldırı yüzeyi nerede başlar?

• İmaj (image): "Ne çalıştırıyoruz?" sorusunun cevabı. İçerik bütünlüğü ve köken doğrulama burada başlar.
• Runtime: İmajın hangi ayrıcalıklarla, hangi izolasyon/bağlantı noktalarıyla çalıştığı katman. Yetkiler, mount'lar, capability'ler, host temasları burada anlam kazanır.
• Paylaşılan kernel: Container'ın izolasyon iddiasının sınırını çizen gerçek. Kernel paylaşımı, bazı risklerin "workload içinde" değil "host sınırında" büyümesine yol açar.

Örnek: Uydurma bir kurum, müşteri verisi işleyen servisi "container içinde" çalıştırdığı için güvenli sayıyor. İleri seviye inceleme "container var" diye rahatlamaz; servisin hangi kimlikle çalıştığını, hangi ayrıcalıklarla host'a temas ettiğini, hangi politikaların bunu sınırladığını çıkarır; "izolasyon güçlü" iddiasını destekleyen ve çürüten sinyalleri birlikte listeler.

Dikkat: "Container güvenli değil" gibi genellemeler yayınlanabilir raporda zayıf kalır. Güçlü yaklaşım: hangi kontrol eksikliği hangi patikayı mümkün kılıyor? İzolasyon iddiasını ölçülebilir bulgulara (politika, yetki, konfigürasyon, denetim izi) bağlamadan kesin hüküm verme.

1.2. "Değerli varlıklar" listesi: pod'lardan fazlası

Container/Kubernetes ortamında saldırı patikaları çoğu zaman şu varlıkların çevresinde kurulur:

• Registry: Kim imaj yazabilir/çekebilir? Bütünlük/köken doğrulama var mı?
• CI/CD ve build altyapısı: "Üretim cluster'ına giden yol" üzerindeki en kritik güven halkası.
• Secrets ve kimlik materyali: Uygulamanın iş yapmasını sağlayan anahtarlar, token'lar, sertifikalar.
• Kubernetes API / kontrol düzlemi: Değişiklik, yetki ve politika kararlarının merkezi.
• Node katmanı: Workload'ların koştuğu zemin; burada güven bozulursa etki büyür.

İpucu: Varlık envanterini "sunucu listesi" gibi değil, kimlik ve yetki akışı gibi düşün: Workload kim, neyi, hangi koşulda yapabiliyor? Bu yaklaşım, Modül 14'teki kimlik-merkezli okuma ile doğal biçimde birleşir.

1.3. Doğrulama döngüsü: iddiayı kanıta çevirmek

İleri seviye doğrulama aynı anda iki iş yapar:

1. — İddiayı destekleyen kanıtı toplar (konfigürasyon/politika/ilişki).
2. — Karşı kanıt arar (kısıtlar, guardrail'ler, denetimler, görünürlük).

Bunu "kanıt zinciri" gibi düşün: gözlem → yorum → sonuç ayrımını korursan hem raporun denetlenebilir olur, hem de "fazla kesin" cümlelerin maliyetini düşürürsün.

1.4. Ayrıcalık ve breakout riskini "sınıf" olarak okumak

Container güvenlik modelinde izolasyon; isim alanları (namespaces), kaynak sınırları (cgroups), yetenek setleri (capabilities) ve politika/guardrail'lerle güçlenir. Bazı konfigürasyon sınıfları izolasyon varsayımını zayıflatır:

• Host ile temasın artması: Paylaşımlar/mount'lar, host isim alanlarına yakınlık, cihaz erişimi gibi temas noktaları.
• Ayrıcalıkların artması: "Gereksiz geniş" yetki ve uzun ömürlü istisnalar.
• Denetimin azalması: Politika kapsam dışı alanlar, zayıf istisna yönetimi, yetersiz audit izi.

Örnek: Uydurma bir ekip, "sorunları hızlı çözmek" için geliştirici ekibe geniş ayrıcalıklarla çalışan bir debug bileşeni vermiş. İleri seviye rapor bunu sadece "kötü" diye etiketlemez; iş gerekçesini doğrular, kapsamı ve süreyi inceler, telafi edici kontrolleri sorar ve "kalıcı istisna mı, kontrollü geçici süreç mi?" ayrımını kanıtlarla görünür kılar.

2) Supply chain: imaj bütünlüğü, registry ve CI/CD hattı

Container güvenliği çoğu zaman runtime'dan önce kaybedilir: "ne koşuyoruz?" sorusu net değilse, en iyi runtime kontrolleri bile yetersiz kalabilir.

2.1. Etiket (tag) güveni mi, içerik güveni mi?

Etiketler operasyonda pratik olsa da ileri seviyede "etikete güven" refleksi sorgulanır: etiket değişebilir, içerik drift edebilir. Yayınlanabilir raporda değer yaratan şey:

• Köken ve üretici kimliği izlenebilir mi?
• Değişiklik onayı ve istisna yönetimi var mı?
• Bütünlük ve provenance kontrolleri (kurumun seçtiği yöntemle) işletiliyor mu?

Örnek: "Resmi imaj kullanıyoruz" deniyor. İleri seviye yaklaşım, "resmi" kelimesini ölçülebilir tanıma çevirir: resmi kaynak listesi, onay prosedürü, istisna mekanizması, denetlenebilir kanıt var mı?

Dikkat: Supply chain bulgularında en büyük tuzak "varsayımsal korku" yazmaktır. "İmaj zehirlenebilir" geneldir; asıl değer, kurumun hangi kalite kapılarını uyguladığını/uygulamadığını ve bunun iş etkisine nasıl bağlandığını gösterebilmektir.

2.2. SBOM, zafiyet taraması ve kabul kriterleri: FP/noise maliyeti

Tarama araçları "sinyal üretir"; ama sinyali bulguya çevirmek için:

• Kabul kriterleri (hangi sınıf bulgu, hangi şartlarda "bloklayıcı"),
• False positive yönetimi,
• Zaman uyumu (hangi sürüm ne zaman üretime girdi),
• İstisnaların görünürlüğü

gerekir. Burada "mükemmel tarama" değil, işletilebilir doğrulama hedeflenir.

2.3. Registry yetkisi: dağıtım noktasının yönetişimi

Registry, tedarik zincirinin dağıtım boğazıdır. İleri seviye değerlendirme, "registry güvenli" iddiasını şu sorularla test eder:

• Yazma/çekme yetkileri kimlerde? (insan + servis kimlikleri)
• İmaj imzalama/bütünlük doğrulama akışı var mı?
• Üretim ortamına giden imaj akışı üzerinde bağımsız kontrol noktaları var mı?

Minimum zarar ilkesi burada kritiktir: Üretime etki edecek müdahaleler yerine, çoğu zaman yetki ve süreç zayıflığını kanıtlayan izlenebilir delil (politika, audit izi, değişiklik kaydı, onay zinciri) rapor için yeterlidir.

2.4. CI/CD entegrasyonu: "cluster'a giden en kısa yol"

CI/CD sistemleri, üretim deploy yetkileri ve kimlik materyali nedeniyle yüksek değerli varlıktır. İleri seviye rapor, "CI/CD'de erişim var" demekle kalmaz:

• Erişimin kapsamını (hangi ortam, hangi namespace/cluster),
• Kimlik materyalinin yaşam döngüsünü (rotasyon, saklama, erişim denetimi),
• Telafi edici kontrolleri (ayrıcalık azaltma, onay kapıları, izleme) kanıt zincirinde gösterir.

İpucu: Bir kontrolün varlığı kadar işletimi önemlidir. Kâğıt üstünde mükemmel bir onay süreci, pratikte "acil iş" istisnalarıyla deliniyorsa bulgu "kontrol yok" değil, kontrol işletimi zayıf sınıfına girer. Bu ayrım, Modül 17'de aksiyonların gerçekçi yazılmasını sağlar.

3) Kubernetes kontrol düzlemi: kimlik ve yetki zincirinin merkezi

Kubernetes'te kritik hedef çoğu zaman "tek pod" değil; kümeyi yöneten kontrol düzlemi ve onun yetkilendirme mantığıdır. Burada amaç, komut tarif etmek değil; neye bakılır, nasıl doğrulanır, hangi karşı kanıt aranır disiplinini kurmaktır.

