Giriş: Küçük ölçekli organizasyonlar, e-spor takımılardan yerel işletmelere kadar, genellikle büyük kurumlar kadar kaynak ayıramaz ancak siber saldırılara karşı aynı oranda risk altındadır. Bu rehber, ilk 48 saatte uygulanabilecek, önceliklendirilmiş ve pratik adımlardan oluşan bir acil müdahale kiti sunar. Hedef: DDoS, hesap ele geçirme (account takeover) ve veri sızıntılarına hızlı, etkili ve izlenebilir yanıt vermek.
Kimler için?
Bu rehber, BT/ops ekibi küçük veya olmayan; yöneticiler, takım kaptanları, site sahipleri ve teknik sorumlular için tasarlanmıştır. Güvenlik uzmanı değilseniz bile adımları takip edip, kritik zararları minimize edebilirsiniz.
48 Saatlik Genel Akış (Özet)
- 0–1 Saat: Tespit, izolasyon, kritik servislerin durumu, iletişim kanallarının açılması.
- 1–6 Saat: İlk müdahaleler: şifre sıfırlama, trafiğin yönlendirilmesi, erişimlerin kısıtlanması.
- 6–24 Saat: Derin inceleme, log toplama, üçüncü taraflarla iletişim, geçici düzeltmeler.
- 24–48 Saat: Kalıcı düzeltmeler, etkilenen tarafların bilgilendirilmesi, iyileştirme planı.
Hızlı Hazırlık Kontrol Listesi (Önceden Yapılmalı)
- İletişim listesi: ISP, hosting, DNS yöneticisi, ödeme sağlayıcısı, hukuk danışmanı, medya sorumlusu.
- Yedek erişimler: güvenli, şifrelenmiş ve güncel parolalar (tercihen parola yöneticisinde).
- İki faktörlü kimlik doğrulama (2FA) zorunlu kılınmış kritik hesaplar.
- Log toplama ve merkezi zaman damgası (syslog, SIEM ya da basit S3 + CloudTrail gibi).
- Basit rol dağılımı: kim ne yapar (technical lead, comms lead, legal lead).
0–1 Saat: İlk Teşhis ve İzolasyon
İlk saat, panik yerine hızlı ve ölçülü hareket gerektirir. Önceliğiniz durumu doğrulamak ve zarar büyümesini engellemektir.
- Tespit: Anormallik nerede? Web sitesi mi, oyun sunucusu mu, kimlik doğrulama sistemi mi?
- İzolasyon: Etkilenmiş hizmeti mümkünse ağ seviyesinde izole edin veya trafiği filtreleyin (ör: firewall ile sadece yönetim IP'lerini bırakmak).
- İletişim: Önceden belirlenmiş acil listeyi kullanarak ekibi toplayın ve durum notu oluşturun.
- Kanıt toplama: Logları kopyalayın, ekran görüntüleri alın, zaman damgası ile saklayın. (Veri değiştirmeyin.)
1–6 Saat: Hızlı Müdahaleler
Bu aşama saldırının türüne göre değişir. Üç ana senaryo için kısa, uygulanabilir adımlar:
DDoS
- İnternetten gelen trafik kaynaklarını analiz edin: botnet mi, tek bir subnet mi?
- CDN veya reverse-proxy (Cloudflare, Fastly vb.) kullanılıyorsa under attack modunu açın.
- ISP'nizle (veya hosting sağlayıcınızla) iletişime geçin; trafik temizleme/blackholing seçeneklerini sorun.
- Kritik servisleri ölçeklendirilemiyorsa, yalnızca gerekli portları açıp diğer trafiklerin drop edilmesini sağlayın.
Hesap Ele Geçirme
- Etkilenen hesaplar için derhal parola sıfırlama başlatın ve tüm aktif oturumları sonlandırın.
- 2FA etkin değilse, kritik hesaplar için zorunlu kılın. Erişim anahtarlarını iptal edin.
- Şüpheli e-posta/oturum IP adreslerini loglayın ve inceleyin.
