Fidye Yazılımı Savunması: KOBİ İçin 7 Katmanlı Yaklaşım

Fidye yazılımı (ransomware), KOBİ'ler için en yıkıcı siber tehditlerden biridir: dosyalar şifrelenir, operasyon saatlerce veya günlerce durur, yedek yoksa kalıcı veri kaybı yaşanır. Saldırganlar giderek daha küçük hedeflere yöneliyor. Tek bir teknik önlem yeterli değildir; savunma birden çok katmanın birlikte çalıştığı bir mimari ile kurulur. Bu rehber KOBİ ölçeğinde pratik 7 katmanlı bir fidye savunma planı sunar.

Fidye Yazılımı Neden Bu Kadar Yıkıcı?

Modern fidye yazılımı operasyonları karmaşık saldırı zincirleri kurar: ilk erişim (çoğunlukla phishing), ağ içinde yayılma, yetki yükseltme, yedekleri silmeye çalışma ve ardından büyük ölçekli şifreleme. KOBİ'lerde yaygın sorunlar:

• Fidye ödense bile veri geri gelmeyebilir
• Yedekler de şifreleniyor (aynı ağda tutulanlar)
• Operasyon günlerce duruyor, müşteri kaybı yaşanıyor
• Sızdırılan veri daha sonra karanlık web'de satılıyor
• Toparlanma süresi kurum büyüklüğüne göre haftalar alabiliyor
• Sigorta kapsamı sıklıkla tam karşılamıyor
• Müşteri ve tedarikçi güveni zarar görüyor

Katmanlı savunma, tek bir katmanın başarısız olması durumunda bile saldırının tamamlanmasını engeller.

7 Savunma Katmanı

Katman 1: Çalışan Farkındalığı

Fidye saldırılarının büyük kısmı phishing ile başlar. Düzenli farkındalık eğitimi ve phishing simülasyonu ilk katmandır. "Phishing bildir" butonu kurumsal e-posta istemcisinde olmalı; bildirim yapan teşvik edilmelidir.

Katman 2: E-posta Kapısı

Kurumsal spam filtresi zararlı eklerin ve URL'lerin posta kutusuna ulaşmadan önce tespit edilmesini sağlar. URL koruması bağlantıya tıklama anında yeniden tarama yapar. Sandbox ekleri güvenli sanal ortamda çalıştırıp davranış gözler.

Katman 3: Uç Nokta Koruması (EDR)

Klasik antivirüs yetersizdir; modern EDR (Endpoint Detection and Response) çözümleri davranışsal analiz ile şüpheli süreçleri engeller. CrowdStrike, SentinelOne, Microsoft Defender for Endpoint gibi çözümler KOBİ'de de uygulanabilir.

Katman 4: Kimlik Güvenliği

Saldırganlar sızdıktan sonra yetki yükseltmeye çalışır. Tüm yönetici hesaplarında MFA zorunlu olmalı, gereksiz yetki temizlenmeli. Ayrıcalıklı hesap yönetimi (PAM) araçları erişimi kayıt altında tutar.

Katman 5: Ağ Segmentasyonu

Bir cihaz enfekte olduğunda yayılmanın sınırlı kalması için VLAN ve firewall kurallarıyla segmentasyon kurulur. Kritik sunucular ayrı segmentlerde ve yalnızca ihtiyaç duyulan portlar açılır. Yatay hareket bu şekilde güçleştirilir.

Katman 6: Yedekleme ve Felaket Kurtarma

Saldırının en son savunma katmanı. Yedekler offline veya immutable (değiştirilemez) olmalıdır — aynı ağda tutulan yedekler şifrelenebilir. 3-2-1 kuralı (3 kopya, 2 farklı ortam, 1 off-site) uygulanmalıdır. Yedek geri dönüş testi düzenli yapılmalıdır.

Katman 7: Tespit ve Olay Yanıtı

SIEM/log toplama ile anormal davranış (gece saatinde çok dosya silme, beklenmedik konumdan oturum açma) tespit edilir. Önceden hazırlanmış olay yanıt planı (kim neyi izole eder, kim bilgilendirir, kim yedekten döner) kriz anında zaman kazandırır.