3.1. Kimlik doğrulama → RBAC → kapsam: izin kümelerinden patikaya

Kubernetes yetkisi, pratikte şu sorulara cevap verir:

• Kim? (kimlik)
• Ne yapabilir? (RBAC)
• Nerede ve neye? (namespace, kaynak türleri, fiiller)

İleri seviyede risk, çoğu zaman tek bir "çok geniş izin" değil; birleşince anlam kazanan izin kümeleridir. Raporun kalitesi, izinleri listelemekten ziyade şu zinciri kurabilmektir: kimlik → izin kümesi → kontrol düzlemi etkisi → workload etkisi → iş varlığı etkisi.

Örnek: "Bu servis hesabı sadece deploy için geniş erişime sahip; risk yok" deniyor. İleri seviye yaklaşım:

• İş gerekçesini doğrular,
• Yetkinin gerçek kapsamını ve kullanım şeklini kanıtlar,
• Telafi edici kontrolleri (policy, admission, audit, ayrıştırma) değerlendirir,
• Sonucu confidence ile yazar: Ne kadar eminiz? Neye dayanıyoruz? Hangi şartlarda fikrimiz değişir?

3.2. Servis hesapları: "sessiz" ve sürekli kimlikler

Workload kimlikleri, insan oturumundan farklıdır: daha sessiz, daha sürekli ve çoğu zaman otomasyonla taşınır. Bu yüzden ileri seviye değerlendirme:

• Yetkinin "iş gereksinimi" ile uyumunu,
• Gözden geçirme/daraltma disiplinini,
• Yetki doğrulama mekanizmalarını (Kubernetes'in kendi yetki değerlendirme akışları) merceğe alır.

Burada yöntem seçimi önemlidir: Bazı doğrulamalar yalnızca dokümantasyon/politika/audit izi ile düşük riskle yapılabilir; bazıları ise operasyonel yük doğurur. Minimum zarar ilkesinden sapmadan kanıt üretmek esastır.

3.3. Admission, policy motorları, CRD/operator ekosistemi: "policy var" yetmez

Kontrol yalnızca RBAC değildir. Admission katmanı, policy-as-code motorları, custom resource'lar ve operator mantığı; cluster'ın "hangi sınıf workload'a izin verdiğini" belirler. İleri seviye kontrol soruları:

• Politika hangi risk sınıflarını kapsıyor, hangilerini kapsayamıyor?
• İstisnalar nasıl yönetiliyor (süre, kapsam, görünürlük, geri alma)?
• Denetim izi üretilebiliyor mu; olay sonrası tekrar üretilebilirlik var mı?

Dikkat: "Policy var" ifadesi tek başına güvenlik kanıtı değildir. Kapsam + istisna yönetimi + denetim izi net değilse, raporda kesinlik yerine doğru kalibre edilmiş belirsizlik gerekir.

3.4. Secrets: encoding ile encryption'ı karıştırmamak

Kubernetes dünyasında secrets çoğu zaman "iş yürüsün" diye büyür. Burada iki kritik ayrımı net tutmak gerekir:

• Encoding (Base64): Kubernetes Secret nesnelerindeki veri alanı pratikte base64 ile temsil edilir; bu, gizlilik sağlamaz.
• At-rest encryption (etcd/depoda şifreleme): Cluster verisi çoğu dağıtımda etcd'de tutulur; at-rest şifreleme, açıkça yapılandırılan bir kontrol setidir ve yoksa hassas veriler depoda düz metin olarak kalabilir.

Bu başlıkta ileri seviye raporlama, "Secret bulundu" demekle bitmez:

• Secret yaşam döngüsü (üretim, dağıtım, rotasyon),
• Erişim modeli (hangi kimlikler görebiliyor/kullanabiliyor),
• Depo güvenliği ve şifreleme politikası,
• Kullanım izleri ve retention

kanıt zincirinde anlatılır.

4) Workload ve runtime yanlışları: küçük konfigürasyon, büyük patika

Workload konfigürasyonları "küçük ayar" gibi görünür; ama patikanın pratik halkaları çoğu zaman burada oluşur.

4.1. Security context ve ayrıcalık ekonomisi

İleri seviye bakış, tek tek ayarlardan çok risk sınıflarını okur:

• Host temasını büyüten seçimler,
• Gereksiz ayrıcalık genişlemeleri,
• Denetimi azaltan kör noktalar.

En güçlü rapor dili: "şu ayar kötü" değil; "bu seçim şu güven varsayımını zayıflatıyor; şu guardrail yoksa iş etkisine giden patika açılıyor" şeklindedir.

4.2. Sidecar modeli: aynı pod, paylaşılan kader

Sidecar deseninde bir pod içinde birden fazla container aynı ağ/volume bağlamını paylaşabilir. Bu, operasyonel fayda sağlarken ek bir saldırı yüzeyi de getirir: yardımcı bileşenin (proxy/log agent vb.) zayıflığı, ana uygulamanın veri/trafik bağlamına temas edebilir. İleri seviye değerlendirme, sidecar'ları "ikincil" saymaz; paylaşılan bağlam üzerinden riskin yayılımını analiz eder.

4.3. Ağ segmentasyonu ve multi-tenancy: teknikten çok yönetişim

Kubernetes'te ağ segmentasyonu "var/yok" gibi konuşulsa da ileri seviye soru şudur:

• Segmentasyonun kapsamı nedir, istisnalar nerede birikiyor?
• Çoklu ekip/tenant sınırları net mi; kim neyi yönetiyor?
• Bu sınırlar denetlenebilir mi?

Özellikle namespace'ler organizasyonel sınırdır; tek başına sert bir güvenlik izolasyonu garantilemez. Multi-tenancy güvenliği için ek kontroller gerekir.

4.4. Cluster → Cloud patikaları: kimlik perimetresi genişler

Modern Kubernetes ortamları çoğu zaman bulut servisleriyle iç içedir. Bu nedenle bir zayıflık cluster içinde başlayıp bulut kimlik/izinlerine temas edebilir. Modül 14'teki yaklaşımı burada tekrar kullanırsın: kimlik perimetresi, kontrol düzlemi, yetki zinciri ve görünürlük birlikte okunur.

5) Telemetri, tespit ve kanıt paketleme: bulguyu savunma değerine çevirmek

İleri seviyede amaç "ilginç zafiyet" bulmak değil; bulguyu denetlenebilir, tekrar üretilebilir ve aksiyonlanabilir hale getirmektir.

5.1. Görünürlük katmanları ve kör noktalar

Container/Kubernetes ortamında telemetri genellikle çok katmanlıdır:

• Kontrol düzlemi/audit izleri,
• Workload yaşam döngüsü ve değişiklik izleri,
• Runtime/host olay izleri,
• Merkezi log/SIEM korelasyonları (varsa).

Her katmanda kör noktalar olabilir: gecikme, retention yetersizliği, kapsam dışı alanlar, erişim kısıtları. İleri seviye rapor, bunu "bahane" değil confidence kalibrasyonu olarak kullanır.

5.2. Kanıt standardı: tek ekran değil, izlenebilir zincir

Güçlü bir kanıt paketi şunları içerir:

• Kaynak-iddia-kanıt ayrımı (ne gördük / ne yorumladık / ne sonuç çıkardık),
• Zaman uyumu (değişiklik sırası),
• Çapraz doğrulama (en az iki farklı sinyal tipi),
• Belirsizlik yönetimi (erişim/retention sınırları, veri kapsamı).

5.3. Bulgudan aksiyona: kabul kriterleri ve Purple Team hattı

Bir bulguyu "yapılacaklar listesi"ne çevirmek istiyorsan, her bulgu için:

• Hangi kontrol/politika eklenecek?
• Nasıl doğrulanacak?
• FP/noise maliyeti nasıl yönetilecek?

gibi kabul kriterleri yazmak etkiyi artırır. Bu yaklaşım, Modül 12'deki "tespit gerçekliği" ve Modül 17'deki profesyonel raporlama/purple teaming çizgisine doğrudan bağlanır.

Terimler Sözlüğü

Kendini Değerlendir

Bu Modülde Kazanılan Yetkinlikler

• Container izolasyonunu "VM gibi" varsaymak yerine, paylaşılan kernel + runtime temas noktaları üzerinden kanıtlayarak değerlendirme disiplini.
• Kubernetes risklerini tekil ayarlardan çıkarıp kimlik-RBAC-kontrol düzlemi-workload-iş etkisi zinciriyle modelleme.
• Supply chain tarafında "genel korku" yerine izlenebilir süreç, kalite kapıları ve kanıt ile raporlama.
• Servis hesapları, secrets ve admission/policy alanlarında doğrulama + karşı kanıt yaklaşımıyla güvenilir bulgu üretme.
• Telemetride görünürlük/tespit/engelleme ayrımını netleştirip kör noktaları confidence diliyle yönetme.
• Yöntem seçimini noise/FP, operasyonel yük ve minimum zarar sınırlarıyla birlikte yapıp bulguyu aksiyonlanabilir hale getirme.

