İç Ağ Saldırı Senaryoları Nedir?
Nisan 16, 2026
Sızma Testi
Temel Çerçeve ve Senaryo Tasarımı
İç ağ saldırı senaryoları nedir ve dış perimeter testlerinden hangi metodolojik farklarla ayrışır?
İç ağ saldırı senaryoları, saldırganın veya kompromis edilmiş bir kimliğin zaten ağ içinde olduğu varsayımıyla; lateral movement, yetki yükseltme ve kritik varlıklara erişim adımlarını simüle eden proaktif güvenlik değerlendirmesidir. Dış testler perimeter kontrollerini sınamaya odaklanırken; iç ağ senaryoları network segmentasyon zafiyetleri, Active Directory yapılandırma hataları ve erişim politika boşluklarını test eder. Bu yaklaşım, “perimeter aşıldıktan sonra ne olur?” sorusuna yanıt arayarak, savunma katmanlarının gerçek kriz anındaki dayanıklılığını ölçer.
Senaryo kurgusunda MITRE ATT&CK ve Cyber Kill Chain hangi aşamalarla haritalanır?
Senaryo tasarımı, MITRE ATT&CK framework’ündeki “Persistence, Privilege Escalation, Lateral Movement, Collection” gibi teknikler üzerine yapılandırılır. Cyber Kill Chain ise bu teknikleri “içeride konumlanma → hedefe ilerleme → veri toplama” zincirine dönüştürür. Örneğin, “Kerberoasting → Pass-the-Ticket → Domain Admin” zinciri, kurumun IAM ve segmentasyon kontrollerini sınamak için özelleştirilir. Bu yapılandırma, saldırının ölçülebilir bir yaşam döngüsü izlemesini garanti eder.
“İçeriden dışarıya” saldırı perspektifi hangi başlangıç vektörleri üzerine kurgulanır?
İç ağ senaryoları genellikle üç başlangıç vektörü üzerine kurgulanır: phishing ile ele geçirilmiş kullanıcı hesabı, kötü niyetli çalışan (insider threat) ve yönetimsiz cihaz (rogue device). Gerçekçilik, test ortamının production ile birebir uyumlu olması ve saldırı tekniklerinin güncel tehdit istihbaratıyla desteklenmesiyle sağlanır. Bu kurgu, “gerçek bir saldırgan bu ortamda nasıl ilerler?” sorusuna operasyonel yanıt üretir.
Senaryo kapsamında operasyonel süreklilik ve “kill switch” protokolleri nasıl yönetilir?
İç ağ testleri canlı ortamlarda yürütüldüğünden, Rules of Engagement (RoE) belgesi yasaklı teknikleri ve zaman pencerelerini net tanımlamalıdır. “Kill switch” mekanizması, senaryonun anında durdurulmasını sağlayan teknik (ACL rollback vb.) ve operasyonel kontrollerden oluşur. Test öncesi tüm paydaşlar (SOC, sistem yöneticileri) durdurma protokolleri hakkında bilgilendirilir; bu disiplinli çerçeve iş sürekliliği risklerini minimize eder.
Teknik Uygulama ve Saldırı Zinciri Simülasyonu
Lateral movement ve yetki yükseltme senaryoları hangi tekniklerle kurgulanır?
Lateral movement simülasyonlarında Pass-the-Hash, Pass-the-Ticket ve RDP hijacking teknikleri uygulanır. Yetki yükseltme senaryoları ise hatalı yapılandırılmış AD izinleri, zayıf servis hesabı parolaları ve eksik yamalar üzerinden kurgulanır. Bu teknikler, network segmentasyonunun geçirgenliğini ve IAM boşluklarını ortaya çıkarır. Her adım detaylı loglanarak “hangi kontrol nerede kırıldı?” sorusuna teknik yanıt üretilir.
C2 kanalları ve veri sızdırma simülasyonları iç ağ kısıtlarında nasıl bypass edilir?
C2 simülasyonlarında DNS tunneling, HTTPS proxy abuse ve meşru bulut servisleri üzerinden veri transferi denenir. Veri sızdırma (exfiltration) denemelerinde ise bulk data download ve USB yazma gibi teknikler kullanılır. Kısıtları bypass etmek için domain fronting ve living-off-the-land (meşru araçların kullanımı) yöntemleri tercih edilerek firewall ve DLP kurallarının gerçek performansı ölçülür.
Ağ segmentasyonu ve zero-trust kontrolleri senaryolarda nasıl sınanır?
Segmentasyon testleri, bir VLAN/subnet’ten diğerine geçiş denemeleri üzerine kurgulanır; firewall kurallarının “default deny” prensibine uygunluğu doğrulanır. Zero-trust kontrolleri ise her erişim talebinin kimlik ve cihaz sağlığı bazlı doğrulanıp doğrulanmadığını test eder. “Flat network” (düz ağ) riskleri, lateral movement sırasında hızla ortaya çıkar ve mikro-segmentasyon geçişi için veri sağlar.
