Saldırganları Tuzağa Düşürme Sanatı: Deception Technology Soru-Cevap Rehberi

Q: S4: Sadece honeypot'lardan mı ibaret?

Cevap: Hayır. Klasik honeypot'lar ağın bir köşesine yerleştirilmiş izole sistemlerdi; yetenekli saldırganlar bunları kolayca tanırdı. Günümüz aldatma platformları çok daha geniş bir sahte varlık ekosistemi sunar: Tuzak sunucular Sahte AD kimlik bilgileri Hayali veritabanları Tuzak dosyalar & belgeler Sahte ağ paylaşımları Yem IoT cihazları Bu varlıklar uç noktalara, buluta ve OT/ICS ortamlarına kadar yayılarak saldırganın yanal hareketi (lateral movement) her adımda tespit edilir.

Q: S5: İçeriden gelen tehditler (insider threat) nasıl yakalanır?

Cevap: İçeriden tehditler geleneksel araçlar için en zor senaryodur çünkü meşru kimlik bilgileri kullanılır. Deception teknolojisi burada kritik bir avantaj sağlar: çalışanların erişmesi için hiçbir operasyonel neden bulunmayan sahte kaynaklar (örneğin "Finans-Gizli" etiketli tuzak klasörler) yerleştirilir. Bu kaynaklara yapılan her erişim — ister dış saldırgan ister kötü niyetli çalışan — anında uyarı oluşturur.

Q: S6: MITER ATT&CK ile nasıl ilişkilendirilir?

İyi tasarlanmış aldatma platformları, tespit edilen saldırgan davranışlarını otomatik olarak MITER ATT&CK taktik ve teknikleriyle eşleştirir. Bu sayede güvenlik ekibi "bir şey oldu" değil, "saldırgan şu anda keşif aşamasında, T1046 ağ taraması yapıyor" gibi bağlamsal bir uyarı alır. SIEM ve SOAR entegrasyonlarıyla bu zengin bağlam otomatik yanıt süreçlerine aktarılır.

Q: S7: Hangi ortamlar için uygundur?

Modern platformlar; kurumsal BT ağları, bulut ortamları (AWS, Azure, GCP), Active Directory altyapıları, OT/SCADA sistemleri ve uzak çalışan uç noktaları dahil neredeyse her ortama uyarlanabilir. Özellikle sıfır güven (zero trust) mimarilerini tamamlayıcı bir katman olarak konumlandırılır: ağda hiçbir şeye güvenilmediğinde, saldırganların bir sonraki adımı tuzaklardan birine düşmek olur.

13 May
2 dakikada okunur

Güncelleme tarihi: 21 May

S1: Deception Technology tam olarak nedir?

Aldatma teknolojisi, gerçek ağ ortamı içine saldırganları yanıltmak amacıyla yerleştirilen sahte varlıklar (honeypot'lar, tuzak sunucular, sahte kimlik bilgileri, hayali dosyalar) kullanan proaktif bir siber güvenlik yaklaşımıdır. Saldırgan bu sahte unsurlarla etkileşime geçtiği anda tespit tetiklenir; normal kullanıcılar bu varlıklara asla dokunmadığından sıfır yanlış pozitif ile sonuç alınır.

Proaktif savunma Sıfır yanlış pozitif İç tehdit tespiti

S2: Geleneksel güvenlik araçlarından farkı ne?

Güvenlik duvarı, IDS/IPS ve SIEM çözümleri bilinen imzaları ve anomali eşiklerini tarar — bu yüzden sıklıkla yanlış alarm üretir ve "bekle-ve-gör" modunda çalışır. Deception teknolojisi ise reaktif değil, tuzak tabanlıdır: saldırgana harekete geçmesi için alan tanır, sonra bu hareketi anında yakalar. Ek olarak saldırganın taktik, teknik ve prosedürlerini (TTP) gerçek zamanlı olarak gözlemler; bu veriler tehdit istihbaratına dönüşür.