MODÜL 16 — AI Red Teaming ve LLM Güvenliği

>

Modül Teması

Kurumsal LLM tabanlı çözümler artık "tek bir model" değildir; RAG ile veri kaynaklarına bağlanan, araç/aksiyon katmanıyla sistemlerde işlem başlatabilen, kimlik-yetki zinciriyle ayrıcalık taşıyan ve denetim izi üreten bütünleşik bir sistemdir. Bu modülde AI red teaming'i "jailbreak denemek" gibi dar bir çerçeveden çıkarıp; saldırı patikası mantığıyla iddia → kanıt → karşı kanıt disiplinine oturtacağız. Hedef; uygulanabilir saldırı tarifleri vermeden, riskin nerede doğduğunu, nasıl doğrulanacağını, belirsizliğin nasıl yönetileceğini ve bulgunun savunma tarafında nasıl aksiyona dönüşeceğini ileri düzeyde öğretmektir.

1) AI red teaming: "model testi" değil, "sistem testi"

AI red teaming yalnızca modelin "uygunsuz içerik üretip üretmediğini" ölçmez. Asıl kırılma modları; modelin bağlandığı dünya ile (doküman depoları, bilet sistemleri, e-posta, kod depoları, bulut servisleri, iş akışları) kurduğu ilişkide ortaya çıkar. Risk, "model yanlış konuştu"dan çok şu biçimlerde görünür:

• yanlış şeye erişti,
• yanlış eylemi tetikledi,
• hassas veriyi yanlış bağlamda taşıdı,
• denetim izini zayıflattı ya da maliyet/iş yükünü kontrolden çıkardı.

Bu yüzden ileri seviye değerlendirme şu sorularla başlar: Sistem hangi varlıklar üzerinde karar veriyor ya da işlem başlatıyor? Bunu hangi kimlikle ve hangi kanıt iziyle yapıyor?

Örnek: Bir kurum iç destek taleplerini özetleyen bir asistan kullanır. "Bilgi tabanını özetleme" ile "bileti kapatma/etiketleme" aynı arayüzde görünse bile güven sınırları farklıdır: ilki bilgi ifşası riskine, ikincisi yetkisiz etki riskine açılır.

İpucu: Modül 2'deki tehdit modelleme yaklaşımını burada yeniden okursun: varlık-aktör-güven sınırı-başarısızlık modu. "Model ne dedi?" sorusu tek başına yetmez; "model neye erişti ve neyi değiştirebildi?" sorusu ölçüttür.

2) Mimari saldırı yüzeyi: veri akışı, güven sınırları ve kontrol düzlemi

Kurumsal LLM çözümlerinde saldırı yüzeyi tek bir "prompt kutusu" değildir. Genellikle aşağıdaki katmanların birleşiminden doğar:

2.1. İstem/orkestrasyon katmanı (prompting & orchestration)

Sistem yönergeleri, politika metinleri, rol ayrımları, şablonlar ve "hangi durumda hangi araca gidileceği" gibi karar mantığı burada şekillenir. Bu katman zayıfsa, aşağı katmanlar doğru olsa bile sistem yanlış işi doğru şekilde yapabilir.

2.2. Bağlam katmanı (context): oturum, geçmiş, bellek ve retrieved parçalar

Kullanıcı girdisi, oturum geçmişi, kalıcı/yarı kalıcı "memory", RAG ile getirilen doküman parçaları aynı "bağlam havuzu"nda buluşur. Bu havuzda kritik soru şudur: Veri ile talimat güvenilir biçimde ayrılıyor mu?

2.3. RAG / konektörler: erişim, kapsam ve "confused deputy"

RAG, modelin kurumsal verilere erişmesini sağlar; fakat en riskli yerlerden biridir. Sık görülen kırılma modu, "kullanıcı yetkisi" ile "servis kimliği" arasındaki uyumsuzluktur:

• Arama/çekme işlemi geniş yetkili bir servis hesabıyla yapılır,
• Kullanıcıya dönmeden önce kaynak seviyesinde yetkilendirme/filtreleme zayıftır,
• Sonuçta model, kullanıcının görmemesi gereken içeriği "yardım" etiketiyle taşıyabilir.

Bu durum, güvenlik literatüründe confused deputy (şaşkın vekil) problemine benzer: sistem, iyi niyetli vekil rolüyle yanlış kişiye yanlış şeyi götürür.

2.4. Araç/aksiyon katmanı (tools, function calling, agent'lar): "çıktı"dan "etki"ye

Agent'lar, LLM'in öneri üretmekten çıkıp eylem başlatabildiği yerdir. Risk zinciri çoğu zaman şöyledir:

model kararı → araç çağrısı → gerçek sistem değişikliği → geri dönüş maliyeti

Bu zincirde "insan onayı var" demek tek başına güvenlik kanıtı değildir; onayın anlamlı olması gerekir (bağlam, beklenen etki, alternatif, geri alma bilgisi, gerekçe izi).

2.5. Kimlik ve yetkilendirme: least privilege, kapsam ve izlenebilirlik

"Model güvenli" iddiası, kimlik-yetki tasarımından bağımsız düşünülemez. Araçlar ve servis kimlikleri least privilege ile tanımlanmadıysa, en iyi guardrail bile yetkilendirme kontrolünün yerini tutmaz.

2.6. Gözlemlenebilirlik: prompt/response logları, tool çağrıları ve saklama süresi

AI güvenliğinde "kanıt standardı" denetim iziyle güçlenir: hangi girdiler/bağlam parçaları kullanıldı, hangi araç çağrıları yapıldı, parametreler neydi, hangi kullanıcı/servis kimliği etkindi, loglar ne kadar süre saklanıyor?

Dikkat: "Model güvenli, çünkü filtre/guardrail var" cümlesi ileri seviye raporda zayıftır. Guardrail çoğu zaman davranış kontrolü sağlar; yetkilendirme ise kimlik ve kaynak seviyesinde doğrulanabilir olmalıdır.

3) Risk sınıfları: OWASP LLM Top 10 ile hizalama ve saldırı patikası okuması

Taksonomiler "liste ezberletmek" için değil; bulguları tutarlı yönetebilmek içindir. OWASP 2025 LLM Top 10, riskleri hem LLM hem uygulama yaşam döngüsü boyunca ele alır. Aşağıda her başlık, red team perspektifinde "neye bakılır, ne kanıt olur, hangi karşı kanıt aranır, sınır nerede başlar" mantığıyla işlenmiştir.

3.1. Prompt injection (doğrudan / dolaylı)

Doğrudan prompt injection, kullanıcı girdisinin sistem politikasını bastırmasıdır. Dolaylı prompt injection ise modelin işlediği dış içeriklerin (doküman, web içeriği, e-posta metni gibi) içine gömülü talimat benzeri metinlerin orkestrasyonu saptırmasıdır.

İleri seviye çıkarım şudur: Bu bir "metin oyunu" değil, güven sınırı hatasıdır. Güvenli tasarım tek bir prompt kuralına yaslanmaz; katmanlı kontroller gerektirir:

• veri/talimat ayrımı (bağlam izolasyonu),
• tool/aksiyon için allowlist ve onay,
• ayrıcalık azaltma (least privilege),
• yüksek riskli eylemler için ek doğrulama.

Kanıt standardı: "Modeli kandırdım" ifadesi yerine, hangi güven sınırının ihlal edildiği ve bunun hangi etkileri doğurduğu gösterilir. Karşı kanıt: guardrail kapsamı, istisnalar, log/retention kısıtları, eylem onaylarının anlamlılığı, aynı iddianın farklı varyasyonlarda tutarlılığı.

İpucu: Dolaylı enjeksiyon iddiasında, "model talimatı takip etti" gözlemini tek başına büyütme. Asıl soru: talimat, veri olarak mı taşınmalıydı; yoksa eylem/karar katmanını mı etkiledi? Bu ayrımı, denetim izleri ve yapılandırma parçalarıyla güçlendir.

3.2. Sensitive information disclosure (hassas bilgi ifşası)

Hassas veri ifşası iki katmanda büyür:

• Bağlam sızıntısı: oturum geçmişi, sistem yönergeleri, retrieved parçalar, gizli politika metinleri.
• Yetkilendirme uyumsuzluğu: kullanıcı adına değil, geniş yetkili servis kimliğiyle erişim.