Savunma Kontrol Tablosu

Katman	Minimum Uygulama	Olgun Uygulama
Farkındalık	Yıllık eğitim	Aylık modül + çeyrek simülasyon
E-posta	SPF/DKIM/DMARC	Advanced Threat Protection + sandbox
Uç nokta	Güncel antivirüs	EDR + davranışsal yanıt
Kimlik	Tüm kullanıcılarda MFA	PAM + koşullu erişim
Ağ	Temel VLAN	Mikrosegmentasyon + Zero Trust
Yedekleme	Günlük yedek	Immutable + off-site + test
İzleme	Temel log toplama	SIEM + 7/24 izleme

Her katmanda minimum uygulama bile saldırı ihtimalini belirgin şekilde azaltır.

Saldırı Anı İçin Olay Yanıt Planı

1. İzole et. Etkilenen cihazları ağdan ayır; yayılmayı durdur.
2. Bildir. IT sorumlusu, yönetim ve gerekirse hukuk birimine haber ver.
3. Delil koru. Logları, dosyaları dondur; adli inceleme için gerekli.
4. Fidye ödeme. Polis ve uzman danışmanlar genellikle önermez; karar yönetim + hukuk birlikte alınır.
5. Temiz ortama taşın. Etkilenen sistemler baştan kurulur; yedekten temiz veri yüklenir.
6. Kök neden. Saldırı nasıl girdi? Bu açık kapatılmadan sistem üretime alınmamalıdır.
7. Bildirim yükümlülüğü. KVKK veya sektör regülasyonuna göre yetkili otoritelere bildirim yapılır.

Sık Yapılan Hatalar

• Yedekleri aynı ağda tutmak ve çevrim içi bırakmak
• Sadece antivirüsle yetinmek
• MFA'yı sadece bazı hesaplar için etkinleştirmek
• Farkındalık eğitimini yıllık tek seferlik yapmak
• Olay yanıt planı olmadan saldırı anında panik yaşamak
• Yedekten dönüş testi yapmamak
• Fidye yazılımı sözleşmesi diye sahte "garantiler" almak

Gerçek İşletme Örnekleri

Örnek 1: Muhasebe Firmasında Yedek Sayesinde Dönüş

Bir muhasebe firması fidye yazılımı saldırısı yaşadı. Yerinde yedek de şifrelendi ancak off-site bulut yedek korundu. 24 saat içinde kritik sistemler bulut yedekten restore edildi; fidye ödenmeden toparlandı.

Örnek 2: Üretim Tesisinde EDR ile Erken Tespit

Bir üretim tesisinde EDR çözümü bir son noktada şüpheli dosya şifreleme davranışı tespit etti ve süreci hemen sonlandırdı. Ağa yayılma başlamadan saldırı engellendi; olay küçük bir uyarıyla kapandı.

Örnek 3: Danışmanlık Firmasında MFA Sayesinde Durdurulan Saldırı

Bir danışmanlık firmasında bir çalışanın parolası sızmıştı. Saldırgan oturum açmaya çalıştı; MFA zorunluluğu nedeniyle ikinci adımda kilitlendi. Hesap kilitlendi, parola değiştirildi; daha büyük bir saldırı başlamadan durduruldu.

Yamanlar Bilişim Bu Süreçte Nasıl Destek Sağlar?

Yamanlar Bilişim, 7 katmanlı savunmayı işletmenizin mevcut altyapısı üzerinde kademeli olarak inşa eder. Yedekleme ve EDR gibi kritik katmanlar önce devreye alınır, sonra diğerleri genişletilir. Olay yanıt planı hazırlanır ve masa başı tatbikatla test edilir.

Yamanlar Bilişim'in destek verebildiği başlıca alanlar şunlardır:

• Mevcut savunma katmanlarının değerlendirilmesi ve boşluk analizi
• EDR çözümü seçimi ve kurulumu
• Immutable yedekleme mimarisi tasarımı
• MFA ve ayrıcalıklı hesap yönetimi kurulumu
• Ağ segmentasyonu ve firewall politikaları
• SIEM veya temel log toplama çözümü
• Çalışan farkındalık eğitim programı
• Olay yanıt planı ve tatbikat koordinasyonu

SSS