Veri Sızıntısı
- Hangi veri sızdı? Kişisel veri (PII) mı, müşteri verisi mi, kaynak kod mu?
- Etkilenen depoları (s3, git vb.) geçici olarak read-only yapın veya erişimleri sınırlandırın.
- Veri dışarı çıktıysa, erişim yollarını tespit edip kapatın ve kanıtları koruyun.
İlk 6 saat: zarar minimalize edilir; geniş kapsamlı analiz için zaman kazanın.
6–24 Saat: Derin İnceleme ve Geçici Çözümler
Artık olayın kapsamını ve kökenini anlamaya çalışın. Bu aşamada delil toplama ve koruma kritik.
- Logları toplayın: firewall, web server, auth logs, DNS sorguları, cloud provider audit logları.
- İzleme kurun: anormal trafik, başarısız login denemeleri, yeni yönetici hesapları.
- Geçici önlemler: şüpheli IP adreslerini bloklama, güvenlik gruplanı sıkılaştırma, parola politikası güncelleme.
- Hukuk ve iletişim ekiplerini bilgilendirin; regülasyonlar çerçevesinde bildirim gereksinimlerini kontrol edin.
24–48 Saat: Kalıcı Onarım ve İletişim
Bu dönemde hem teknik düzeltmeler yapılmalı hem de paydaşlara doğru bilgi verilmelidir.
- Root cause analysis: Saldırının nasıl gerçekleştiğini belirleyin (ör: zayıf parola, açık, üçüncü taraf entegrasyonu).
- Patching ve konfigürasyon düzeltmeleri uygulayın; erişim anahtarlarını rotasyonlayın.
- Etki değerlendirmesi yapın; sızan veri varsa hukuki yükümlülükleri yerine getirin.
- İletişim: müşterilere ve çalışanlara şeffaf, doğrulanmış bilgiler verin. Gerektiğinde örnek bildirim metni kullanın.
Örnek kısa bildirim metni
Konu: Güvenlik Olayı Hk.
Metin: "Tespit edilen güvenlik olayı nedeniyle bazı hizmetlerimiz etkilenmiştir. İlk tespit ve müdahale tamamlanmış olup, kapsamlı inceleme sürmektedir. Gelişmeler hakkında bilgilendirileceksiniz."
İleri Düzey İpuçları ve Araç Önerileri
- Basit SIEM: ELK/Elastic, Grafana + Loki ya da managed alternatifler (Datadog, Sumo Logic).
- DDoS için CDN/Proxy: Cloudflare, Fastly, AWS Shield (kullanılabilirlik ve maliyet değerlendirmesi yapılmalı).
- Kimlik yönetimi: 2FA, SSO, parola yöneticisi, IAM rolleriyle minimum yetki prensibi.
- Yedekleme politikası: en az 90 günlük immutable (değiştirilemez) yedekler.
Olay Sonrası: Öğrenme ve Dayanıklılık
Olay kapandıktan sonra yapılması gerekenler, tekrarı engellemek için kritiktir.
- Detaylı olay raporu: ne oldu, nasıl tespit edildi, hangi adımlar atıldı, maliyet/etki, öneriler.
- İyileştirme planı: patch management, erişim incelemeleri, sıkılaştırma ve izleme artışı.
- Masa başı tatbikatları: senaryoları 6 aylık periyotlarla çalışın.
- Güvenlik kültürü: küçük ekiplerde farkındalık, phishing testleri ve basit güvenlik yönergeleri büyük fark yaratır.
Sonuç
48 saatlik bir kit, küçük ölçekli organizasyonların en kritik anlarda ayakta kalmasını sağlar. Önemli olan hazırlıklı olmak, görev dağılımı yapmak ve doğru önceliklerle hareket etmektir. Bu rehber adım adım bir yol haritası sunar; her organizasyon kendi altyapısına göre özelleştirmeli ve pratik tatbikatlarla hazır hale gelmelidir.
Hızlı not: Erişimleri asla rastgele değiştirmeyin; değişiklikleri ve delilleri kaydedin. İyi bir iletişim planı, teknik müdahaleden daha az maliyetle itibar kaybını önleyebilir.