Kanıt standardı iki aşamalıdır:

1. — "Hassas veri göründü" (gözlem)
2. — "Bu veri bu kullanıcı için yetkisiz mi?" (yetki modeli + karşı kanıt)

Karşı kanıt arama: maskeleme/anonimleştirme, erişim politikaları, retrieval filtresi, log kapsamı, veri sınıflandırması ve saklama politikaları.

3.3. Supply chain (model, veri, bağımlılıklar)

LLM güvenliği, klasik yazılım tedarik zinciri risklerini taşır; buna ek olarak model davranışı da sürümle değişebilir. Risk kaynakları:

• model/servis sağlayıcı bağımlılığı, sürüm değişimleri,
• fine-tuning verisinin güvenilirliği,
• orkestrasyon kodu, şablonlar, eklentiler/bağımlılıklar,
• değerlendirme setlerinin manipülasyonu (ölçümü "iyi gösterme" riski).

Burada MITRE'ın AI odaklı tehdit çerçeveleri (ör. ATLAS) saldırgan bakışıyla sınıflandırma için referans olabilir.

3.4. Data and model poisoning (özellikle RAG bağlamında)

Kurumsal pratikte en sık görülen senaryo, "modelin eğitim verisini zehirlemek"ten çok, RAG'in beslendiği bilgi tabanını bozmak ve sistemin güvenilirlik varsayımlarını kırmaktır.

Kırılma modları:

• Yetkili kaynak ile yetkisiz/rasgele kaynak ayrımının zayıflığı,
• versiyon/güncellik yanılsaması (eski dokümanın yeni gibi sunulması),
• doküman bütünlüğü (izinsiz değişiklik),
• "embedding/veri hattı" üzerinde zayıf kontrol (hangi içerik vektörleşiyor, hangi metadata ile filtreleniyor).

Bu başlık, pratikte "bilgi bütünlüğü" riskini doğrudan besler.

3.5. Improper output handling (çıktının güvensiz işlenmesi)

LLM çıktısı, kaynağı ne olursa olsun güvensiz veri varsayımıyla ele alınmalıdır. Model çıktısı uygulamada uygun doğrulama/sanitize/encode edilmeden işlendiğinde, geleneksel güvenlik zafiyetleri tetiklenebilir (ör. istemci tarafında çalıştırılabilir işaretleme, sunucu tarafında sandbox'sız çalıştırma gibi).

Red team odağı: "model kötü üretti" değil, "uygulama model çıktısını nasıl tüketiyor?" sorusudur. Kanıt standardı: çıktının hangi tüketim noktasında kontrolsüz işlendiği, hangi güvenlik kontrolünün eksik olduğu ve iş etkisi.

3.6. Excessive agency (aşırı ajans / kontrolsüz eylem yetkisi)

Agent'larda risk, "modelin yanlış yazması" değil, yanlış iş başlatmasıdır. Aşırı ajans şu biçimlerde görünür:

• gereksiz geniş tool yetkileri,
• tek adımda geri döndürülemez eylemler,
• zayıf/alışkanlığa bağlı (tıkla-geç) onay tasarımı,
• gerekçe/parametre izinin eksikliği.

Savunma değerine çevirmek için, her eylem sınıfı için kabul kriteri yazılır: "Düzeldi" demek için hangi denetim izleri ve negatif test kanıtları gerekir?

3.7. System prompt leakage (sistem talimatı sızıntısı)

Sistem talimatları; politika, rol, kısıtlar ve bazen tool tanımlarına dair ipuçları içerdiği için, sızması "içerik" değil keşif (recon) değeri taşır. Bu, sonraki saldırı patikalarını daha isabetli kurgulama riskini büyütür.

Dikkat: Sistem talimatı sızıntısını "sadece metin" diye küçümsemek sık hatadır. Sızan parçalar, savunmanın tasarım varsayımlarını görünür kılar; bu da riskin dolaylı büyümesine yol açar.

3.8. Vector and embedding weaknesses (vektör/embedding zayıflıkları)

RAG'in kalbi çoğu zaman vektör arama ve embedding'dir. Zayıflıklar genellikle "algoritma bozuldu"dan çok şuralarda çıkar:

• yanlış/eksik metadata filtreleme (kapsam ve tenant ayrımı),
• benzerlik aramasında güvenilirlik sinyallerinin yokluğu (kaynak önceliklendirme),
• embedding/veri hattında bütünlük ve denetim zayıflığı,
• sonuçların "tek doğru" gibi sunulması (kaynak gösterimi ve kanıt izi eksikliği).

Bu başlık, hassas bilgi ifşası ve misinformation ile zincirlenebilir.

3.9. Misinformation (halüsinasyonun güvenlik etkisine dönüşmesi)

LLM'lerin "yanlış bilgi üretmesi" tek başına çoğu zaman kalite problemidir. Güvenlik problemine dönüşmesi; yanlış bilginin iş akışı üzerinde etkisi olduğunda başlar (ör. yanlış talimatla yanlış sistem değişikliği önermek, sahte kaynağı gerçek gibi göstermek, güven zincirini bozmak).

Kanıt standardı: yanlış bilginin hangi kontrol noktasını aştığı, hangi iş etkisini doğurduğu ve hangi karşı önlemlerin eksik olduğu.

İpucu: "Model uydurdu" tespitiyle raporu kapatma. Savunma tarafı için değerli olan; uydurmanın hangi koşullarda operasyonel karara dönüştüğü ve bunun nasıl kesileceğidir (kaynak zorunluluğu, onay tasarımı, retrieval kalitesi, gözlemlenebilirlik).

3.10. Unbounded consumption (sınırlandırılmamış tüketim / maliyet ve kaynak riski)

LLM sistemlerinde kaynak tüketimi yalnız CPU/RAM değildir; token maliyeti, gecikme, kuyruk, rate limit ve hatta "iş akışı spam'i" gerçek risktir. Kontrolsüz otomasyon ve geniş kapsamlı testler, istemeden finansal/operasyonel etki yaratabilir.

Bu risk, güvenli değerlendirme çerçevesinde "minimum zarar" ilkesinin bir parçası olarak ele alınmalıdır.

4) Doğrulama disiplini: "oldu" demek yetmez, "neden oldu"yu kanıtla

LLM sistemleri deterministik değildir; aynı girdi farklı çıktılar üretebilir. Bu, bulguyu zayıflatmaz; kanıt paketini disipline eder.

4.1. İddia → kanıt → karşı kanıt

Her bulguda üç parçayı ayrı tut:

• İddia: Risk nedir, hangi güven sınırı ihlal ediliyor?
• Kanıt: gözlemler, yapılandırma parçaları, log izleri, yetki modeli, tool çağrısı izleri, zaman uyumu.
• Karşı kanıt: telafi edici kontroller, istisnalar, log kapsamı/retention sınırları, yeniden üretim denemelerinde başarısız olan varyasyonlar.

Karşı kanıt aramak, bulguyu "yumuşatmak" değil; raporu yayınlanabilir ve savunulabilir yapmaktır.

4.2. Tekrar üretilebilirlik ve belirsizlik yönetimi

"Kesin" ile "muhtemel" arasını doğru kurmak gerekir:

• Hangi koşullarda tekrarlandı?
• Hangi varyasyonlarda başarısız oldu?
• Bu fark hangi tasarım unsuruna işaret ediyor?

Pratikte bu, çoğu zaman başarı oranı ve koşul seti ile raporlanır; tek bir örnek çıktı, tek başına karar için zayıftır.

4.3. Kontrollü değişken yaklaşımı (gürültüyü azalt, nedenselliği güçlendir)

Aynı senaryoda sadece tek parametreyi değiştir (ör. veri kaynağı, yetki seviyesi, tool allowlist, bağlam uzunluğu). Böylece "neden" bağlantısı güçlenir; gürültü ve yanlış pozitif maliyeti azalır.

4.4. Güvenli değerlendirme: minimum zarar ve izlenebilirlik

Üretim benzeri sistemlerde doğrulama, gerçek dünyaya zarar vermeyecek şekilde tasarlanmalıdır:

• kapsam daraltma (sınırlı veri, sınırlı yetki, sınırlı eylem),
• geri dönüş planı (yanlış eylem olursa nasıl geri alınır?),
• denetim izleri ve saklama süresi,
• test verisi ile gerçek veriyi ayrıştırma,
• riskli eylemleri "temsilî" ve zararsız belirteçlerle kanıtlama.

Bu yaklaşım, NIST AI Risk Management Framework'ün yaşam döngüsü ve yönetişim vurgusuyla uyumludur: riskleri haritalama, ölçme, yönetme ve yönetişim altında ele alma.