Temel prensip: Meşru bir kullanıcı hiçbir zaman bir tuzak sunucuya erişmez ya da sahte bir kimlik bilgisi kullanmaz. Bu nedenle her etkileşim, yüksek güvenilirlikli bir tehdit sinyalidir — alarm yorgunluğu yaratmaz.

S3: Bir deception ortamı nasıl ölçeklenir?

Modern platformlar dinamik aldatma ortamları oluşturur: sahte varlıklar ağ büyüdükçe otomatik olarak çoğalır, mevcut altyapıyla aynı görünümü taşır (aynı işletim sistemi versiyonları, aynı servisler, aynı uygulama parmak izleri). Bu sayede ağdaki gerçek varlıklar, sahte varlıklarla iç içe geçer ve saldırgan açısından gerçek varlıkların tespit edilmesi zorlaşır , saldırgan hangi hedefin gerçek olduğunu ayırt edemez.

~97% 0 <1s

Tespit doğruluğu Yanlış pozitif Uyarı gecikmesi

S4: Sadece honeypot'lardan mı ibaret?

Cevap: Hayır. Klasik honeypot'lar ağın bir köşesine yerleştirilmiş izole sistemlerdi; yetenekli saldırganlar bunları kolayca tanırdı. Günümüz aldatma platformları çok daha geniş bir sahte varlık ekosistemi sunar:

Tuzak sunucular Sahte AD kimlik bilgileri Hayali veritabanları Tuzak dosyalar & belgeler Sahte ağ paylaşımları Yem IoT cihazları

Bu varlıklar uç noktalara, buluta ve OT/ICS ortamlarına kadar yayılarak saldırganın yanal hareketi (lateral movement) her adımda tespit edilir.

S5: İçeriden gelen tehditler (insider threat) nasıl yakalanır?

Cevap: İçeriden tehditler geleneksel araçlar için en zor senaryodur çünkü meşru kimlik bilgileri kullanılır. Deception teknolojisi burada kritik bir avantaj sağlar: çalışanların erişmesi için hiçbir operasyonel neden bulunmayan sahte kaynaklar (örneğin "Finans-Gizli" etiketli tuzak klasörler) yerleştirilir. Bu kaynaklara yapılan her erişim — ister dış saldırgan ister kötü niyetli çalışan — anında uyarı oluşturur.

S6: MITER ATT&CK ile nasıl ilişkilendirilir?

İyi tasarlanmış aldatma platformları, tespit edilen saldırgan davranışlarını otomatik olarak MITER ATT&CK taktik ve teknikleriyle eşleştirir. Bu sayede güvenlik ekibi "bir şey oldu" değil, "saldırgan şu anda keşif aşamasında, T1046 ağ taraması yapıyor" gibi bağlamsal bir uyarı alır. SIEM ve SOAR entegrasyonlarıyla bu zengin bağlam otomatik yanıt süreçlerine aktarılır.

S7: Hangi ortamlar için uygundur?

Modern platformlar; kurumsal BT ağları, bulut ortamları (AWS, Azure, GCP), Active Directory altyapıları, OT/SCADA sistemleri ve uzak çalışan uç noktaları dahil neredeyse her ortama uyarlanabilir. Özellikle sıfır güven (zero trust) mimarilerini tamamlayıcı bir katman olarak konumlandırılır: ağda hiçbir şeye güvenilmediğinde, saldırganların bir sonraki adımı tuzaklardan birine düşmek olur.

Zero Trust uyumlu Bulut & hibrit OT / ICSActive Directory

Veri & Erişim Koruma

Uygulama Güvenliği

Ağ ve E-posta Güvenliği

Bulut Güvenliği

Uyum ve Risk Çözümleri

OT Güvenliği

Uç Nokta Koruması

Olay Müdahale ve Yönetimi

Danışmanlık

Yönetilen Hizmetler

İş Ortaklarımız

Natica Hakkında

Blog

Medya
Merkezi

Yönetim
Ekibi

Bilgi
Merkezi

Başarı Hikayeleri

Bize
Ulaşın

Etkinlikler

Politikalar