Sistem Güvenliği (Endpoint Security)

1. Giriş

Sistem güvenliği (endpoint security), bir ağ üzerindeki bireysel cihazların (endpoint) korunmasını ifade eder. Bu cihazlar; masaüstü bilgisayarlar, dizüstüler, sunucular ve mobil cihazlar olabilir. Modern saldırıların büyük çoğunluğu doğrudan bu uç noktaları hedef alır. Bu nedenle sistem güvenliği, siber güvenliğin en kritik katmanlarından biridir.

---

2. Endpoint Kavramı ve Saldırı Yüzeyi

Bir endpoint, ağa bağlı her cihazdır ve her biri potansiyel bir saldırı giriş noktasıdır.

Saldırı yüzeyi şunları içerir:

• İşletim sistemi açıkları

• Yanlış yapılandırılmış servisler

• Zayıf kullanıcı izinleri

• Güncel olmayan yazılımlar

• Açık portlar ve servisler

Örnek:
Bir Windows sistemde açık bırakılmış RDP servisi (3389 portu), brute-force saldırılarına açık hale gelebilir.

---

3. İşletim Sistemi Güvenliği

3.1 Windows Güvenliği

Windows sistemler en yaygın hedeflerdir.

Kritik bileşenler:

• Windows Defender / Microsoft Defender

• Group Policy (GPO) → merkezi güvenlik yönetimi

• Event Viewer → log takibi

Yaygın saldırılar:

• Pass-the-Hash

• DLL hijacking

• Credential dumping (Mimikatz)

---

3.2 Linux Güvenliği

Linux daha güvenli kabul edilse de yanlış yapılandırma ciddi risk oluşturur.

Kritik alanlar:

• /etc/passwd ve /etc/shadow

• SSH yapılandırması (/etc/ssh/sshd_config)

• Sudo yetkileri

Örnek risk:

chmod 777 /etc/passwd

Bu, herkesin kullanıcı bilgilerini değiştirmesine izin verir.

---

4. Yetki Yönetimi (Privilege Management)

4.1 Least Privilege Principle

Kullanıcılara yalnızca ihtiyaç duydukları yetkiler verilmelidir.

4.2 Privilege Escalation

Saldırganlar düşük yetkili erişimi yükseltmeye çalışır.

Türleri:

• Vertical escalation → kullanıcıdan admin’e

• Horizontal escalation → başka kullanıcıya geçiş

Teknikler:

• SUID binary exploitleri (Linux)

• Token manipulation (Windows)

---

5. Sistem Hardening (Sıkılaştırma)

Hardening, sistemi saldırılara karşı minimum açıkla çalışacak şekilde yapılandırmaktır.

Temel adımlar:

• Gereksiz servisleri kapatmak

• Default ayarları değiştirmek

• Güçlü parola politikaları uygulamak

• Firewall yapılandırması

Örnek:

ufw enable
ufw deny 23

(Telnet kapatılır)

---

6. Loglama ve İzleme (Logging & Monitoring)

6.1 Log Türleri:

• Authentication logları

• System logları

• Application logları

6.2 Windows:

• Event ID 4625 → başarısız login

• Event ID 4672 → admin yetkisi kullanımı

6.3 Linux:

/var/log/auth.log

SIEM entegrasyonu:

• Loglar merkezi sisteme gönderilir

• Anomali tespiti yapılır

---

7. Zararlı Yazılım Koruması

7.1 Antivirüs vs EDR

• Antivirüs: imza tabanlı

• EDR (Endpoint Detection & Response): davranış analizi

7.2 Modern tehditler:

• Fileless malware

• Living-off-the-land (LOLbins)

---

8. Patch Management (Güncelleme Yönetimi)

Güncel olmayan sistemler en büyük risklerden biridir.

Süreç:

1. Zafiyet tespiti

2. Patch yayınlanması

3. Test ortamında deneme

4. Production’a geçiş

---

9. Endpoint Detection & Response (EDR)

EDR sistemleri:

• Sürekli izleme yapar

• Anormal davranışları tespit eder

• Otomatik müdahale sağlar

Örnek:

• Şüpheli PowerShell komutu çalıştırıldığında alarm üretir

---

10. Saldırı Senaryosu (Gerçekçi Örnek)

1. Kullanıcı phishing mail açar

2. Zararlı dosya çalışır

3. PowerShell ile arka kapı açılır

4. Credential dumping yapılır

5. Admin yetkisi alınır

6. Ağ içinde lateral movement başlar

---

11. Koruma Stratejileri

• Multi-Factor Authentication (MFA)

• Endpoint firewall

• Application whitelisting

• Disk encryption (BitLocker / LUKS)

• Zero Trust yaklaşımı

---

12. Sonuç

Sistem güvenliği, saldırıların ilk hedefi olan endpoint’leri korumayı amaçlar. Modern saldırılar artık yalnızca teknik açıkları değil, sistem yapılandırmalarını ve kullanıcı davranışlarını da hedef almaktadır. Bu nedenle etkili bir endpoint güvenliği stratejisi; doğru yapılandırma, sürekli izleme ve hızlı müdahale mekanizmalarının birleşiminden oluşmalıdır.