5) Test planı ve yöntem seçimi: kapsam, maliyet, etik ve kanıt kalitesi

AI güvenliğinde "tek bir tarayıcı" yoktur; test planı sistem mimarisine göre özelleşir. Yöntem seçimi yaparken aynı anda dört maliyeti birlikte tart:

• Noise / false positive: SOC ve ürün ekibini yorma riski
• Operasyonel etki: üretimde yanlış aksiyon tetikleme riski
• Etik/OPSEC sınırı: hassas veriye temas, kişisel veri riski
• Kanıt kalitesi: gösterilebilirlik ve denetlenebilirlik

NCSC'nin LLM güvenliği rehberleri de prompt injection gibi risklerde katmanlı savunma ve güvenli test yaklaşımını vurgular.

Bu modülde "test planı" üç adımda olgunlaşır:

1. — Keşif ve haritalama: mimari bileşenler, veri akışı, güven sınırları, eylem yüzeyi (modül 2 ile doğrudan bağ).
2. — Düşük etkili doğrulamalar: konfigürasyon/erişim modeli incelemesi, log ve denetim izi analizi, kaynak/versiyon bütünlüğü kontrolleri.
3. — Dar kapsamlı senaryo testleri: yalnızca gerekli olduğunda, kontrollü koşullarda, kanıt zincirini güçlendirmek için.

Dikkat: Kontrolsüz otomasyon hem maliyet hem güvenlik riski doğurabilir. "Unbounded consumption" yalnız saldırı değil; kötü tasarlanmış test planının da sonucudur.

6) Bulguyu savunma değerine çevirmek: kontrol hedefi, kontrol noktası, kabul kriteri

AI bulgusu "model şunu dedi" seviyesinde kalırsa savunma tarafında aksiyon doğurmaz. Operasyonel değeri yüksek rapor üç şeyi netleştirir:

1. — Kontrol hedefi: ne korunuyor? (hassas veri, finansal işlem, üretim değişikliği, müşteri kaydı, marka güveni)
2. — Kontrol noktası: nerede uygulanmalı? (retrieval öncesi, tool çağrısı öncesi, output sonrası, kimlik katmanı, izleme katmanı)
3. — Kabul kriteri: "düzeldi" demek için hangi kanıt bekleniyor? (log izleri, negatif testler, istisna mekanizması, geri dönüş planı)

Örnek: "Yetkisiz doküman yanıt içinde göründü" bulgusunun kabul kriteri, yalnız "filtre ekledik" değildir. Savunma tarafında beklenen kanıt paketi; erişim modelinin düzeltildiğini, retrieval sırasında yetki kontrolü izlerinin üretildiğini, temsilî senaryolarda yeniden denendiğinde verinin gelmediğini ve istisna/denetim sürecinin tanımlandığını gösterebilmelidir.

Bu yaklaşım, modül 12'deki "tespit gerçekliği" ile modül 17'deki raporlama/purple teaming hattına doğal köprü kurar: red team bulgusu, savunmanın ölçebileceği sinyallere ve uygulanabilir kabul kriterlerine çevrilir.

Terimler Sözlüğü

Kendini Değerlendir

Bu Modülde Kazanılan Yetkinlikler

• AI red teaming'in "model" değil, sistem testi olduğunu; riskin veri + araç + kimlik/yetki + denetim izi zinciriyle büyüdüğünü.
• Prompt injection'ın (özellikle dolaylı enjeksiyonun) "metin hilesi" değil, güven sınırı ve yetki tasarımı problemi olduğunu.
• LLM'lerin olasılıksal doğası nedeniyle bulguların kanıt standardı, tekrar üretilebilirlik ve belirsizlik yönetimiyle raporlanması gerektiğini.
• Agent/tool katmanında riskin "çıktı"dan "etki"ye geçtiğini; least privilege, anlamlı onay ve denetim izi olmadan güven üretilemeyeceğini.
• RAG ortamlarında yalnız gizliliğin değil; bütünlük, güncellik ve vektör/embedding hattı zayıflıklarının da saldırı patikasıyla ele alınması gerektiğini.
• Bulguları savunma değerine çevirmek için kontrol hedefi + kontrol noktası + kabul kriteri yaklaşımının belirleyici olduğunu.

Modül 17 — Profesyonel Raporlama, Görselleştirme, İletişim ve Purple Teaming

Teknik bir operasyon ne kadar başarılı olursa olsun, bulgular karar vericilere doğru aktarılmıyor ve savunma tarafında ölçülebilir bir iyileştirmeye dönüşmüyorsa, gerçek çıktı eksik kalır. İleri seviye Red Team/Pentest dünyasında "ürün", ele geçirilen sistemler değil; kanıt standardında yazılmış rapor, doğru kurgulanmış görsel hikâye ve Blue Team'le birlikte yürütülen Purple Team iyileştirme hattıdır. Bu modül; teknik doğruluğu belirsizlik yönetimiyle birleştirerek "bulgu → karar → iyileştirme" zincirini profesyonel seviyeye taşır.

1) Raporun "nihai ürün" olduğu yer: çıktı mimarisi ve standart

Rapor tek bir kitleye yazılmaz. Aynı gerçek, iki farklı dünyaya çevrilir: bütçeyi onaylayan yönetim ve problemi çözecek teknik ekip. Bu iki profilin beklentileri doğal olarak çatışır; ileri seviye raporlama, bu çatışmayı formatla çözer.

1.1. İki ana çıktı: iş dili ve teknik kanıt paketi

Yönetici özeti; teknik ayrıntıların değil, kararın hızlandığı yerdir. Burada "nasıl"dan çok "ne oldu / ne kaybedebiliriz / şimdi ne yapıyoruz?" anlatılır. Teknik rapor ise bir mühendisin "bunu doğrulayabilir miyim, düzelttik mi, kapanış kanıtı ne?" sorularına cevap verir.

Örnek:
* Kötü anlatım (karar verdirmez): "Kritik bir zafiyet tespit edildi; uzaktan çalıştırma riski var."
* İyi anlatım (karar verdirir): "Kritik veri sınıfına erişen bir bileşende güncelleme/konfigürasyon uyumsuzluğu nedeniyle, yetki sınırlarının aşılmasına işaret eden güçlü sinyaller görüldü. Etki: veri gizliliği ve uyum riski. Öncelik: ilk 72 saat içinde yamalama/konfigürasyon düzeltmesi ve kapanış doğrulaması."

Dikkat: İş dili "teknik olmayan" demek değildir; sonuç ve etki odaklı demektir. Teknik rapor da "her şeyi dökmek" değildir; denetlenebilir kanıt + kapanış ölçütü demektir.

1.2. Teknik raporda tekrar üretilebilirlik ve denetlenebilirlik

Teknik raporun gücü, iddiayı "inanılır" değil doğrulanabilir yapmasıdır. Bu yüzden:

• Kanıt tek bir ekran görüntüsüne indirgenmez; bağlam ve zaman uyumu korunur.
• Aynı bulguyu doğrulamak isteyen ekip, rapordan hareketle kontrollü bir doğrulama yapabilmelidir.
• "Kopyala/yapıştır çalıştır" tarzı riskli pratiklere bel bağlamadan, doğrulama mantığı ve gerekli kontrol noktaları açık yazılmalıdır.

İpucu: Teknik raporda her bulgu için tek cümlelik "doğrulama kapısı" koy: "Bu bulgu, X log/telemetri ve Y kontrol noktasıyla doğrulanır; Z karşı kanıtı gelirse kapsam daraltılır." Bu cümle, tartışmayı kişisel görüşten çıkarıp kanıta taşır.

1.3. Ekler: raporu şişirmeden kanıtı taşımak

Ekler; ana metni boğmadan kanıt ve ayrıntıları saklar: timeline, görsel şemalar, log özetleri, sınırlamalar, kullanılan çerçeveler. Ana metin "karar yolu"dur; ekler "denetim yolu".

2) Risk derecelendirme: skor değil bağlam

Otomatik araçlar kırmızı görmeyi sever; ileri seviye uzman bağlama bakar. CVSS gibi sistemler teknik ciddiyeti puanlar; fakat "gerçek risk", hedefin bağlamı ve saldırı patikasındaki rolüyle ortaya çıkar.

2.1. CVSS ile gerçek risk arasındaki fark

CVSS; "ne kadar ciddi" sorusuna yaklaşır. "Ne kadar riskli" ise şu sorulara bağlıdır:

• Bu bileşen internete açık mı, erişilebilirlik nasıl?
• Etkilenen varlık hangi iş sürecine bağlı?
• Bu bulgu zincirleme saldırıda (modül 7'deki düşünce gibi) ilk halka mı, yoksa izole bir uç nokta mı?
• Telafi edici kontroller (segmentasyon, izleme, doğrulama kapıları) var mı?