EDR/XDR çözümleri ve uygulama beyaz listeleri senaryo sırasında nasıl test edilir?
EDR/XDR testleri; PowerShell obfuscation, LOLBins (certutil, wmic vb.) ve fileless malware tekniklerinin tespit edilip edilmediğini ölçer. Uygulama beyaz listesi testlerinde, izinli olmayan executable’ların çalıştırılma denemeleri simüle edilir. Bu teknik validasyon, endpoint güvenliğinin sadece kurulu olmadığını, gerçek saldırıya dayanıklı olduğunu kanıtlar.
Tespit Doğrulaması ve Savunma Katmanlarının Sınanması
Aktif senaryolar SIEM kurallarını ve UEBA anomalilerini nasıl tetikler?
Senaryo sırasında üretilen loglar, SIEM’in korelasyon motoru tarafından işlenerek alert üretir. UEBA çözümleri ise bu aktiviteyi bazal davranış profili ile karşılaştırarak istatistiksel sapma (anomali) skorları üretir. Tespit doğruluğu; true positive rate ve missed detection yüzdesi ile ölçülür. Bu ölçüm, kural tuning ve log kaynağı entegrasyon ihtiyaçlarını net şekilde ortaya koyar.
SOC analistlerinin triage ve eskalasyon süreçleri hangi metriklerle değerlendirilir?
Senaryo, SOC ekibinin performansını objektif ölçer; ilk metrik alert’in alınmasından soruşturmaya kadar geçen MTTD (Mean Time to Detect) süresidir. Triage doğruluğu, analistin alert’i doğru önceliklendirmesi ile değerlendirilir. Eskalasyon süreci, playbook adımlarının zamanında uygulanması ve kriz iletişiminin netliği üzerinden ölçülerek süreç kopuklukları somutlaştırılır.
Incident response playbook’ları iç ağ ihlali senaryolarında nasıl doğrulanır?
Senaryo; “hesap ele geçirme → lateral movement → veri toplama” akışını kurgulayarak, playbook’un müdahale ve izolasyon adımlarını sahada test eder. Eksik adımlar (örneğin adli analiz prosedürü eksikliği) tespit edilir. Test sonrası “hotwash” oturumunda her eksiklik incelenerek playbook’lar statik doküman olmaktan çıkarılıp canlı operasyonel reflekse dönüştürülür.
İyileştirme Döngüsü ve Kurumsal Direnç İnşası
Senaryo bulguları altyapı revizyonuna nasıl yansıtılır?
Senaryo çıktıları, mimari iyileştirme için aksiyon haritasıdır. Bulgular; network segmentasyonunun sıkılaştırılmasını, overprivileged hesapların daraltılmasını ve EDR politika güncellemelerini tetikler. Her bulgu bir takip sistemi (Jira vb.) üzerinden izlenir ve kapanma doğrulaması kontrollü re-testler ile yapılır.
İç ağ saldırı metrikleri (MTTD, MTTR) güvenlik olgunluğunu nasıl ölçer?
Metrikler, güvenlik duruşunu nicel olarak ölçer: MTTD tespit çevikliğini, MTTR yanıt kapasitesini, lateral movement derinliği ise segmentasyon dayanıklılığını yansıtır. İyileştirme döngüsü, “ölç → analiz → aksiyon → doğrula” prensibiyle kurgulanır. Bu veriye dayalı yaklaşım, kaynak tahsisini optimize eder ve iç ağ güvenliğini subjektif algıdan ölçülebilir yetkinliğe taşır.
Düzenli senaryo tekrarı ve “Purple Team” iş birliği direnci nasıl sürdürür?
Güvenlik kontrolleri zamanla aşınabilir, bu nedenle düzenli tekrar zorunludur. Purple Team iş birliği, saldırı teknikleri ile tespit süreçlerini aynı masa etrafında birleştirir; her adımda “neden algılanmadı?” sorusu anında yanıtlanır. Bu döngü analist eğitimini ve kural optimizasyonunu hızlandırarak savunmanın saldırgan teknikleriyle birlikte evrilmesini sağlar.
Senaryo kurgusunun regülasyon uyumu (KVKK, NIS2, ISO 27001) katkısı nedir?
Regülasyonlar kontrollerin sadece varlığını değil, etkinliğini şart koşar. Senaryo raporları; erişim kontrollerinin ve olay müdahale kapasitesinin teknik derinlikte test edildiğine dair denetim kanıtı sunar. KVKK uyumu açısından veri sızıntısı senaryoları DLP etkinliğini doğrular; bu şeffaf yaklaşım uyumu operasyonel gerçekliğe dayalı sürekli bir döngüye dönüştürür.
Tags :
#ActiveDirectory,#LateralMovement,İçAğGüvenliği,PurpleTeam
Share This :