Örnek:
* İnternete kapalı, izolasyonu yüksek bir ortamda yüksek teknik skor üreten bir zafiyet, erişim koşulları nedeniyle pratikte daha düşük önceliğe alınabilir.
* İnternete açık bir ödeme bileşeninde "orta" teknik skor üreten bir bilgi sızıntısı, zincirde kritik bir anahtarı açığa çıkarıyorsa iş etkisi nedeniyle daha öne çekilebilir.

2.2. Bağlamsal derecelendirme ve gerekçelendirme

CVSS'in "environmental" yaklaşımı, skorun ortam koşullarına göre uyarlanabileceğini söyler. Buradaki asıl profesyonellik, skoru değiştirmek değil; neden değiştirdiğini yazmaktır. Rapor, "niye yükselttik / niye düşürdük" sorusuna cevap vermelidir.

Bazı ekipler için pratik bir düşünce çerçevesi: Risk = (Tehdit x Zafiyet x Etki) / Kontrol

Bu formül "matematik" iddiası değil; raporda gerekçeyi düzenleyen bir iskelet olarak işe yarar: tehdit ve etki artarken kontrol gücü yükseliyorsa risk düşer.

Dikkat: Yanlış güvenlik algısı (her şeyi test ettik, güvendeyiz) çoğu zaman tek bir zafiyetten daha tehlikelidir. Kapsam sınırlarını ve test edilmemiş alanları açık yazmak, raporun güvenilirliğini artırır.

3) Kanıt standardı ve belirsizlik: iddia-kanıt-karşı kanıt

Bu modülün kalbi "kanıt zinciri"dir. İleri seviye bir bulgu üç parçaya ayrılır:

3.1. İddia: neyi söylüyorsun, nerede kırılıyor?

İddia; "açık var" demek değildir. Şunları taşır:

• Hangi güven varsayımı bozuluyor?
• Hangi varlık sınıfı etkileniyor?
• İş etkisi ve teknik etki birlikte neye dönüşüyor?

3.2. Kanıt: gözlem, bağlam, izlenebilirlik

Kanıt; yalnızca görsel değil, bağlamlı kanıttır:

• Gözlemler (sistem davranışı, beklenmeyen yetki kapsamı, güven sınırı geçişi sinyali)
• Bağlam (kapsam, rol/kimlik bağlamı, ilgili bileşen)
• İzlenebilirlik (hangi telemetri/denetim izi ile ilişkilendirildiği)
• Zaman uyumu (olay sırası ve tutarlılık)
• Tekrar üretilebilirlik (aynı koşullarda benzer sinyal)

Örnek: "Ekran görüntüsü var" yerine, "şu zaman penceresinde, şu kimlik bağlamında beklenen yetki sınırını aşan erişim sinyali; şu log kaynağıyla tutarlı" demek; iddiayı savunulabilir kılar.

İpucu: Kanıt paketini hazırlarken "en az veri" ilkesini uygula. Amaç; daha fazla veri paylaşmak değil, kararı verdiren minimum ama yeterli kanıtı, gereksiz hassas veri taşımadan sunmaktır.

3.3. Karşı kanıt: raporu güçlendiren şey

Karşı kanıt aramak, bulguyu zayıflatmaz; raporu profesyonel yapar:

• Telafi edici kontrol var mı?
• Hangi koşulda sinyal kayboluyor (istisnalar)?
• Log kapsamı/retention sınırlı mı?
• Aynı iddia hangi varyasyonlarda başarısız oluyor?

Bu bölüm, modül 12'deki "tespit perspektifi" ile doğal biçimde birleşir: savunma tarafı için asıl değer, bulgunun nerede güçlü/nerede sınırlı olduğunun açık yazılmasıdır.

3.4. Confidence: ne kadar eminsin, ne değiştirir?

"Yüksek/orta/düşük" gibi etiketler tek başına yetmez. Üç bileşen görünür olmalıdır:

• Neyi destekleyen bağımsız sinyaller var?
• Hangi koşullarda tekrarlandı/tekrarlanmadı?
• Hangi yeni kanıt gelirse değerlendirme değişir?

4) Bulgu yazımı: aksiyonlanabilir ve savunulabilir format

İyi bir bulgu metni, hem "denetlenebilir" hem "çözülebilir" olmalıdır.

4.1. Başlık ve kapsam bağlamı

• Tek cümlelik net başlık (ne kırıldı?)
• Etkilenen varlık sınıfı (uydurma ve genelleyerek)
• Kapsam hatırlatması (modül 1'deki izinli çerçeve ile uyum)

4.2. Saldırı patikası dili: how-to değil, kırılma mantığı

Patikayı anlatırken "uygula şunu" yerine şunu hedefle:

• giriş koşulu,
• güven sınırı ihlali,
• etki alanı,
• geri dönüş maliyeti.

Örnek: "Kimlik bağlamı doğru taşınmıyor" yerine "işlem, kullanıcı yetkisiyle sınırlı kalması gerekirken servis kimliği yetkisiyle genişliyor" demek; savunmaya tasarım problemini gösterir, operasyon tarifine dönüşmez.

4.3. Öneri + kabul kriteri: "düzeldi"yi ölç

Öneri; kontrol hedefini ve kontrol noktasını tarif eder. Kabul kriteri; kapanışı kanıtlar.

• Kontrol hedefi: neyi koruyoruz?
• Kontrol noktası: nerede uyguluyoruz?
• Kabul kriteri: hangi kanıtla kapanıyor? (ör. izleme metriği, doğrulama kapısı, yeniden değerlendirme sonuçları)

Dikkat: "Filtre ekleyin / engelleyin" gibi tek cümle öneriler, ileri seviye raporda zayıftır. Asıl değer; "hangi kırılma modunu kapattık ve bunu nasıl doğruluyoruz?" sorusuna net cevap vermektir.

5) Görselleştirme: metnin yapamadığını göstermek

Metin doğrusaldır; saldırı patikaları ise çoğu zaman dallanır. Görselin amacı "şık görünmek" değil; ilişkileri görünür kılıp kararı hızlandırmaktır.

5.1. Ne zaman hangi görsel?

• Attack path / attack graph: zincirleme ilişkileri ve kritik kırılma noktalarını göstermek için.

• Düğümler: varlıklar/kimlikler; Kenarlar: ilişki/bağımlılık/eylem sınıfları.

• Timeline: olayların sırası ve kanıt uyumu için; savunma tarafının kendi loglarıyla karşılaştırabilmesi için.
• Isı haritası: bulguları etki/olasılık veya kontrol olgunluğu ekseninde özetlemek için.
• Kapsam haritası: test edilen ve edilmeyen alanları netleştirmek için.

Örnek: Yönetici toplantısında ısı haritası "nereden başlamalıyız?" sorusunu hızlandırır; teknik ekipte timeline ve attack graph "nasıl doğrulayacağız ve nerede kapatacağız?" sorusunu hızlandırır.

5.2. Timeline'da zaman uyumu ve doğrulama

Timeline, "dakika dakika operasyon" anlatmak için değil; kanıtların tutarlılığını kurmak için kullanılır. Saat senkronu ve zaman pencereleri özellikle önemlidir; farklı sistemlerde zaman kayması varsa, rapor bunu belirsizlik notu olarak açıkça taşır.

İpucu: "Bir görsel = bir mesaj" kuralını uygula. Aynı görselde aynı anda her şeyi göstermeye çalışmak, mesajı bulanıklaştırır.

6) MITRE ATT&CK haritalama ve coverage gap analizi

Operasyon çıktıları, tekniklerin ve savunma boşluklarının daha görünür olduğu bir çerçeveye oturtulduğunda, rapor stratejik değere ulaşır. ATT&CK haritalama burada "süs" değil; kör noktaları ve kapsama durumunu konuşmanın kısa yoludur.

6.1. Isı haritası mantığı: dürüstlük ve beklenti yönetimi

Bir yaklaşım:

• Test edildi ve engellenmedi/tespit edilmedi → "boşluk"
• Test edildi ve engellendi/tespit edildi → "kapsandı"
• Test edilmedi → "kapsam dışı / bilinmiyor"

Buradaki kritik nokta şudur: Test etmediğin bir tekniğe "güvenli" demek, rapora yanlış kesinlik yükler.

6.2. Gap analizi: "kapatın" değil, "nasıl ölçeceğiz?"

Gap analizi, savunma için ölçülebilir bir öneriye bağlanmalıdır:

• Hangi telemetri gerekli? (log kaynağı / sensör görünürlüğü)
• Hangi korelasyon mantığı gerekli? (tespit hipotezi)
• Yanlış pozitif maliyeti ne? (noise/FP)
• Kabul kriteri ne? (kapanış kanıtı)

Bu bölüm, modül 12'nin tespit perspektifiyle ve modül 13'ün "minimum zarar" yaklaşımıyla aynı hatta oturur: amaç "daha sert vurmak" değil, savunmanın ölçülebilir şekilde güçlenmesidir.

7) İletişim: gergin anlarda kanıta dönmek

Raporun okunmadığı kurumlar vardır; ama raporun tartışıldığı toplantılar her zaman belirleyicidir. Profesyonellik, haklı çıkmak değil; doğru sonuca kanıtla yürümektir.

7.1. Kickoff → checkpoint → readout → debrief

• Kickoff: kapsam, hassasiyet sınırları, iletişim kanalı, başarı ölçütleri (modül 1 ile uyum).
• Checkpoint: erken sinyaller, yanlış anlaşılmaları düzeltme, riskli doğrulamaların sınırlarını teyit.
• Readout: bulguların karar odaklı sunumu (öncelik, etki, kabul kriteri, belirsizlik notu).
• Debrief: kapanış, açık kalan sorular, aksiyon sahipliği ve zaman planı.

7.2. İtiraz yönetimi: "bence" değil, "hangi kanıt?"

Paydaş "bu gerçek değil" dediğinde ileri seviye yaklaşım:

• İddia ve kapsamı net tekrar et,
• Kanıtı bağlamıyla göster (gereksiz veri ifşa etmeden),
• "Hangi bilgi gelirse bu bulgu kapanır/daralır?" sorusunu sor,
• Ortak kabul kriteri yaz.

Bu, tartışmayı kişisel kanaatten çıkarıp denetlenebilirliğe taşır.

8) Purple Teaming: bulguyu iyileştirme hattına çevirmek

Purple Teaming; Red ve Blue'nun aynı masada, bulguyu "yakalamaca" oyunundan çıkarıp "iyileştirme" işine dönüştürmesidir. İleri seviye değer, rapor tesliminde değil; raporun kapanış kanıtına bağlanmasında oluşur.

8.1. Hot-wash: taze iken doğrulama

Operasyonun hemen ardından yapılan teknik değerlendirme oturumunda hedef basittir: "Ne oldu, savunma ne gördü, ne görmedi, neden?" Burada Red Team'in rolü "övünmek" değil; kanıtı doğru formatta getirip, görünürlük boşluğu mu var yoksa kural/korelasyon mu eksik, bunu netleştirmektir.

8.2. Detection engineering ve aksiyon backlog'u

Bulguların her biri için:

• tespit hipotezi (hangi davranış sınıfı izlenmeli),
• gerekli telemetri (hangi kaynaklar),
• kuralın/uyarının başarı ölçütü (noise/FP dengesi),
• sahiplik ve termin,
• kabul kriteri ve kapanış kanıtı tanımlanır.

Örnek: "Bu davranış sınıfı için görünürlük yok" sonucu çıkarsa, ilk aksiyon "kural yazmak" değil, önce telemetriyi güvenilir hale getirmektir. Telemetri varsa ama kural yoksa, o zaman kural/korelasyon tasarımına geçilir.

Dikkat: Purple Teaming'i "daha fazla test"e çevirmek kolaydır. Asıl hedef, minimum zarar ilkesini koruyarak savunmayı ölçülebilir biçimde geliştirmektir.

8.3. Ölçüm: kapanışın sayısal izleri

Kapanışın olgunlaşması için metrik düşüncesi gerekir:

• kritik bulguların kapanma süresi,
• alarm kalitesi (noise/FP),
• kapsanan patika yüzdesi,
• tespit/önleme kapsama haritasındaki değişim.

9) Yayınlanabilirlik, gizlilik ve profesyonel standart

Rapor, internet sitesinde yayınlanabilecek kadar "temiz" olmalı; ama aynı zamanda kuruma zarar verecek kadar detaylı olmamalıdır.

• Gereksiz hassas veri yok (kişisel veri, gizli anahtarlar, üretimden ham veri).
• Örnekler anonim ve uydurma.
• "Operasyonel tarif" veren, uygulanabilir saldırı adımına dönüşen anlatım yok.
• Kapsam sınırları ve belirsizlikler açık.

Terimler Sözlüğü

Kendini Değerlendir

Bu Modülde Kazanılan Yetkinlikler

• Raporu "bulgu listesi" değil, karar verdiren ve denetlenebilir bir nihai ürün olarak tasarlama.
• Aynı gerçeği farklı hedef kitlelere uygun biçimde (iş dili / teknik dil) tutarlı aktarma.
• Kanıt zincirini iddia-kanıt-karşı kanıt mantığıyla kurma; belirsizliği ve confidence'ı profesyonelce yönetme.
• CVSS gibi skorları bağlama oturtup iş etkisi, erişilebilirlik ve kontrol gücüyle gerçekçi önceliklendirme yapma.
• Görselleri (attack path/graph, timeline, heatmap) karar kalitesini artıran bir anlatı aracı olarak kullanma.
• Purple Teaming ile bulguları detection engineering ve aksiyon backlog'una bağlayıp kabul kriteri ve kapanış kanıtı üretme.

MODÜL 18 — Final Tabletop Capstone

Modül Teması

Bu modül, önceki 17 modülde kurduğun "karar kalitesi + kanıt standardı + sınır disiplini" omurgasını tek bir uçtan uca senaryoda birleştirir. Burada amaç "en yaratıcı teknik hamle" değil; RoE'ye sadık kalan, kanıt zinciri sağlam, belirsizliği dürüst yöneten, risk dilini doğru kuran ve sonunda Blue Team'e ölçülebilir iyileştirme bırakabilen profesyonel çıktılar üretmektir. Format tamamen yazılıdır: gerçek sistem yok, komut yok, istismar talimatı yok; yalnızca tabletop mantığıyla karar verme ve çıktıları yapılandırma vardır.

1) Tabletop Capstone mantığı: "gerçek sistem yok, gerçek disiplin var"

Tabletop, masada yapılan bir "savaş oyunu" değildir; belirsizlik altında doğru karar verme ve bunu denetlenebilir çıktıya dönüştürme egzersizidir. Bu modülün senaryosu; modül 1'deki yönetişim/RoE, modül 2'deki tehdit modelleme ve hedef odaklı senaryo kurgusu, modül 12'deki tespit perspektifi ve modül 17'deki raporlama standardını aynı anda çalıştırır.

1.1. Senaryo paketi: dış yüzey → kimlik → dizin → bulut → hedef varlık

Senaryo paketi, katılımcıya "ham bilgi" vermek yerine hipotez kurduracak sinyaller verir. Her sinyal için:

• Ne iddia ediliyor? (hangi güven varsayımı sarsılıyor)
• Hangi kanıtlar bunu destekler? (hangi telemetri/iz)
• Hangi karşı kanıt aranmadan kesin konuşulamaz? (hangi veri yoksa belirsizlik)
• RoE kapsamında doğrulama nasıl güvenli yapılır? (minimum zarar)

Örnek: "Kurumun dış yüzeyinde bir kimlik akışının beklenenden farklı davrandığına dair sinyal var" ifadesi, tek başına "yetkisiz erişim var" demek değildir. Bu sinyal; kimlik yaşam döngüsü (modül 5), yetki sınırı ve log görünürlüğü (modül 12) ile birlikte ele alınır; doğrulama için hangi kayıtların gerektiği ve hangi kayıtlar yoksa eminliğin düşeceği yazılır.

Dikkat: Bu modülün en büyük tuzağı "senaryo akıyor, ben de akayım" refleksidir. RoE ve kapsam çizgisi kayarsa, capstone çıktısı teknik olarak etkileyici görünse bile profesyonel olarak başarısız sayılır.

1.2. Rol seti: kararların farklı gözlerden test edilmesi

Tabletop'ta tek bir kişi konuşmaz; rollere göre bakış açısı ayrışır. En azından şu perspektifler düşünülür (kişi adı değil rol):

• Red Team lideri: yöntem seçimi, OPSEC, doğrulama kapıları
• Müşteri temsilcisi/ürün sahibi: iş etkisi, risk iştahı, öncelik
• SOC/Blue Team: telemetri, tespit hipotezleri, false positive maliyeti
• Hukuk/uyum: veri minimizasyonu, rapor dili, kapsam/izin
• Operasyon/IT: deconfliction, değişiklik yönetimi, "kill-switch" tetikleyicileri

Bu rolleri yazılı çıktıda "karar gerekçesi" olarak yansıtmak, raporun olgunluğunu artırır: aynı kararın farklı maliyetlerini görünür kılar.

1.3. Inject (senaryoya enjekte edilen gelişmeler): belirsizlik altında tutarlılık

Senaryo ilerledikçe kısa "inject"ler gelir: yeni bir log parçası, yeni bir iş kısıtı, bir sistemin kapsam dışı olduğunun netleşmesi, bir telemetri boşluğu, vb. Bu inject'lerin amacı "daha çok teknik detay" değil; kanıt zinciri ve yöntem seçimi disiplinini sınamaktır.

Örnek:
- Inject: "Bulut tarafında bazı kritik loglar etkin değilmiş; sadece sınırlı bir audit izi var."

Beklenen davranış: "O zaman kesin konuşmayalım" deyip geçmek değil; hangi iddiaların confidence'ının düşeceğini, hangi ek kanıt gelirse yükseleceğini ve öneride telemetri iyileştirmesini kabul kriteriyle yazmaktır.

İpucu: Her inject için küçük bir "değişim günlüğü" tut: "Ne değişti? Hangi iddiayı etkiledi? Hangi yeni karşı kanıt ihtiyacı doğdu? Hangi yöntemi seçmemizi gerektirdi?" Bu günlük, final raporunun omurgasına dönüşür.

2) Deliverable'lar: çıktı seti ve kalite kapıları (18.2)

Bu capstone'da "çıktı" bir PDF gibi düşünülmez; bir karar dosyası seti olarak düşünülür. Setin değeri, parçaların birbirini çelişmeden desteklemesidir.

2.1. RoE + operasyon planı (yazılı, uygulanabilirlik değil denetlenebilirlik)

Bu belge, modül 1'in "ileri seviye olmadan olmaz" dediği temeldir. Şunları netleştirir:

• Kapsam / kapsam dışı (varlık sınıfları düzeyinde)
• Zaman penceresi ve iletişim kanalları
• İzin verilen teknik sınıfları (how-to değil sınıf düzeyi)
• Deconfliction: IT/IR ekipleriyle çakışma yönetimi
• Kill-switch: acil durdurma koşulları ve tetikleyiciler
• Minimum zarar ve veri minimizasyonu: kanıt toplama sınırları

Örnek: "Kişisel veri içeren tablolara dokunulmayacak; iş etkisi kanıtı veri örneğiyle değil, veri sınıfı ve erişim sınırı ihlaliyle gösterilecek" gibi bir madde; hem etik hem de rapor kalitesi açısından doğru bir sınırdır.

2.2. Recon brief + saldırı patikası alternatifleri

Recon brief; modül 3'teki gibi ham OSINT listesi değildir. Şu iki şeyi üretir:

• Giriş noktası hipotezleri: "Nereden başlanabilir?" (kanıt gereksinimiyle)
• Önceliklendirme: "Hangi patika daha olası ve daha etkili?" (noise/OPSEC maliyetiyle)

Ardından alternatif patikalar gelir: tek bir "ana yol" değil, başarısızlık planları ve karar noktaları.

İpucu: Patika tarifini "adımlar" gibi yazma. Onun yerine "koşul-güven sınırı-etki" üçlüsünü yaz. Bu, hem güvenlik sınırlarına uyar hem de savunmaya tasarım problemlerini net gösterir.

2.3. Kanıt standardında olay anlatımı + zaman uyumu

Buradaki anlatı "ne yaptım" değil, "neyi kanıtladım" anlatısıdır:

• İddia (hangi varsayım bozuldu)
• Kanıt (hangi sinyaller/izler bunu destekliyor)
• Karşı kanıt (hangi veri olsaydı iddia daralır/çürür)
• Confidence dili (neden böyle düşünüyoruz, ne değiştirir)
• Zaman uyumu (timeline yaklaşımıyla tutarlılık)

Örnek: "Belirli bir kimlik bağlamında yetki sınırı ihlali sinyali görüldü; doğrulama için audit izi X gerekir, ancak retention sınırlı olduğundan bu iddia orta confidence'tadır; eğer Y kaynağından bağımsız bir sinyal gelirse confidence artar" gibi bir cümle; profesyonel belirsizlik yönetimidir.

2.4. ATT&CK eşlemesi: tekniklerin kontrol ailesine bağlanması

Eşleme, "etiketleme" değildir; savunma tarafında şu soruyu cevaplar:

• Bu davranış sınıfı için hangi telemetri gerekir?
• Hangi kontrol/tespit aileleri devreye girer?
• Coverage gap nerede? (test edildi/edilmedi/tespit edildi-edilmedi)

Burada çerçeve olarak MITRE yaklaşımıyla bir "görünürlük ve gap" okuması yapılır; "şu tekniği yaptık" demek yerine "bu sınıf davranışın tespit edilmesi için hangi veri gerekir, yoksa kör nokta nerede oluşur?" denir.

2.5. Detection gap raporu + remediation roadmap

Gap raporu "EDR yakalamadı" diye bitmez. Şunları içerir:

• Tespit hipotezi: hangi davranış sınıfı izlenmeli?
• Telemetri gereksinimi: hangi kaynaklar, hangi kapsam, hangi kalite?
• Noise/FP maliyeti: kuralın operasyonel yükü ne olur?
• Kabul kriteri: "düzeldi"yi hangi kanıtla söyleyeceğiz?
• Roadmap: hızlı kazanımlar + orta vadeli yapısal iyileştirmeler

Bu kısım, modül 17'deki rapor disiplinini ve modül 12'deki tespit perspektifini capstone'un final çıktısına bağlar.

3) Değerlendirme ölçütleri: rubrik ve başarının tanımı (18.3)

Bu modülde değerlendirme "teknik parlaklık" üzerinden değil, profesyonel standart üzerinden yapılır.

3.1. Tutarlılık ve kapsam disiplini

• RoE ile rapor birbiriyle uyumlu mu?
• Kapsam dışına taşma girişimleri doğru yönetilmiş mi?
• Deconfliction ve kill-switch mantığı gerçekçi mi?

3.2. Kanıt kalitesi ve belirsizlik yönetimi

• Kaynak-iddia-kanıt ayrımı korunmuş mu?
• Karşı kanıt arama refleksi var mı?
• Confidence dili gerekçeli mi, "yüksek/orta/düşük" demekle yetinmiyor mu?
• Zaman uyumu ve izlenebilirlik düşünülmüş mü?

3.3. Risk dili ve önceliklendirme

• Teknik ciddiyet ile iş etkisi ayrımı doğru mu?
• Öncelikler gerekçeli mi? (erişilebilirlik, etki, kontrol gücü)
• Roadmap ölçülebilir mi? Kabul kriterleri net mi?

3.4. Uygulanabilir öneri ve Purple Team'e bağlanabilirlik

• Öneriler "tek cümle blokla" seviyesinde mi, yoksa kontrol hedefi + kontrol noktası + kabul kriteri içeriyor mu?
• Detection engineering hattı kurulmuş mu?
• Metrikler ve kapanış kanıtı düşünülmüş mü?

Dikkat: Capstone'un amacı "en yaratıcı saldırı" değildir; en denetlenebilir, en aksiyonlanabilir ve en az zarar ilkesiyle uyumlu çıktı setidir.

Terimler Sözlüğü

Kendini Değerlendir

Bu Modülde Kazanılan Yetkinlikler

• Tek bir uçtan uca senaryoda, dış yüzeyden hedef varlığa uzanan hattı patika düşüncesi ile modellemeyi ve alternatif yolları gerekçelendirmeyi.
• RoE/kapsam disiplininin, capstone'un gerçek "ileri seviye" ölçütü olduğunu; kapsam kayarsa başarının teknik görünse bile profesyonel sayılmayacağını.
• "Kaynak-iddia-kanıt-karşı kanıt" yapısıyla kanıt zinciri kurmayı; belirsizliği confidence diliyle dürüstçe yönetmeyi ve hangi kanıtla fikrin değişeceğini yazmayı.
• Risk derecelendirmesinde skor ezberinden çıkıp bağlam, iş etkisi, erişilebilirlik ve kontrol gücüyle gerekçeli öncelik üretmeyi.
• Detection gap'leri "yakalamadı" seviyesinde bırakmayıp telemetri gereksinimi, noise/FP maliyeti, kabul kriteri ve kapanış kanıtıyla remediation roadmap'e dönüştürmeyi.
• Capstone'un başarısını "yaratıcılık" değil denetlenebilirlik + aksiyonlanabilirlik + minimum zarar üçlüsünün belirlediğini.